Cybersécurité PME

Microsoft Copilot et oversharing : 7 règles

Pourquoi Copilot rend visibles des fichiers censés rester privés, et comment cadenasser SharePoint, Teams et OneDrive en moins d'une journée pour éviter les remontées explosives.

Aroua Biri 8 min

Microsoft 365 Copilot ne crée pas de droits d'accès qui n'existent pas. Il révèle ceux qui existaient déjà. Le problème : dans la majorité des tenants Microsoft 365, ces droits n'ont jamais été audités sérieusement. Résultat — quand on déploie Copilot, des employés découvrent qu'ils peuvent demander "résume les emails du PDG" ou "trouve-moi tous les documents RH avec le mot 'augmentation'" et obtenir des réponses détaillées. Pas un bug, mais une faille organisationnelle qui devient soudain bruyante.

Voici sept règles à appliquer avant d'activer Copilot largement. Tenant typique de 200-1000 utilisateurs : 1 à 3 jours de travail.

1. Désactiver "Tout le monde sauf les utilisateurs externes" au niveau tenant

C'est le groupe par défaut Microsoft 365 le plus dangereux. Beaucoup de SharePoint sites et de fichiers ont été partagés avec ce groupe pensant que c'était "interne uniquement" — c'est en fait toute la boîte, ce qui inclut les stagiaires, les comptes de service, les anciens employés mal désactivés.

Action : SharePoint admin center → Sharing → désactiver "Everyone except external users" globalement. Réactiver au cas par cas sur les sites où c'est vraiment l'intention.

2. Auditer les sites SharePoint ouverts en lecture publique

Beaucoup de sites SharePoint ont été configurés avec "All Company can view" il y a 5 ans, par un admin qui ne pensait pas à Copilot. Tirez la liste, classez par sensibilité, restreignez.

  • Liste exportable depuis le SharePoint admin center.
  • Pour les 50 sites les plus utilisés, vérifier manuellement les permissions.
  • Pour les sites RH, finance, juridique, codir : no exception — accès strictement nominal.

3. Activer les sensitivity labels et les appliquer aux conteneurs

Les sensitivity labels (Microsoft Information Protection) sont la fondation. Sans eux, vous ne pouvez ni filtrer ce que Copilot indexe, ni protéger automatiquement les nouveaux documents.

  • Trois labels minimum : Public, Interne, Confidentiel.
  • Application au niveau container (site, équipe Teams) : un site labelé "Confidentiel" force l'héritage sur les fichiers nouveaux.
  • Configuration pour exclure les containers "Confidentiel" du périmètre Copilot — option native Microsoft Purview.

4. Restricted SharePoint Search en phase pilote

Pour le rollout Copilot, Microsoft fournit un mode "Restricted SharePoint Search" qui limite Copilot à un allowlist de 100 sites. Cas d'usage : valider la qualité des réponses sur un périmètre maîtrisé avant d'ouvrir.

  • Phase 1 : Copilot voit uniquement les 100 sites les plus utilisés et déjà audités.
  • Phase 2 : élargissement progressif après nettoyage des permissions.
  • Phase 3 : levée du Restricted Search une fois tout audité.

5. Désactiver les liens "Anyone with the link"

Le partage par lien anonyme ("Anyone with the link can edit") est le vecteur historique d'oversharing dans M365. Désactivable au niveau tenant ou par site.

  • Désactivation globale recommandée. Les exceptions se justifient au cas par cas.
  • Quand c'est nécessaire (partage avec client externe sans compte fédéré), forcer la mention d'une date d'expiration et d'un mot de passe.

6. Audit quarterly des comptes inactifs

Un ancien employé dont le compte traîne dans Entra ID est, du point de vue de Copilot, un utilisateur valide qui a accès aux mêmes ressources qu'il y a 6 mois. Et si quelqu'un récupère ses credentials, Copilot devient un outil d'exfiltration de luxe.

  • Compte sans login depuis 90 jours : alerte.
  • Compte sans login depuis 180 jours : désactivé.
  • Process automatisé via Entra ID Access Reviews.

7. Surveiller l'usage avec Purview

Une fois Copilot déployé, Microsoft Purview Audit log voit toutes les requêtes. C'est votre seul moyen de détecter les abus :

  • Requêtes suspectes type "trouve-moi des documents RH", "salaires", "licenciement".
  • Volumes anormaux de requêtes par utilisateur.
  • Accès à des contenus que l'utilisateur ne consulte habituellement pas.

Les alertes peuvent être configurées dans Purview Communication Compliance pour remonter automatiquement à la sécurité.

L'erreur classique : déployer Copilot avant ce nettoyage

Le ROI mesuré de Copilot est réel — 30 minutes par jour économisées par utilisateur en moyenne. Mais le coût d'un incident d'oversharing public (un employé qui découvre des données RH le concernant, ou des documents du codir) peut écraser des années de gain. La séquence est : audit, restriction, déploiement, pas l'inverse.

Pour les principes équivalents côté autres assistants, voir Shadow AI : le cas Samsung × ChatGPT. Pour la grille de threat modeling complète, Threat modeling LLM.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

Sécurité IAShadow AI : Samsung × ChatGPT Sécurité IASlack AI : faille de prompt injection Sécurité IAClaude en entreprise

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt