Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque vous implémentez Microsoft 365 Copilot et les agents, vous pouvez faire face à des risques nouveaux et amplifiés liés à la sécurité, à la conformité, à la confidentialité et à la gouvernance. Cette infrastructure de sécurité et de gouvernance vous permet d’atténuer ces problèmes dans les composants suivants :
- Microsoft 365 Copilot
- Microsoft 365 Copilot Chat
- Agents prédéfinis Microsoft 365
- Agents créés dans Microsoft Copilot Studio et publiés sur les canaux Microsoft 365
Cet article fait référence aux contrôles fondamentaux et optimisés . En général, ces termes font référence aux produits et services suivants :
Fondamentaux : contrôles de sécurité et de gouvernance dans le Centre d’administration Microsoft 365, le Gestion avancée de SharePoint et Microsoft Purview avec une licence A3/E3/G3.
Optimisé : contrôles dans Microsoft Purview et Microsoft Defender for Cloud Apps avec une licence A5/E5/G5.
Remarque
Le système de contrôle Copilot se compose de trois piliers principaux :
- Sécurité et gouvernance (cet article)
- Contrôles de gestion
- Mesure et création de rapports
Le pilier sécurité et gouvernance du système de contrôle Copilot se concentre sur les fonctionnalités clés suivantes :
- Sécurité des données
- Sécurité de l’IA
- Conformité et confidentialité
Sécurité des données
Tout d’abord, protégez les informations de votre organization. En fonction de votre licence actuelle, utilisez Microsoft Purview et Gestion avancée de SharePoint pour évaluer les risques de surpartage. Vous pouvez également utiliser Microsoft Purview pour des recommandations de stratégie et prendre des mesures correctives. Ces actions vous permettent d’être certain que les données sensibles restent protégées et que l’accès est limité uniquement aux utilisateurs qui en ont besoin, y compris avec Copilot et les agents.
Contrôles de gouvernance et de sécurité des données de base
Dans Gestion avancée de SharePoint et Microsoft Purview avec une licence A3/E3/G3, vous bénéficiez des contrôles de gouvernance et de sécurité des données fondamentaux suivants :
Identifiez les données potentiellement surpartagées dans l’ensemble de Microsoft 365. Exécutez régulièrement les rapports suivants :
- Les rapports de gouvernance d’accès aux données pour les sites SharePoint vous permettent d’identifier les données surpartagées pour les sites. Vous pouvez également envoyer une révision d’accès au site aux propriétaires de sites surpartagés.
Supprimez organization’accès au site à l’échelle du site si nécessaire.
Utilisez SharePoint pour configurer manuellement cet accès ou automatiser la configuration avec Windows PowerShell. Pour plus d’informations, voir Restreindre l’accès aux sites SharePoint avec Groupes Microsoft 365 et Microsoft Entra groupes de sécurité.
Pour restreindre l’accès de l’utilisateur, de Copilot et de l’agent aux sites surpartagés tout en corrigeant les risques, utilisez la découverte de contenu restreint SharePoint ou le contrôle d’accès restreint SharePoint.
Utilisez Protection des données Microsoft Purview étiquettes de confidentialité de site. Pour plus d’informations, voir Utiliser des étiquettes de confidentialité avec Microsoft Teams, Groupes Microsoft 365 et les sites SharePoint.
Améliorez les réponses de Copilot et de l’agent en archivant ou en supprimant le contenu inutile.
Pour identifier et gérer les sites SharePoint inactifs ou sans propriétaire, puis les archiver ou les supprimer, utilisez la gestion du cycle de vie des sites SharePoint.
Utilisez Gestion du cycle de vie des données Microsoft Purview pour identifier et supprimer les fichiers dont vous n’avez pas besoin.
Dans Microsoft Purview avec une licence A3/E3/G3, vous obtenez les contrôles de sécurité des données fondamentaux suivants :
Recevez des notifications en cas de nouveau surpartage avec des options de correction. Pour plus d’informations, consultez Protection contre la perte de données Microsoft Purview.
Sécuriser les données sensibles par le biais de contrôles d’accès au niveau du fichier. Pour plus d’informations, consultez Appliquer le chiffrement à l’aide d’étiquettes de confidentialité Protection des données Microsoft Purview.
Affichez les rapports des données sensibles et des fichiers non protégés référencés dans copilot et les interactions de l’agent. Pour plus d’informations, consultez les rapports dans Gestion de la posture de sécurité des données Microsoft Purview (DSPM) pour l’IA.
Utilisez Protection des données Microsoft Purview étiquettes de confidentialité pour les contrôles suivants :
Détectez quand le contenu contient des données sensibles et demandez à l’utilisateur d’appliquer manuellement des protections.
Protégez les fichiers même si un utilisateur les déplace ou les télécharge.
Contrôles de sécurité des données optimisés
Dans Microsoft Purview avec une licence A5/E5/G5, vous obtenez les contrôles de sécurité des données optimisés suivants :
Utilisez la gestion de la posture de sécurité des données (DSPM) de Microsoft Purview pour l’IA pour les contrôles suivants :
Créez des évaluations des risques liés aux données destinées à des emplacements Microsoft 365 spécifiques, tels que les sites SharePoint et OneDrive.
Recevez et agissez sur les suggestions de stratégie pour atténuer vos risques spécifiques de surpartage.
Pour détecter quand le contenu contient des données sensibles et appliquer automatiquement des protections, utilisez Protection des données Microsoft Purview étiquettes de confidentialité.
Utilisez Gestion des risques internes Microsoft Purview pour les contrôles suivants :
Recevez une alerte en cas d’actions utilisateur à risque qui s’écartent de leur modèle de comportement habituel. Pour plus d’informations, consultez Modèles de stratégie de gestion des risques internes.
Mettre en corrélation et séquencer les alertes de risque pour identifier les modèles de risque de gravité élevée pour un utilisateur. Pour plus d’informations, consultez Stratégies de gestion des risques internes pour la détection de séquence.
Ajoutez automatiquement un utilisateur à des stratégies de sécurité plus strictes en fonction de ses modèles de risque. Pour plus d’informations, consultez Protection adaptative pour la gestion des risques internes.
Sécurité de l’IA
Vous devez également protéger les outils basés sur l’IA et leurs données associées contre les menaces en constante évolution. Le système de contrôle Copilot fournit des contrôles pour surveiller, détecter et répondre aux risques liés à l’IA. Par exemple, le surpartage d’informations sensibles, le comportement anormal de l’utilisateur et l’utilisation incorrecte des fonctionnalités d’IA générative. Utilisez ces contrôles pour vous assurer que les intégrations d’IA restent sécurisées, conformes et résilientes contre les menaces internes et externes.
Contrôles de sécurité ia fondamentaux
Copilot inclut déjà des protections intégrées contre les attaques basées sur l’IA. Ces protections incluent, sans s’y limiter, les protections suivantes :
Dans Microsoft Purview avec une licence A3/E3/G3, vous obtenez les contrôles de sécurité IA fondamentaux suivants :
Pour afficher le texte d’invite et de réponse, ainsi que les fichiers référencés, recherchez et exportez avec Microsoft Purview eDiscovery.
Pour que Copilot et les réponses de l’agent et les documents créés par Copilot et les agents héritent des étiquettes de confidentialité et des protections, utilisez Protection des données Microsoft Purview étiquettes de confidentialité.
Contrôles de sécurité d’IA optimisés
Dans Microsoft Purview avec une licence A5/E5/G5, vous obtenez les contrôles de sécurité IA optimisés suivants :
Pour empêcher Copilot et les agents de traiter certains fichiers sensibles et de les utiliser dans les réponses, utilisez Protection contre la perte de données Microsoft Purview pour Microsoft 365 Copilot et les agents.
Pour être alerté en cas d’utilisation risquée de l’IA, comme une tentative d’attaque par injection d’invite ou l’utilisation de données sensibles, utilisez Gestion des risques internes Microsoft Purview.
Pour empêcher les utilisateurs à haut risque d’accéder au contenu sensible à l’aide de Copilot et d’agents, utilisez la protection adaptative pour la gestion des risques internes.
Pour afficher le texte d’invite et de réponse, toutes les requêtes web utilisées lors de la mise à l’terre et les fichiers référencés utilisent l’Explorateur d’activités dans Gestion de la posture de sécurité des données Microsoft Purview pour l’IA.
Conformité et confidentialité
Le troisième aspect de la sécurité et de la gouvernance dans le système de contrôle Copilot consiste à vous assurer que vous pouvez surveiller, auditer et gérer la façon dont les interactions de Copilot et de l’agent sont conformes aux normes réglementaires et internes. Utilisez Microsoft Purview pour fournir une supervision complète des activités Copilot. Avec ces contrôles, vous pouvez protéger les informations sensibles, maintenir la confidentialité et démontrer la conformité réglementaire lorsque vous déployez et utilisez Microsoft 365 Copilot et les agents.
Contrôles de conformité et de confidentialité fondamentaux
Dans Microsoft Purview avec une licence A3/E3/G3, vous bénéficiez des contrôles de conformité et de confidentialité fondamentaux suivants :
Pour auditer les interactions de Copilot et de l’agent, accédez aux informations de journal détaillées avec Microsoft Purview Audit pour les applications Copilot et IA.
Pour appliquer des stratégies de rétention et de suppression pour les fonctionnalités suivantes, utilisez Gestion du cycle de vie des données Microsoft Purview :
Interactions entre Microsoft 365 Copilot et agent
Enregistrements et transcriptions de réunions Microsoft Teams
Utilisez Microsoft Purview eDiscovery pour les contrôles suivants :
Incluez les invites copilot et les réponses d’un utilisateur et de l’agent dans une conservation légale. Pour plus d’informations, consultez Stratégies de conservation et de conservation.
Recherchez un litige ou une enquête et incluez le contenu généré par Copilot et les agents.
Contrôles de conformité et de confidentialité optimisés
Dans Microsoft Purview avec une licence A5/E5/G5, vous bénéficiez des contrôles de conformité et de confidentialité optimisés suivants :
Pour recevoir une alerte en cas de violation de conformité ou d’éthique, puis démarrer une enquête, utilisez Conformité des communications Microsoft Purview.
Pour évaluer et suivre l’adhésion aux frameworks réglementaires, utilisez le Gestionnaire de conformité Microsoft Purview.
Confiance Zéro
Microsoft fournit une documentation détaillée sur l’implémentation des principes de Confiance nulle dans votre organization, ainsi que des considérations spécifiques pour Microsoft 365 Copilot et Copilot Chat. Confiance nulle n’est pas un produit ou un service, mais une approche dans la conception et l’implémentation de l’ensemble de principes de sécurité suivant :
- Vérifiez explicitement.
- Utiliser l'accès le moins privilégié.
- Supposez une violation.
Pour plus d’informations, consultez Utiliser Confiance nulle sécurité pour préparer Copilot.