Sécurité des données : Microsoft Copilot et l’IA générative face aux attaques

Copilot est un assistant IA qui vit à l’intérieur de chacune de vos applications Microsoft 365 – Word, Excel, PowerPoint, Teams, Outlook, etc. Le rêve de Microsoft est d’éliminer la corvée du travail quotidien et de permettre aux humains de se concentrer sur la résolution créative des problèmes.

Ce qui différencie Copilot de ChatGPT et d’autres outils d’intelligence artificielle, c’est qu’il a accès à tout ce sur quoi vous avez travaillé dans 365. Copilot peut instantanément rechercher et compiler des données à partir de vos documents, présentations, courriels, calendriers, notes et contacts.

Et c’est là que réside le problème pour les équipes chargées de la sécurité de l’information. Copilot peut accéder à toutes les données sensibles auxquelles un utilisateur peut accéder, ce qui est souvent beaucoup trop. En moyenne, 10 % des données M365 d’une entreprise sont accessibles à tous les employés.

Copilot peut également générer rapidement de nouvelles données sensibles nettes qui doivent être protégées. Avant la révolution de l’IA, la capacité des humains à créer et à partager des données dépassait de loin leur capacité à les protéger. Il suffit de regarder les tendances en matière de violation de données. L’IA générative met de l’huile sur le feu.

Il y a beaucoup à dire sur l’IA générative dans son ensemble : empoisonnement des modèles, hallucination, deepfakes, etc. Dans ce billet, cependant, je vais me concentrer spécifiquement sur la sécurité des données et sur la manière dont votre équipe peut garantir un déploiement sûr de Copilot.

Les cas d’utilisation de l’IA générative avec une suite de collaboration comme M365 sont illimités. Il est facile de comprendre pourquoi tant d’équipes informatiques et de sécurité réclament un accès anticipé et préparent leurs plans de déploiement. Les gains de productivité seront énormes.

Par exemple, vous pouvez ouvrir un document Word vierge et demander à Copilot de rédiger une proposition pour un client sur la base d’un ensemble de données cible qui peut inclure des pages OneNote, des paquets PowerPoint et d’autres documents de bureau. En quelques secondes, vous disposez d’une proposition complète.
Voici quelques autres exemples donnés par Microsoft lors de son événement de lancement :

– Vous êtes dans une feuille de calcul Excel et essayez de comprendre des données financières complexes lorsque votre patron apparaît dans Teams et vous demande une mise à jour pour la fin de la journée… pas de problème ! Il suffit de demander de l’aide à Copilot…

– Vous essayez de réserver un voyage pour une réunion à venir, mais vous ne cessez d’obtenir des erreurs… là encore, pas de problème ! Demandez simplement l’aide de Copilot…

– Vous essayez de retrouver un e-mail important de l’année dernière mais vous n’arrivez pas à le localiser… encore une fois, pas de problème ! Demandez de l’aide à Copilot…

Voici un aperçu simple de la manière dont une demande de Copilot est traitée :

1) L’utilisateur tape ou prononce la demande dans n’importe quelle application Microsoft 365 (Word/Excel/Teams/Outlook, etc.).

2) La demande est envoyée en temps réel depuis l’application cliente directement dans Azure Databricks (une plateforme Spark gérée).

3) La demande est traitée par un ou plusieurs modèles d’apprentissage profond pré-entraînés fonctionnant dans Azure Databricks.

4) Les résultats sont renvoyés dans l’application client où ils sont présentés à l’utilisateur.

Avec Microsoft, il y a toujours une tension extrême entre la productivité et la sécurité, qui s’est manifestée pendant le coronavirus lorsque les équipes informatiques ont rapidement déployé Microsoft Teams sans d’abord comprendre pleinement comment le modèle de sécurité sous-jacent fonctionnait ou dans quelle mesure les autorisations M365 de leur organisation étaient des groupes ou des politiques de lien…

Le blocage ou le cryptage des données peut ajouter de la friction aux flux de travail, et les technologies d’étiquetage sont limitées à des types de fichiers spécifiques. Plus une organisation a d’étiquettes, plus les utilisateurs risquent de s’y perdre. Ce problème est particulièrement aigu pour les grandes organisations.

L’efficacité de la protection des données basée sur les étiquettes se dégradera certainement lorsque l’IA générera des ordres de grandeur de données supplémentaires nécessitant des étiquettes précises et mises à jour automatiquement.

Varonis peut valider et améliorer l’étiquetage de la sensibilité Microsoft d’une organisation en l’analysant, en la découvrant et en la corrigeant :
– les étiquettes mal appliquées ou manquantes
– Paramètres d’étiquetage incohérents entre les sites ou les emplacements
– Manque de visibilité des étiquettes pour les utilisateurs critiques, tels que les administrateurs et les responsables de la conformité
– les étiquettes orphelines ou inutilisées qui encombrent l’interface et compliquent la recherche de la bonne étiquette.

L’IA peut rendre les humains paresseux. Le contenu généré par des LLM comme GPT4 n’est pas seulement bon, il est excellent. Dans de nombreux cas, la vitesse et la qualité dépassent de loin ce qu’un humain peut faire. Par conséquent, les gens commencent à faire aveuglément confiance à l’IA pour créer des réponses sûres et précises.

Nous avons déjà vu des scénarios réels dans lesquels Copilot rédige une proposition pour un client et y inclut des données sensibles appartenant à un client complètement différent. L’utilisateur clique sur « Envoyer » après avoir jeté un coup d’œil rapide (ou pas du tout), et vous voilà avec un scénario de violation de la vie privée ou des données sur les bras.

Il est essentiel d’avoir une idée de votre position en matière de sécurité des données avant de déployer Copilot. Maintenant que Copilot est généralement disponible, c’est le moment idéal pour mettre en place vos contrôles de sécurité. Varonis protège des milliers de clients Microsoft 365 grâce à sa plateforme de sécurité des données, qui offre une vue en temps réel des risques et la possibilité d’appliquer automatiquement le principe du moindre privilège.

Nous pouvons vous aider à faire face aux plus grands risques de sécurité avec Copilot sans pratiquement aucun effort manuel. Avec Varonis pour Microsoft 365, vous pouvez :

– Découvrir automatiquement quelles informations sensibles existent dans votre environnement.

– Comprendre qui a accès à ces informations.

– Contrôler l’accès en appliquant les principes du moindre privilège

– Contrôler en temps réel l’activité autour de ces informations sensibles

– Être alerté immédiatement en cas d’événement suspect

La meilleure façon de commencer est de procéder à une évaluation gratuite des risques. Il suffit de quelques minutes pour la mettre en place et, en l’espace d’un jour ou deux, vous aurez une vision en temps réel des risques liés aux données sensibles.