En préambule à cet article je tiens à rappeler une chose essentielle :
Copilot 365 suivra toutes les mesures de sécurité que vous avez mises en place sur votre Tenant.
De nombreuses organisations éducatives ont adopté une approche très collaborative, ce qui a amélioré leurs pratiques de partage. Souvent, les utilisateurs, par exemple, génèrent des liens pour partager leur contenu qui sont accessibles à tous ceux qui reçoivent ce lien par défaut.
L’un des principes de Copilot 365 est de se nourrir de toutes les sources d’informations disponibles à l’utilisateur qui l’interroge pour construire sa réponse. Cependant, Copilot peut également révéler des informations dont l’utilisateur n’avait pas connaissance, parce qu’elles dépassent son rôle, son intérêt ou son champ d’action habituel mais son malgré tout accessibles à son compte Microsoft 365 quelque part sur le Tenant.
Cet article montre comment Purview peut vous aider à mieux comprendre les données de votre organisation et à en assurer la bonne gouvernance, en particulier pour les informations sensibles telles que les donnés d’identité légales. C’est là qu’une couche supplémentaire de gouvernance est nécessaire pour gérer Copilot 365 correctement.
Copilot 365 respectera toujours les limites, les restrictions, les étiquettes et les stratégies que vous avez mises en place pour contrôler l’accès à tout contenu dans Microsoft 365. Copilot 365 ne contournera jamais ces mesures.
Maintenant que nous avons clarifié ce point, passons au sujet de cet article.
Lorsqu’il y a beaucoup d’utilisateurs dans un grand environnement, ils peuvent créer beaucoup de contenu. Ce contenu peut nécessiter d’être régulé ou sécurisé dans certaines situations.
Certaines informations et certains contenus sont trop sensibles pour être partagés sur des dossiers ou des sites publics. Ils doivent être protégés à tout prix. Cependant, comment les administrateurs peuvent-ils contrôler et réglementer la création de ce type de contenu dans un établissement d’enseignement comptant des milliers d’utilisateurs ?
Prenons un exemple : Le service administratif peut avoir accès aux numéros de carte d’identité et de passeport des élèves et peut-être de leurs parents. Ces informations doivent être protégées, mais comment s’assurer que les familles n’envoient pas ces informations sans protection par courrier, ou que quelqu’un ne scanne pas et ne partage pas ces informations pour quelque raison que ce soit ?
Les fonctions « Types d’informations sensibles » et « Conformité des communications » de Microsoft Purview peuvent apporter des avantages significatifs dans ce scénario.
Types d’informations sensibles
Au sein de Microsoft Purview, dans le menu « Classification des données », nous pouvons trouver l’option « Classificateurs » et, à partir de là, cliquer sur l’onglet « Types d’informations sensibles ».
Cette section comporte de nombreux modèles prédéfinis, tels que des numéros de carte de crédit, des cartes d’identité et de passeport spécifiques à chaque pays, des numéros de sécurité sociale, etc. Vous pouvez également créer vos propres modèles !
Pour cet article, nous allons faire simple et utiliser les fonctions intégrées.
Nous allons utiliser le numéro d’identification national et le numéro de passeport.
Conformité des communications
« Conformité des communications » est un service que Microsoft Purview propose dans le cadre de sa stratégie Responsible AI. Microsoft vise toujours à créer et à gérer des solutions IA en lesquelles les gens peuvent avoir confiance et sur lesquelles ils peuvent compter.
La fonctionnalité de conformité de communication de Microsoft Purview aide les organisations à identifier et à répondre aux messages qui peuvent enfreindre les normes réglementaires, éthiques ou organisationnelles, ou, comme dans ce cas, des informations personnelles qui doivent être protégées.
Cet outil utilise la correspondance de mots-clés et des classificateurs d’apprentissage automatique pour détecter des violations potentielles dans les messages ou le contenu à travers différents canaux de communication, tels que le courriel, Microsoft Teams, Microsoft Copilot et des applications tierces.
Nous allons voir comment nous pouvons créer une Stratégie qui identifie à la fois les numéros de passeport et d’identification dans notre école ou université située en Espagne.
Comme l’illustre l’image ci-dessous, il existe différentes stratégies parmi lesquelles choisir.
Pour détecter à la fois le numéro de ID national belge et le numéro de passeport, nous choisirons l’option « Détecter les types d’informations sensibles » et configurerons la stratégie en une étape très simple.
Voici un exemple dont vous pouvez vous inspirer. Vous pouvez activer la détection OCR dans l’option « personnaliser la stratégie ». Cela vous aidera à identifier les informations sensibles dans les images ou les documents scannés également !
Dès lors, les administrateurs (ou personnes déléguées) recevront une notification chaque fois que des informations sensibles sont transmises ou partagées dans leur environnement et sous tous les formats, du texte brut aux images jointes ou pdf, et ils auront la possibilité d’agir après détection.
Comment agir suite à des correspondances de stratégies
Pour résoudre les problèmes qui correspondent à vos conditions de stratégie, vous avez plusieurs options à choisir. Tout d’abord, sélectionnez une stratégie sur la page des Stratégies de conformité, puis allez soit à l’onglet En attente soit à l’onglet Résolu. Voici certaines des actions que vous pouvez entreprendre :
- Résoudre : En choisissant cette option, vous pouvez fermer le message et le retirer de la file d’attente En attente. Vous pouvez également signaler toute mauvaise classification de la stratégie pour le message.
- Power Automate : Cette option vous permet d’utiliser un flux prédéfini ou personnalisé pour automatiser des tâches pour le message, telles que notifier le gestionnaire de l’utilisateur qui a envoyé le message.
- Marquer comme : Avec cette option, vous pouvez marquer le message comme conforme, non conforme ou discutable selon les normes de votre organisation. Vous pouvez également fournir des commentaires pour justifier votre choix.
- Notifier : Avec cette option, vous pouvez utiliser un modèle d’avis personnalisable pour envoyer un rappel par courriel à l’utilisateur qui a écrit le message.
- Escalader : Cette option vous permet de demander un examen supplémentaire de la part d’autres personnes dans votre organisation qui ont accès à la conformité des communications. Vous pouvez sélectionner dans une liste de réviseurs et leur envoyer une notification par courriel avec un lien vers le message.
- Escalader pour enquête : Cette option vous permet de créer un nouveau cas d’eDiscovery pour le message ou un groupe de messages. Vous pouvez fournir un nom et des notes pour le cas et sélectionner le dépositaire. Vous n’avez pas besoin de permissions supplémentaires pour gérer le cas.
- Supprimer un message dans Teams : Cette option vous permet de bloquer des messages et du contenu qui sont inappropriés pour les canaux et les discussions de Microsoft Teams. Les messages et le contenu bloqués sont remplacés par un conseil de stratégie qui explique pourquoi ils ont été supprimés et fournit un lien pour en savoir plus. L’expéditeur du message peut toujours voir le message et le contenu originaux, mais les destinataires ne le peuvent pas.
Voici ce que nous avons mis en place
Une université ou une école produit une grande quantité d’informations, et il n’est pas réalisable de garantir que chaque utilisateur suive les stratégies établies par l’organisation.
En suivant ces étapes simples, nous pouvons obtenir une vue d’ensemble de tout le contenu généré et commencer à recevoir des alertes et à prendre des mesures lorsque quelque chose ne se conforme pas aux réglementations en place.
Par conséquent, nous pouvons conclure en toute confiance que les technologies IA telles que Copilot 365 peuvent être intégrées en toute sécurité dans notre environnement, car notre contenu sensible est sécurisé et nous disposons de solides protections contre toute exposition involontaire.
Encore une fois, Copilot 365 n’ouvrira aucune porte existante, mais il passera, incroyablement rapidement, à travers toutes les portes ouvertes. Ceci, et d’autres couches de gouvernance que je partagerai dans des articles ultérieurs, sont les étapes de base que nous aurions besoin de mettre en œuvre avant de penser à introduire des technologies IA dans notre environnement éducatif.
Faites-moi savoir quelles autres fonctionnalités de gouvernance vous aimeriez introduire dans votre Tenant M365 pour que je puisse vous y aider !
Cet article est librement inspiré de l’incroyable travail de mon collègue Ovi Barcelo (avec son aimable autorisation).