Appliquer les principes de Confiance Zéro à Microsoft Copilot

Résumé : Pour appliquer des principes de confiance zéro à Microsoft Copilot, vous devez :

  1. Implémentez des protections de sécurité pour les invites web sur Internet.
  2. Ajoutez des protections de sécurité pour le résumé du navigateur Microsoft Edge.
  3. Effectuez les protections de sécurité recommandées pour Copilot pour Microsoft 365.
  4. Maintenez les protections de sécurité lors de l’utilisation de Microsoft Copilot et Copilot pour Microsoft 365 ensemble.

Introduction

Microsoft Copilot ou Copilot est un compagnon IA dans copilot.microsoft.com, Windows, Edge, Bing et l’application mobile Copilot. Cet article vous aide à implémenter des protections de sécurité afin de garantir la sécurité de votre organisation et de vos données lors de l’utilisation de Copilot. En implémentant ces protections, vous créez de solides fondations de Confiance Zéro.

Les recommandations en matière de sécurité Confiance Zéro pour Copilot sont axées sur la protection des comptes d’utilisateur, des appareils des utilisateurs, et des données qui sont dans l’étendue, en fonction de la façon dont vous configurez Copilot.

Vous pouvez introduire Copilot en différentes phases, allant de l’autorisation des prompts basés sur le web vers Internet jusqu’à l’autorisation des prompts basés sur le web et sur Microsoft 365 Graph à la fois vers Internet et vers les données de votre organisation. Cet article vous aidera à comprendre l’étendue de chaque configuration et, par conséquent, les recommandations relatives à la préparation de votre environnement avec les protections de sécurité appropriées.

Comment la Confiance Zéro apporte-t-elle une aide avec l’IA ?

La sécurité, en particulier la protection des données, est souvent une préoccupation majeure lors de l’introduction d’outils IA dans une organisation. La Confiance Zéro est une stratégie de sécurité qui vérifie chaque utilisateur, appareil et demande de ressource afin de s’assurer qu’il ou elle est autorisé(e). Le terme « Confiance Zéro » fait référence à la stratégie de traitement de chaque demande de connexion et de ressource comme si elle provenait d’un réseau non contrôlé et d’un mauvais acteur. Quel que soit l’endroit où provient la demande ou la ressource à laquelle elle accède, confiance zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».

En tant que leader en matière de sécurité, Microsoft fournit une feuille de route pratique et des conseils clairs en matière d’implémentation de la Confiance Zéro. L’ensemble des Copilotes de Microsoft reposent sur des plateformes existantes et héritent des protections appliquées à ces plateformes. Pour plus d’informations sur l’application de la Confiance Zéro aux plateformes de Microsoft, consultez le Centre d’aide de la Confiance Zéro. En implémentant ces protections, vous créez de solides fondations de sécurité Confiance Zéro.

Cet article s’appuie sur ces conseils pour prescrire les protections Confiance Zéro relatives à Copilot.

Contenu de cet article

Cet article décrit les recommandations de sécurité qui s’appliquent en quatre phases. Vous bénéficiez ainsi d’un chemin pour l’introduction de Copilot dans votre environnement lors de l’application de protections de sécurité aux utilisateurs, appareils et données accessibles par Copilot.

Étape Configuration Composants à sécuriser
1 Prompts basés sur le web vers Internet Hygiène de sécurité de base pour les utilisateurs et les appareils à l’aide de stratégies d’identité et d’accès.
2 Prompts basés sur le web vers Internet avec résumé de la page de navigateur Edge activé Les données de votre organisation à des emplacements locaux, intranet et cloud que Copilot dans Edge peut résumer.
3 Prompts basés sur le web vers Internet et accès à Copilot pour Microsoft 365 Tous les composants affectés par Copilot pour Microsoft 365.
4 Prompts basés sur le web vers Internet et accès à Copilot pour Microsoft 365 avec résumé de la page de navigateur Edge activé Tous les composants répertoriés ci-dessus.

Étape 1. Commencer par des recommandations de sécurité pour les prompts basés sur le web vers Internet

La configuration la plus simple de Copilot fournit une assistance IA avec des prompts basés sur le web.

Diagramme de Copilot pour Microsoft et du traitement des prompts basés sur le web.

Dans l’illustration :

  • Les utilisateurs peuvent interagir avec Copilot par le biais de copilot.microsoft.com, Windows, Bing, du navigateur Edge et de l’application mobile Copilot.
  • Les prompts sont basés sur le web. Copilot utilise uniquement des données disponibles publiquement pour répondre aux prompts.

Avec cette configuration, les données de votre organisation ne sont pas incluses dans l’étendue des données référencées par Copilot.

Utilisez cette phase pour implémenter des stratégies d’identité et d’accès pour les utilisateurs et les appareils afin d’empêcher les acteurs malveillants d’utiliser Copilot. Au minimum, vous devez configurer des stratégies d’accès conditionnel qui exigent ce qui suit :

Recommandations supplémentaires pour Microsoft 365 E3

Recommandations supplémentaires pour Microsoft 365 E5

Implémentez les recommandations pour E3 et configurez les stratégies d’identité et d’accès suivantes :

Étape 2. Ajouter des protections de sécurité pour le résumé du navigateur Edge

À partir de la barre latérale Microsoft Edge, Microsoft Copilot vous aide à obtenir des réponses et des inspirations provenant du web et, si cela est activé, à partir de certains types d’informations affichées dans des onglets de navigateur ouverts.

Diagramme de prompts basés sur le web dans Edge avec résumé des onglets de navigateur activé.

Voici quelques exemples de pages web privées ou organisationnelles et de types de documents que Copilot dans Edge peut résumer :

  • Sites intranet tels que SharePoint, à l’exception des documents Office incorporés
  • Outlook Web App
  • Fichiers PDF, y compris ceux stockés sur l’appareil local
  • Sites non protégés par des stratégies DLP Microsoft Purview, des stratégies de gestion des applications mobiles (GAM) ou des stratégies GPM

Remarque

Pour obtenir la liste actuelle des types de documents pris en charge par Copilot dans Edge pour l’analyse et le résumé, consultez Comportement de résumé de la page web Copilot dans Edge.

Les sites et documents d’organisation potentiellement sensibles que Copilot dans Edge peut résumer peuvent être stockés dans des emplacements locaux, intranet ou cloud. Ces données d’organisation peuvent être exposées à un attaquant qui a accès à l’appareil et utilise Copilot dans Edge pour produire rapidement des résumés de documents et de sites.

Les données d’organisation pouvant être résumées par Copilot dans Edge peuvent inclure ce qui suit:

  • Ressources locales sur l’ordinateur de l’utilisateur

    Fichiers PDF ou informations affichées dans un onglet de navigateur Edge par des applications locales qui ne sont pas protégées par des stratégies GAM

  • Ressources intranet

    Fichiers PDF ou sites pour des applications et services internes qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

  • Sites Microsoft 365 qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

  • Ressources Microsoft Azure

    Fichiers PDF sur des machines virtuelles ou des sites pour des applications SaaS qui ne sont pas protégées par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

  • Sites de produits cloud tiers pour des applications et services SaaS basés sur le cloud qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies MDA

Utilisez cette phase pour implémenter des niveaux de sécurité afin d’empêcher des acteurs malveillants d’utiliser Copilot pour découvrir et accéder plus rapidement aux données sensibles. Au minimum, vous devez :

Pour plus d’informations sur Copilot dans Edge, consultez :

Cette illustration montre les jeux de données disponibles pour Microsoft Copilot dans Edge avec résumé du navigateur activé.

Diagramme des jeux de données disponibles pour Microsoft Copilot dans Edge.

Recommandations pour E3 et E5

  • Implémentez des stratégies de protection des applications (APP) Intune pour la protection des données. Les stratégies APP peuvent empêcher la copie accidentelle ou intentionnelle de contenu généré par Copilot sur des applications sur un appareil qui ne figurent pas dans la liste des applications autorisées. APP peut limiter le rayon d’explosion d’un attaquant à l’aide d’un appareil compromis.

  • Activez Microsoft Defender pour Office 365 Plan 1, qui comprend Exchange Online Protection (EOP) pour les pièces jointes sécurisées, les liens sécurisés, les seuils avancés d’hameçonnage et la protection contre l’emprunt d’identité, ainsi que les détections en temps réel.

Copilot pour Microsoft 365 peut utiliser les jeux de données suivants pour traiter les prompts basés sur Graph :

  • Vos données de locataire Microsoft 365
  • Données Internet via Recherche Bing (si activé)
  • Données utilisées par les plug-ins et connecteurs compatibles avec Copilot

Diagramme de Copilot pour Microsoft 365 et du traitement des prompts basés sur Graph.

Pour plus d’informations, consultez Appliquer des principes de Confiance Zéro à Microsoft Copilot pour Microsoft 365.

Recommandations pour E3

Implémentez ce qui suit :

Recommandations pour E5

Implémentez les recommandations pour E3 et les éléments suivants :

Phase 4. Maintenir les protections de sécurité pendant que vous utilisez Microsoft Copilot et Copilot pour Microsoft 365 ensemble

Avec une licence pour Copilot pour Microsoft 365, vous verrez un bouton bascule Professionnel/Web dans le navigateur Edge, Windows et recherche Bing qui vous permet de basculer entre l’utilisation de :

  • Prompts basés sur Graph envoyés à Copilot pour Microsoft 365 (bouton bascule défini sur Professionnel).
  • Prompts web qui utilisent principalement des données Internet (bouton bascule défini sur Web).

Voici un exemple pour copilot.microsoft.com.

Exemple de capture d’écran de Microsoft Copilot pour Microsoft Bing.

Cette illustration montre le flux des prompts basés sur Graph et sur le web.

Diagramme de l’architecture logique de Microsoft Copilot montrant les prompts basés sur Graph et sur le web.

Comme le montre le diagramme :

  • Les utilisateurs sur les appareils disposant d’une licence pour Copilot pour Microsoft 365 peuvent choisir le mode Professionnel ou Web pour les prompts Microsoft Copilot.
  • S’ils choisissent Professionnel, les prompts basés sur Graph sont envoyées à Copilot pour Microsoft 365 pour traitement.
  • S’ils choisissent Web, les prompts basés sur le web entrés via Windows, Bing ou Edge utilisent des données Internet lors du traitement.
  • Dans le cas de Edge et lorsqu’il est activé, Windows Copilot inclut certains types de données dans les onglets Edge ouverts lors du traitement.

Si l’utilisateur n’a pas de licence pour Copilot pour Microsoft 365, le bouton bascule Professionnel/Web n’est pas affiché, et tous les prompts sont basés sur le web.

Voici les ensembles de données d’organisation accessibles pour Microsoft Copilot, qui incluent à la fois les prompts basés sur Graph et basés sur le web.

Diagramme des ensembles de données d’organisation accessibles pour Microsoft Copilot pour les prompts basés sur Graph et basés sur le web.

Dans l’illustration, les blocs ombrés jaunes concernent les données de votre organisation accessibles via Copilot. L’accès à ces données par un utilisateur via Copilot dépend des autorisations aux données accordées au compte d’utilisateur. Il peut également dépendre de l’état de l’appareil de l’utilisateur si l’accès conditionnel est configuré pour l’utilisateur ou pour l’accès à l’environnement où résident les données. Conformément aux principes de Confiance Zéro, il s’agit des données que vous souhaitez protéger en cas de compromission d’un compte d’utilisateur ou d’un appareil.

  • Pour les prompts basés sur Graph (bouton bascule défini sur Professionnel), cela inclut les éléments suivants :

    • Vos données de locataire Microsoft 365

    • Données pour les plug-ins et connecteurs compatibles avec Copilot

    • Données Internet (si le plug-in web est activé)

  • Pour les prompts basés sur le web à partir du navigateur Edge avec résumé de l’onglet de navigateur ouvert activé (bouton bascule défini sur Web), cela peut inclure des données d’organisation qui peuvent être résumées par Copilot dans Edge à partir d’emplacements locaux, intranet et cloud.

Utilisez cette phase pour vérifier votre implémentation des niveaux de sécurité suivants afin d’empêcher les acteurs malveillants d’utiliser Copilot pour accéder à vos données sensibles :

Recommandations pour E3

Recommandations pour E5

Implémentez les recommandations pour E3 et étendez les capacités XDR dans votre locataire Microsoft 365 :

Résumé de la configuration

Cette figure récapitule les configurations Microsoft Copilot et les données accessibles obtenues que Copilot utilise pour répondre aux prompts.

Tableau montrant les configurations Microsoft Copilot et les données accessibles obtenues pour les prompts basés sur le web et basés sur Graph.

Ce tableau inclut des recommandations de Confiance Zéro pour votre configuration choisie.

Configuration Données accessibles Recommandations de Confiance Zéro
Sans licences Copilot pour Microsoft 365 (bouton bascule Professionnel/Web non disponible)

AND

Résumé de la page du navigateur Edge désactivé
Pour les prompts basés sur le web, données Internet uniquement Aucune obligatoire, mais fortement recommandée pour l’hygiène globale de la sécurité.
Sans licences Copilot pour Microsoft 365 (bouton bascule Professionnel/Web non disponible)

AND

Résumé de la page du navigateur Edge activé
Pour les prompts basés sur le web :

- Données Internet
- Données d’organisation à des emplacements locaux, intranet et cloud que Copilot dans Edge peut résumer
Pour votre locataire Microsoft 365, consultez Confiance Zéro pour Copilot pour Microsoft 365 et appliquez des protections Confiance Zéro.

Pour les données d’organisation à des emplacements locaux, intranet et cloud, consultez Vue d’ensemble de la gestion des appareils avec Intune pour les stratégies GAM et GPM. Consultez également Gérer la confidentialité et la protection des données avec Microsoft Priva et Microsoft Purview pour les stratégies DLP.
Avec licences Copilot pour Microsoft 365 (bouton bascule Professionnel/Web disponible)

AND

Résumé de la page du navigateur Edge désactivé
Pour les prompts basés sur Graph :

- Données de locataire Microsoft 365
- Données Internet si le plug-in web est activé
- Données pour les plug-ins et connecteurs compatibles avec Copilot

Pour les prompts basés sur le web, données internet uniquement
Pour votre locataire Microsoft 365, consultez Confiance Zéro pour Copilot pour Microsoft 365 et appliquez des protections Confiance Zéro.
Avec licences Copilot pour Microsoft 365 (bouton bascule Professionnel/Web disponible)

AND

Résumé de la page du navigateur Edge activé
Pour les prompts basés sur Graph :

- Données de locataire Microsoft 365
- Données Internet si le plug-in web est activé
- Données pour les plug-ins et connecteurs compatibles avec Copilot

Pour les prompts basés sur le web :

- Données Internet
- Données d’organisation qui peuvent être affichées dans une page de navigateur Edge, notamment les ressources locales, cloud et intranet
Pour votre locataire Microsoft 365, consultez Confiance Zéro pour Copilot pour Microsoft 365 et appliquez des protections Confiance Zéro.

Pour les données d’organisation à des emplacements locaux, intranet et cloud, consultez Vue d’ensemble de la gestion des appareils avec Intune pour les stratégies GAM et GPM. Consultez également Gérer la confidentialité et la protection des données avec Microsoft Priva et Microsoft Purview pour les stratégies DLP.

Étapes suivantes

Consultez ces articles supplémentaires pour Confiance Zéro et Microsoft Copilote :

Références

Reportez-vous à ces liens pour en savoir plus sur les différents services et technologies mentionnés dans cet article.