Microsoft a annoncé qu'un bug logiciel détecté dans Microsoft 365 Copilot a amené Copilot Chat à résumer certains e-mails qui auraient dû être protégés par des étiquettes de sensibilité et des politiques de prévention des pertes de données (DLP). La société a annoncé que le problème avait été découvert le 21 janvier et était lié à l'expérience de chat de l'onglet travail de Copilot. L'erreur en question représentait un risque considérable pour les organisations qui s'appuient sur des couches de sécurité, en particulier dans les environnements d'entreprise. Malgré cela, Microsoft a déclaré avoir identifié la source du problème et lancé le processus de correction début février.
Dans l'incident, qui a été porté pour la première fois à l'ordre du jour par BleepingComputer, il a été signalé qu'une erreur de code interne a amené Copilot à accéder au contenu des dossiers Éléments envoyés et Brouillons dans la zone de discussion « onglet Travail ». Ces contenus, qui devraient normalement être limités par des étiquettes de sensibilité et des politiques DLP, ont été inclus dans le processus de synthèse en raison d'une configuration incorrecte. L’impact potentiel de cette situation est encore plus grand, d’autant plus que les projets de dossiers peuvent contenir des textes de négociation, des projections financières ou des déclarations inédites qui n’ont pas encore été partagées. Le dossier Éléments envoyés revêt une importance particulière car il peut contenir le contenu final partagé avec les clients, les partenaires commerciaux ou les organismes de réglementation. L’inclusion de ce type de contenu dans les résumés de discussion peut conduire à une circulation d’informations plus large que prévu au sein de l’institution.
Microsoft n'a pas partagé certains détails sur le problème 365 Copilot
La clé ici concerne le comportement d'accès automatique du système plutôt que le fait que les utilisateurs copient et collent manuellement les e-mails dans Copilot. En d’autres termes, le problème était dû au fonctionnement inattendu du mécanisme de contrôle d’accès en arrière-plan plutôt qu’à une erreur de l’utilisateur. Cette situation soulève la question de la clarté des limites de sécurité, en particulier lors du traitement de données sensibles à l’aide d’outils basés sur l’intelligence artificielle. Bien que Microsoft ait annoncé avoir publié un correctif, les détails sur le nombre d'utilisateurs concernés (locataires) et la durée du problème avant le 21 janvier n'ont pas été partagés. Cette incertitude rend difficile pour les équipes de sécurité d’évaluer l’ampleur de l’incident.
La première étape pour les responsables informatiques de l'entreprise consiste à vérifier si le correctif concerné a atteint leur environnement. De plus, il est recommandé de tester si Copilot résume toujours les e-mails balisés dans la zone de discussion « onglet travail ». Il est important d'enregistrer les conclusions et de les conserver avec les notes d'audit pour les futures inspections de sécurité interne. Cependant, plutôt que de se fier uniquement à des corrections techniques, il est recommandé de revoir les étiquettes de sensibilité et les règles DLP existantes. En particulier, les institutions opérant dans des secteurs réglementés devront peut-être procéder à un examen plus complet.
D’un autre côté, cette évolution révèle qu’une approche plus prudente est nécessaire en ce qui concerne l’interaction des outils productifs d’intelligence artificielle avec les données d’entreprise. Si des outils tels que Copilot assurent l’efficacité, il est également essentiel de définir correctement les limites d’accès aux données. Les équipes de sécurité doivent non seulement appliquer des correctifs techniques, mais également exécuter des processus de test et de vérification réguliers. Cependant, le fait que les employés prennent l’habitude de vérifier les résumés produits par l’intelligence artificielle au lieu de les considérer comme absolument exacts peut également réduire les risques.
blog technologiquepartage régulièrement son agenda technologique sur différentes plateformes. Il transmet instantanément les principales actualités de la chaîne WhatsApp, propose du contenu actualisé via Google News, résume les gros titres des comptes Instagram et X et complète le contenu avec des critiques de produits et des explications détaillées sur la chaîne YouTube.
