Copilot indiscret en entreprise ? Microsoft recommande le classement des données
Les clés du château
Copilot a-t-il un problème de partage excessif des informations en entreprise ? Suffisamment pour que Microsoft ait publié un document technique sur le sujet. Le point de vue de l’éditeur est que le Copilot se pose comme révélateur : s’il partage trop d’informations, c’est que l’organisation des données ne va pas.
Le 25 novembre à 11h49
6 min
IA et algorithmes
IA
Les assistants IA puisent dans les données disponibles pour leurs recommandations. En entreprise, une fonction comme Copilot s’appuie sur les informations stockées dans les différents services pour agir et proposer des données et actions pertinentes, dans le contexte défini par la position qu’occupe une personne au sein de l’entreprise. C’est du moins le cas en théorie.
Dans la pratique, Copilot peut afficher des informations auxquelles une personne spécifique n’a pas droit. Ce danger a été remonté à Microsoft. L’éditeur est donc bien obligé de le prendre en compte, car une réputation de comportement erratique et de révélateur de secrets viendrait briser les efforts de l’entreprise pour instaurer la confiance.
Quel est le problème ?
Des entreprises s’inquiètent du Copilot de Microsoft, dont sa capacité à révéler des informations plus ou moins sensibles, privées et/ou secrètes à des personnes qui n’ont pas à y accéder. Par exemple, des e-mails provenant de la boite de réception du PDG.
C’est un problème, puisque les entreprises ne peuvent savoir à l’avance quelles données seront affichées aux employés, selon les requêtes faites à Copilot.
Cet aspect de l’utilisation a été abordé en marge de la conférence Ignite qui s’est tenue la semaine dernière. Microsoft propose cependant une certaine grille de lecture : si Copilot affiche des informations auxquelles des personnes ne devraient pas avoir droit, c’est probablement parce que les données n’ont pas été classées convenablement.
Un plan directeur en trois phases
Si le problème est dans le classement des données, leur organisation et leur sécurité, Microsoft a une solution : commencer le travail. Une tâche que beaucoup d’entreprises considéreraient comme rébarbative et ingrate, mais nécessaire, avec d’autres avantages à la clé.
Si Microsoft ne le dit pas ainsi, son Copilot agirait comme agent révélateur. Une position assez proche de celle de Cécile Hannotte dans notre article sur l’explicabilité de l’IA. Et puisque le classement des données est une tâche ardue, Microsoft propose un plan directeur en trois phases.
Dans la phase pilote, les entreprises devraient revenir aux premières étapes de planification liées à Microsoft 365. Il faudrait notamment identifier les sites les plus utilisés et y vérifier la manière dont les informations y sont distribuées, avec une ancienne interrogation de l’administration informatique : qui accède à quoi ? Microsoft conseille également d’activer toutes les fonctions d’audit et de protection et de n’activer l’accès à Copilot que sur les sites très populaires ayant un faible risque. À la fin de cette phase, Copilot ne serait déployé que pour un petit nombre de personnes, pour un maximum de 100 sites. Tout ceci prendrait de 2 à 4 jours.
Dans la phase de déploiement, l’entreprise passe à l’échelle. Elle reconduit les efforts de la première phase sur tous les autres sites et prend soin d’isoler les données sensibles. Cette étape, qui durerait de 2 à 4 semaines selon Microsoft, doit aboutir au déploiement de Copilot dans toute la structure.
Enfin, dans la phase opérationnelle, l’éditeur évoque une simplification de la supervision, une amélioration continue de la sécurité des données et donc une amélioration des réponses données par Copilot.
Il s’agit d’une version résumée, car Microsoft fournit un document [PDF] beaucoup plus détaillé sur les étapes à franchir. Pour la société de Redmond, l’approche structurée n’a que des qualités car ses résultats vont plus loin que la simple efficacité de Copilot. Si l’objectif est que ce dernier fonctionne mieux, un classement strict des données et accès ne peut avoir qu’un effet bénéfique sur la sécurité générale des informations.
Un problème parmi d’autres
Si Microsoft communique sur ce sujet, il n’est qu’un parmi d’autres dans les inquiétudes des entreprises face à Copilot. Dans une étude publiée en octobre et abordée notamment par Business Insider, Gartner relève ainsi que sur 123 dirigeants d’entreprises ayant déployé Copilot, seuls quatre ont indiqué que l’assistant apportait une « valeur significative » à leurs activités. Si 92 % ont estimé que l’outil améliorait la satisfaction des employés, 57 % estiment qu’il n’apporte pas les gains espérés.
Nos confrères ont publié le 16 novembre un très long article résumant les problématiques rencontrées par les entreprises, sur la base de témoignages de plusieurs patrons et d’employés de Microsoft, actuels ou anciens. L’un de ces employés, qui a tenu à rester anonyme, dit ainsi avoir « l’impression de vivre dans une illusion de groupe » au sein de Microsoft. Selon lui, Copilot ne serait pas capable de faire 75 % de ce qui a été promis par Microsoft.
« Il y a un fossé entre la vision ambitieuse et ce que les utilisateurs expérimentent réellement. En interne, nous appelons cela des douleurs de croissance. Nous construisons l'avion au fur et à mesure que nous le pilotons », a déclaré un autre employé de l’éditeur.
Les témoignages mettent en avant les résultats parfois incohérents et souvent imprévisibles de Copilot. Dans l’étude de Gartner, 53 % des patrons interrogés ont indiqué que Copilot donnait trop de faux résultats. Et, à cause des soucis de sécurité cités précédemment, 40 % des responsables informatiques interrogés ont indiqué avoir mis en pause le déploiement de Copilot.
Question de rentabilité
Pour Microsoft, la situation est à régler au plus vite, car Copilot est un outil onéreux, à 30 dollars par utilisateur et par mois en entreprise. Face à ce budget, l’outil doit pouvoir répondre aux demandes. Et les questions sur la sécurité pourraient prendre le pas sur le développement de nouvelles fonctions. Des employés ont en effet signalé à Business Insider qu’il existe actuellement un effort sans précédent dans l’entreprise, mais qu’il pourrait se faire au détriment de certaines avancées.
Copilot n'est d'ailleurs pas onéreux que pour les entreprises : Microsoft engloutit des milliards de dollars, entre ses investissements dans OpenAI, le développement des centres de données et l'entrainement des modèles servant de fonctions à ses différents Copilot.
Copilot indiscret en entreprise ? Microsoft recommande le classement des données
-
Quel est le problème ?
-
Un plan directeur en trois phases
-
Un problème parmi d’autres
-
Question de rentabilité
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/11/2024 à 12h09
Le 25/11/2024 à 12h33
Le 25/11/2024 à 13h22
Le 25/11/2024 à 13h27
Le 25/11/2024 à 14h16
Le 25/11/2024 à 13h42
Après, que ça soit mal configuré parce qu'il existe une dette technologique générée par la grande mode de migrer les files share sur SPO en mode bourrin, sans nettoyer les documents et en laissant tout ouvert aux quatres vents ...
Le 25/11/2024 à 18h13
Le 28/11/2024 à 15h56
Le 30/11/2024 à 16h22
Le 26/11/2024 à 08h01
Dans notre boîte on a un projet de move Google vers M365 pour l'instant nos grands "responsables" veulent prendre le tas de data non sans gouvernance (pour rester poli) dans Google pour le remettre tel quel dans MS et surtout faut activer Copilot pour les cadres sup de la boîte car ça va fait bling bling. Ca va être une boucherie 😂
Le 26/11/2024 à 10h27
Par contre effectivement, je ne sais pas si Copilot intègre la criticité des données dans ses réponses par rapport aux droits de l'utilisateur ?
D'après la réponse de MS j'aurais tendance à dire que oui, mais comme l'article ne le précise pas.
Et ça ne doit pas être des droits rattachés à des rôles standards mais alors plus à des accès à des niveaux de confidentialité ? (Public / Restreint / Confidentiel / Secret) ?
Dans ce cas effectivement la gouvernance de la data a intérêt à s'accrocher ! Même si en théorie le secret et confidentiel c'est "normalement" bien gêré...mais les entreprises qui se plaignent semblent avoir de gros trous de gouvernance...
Le 26/11/2024 à 11h37
Pour la partie sur "les droits de l'utilisateur", Copilot honore les droits d'accès de l'utilisateur, et ne renvoie rien de plus que ce qu'il peut trouver via son OneDrive/Sharepoint/Bing for Work. Autrement dit, si Copilot utilise de la donnée à laquelle l'utilisateur ne devrait pas avoir accès, c'est un problème de configuration.
On peut configurer les labels de sensibilité pour une granularité plus fine si besoin, pour des rôles spécifiques (HR-only, Finance-only, COMEX-only) ou pour un type de partage (internal-only, public ...).
En théorie seulement. C'est souvent un sujet "outsourcé" à l'IT, sans moyen ni contrôle, et ça donne des résultats peu probants. Copilot n'a fait que mettre un projecteur sur cette vulnérabilité, avec en spectateur à la fois les décisionnaires, et à la fois les utilisateurs finaux.
Le 26/11/2024 à 08h14