
Qu'est-ce que Microsoft Copilot ?
Microsoft Copilot est un assistant basé sur l'intelligence artificielle, conçu pour intégrer les capacités de modèles de langage avancés, tels que ceux de GPT, dans des environnements professionnels. Il vise à améliorer la productivité en générant des résumés, en automatisant la rédaction de documents, ou encore en aidant à organiser des données complexes. Intégré dans des applications comme Word, Excel ou Teams, il offre un support précieux pour les utilisateurs, des employés aux cadres.
Cependant, comme pour toute innovation technologique, son implémentation n'est pas sans risques. L’objectif ambitieux de Copilot est de fournir des réponses pertinentes en s'appuyant sur les données accessibles à un utilisateur, mais cet aspect a suscité des inquiétudes lorsque des failles potentielles dans le contrôle des accès ont été découvertes.
Un accès non maîtrisé aux données sensibles
Les utilisateurs de Copilot ont récemment signalé que l'outil pouvait accéder à des informations qu'ils n'étaient pas censés consulter. Cela inclut des documents RH, tels que des contrats de travail ou des rapports de performance, ainsi que des emails d'une importance stratégique envoyés par des PDG. Cette situation a fait surgir plusieurs questions :
- Pourquoi ces données sont-elles accessibles via Copilot ?Microsoft Copilot fonctionne en exploitant l'intégralité des données auxquelles un utilisateur a accès dans son environnement professionnel. Si les permissions des fichiers ou des bases de données ne sont pas configurées correctement, l'assistant peut, par inadvertance, fournir des réponses ou des informations tirées de sources sensibles.
- Un problème de configuration ou de conception ? Dans la plupart des cas rapportés, le problème semble résider dans une mauvaise gestion des droits d'accès au niveau des fichiers ou des applications associées. Cependant, cela soulève également des interrogations sur la conception même de l'outil. Un assistant doté d'une telle puissance devrait inclure des mécanismes plus robustes pour empêcher l'accès accidentel à des données sensibles.
Implications pour les entreprises
La révélation de cette faille a de profondes implications pour les organisations.
- Risques pour la sécurité des données : Les entreprises collectent et stockent des données sensibles, des informations financières aux dossiers personnels des employés. Si ces données deviennent accessibles de manière non autorisée via un outil tel que Copilot, cela pourrait entraîner des violations des réglementations sur la protection des données, comme le RGPD en Europe.
- Atteinte à la confidentialité : La confidentialité des communications internes, notamment celles des cadres dirigeants, est essentielle pour protéger la stratégie et les intérêts d’une organisation. La divulgation accidentelle d’emails de PDG pourrait nuire à la réputation ou à la compétitivité d’une entreprise.
- Perte de confiance : Les employés pourraient perdre confiance dans les systèmes technologiques s’ils craignent que leurs informations personnelles puissent être accessibles à des collègues ou à des tiers.
Comment Microsoft répond à la controverse
Aujourd'hui, le géant du logiciel tente de résoudre le problème. Mardi, Microsoft a publié de nouveaux outils et un guide pour aider les clients à atténuer le problème de sécurité de Copilot, qui a permis aux employés d'accéder par inadvertance à des informations sensibles, telles que les courriels du PDG et les documents des ressources humaines.
Ces mises à jour sont conçues pour « identifier et atténuer les problèmes de partage excessif et de gouvernance », a expliqué l'entreprise dans un nouveau plan pour la suite logicielle de productivité 365 de Microsoft.
« De nombreux défis en matière de gouvernance des données dans le contexte de l'IA n'ont pas été causés par l'arrivée de l'IA », a déclaré un porte-parole de Microsoft. L'IA est simplement le dernier appel à l'action lancé aux entreprises pour qu'elles gèrent de manière proactive leurs documents internes et autres informations, a ajouté le porte-parole.
Ces décisions dépendent de la situation unique de chaque entreprise. Selon le porte-parole de Microsoft, des facteurs tels que les réglementations sectorielles spécifiques et la tolérance au risque doivent guider ces décisions. Par exemple, différents employés devraient avoir accès à différents types de fichiers, d'espaces de travail et d'autres ressources.
« Microsoft aide ses clients à améliorer leur gouvernance centrale des identités et des autorisations, afin d'aider les organisations à mettre à jour et à gérer en permanence ces contrôles fondamentaux », a déclaré le porte-parole.
La magie de Copilot (sa capacité à créer une présentation de 10 diapositives ou à convoquer une liste des produits les plus rentables de votre entreprise) fonctionne en parcourant et en indexant toutes les informations internes de votre entreprise, à l'instar des robots d'indexation utilisés par les moteurs de recherche.
Historiquement, les services informatiques de certaines entreprises ont mis en place des autorisations laxistes pour déterminer qui pouvait accéder aux documents internes (en sélectionnant « autoriser tous », par exemple, pour le logiciel RH de l'entreprise, plutôt que de se donner la peine de sélectionner des utilisateurs spécifiques).
Cela n'a jamais posé de problème, car il n'existait pas d'outil permettant à un employé moyen d'identifier et de récupérer les documents sensibles de l'entreprise (jusqu'à ce que Copilot soit mis en place). Par conséquent, certains clients ont déployé Copilot pour découvrir qu'il pouvait permettre aux employés de lire la boîte de réception d'un dirigeant ou d'accéder à des documents RH sensibles.
« Désormais, lorsque Joe Blow se connecte à un compte et désactive Copilot, il peut tout voir », a déclaré un employé de Microsoft au courant des plaintes des clients. « Tout à coup, Joe Blow peut voir les courriels du PDG ».
Les limites actuelles de l’IA générative
Cet incident illustre un problème plus large dans l'adoption des outils d'intelligence artificielle générative en entreprise. Ces outils, bien qu'extrêmement performants, manquent souvent de contextes humains pour éviter des erreurs graves.
Recommandations pour les entreprises
Pour tirer parti de Copilot tout en minimisant les risques, les entreprises devraient :
- Auditer régulièrement les permissions d'accès : S’assurer que les documents sensibles ne sont accessibles qu’à ceux qui en ont besoin.
- Former les employés : Les sensibiliser à l'utilisation de ces outils et aux bonnes pratiques en matière de gestion des données.
- Collaborer avec les éditeurs : Travailler étroitement avec Microsoft pour adapter les paramètres de l’outil aux besoins spécifiques de l’entreprise.
La fonction controversée Windows Recall a signé son retour
Microsoft a annoncé la fonction Recall lors de l'événement Build en mai. Recall est une fonction basée sur l'IA pour les PC Copilot+. Elle suit toutes les activités d'un PC Windows afin de faciliter les recherches ultérieures en utilisant le langage nature. Pour ce faire, Recall est censée capturer les données de toutes les applications, sauf si vous en excluez une, en prenant une série de captures d'écran et en stockant ces interactions dans une base de données. La fonction Recall s'exécute localement. Elle peut fonctionner sans connexion Internet et même lorsque vous n'êtes pas connecté à votre compte Microsoft.
Mais Recall est décriée par les experts en sécurité. Si quelqu'un d'autre que vous accède aux données collectées par Recall, les conséquences pourraient être désastreuses. Cela peut vous sembler familier, Recall est remarquablement similaire à la fonctionnalité Timeline de Windows 10, qui a échoué et a été mise de côté. Mais contrairement à Timeline, Recall ne se contente pas de restaurer une version de vos fichiers de bureau, il utilise l'IA pour vous ramener à ce moment, en ouvrant même les applications pertinentes. Un pirate qui parvient à trouver et exploiter une faille dans Recall pourrait causer des dégâts énormes.
Quels sont les risques potentiels auxquels Microsoft Recall expose les utilisateurs de Windows 11 ?
[LIST][*]Vous utilisez un ordinateur public : disons que vous faites des achats ou des opérations bancaires en ligne sur un ordinateur de la bibliothèque. Vous n'avez pas réalisé que Recall était actif. Cela permettrait à la personne qui utilise l'ordinateur après vous vient d'aller[/*]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.