Sécurité et confidentialité des données avec Copilot de Microsoft

Pour créer, rédiger et optimiser le SEO de vos pages web --> Contactez-nous


Récemment un client qui utilise Copilot de Microsoft dans son entreprise se demandait et demandait si les données de l'entreprise, ses questions et son utilisation de Copilot restaient sécurisées et confidentielles..

Quelle question :-))

Que répondre ?

Tout d'abord que Microsoft promet que .. mais que les promesses n'engagent que ceux qui les croient car COMMENT vérifier ?

Si on va dans les méandres du web, les pages que personne ne lit, on trouve sur le site de Microsoft quelques pages à ce sujet mais les lire nécessite de s'y prendre quand on a le cerveau très disponible et prêt à un gros effort !

Ces pages sont (notamment car on peut en trouver d'autres, chacune étant linkée, mais celles-ci suffisent pour les promesses principales):

  • https://learn.microsoft.com/fr-fr/copilot/privacy-and-protections
  • https://learn.microsoft.com/fr-fr/copilot/microsoft-365/enterprise-data-protection
  • https://learn.microsoft.com/fr-fr/copilot/privacy-and-protections
  • https://learn.microsoft.com/fr-fr/copilot/microsoft-365/microsoft-365-copilot-privacy

Que racontent-elles à propos de la sécurité et confidentialité des données avec Copilot ?

 

Principes de base sur la protection des données par Microsoft à propos de Copilot

Microsoft affirme que Copilot est conçu pour respecter la confidentialité et la sécurité des données des entreprises utilisatrices. Plusieurs principes guident cette conception :

  • Isolation des données client : d'après Microsoft, les données partagées avec Copilot ne sont pas utilisées pour entraîner les modèles sous-jacents. Cette approche garantit que les informations sensibles des entreprises ne deviennent pas accessibles à d’autres utilisateurs ou ne sont pas réutilisées dans d’autres contextes.

NB: les 4 sources ci-dessus indiquent clairement que les données partagées avec Copilot (par exemple, les contenus ou requêtes utilisateurs) ne sont pas utilisées pour entraîner les modèles sous-jacents. Cependant, il n’est pas précisé si les métadonnées des requêtes ou interactions (par exemple, des données analytiques comme la fréquence d’utilisation, les types de questions posées ou des informations agrégées) peuvent être exploitées à des fins d'amélioration des services. --> Cela pourrait impliquer une utilisation indirecte des interactions sans toucher au contenu lui-même.

  • Transparence et contrôle : Les entreprises disposent d’outils permettant de surveiller et de contrôler les données transmises à Copilot. Cela inclut des paramètres de conformité qui garantissent que seules les informations nécessaires sont partagées. Ces outils incluent des tableaux de bord d’audit, des paramètres de gestion des autorisations, ainsi que des journaux d’activité pour suivre l’utilisation des données en temps réel.

  • Conformité réglementaire : Microsoft assure que Copilot respecte les réglementations internationales, notamment le RGPD en Europe, ce qui implique un traitement des données conforme aux normes les plus strictes.

Dans ses pages, Microsoft parle souvent d'EDP pour protection des données d’entreprise: qu'est-ce que c'est ?

La protection des données d’entreprise (Enterprise Data Protection - EDP) est un ensemble de technologies et de stratégies proposées par Microsoft pour garantir la sécurité des données sensibles dans un contexte professionnel. Avec EDP, selon Microsoft, les entreprises peuvent :

  • Classer et protéger les données : En appliquant des étiquettes de classification aux documents et e-mails, les utilisateurs peuvent indiquer le niveau de sensibilité des informations et appliquer des protections adaptées (comme le chiffrement ou la limitation des accès).

  • Surveiller et réagir : Grâce à des outils d’analyse, les organisations peuvent surveiller l’utilisation des données et identifier des comportements à risque ou des violations potentielles.

  • Appliquer des règles automatiques : EDP permet de configurer des politiques qui s’appliquent automatiquement, comme empêcher le transfert de documents sensibles hors de l’organisation.

Ce dispositif s’intègre directement avec Copilot pour veiller à ce que les données manipulées soient protégées à chaque étape de leur utilisation.

Mesures de sécurité mises en place par Microsoft pour Copilot

Microsoft dit mettre en œuvre plusieurs niveaux de protection pour garantir la sécurité des données :

  1. Chiffrement des données : Les données sont chiffrées, que ce soit en transit ou au repos. Cela signifie que les informations ne peuvent être interceptées ou consultées par des tiers non autorisés.

  2. Infrastructure sécurisée : Copilot s’appuie sur l’infrastructure cloud de Microsoft Azure, "reconnue" pour sa robustesse en matière de cybersécurité. Des protocoles avancés sont déployés pour protéger les données contre les cyberattaques (toujours d'après Microsoft).

  3. Modération de contenu : Des systèmes de filtrage sont intégrés pour empêcher l’échange de contenu inapproprié ou dangereux via Copilot.

Les 4 pages indiquées + haut ne détaillent pas explicitement les mécanismes de filtrage de contenu inapproprié ou dangereux intégrés à Copilot, ni les critères exacts utilisés pour déterminer ce qui est considéré comme tel. Elles mentionnent juste que des systèmes de filtrage sont en place pour empêcher l'échange de contenu inapproprié via Copilot. Microsoft Azure OpenAI Service, sur lequel Copilot est basé, offre un filtre de contenu pour assurer une "utilisation responsable" de l'IA.

Il est également indiqué que les utilisateurs peuvent signaler du contenu généré inapproprié via le portail de signalement du Centre de réponse aux problèmes de sécurité Microsoft.

--> Les détails précis sur le fonctionnement de ces filtres et les critères de modération ne sont pas spécifiés dans les documents fournis.

Gestion de la confidentialité dans Copilot, racontée par Microsoft

L’un des aspects essentiels est de garantir que les données manipulées par Copilot restent confidentielles et exclusivement accessibles à l’organisation utilisatrice. Microsoft propose :

  • Traitement local des données : Lorsque cela est possible, les données sont traitées localement ou dans des environnements isolés, limitant les expositions potentielles.

  • Logs d’activité : Les entreprises peuvent accéder à des journaux d’activités, ce qui leur permet de vérifier comment et par qui leurs données sont utilisées.

  • Permissions avancées : Seuls les utilisateurs autorisés peuvent interagir avec Copilot, réduisant ainsi le risque d’utilisation abusive.

Limites et points de vigilance signalés par Microsoft

Malgré ces mesures, certaines limites existent :

  • Dépendance au cloud : Bien que les environnements cloud soient sécurisés, ils restent vulnérables aux cyberattaques sophistiquées.

  • Responsabilité partagée : Microsoft avertit bien que la sécurité d’un outil comme Copilot repose à la fois sur les mesures mises en place par Microsoft et sur les pratiques des entreprises utilisatrices. Une mauvaise configuration ou une sensibilisation insuffisante des employés peut compromettre la sécurité globale.

En bref, on n'apprend pas vraiment quelque chose de concret en ce qui concerne des garanties de confidentialité ou sécurité des données. Comme d'habitude, ce sont les entreprises qui doivent rester vigilantes en adoptant de bonnes pratiques de gestion des données et en sensibilisant leurs équipes aux risques potentiels.  Mais cela non plus ne fait pas avancer le schmilblick et de nombreuses entreprises préfèreront ne rien faire plutôt que de risquer.

Dans pas mal d'entreprises, la solution est peut-être d'utiliser des outils comme ChatGPT de manière "individualisée" ou par petits groupes.

De toutes façons, dans les grosses structures, utiliser quelques licences Copilot ne sert à rien car la force de Copilot se révèle quand TOUS les membres d'un groupe l'utilise, sinon des licences "individuelles" ou "petits groupes" de ChatGpt ou autre IA suffiront.

Rappel: Quand vous utilisez ChatGPT, il y a un bouton pour demander à ce que les données que vous "communiquez" à chatGPT ne soient pas utilisées pour entrainer le modèle:

Confidentialite chatgpt

Commentaires sur: Sécurité et confidentialité des données avec Copilot de Microsoft

Poster un commentaire sur: Sécurité et confidentialité des données avec Copilot de Microsoft







« Implémentation de l'IA en entreprise: checklist de sécurité | Accueil | Gros piratage de site web chez OVH .. et comme d'habitude pas de réponse valable »



Besoin de SEO, de développement, de rédaction de contenu web ? Besoin d'un blog, de Wordpress, de Prestashop ou autres nouvelles "choses web" ? Envie de travailler dans ces domaines ? --> Contactez-nous