Copilot fonctionne strictement dans le périmètre des droits d'accès existants de chaque salarié. Il n'applique aucun jugement sur la pertinence d'un accès : si un dossier RH, un contrat ou un fichier stratégique est partagé trop largement, Copilot le retrouve et le ressort, en une seule question, à quiconque y a techniquement accès.

Copilot hérite de vos droits d'accès, pas de votre jugement

C'est le point que la plupart des dirigeants découvrent trop tard : Copilot n'ouvre pas de nouvelle porte, il emprunte celles qui sont déjà ouvertes. Un site SharePoint mal configuré, un lien de partage « toute l'organisation », un héritage de droits oublié : autant de zones grises invisibles au quotidien, qui deviennent immédiatement exploitables dès que Copilot indexe et restitue le contenu sur simple requête en langage naturel.

Le sur-partage, en chiffres

Les données de Concentric AI sont sans appel : en moyenne, 16 % des données critiques d'une organisation sont en sur-partage, soit environ 802 000 fichiers accessibles à des personnes qui ne devraient pas y avoir accès. Côté usage, une majorité de salariés utilisent déjà des outils d'IA sans encadrement. Le croisement des deux est précisément ce que Copilot vient amplifier.

EchoLeak : un rappel utile, mais pas le vrai risque

La faille EchoLeak (CVE-2025-32711, CVSS 9.3) a montré qu'une exfiltration de données sans clic, via un simple email, était possible à travers Copilot. Microsoft l'a corrigée (correctif côté serveur, mai 2026). Mais le risque le plus durable n'est pas un bug de l'éditeur, déjà patché : c'est votre propre configuration de partage, qu'aucun correctif ne corrige à votre place.

Ce qu'il faut cadrer avant d'activer Copilot

La bonne nouvelle : tout cela se traite en amont, avec les outils natifs Microsoft. L'enjeu n'est pas d'acheter une solution de plus, mais de régler ce qui existe déjà :

  • Inventaire des accès et des identités (Entra ID) : comptes obsolètes, invités, groupes sur-permissionnés.
  • Détection du sur-partage : sites sur-permissionnés, liens anonymes, héritage d'accès (SharePoint Advanced Management).
  • Étiquettes de sensibilité et politiques DLP adaptées à Copilot (Microsoft Purview).
  • Restriction du périmètre d'indexation avant l'élargissement (Restricted SharePoint Search).

Microsoft recommande lui-même une approche progressive : piloter, déployer, opérer. L'erreur classique est d'activer Copilot largement d'abord, et de découvrir le sur-partage ensuite, par l'incident.

L'obligation qui s'ajoute : l'alphabétisation IA (AI Act, article 4)

Depuis le 2 février 2025, l'AI Act impose à toute entreprise d'assurer l'alphabétisation IA de ses équipes, avec un contrôle des autorités à partir du 2 août 2026. Cette obligation s'applique quel que soit le niveau de risque. Sécuriser le déploiement de Copilot et former les équipes à son usage relèvent de la même démarche de maîtrise.

Notre approche : Copilot Readiness

Nous cadrons le sur-partage avant l'activation de Copilot : inventaire des accès et des usages, score de risque, et plan de remédiation priorisé, livrable concret à l'appui. C'est le volet sécurité, complémentaire de notre offre AI ActReady consacrée à la conformité.