Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurité est la base de notre approche chez Microsoft ; il protège les données client, prend en charge l’intégrité du système et inclut des fonctionnalités de sécurité utilisateur. Cet engagement s’aligne sur nos principes plus généraux de confidentialité, de conformité et de confiance. Cet article décrit notre approche de la sécurisation des Microsoft 365 Copilot et fournit des conseils que vous pouvez utiliser pour renforcer votre posture de sécurité ia.
Remarque
Découvrez les nouvelles fonctionnalités des produits Microsoft Security pour l’IA.
Que fait Microsoft pour sécuriser les Microsoft 365 Copilot
Microsoft applique une stratégie de défense en profondeur multicouche pour sécuriser les Microsoft 365 Copilot à tous les niveaux, fondée sur les normes de sécurité, de confidentialité et de conformité de l’entreprise. Cela signifie qu’en cas de violation d’une couche, d’autres fournissent toujours une protection. L’approche de Microsoft est guidée par les principes de l’IA responsable et est renforcée par la récemment étendue Secure Future Initiative.
Notre posture de sécurité complète pour l’IA comprend les éléments suivants :
- Pratiques d’ingénierie et de développement sécurisées
- Renseignement sur les menaces et atténuation des risques
- Confidentialité et conformité par conception
Chaque aspect de cette base constitue un écosystème numérique plus sûr pour vous permettre d’adopter en toute confiance des fonctionnalités et des outils d’IA.
En outre, Microsoft intègre sa gouvernance basée sur des principes d’IA responsable tout au long du cycle de vie de l’IA pour garantir que les systèmes sont développés et déployés de manière éthique et sécurisée. Cette stratégie permet de garantir que l’IA se comporte de manière fiable, responsable et inclusive. Une partie essentielle du programme d’IA responsable est conçue pour identifier les risques potentiels, mesurer leur propension à se produire et créer des mesures d’atténuation pour les gérer, décrites dans note de transparence pour Microsoft 365 Copilot : Mappage, mesure et gestion des risques.
Pratiques d’ingénierie et de développement sécurisées
La sécurité est intégrée de bout en bout par le biais de notre cycle de vie de développement de la sécurité (SDL). Cette intégration permet de s’assurer que les vulnérabilités sont identifiées et atténuées au début du processus de développement. Microsoft fournit également des conseils de sécurité personnalisés et des meilleures pratiques pour les développeurs, les ingénieurs et les professionnels de la sécurité qui travaillent avec les technologies d’IA Microsoft. Consultez Créer une posture de sécurité forte pour l’IA.
Évaluations et tests
Microsoft effectue des équipes rouges internes et commande des évaluations tierces qui incluent des tests d’intrusion. Ces évaluations permettent d’évaluer Microsoft 365 Copilot implémentations par rapport aux vulnérabilités traditionnelles et au top 10 du projet OWASP (Open Web Application Security Project) pour les llMs. Pour voir les évaluations, visitez le portail d’approbation de services.
Contrôles d’exécution
Microsoft 365 Copilot applique des protections architecturales et de codage sécurisées pour empêcher toute utilisation incorrecte, notamment la génération de ransomwares et l’exécution de code à distance. Les modèles malveillants sont bloqués via l’inspection des invites et le filtrage de contenu, tandis que le bac à sable permet de s’assurer que Microsoft 365 Copilot fonctionne dans des limites d’exécution contraintes. Pour plus d’informations, consultez architecture Microsoft 365 Copilot et son fonctionnement.
Renseignement sur les menaces et atténuation des risques
Microsoft 365 Copilot est protégé par une stratégie de défense multicouche qui combine le renseignement sur les menaces, la détection spécifique à l’IA et l’endiguement architectural. Microsoft utilise le renseignement mondial sur les menaces pour surveiller les attaques contradictoires, la manipulation de modèles et les fuites de données. Pour voir les derniers résultats, visitez le blog Microsoft Security : Threat Intelligence.
Les pratiques clés sont les suivantes :
- Association rouge interne et tests d’intrusion tiers
- Identification proactive pour bloquer les entrées malveillantes
- Classifieurs Machine Learning
- Métapropting
- Filtrage de contenu pour détecter les tentatives d’injection d’invite, y compris les jailbreaks, les attaques par injection d’invite eXternalized (XPIAs) et les vulnérabilités agentiques
Pour afficher les rapports, les livres blancs et d’autres ressources, visitez le portail d’approbation de services.
Microsoft 365 Copilot atténue les vulnérabilités XPIA et agentiques par le biais de défenses en couches, notamment la désinfection markdown, les classifieurs d’invite malveillants, le renforcement des sessions et les stratégies de sécurité du contenu. Ces protections permettent d’empêcher les actions non autorisées et l’exfiltration de données sur Microsoft 365 Copilot surfaces, et sont déployées automatiquement via l’infrastructure cloud de Microsoft sans intervention du client. Cette méthodologie comprend également des tests continus et des stratégies d’endiguement.
L’endiguement par conception
En cas de tentative d’injection réussie, l’architecture de Microsoft 365 Copilot permet de garantir l’autonomie par conception. Microsoft 365 Copilot fonctionne dans le contexte d’identité et d’accès de l’utilisateur, ce qui limite le rayon d’explosion de toute compromission potentielle.
- Microsoft 365 Copilot fonctionne dans le contexte de l’identité et du locataire de l’utilisateur
- Microsoft 365 Copilot accède uniquement aux données que l’utilisateur est autorisé à afficher
- Toutes les interactions sont limitées aux autorisations existantes, ce qui empêche le mouvement latéral ou l’accès non autorisé aux données
Défenses d’injection d’invite
Microsoft utilise une stratégie de défense multicouche dans le flux d’invite de Microsoft 365 Copilot pour atténuer les risques d’injection d’invite. Voici quelques exemples de fonctionnalités de protection qui sont actives par défaut et qui ne nécessitent pas de configuration :
- La conception de l’utilisateur dans la boucle permet aux utilisateurs d’examiner, de modifier ou de rejeter du contenu généré par l’IA.
- Le filtrage du courrier indésirable, de l’escroquerie et du contenu suspect permet de bloquer les instructions malveillantes, les tentatives d’hameçonnage et le contenu frauduleux dans les invites.
- Microsoft 365 Copilot ignore le courrier indésirable et les conversations Microsoft Teams non approuvées, y compris les conversations provenant de contacts externes.
- Microsoft 365 Copilot respecte le blocage web Bing pour filtrer les sites pour adultes, les sites de faible autorité et les sites malveillants pendant la recherche web.
- Microsoft 365 Copilot fonctionne à l’aide d’une architecture LLM sans état. Les demandes sont traitées en temps réel à l’aide de l’indexation sémantique à l’échelle du locataire pour garantir que l’accès et la pertinence des données sont strictement limités au contexte organisationnel de l’utilisateur.
Pour plus d’informations sur la façon dont Microsoft protège les données, applique des contrôles de confidentialité et sécurise les opérations d’IA, consultez Données, confidentialité et sécurité pour Microsoft 365 Copilot.
Prévention de l’exfiltration des données
Le modèle de sécurité en couches de Microsoft 365 Copilot traite les menaces traditionnelles et émergentes, y compris les scénarios présentant un risque d’exfiltration de données, comme suit :
- URL d’image non authentifiées, où un utilisateur génère une image contenant des données sensibles, extrait l’URL à l’aide des outils de navigateur, puis partage l’image en externe. Si l’image est accessible sans authentification, elle peut contourner les contrôles d’entreprise, tels que l’accès conditionnel ou les étiquettes de confidentialité.
- Images malveillantes, telles que les codes QR, où un utilisateur d’un locataire génère une image malveillante et partage une URL anonyme avec les utilisateurs d’un autre locataire. Si une URL n’est pas protégée par l’authentification, les contrôles d’accès peuvent ne pas être appliqués.
Pour atténuer ces scénarios, Microsoft applique sa stratégie de défense en profondeur. Cette stratégie inclut une surveillance continue des vecteurs de fuite de données, des mauvaises utilisations contradictoires et des modèles d’accès non autorisés.
Le contenu généré par Microsoft 365 Copilot est régi par les mêmes contrôles d’accès et stratégies de conformité que les autres contenus Microsoft 365. Cela signifie que les autorisations utilisateur, les étiquettes de confidentialité et les stratégies d’accès conditionnel sont appliquées au moment de la génération du contenu et de l’accès.
Confidentialité et conformité par conception
Microsoft 365 Copilot respecte les normes de confidentialité et de conformité décrites dans Données, Confidentialité et Sécurité pour les Microsoft 365 Copilot. Les protections qui sont appliquées par le biais de contrôles de sécurité sont les suivantes :
- Application de l’accès aux données
- Chiffrement et isolation
- Outils de conformité
- Protection des données tout au long du cycle de vie de l’IA
- Limites de données de l’UE
- Gouvernance intercloud pour les charges de travail IA
- Intégration et application des stratégies
Pour plus d’informations, consultez Protection des données d’entreprise dans Microsoft 365 Copilot et Microsoft 365 Copilot Chat.
Application de l’accès aux données
Microsoft 365 Copilot respecte les autorisations Microsoft Entra ID et les stratégies Microsoft Purview. Microsoft 365 Copilot expose uniquement les données organisationnelles sur lesquelles les utilisateurs individuels ont au moins des autorisations d’affichage. Les stratégies sont appliquées par Microsoft Entra ID, Microsoft Purview et l’accès conditionnel.
Microsoft 365 Copilot connecteurs améliorent la valeur des Microsoft 365 Copilot tout en conservant les protections d’entreprise.
Chiffrement et isolation
Les données sont chiffrées en transit et au repos à l’aide de technologies compatibles FIPS 140-2, avec une isolation au niveau du locataire. Le chiffrement à double clé (DKE) permet de s’assurer que Microsoft ne peut pas accéder au contenu protégé sans la clé du client, et que le contenu n’est pas accessible à Microsoft 365 Copilot.
Lorsque vous avez des données chiffrées par Protection des données Microsoft Purview, Microsoft 365 Copilot respecte les droits d’utilisation accordés à l’utilisateur. Le chiffrement peut être appliqué par des étiquettes de confidentialité ou par des autorisations restreintes dans les applications dans Microsoft 365 à l’aide de la gestion des droits relatifs à l’information (IRM).
Pour plus d’informations sur l’utilisation de Purview avec Microsoft 365 Copilot, consultez Protections de conformité et de sécurité des données Microsoft Purview pour les applications d’IA générative.
Gouvernance intercloud pour les charges de travail IA
Microsoft Purview vous aide à gouverner l’IA dans des environnements hybrides et multiclouds comme Azure, AWS et Google Cloud. Si vous avez Microsoft Security Copilot, vous bénéficiez d’informations sur l’IA et de fonctionnalités de détection des menaces.
- Purview permet une classification des données, un étiquetage et une application de stratégie cohérents dans les clouds, avec une visibilité sur la façon dont les données circulent dans les modèles d’IA et les plug-ins.
- Security Copilot détecte les risques liés à l’IA sur les plateformes, met en corrélation les menaces et expose les insights de posture de la gestion de la posture de sécurité cloud.
Intégration et application des stratégies
Microsoft 365 Copilot fait partie du programme de conformité d’entreprise de Microsoft et bénéficie d’une gamme de certifications et d’évaluations. Ces normes incluent (sans s’y limiter) :
- FedRAMP
- HiTrust
- SOC 2 Type 1
- ISO/IEC 27001, 27701, 22301, 27018 et 42001
Microsoft Entra ID, Microsoft Purview et Microsoft 365 pour les entreprises appliquent l’accès conditionnel, les étiquettes de confidentialité et les obstacles aux informations.
Pour plus d’informations, consultez les ressources suivantes :
- Respecter les exigences de conformité réglementaire
- Protections de la conformité et de la sécurité des données Microsoft Purview pour les applications d’intelligence artificielle générées
- Utiliser Microsoft Purview pour gérer la sécurité des données & la conformité des Microsoft 365 Copilot & Microsoft 365 Copilot Chat
Sécuriser vos données pour Microsoft 365 Copilot
La sécurisation de vos données pour des outils IA tels que Microsoft 365 Copilot est une responsabilité partagée. En plus de ce que Fait Microsoft pour sécuriser Microsoft 365 Copilot, il existe certaines tâches que votre organization devez effectuer pour gérer vos données et vous assurer que vous utilisez l’IA en toute sécurité. Consultez le modèle de responsabilité partagée ia.
En savoir plus sur les outils et fonctionnalités De Microsoft Purview
Microsoft Purview fournit des outils pour vous aider à sécuriser et à régir vos données pour les utiliser dans les outils Microsoft 365 Copilot et IA. Consultez les articles suivants :
- Utiliser Microsoft Purview pour gérer la sécurité des données & la conformité des Microsoft 365 Copilot & Microsoft 365 Copilot Chat
- Protections de la conformité et de la sécurité des données Microsoft Purview pour les applications d’intelligence artificielle générées
- Considérations relatives à la gestion des Microsoft 365 Copilot et de l’agent de canal dans Teams pour la sécurité et la conformité
- En savoir plus sur l’utilisation de Protection contre la perte de données Microsoft Purview pour protéger les interactions avec les Microsoft 365 Copilot et les Copilot Chat
Remarque
Security Copilot est une solution de sécurité basée sur l’IA qui fournit une assistance en temps réel pour la détection des menaces, la réponse aux incidents et l’évaluation des risques. Dans les mois à venir, Security Copilot seront inclus dans Microsoft 365 E5. Lorsque vous faites de l’IA agentique une partie de vos workflows quotidiens, vous pouvez utiliser Security Copilot pour gérer les agents et la sécurité dans votre organization. Découvrez Security Copilot’inclusion dans Microsoft 365 E5 abonnement.
Télécharger des modèles et des guides de déploiement basés sur des scénarios
Téléchargez et passez en revue nos modèles de déploiement basés sur des scénarios, présentations et guides. Ces ressources décrivent comment implémenter rapidement une configuration sécurisée par défaut, résoudre les problèmes de surpartage et empêcher les fuites de données vers l’IA fantôme. Consultez Notes de l’ingénierie : Modèles de déploiement Microsoft Purview.
Tableau de bord sécurité
Microsoft 365 Copilot inclut des contrôles de sécurité intégrés de Microsoft Purview. Le tableau de bord de sécurité Copilot fournit davantage d’informations et de contrôles pour vous aider à :
- Empêcher les fuites de données avec une stratégie de protection contre la perte de données (DLP)
- Gérer le surpartage des données
- Renforcer la conformité des données
Pour afficher le tableau de bord dans le Centre d’administration Microsoft 365, sélectionnez Copilot>Overview>Security. Pour afficher la section Sécurité , vous avez besoin du rôle Lecteur global . Pour apporter des modifications, le rôle d’administrateur IA est requis.