L’adoption massive de Microsoft Copilot dans les environnements professionnels s’accompagne d’une inquiétude croissante : la sécurité des données sensibles. Selon le 2025 Data Risk Report de Concentric AI, chaque organisation aurait vu l’outil accéder à près de trois millions de dossiers confidentiels au premier semestre. Une proportion considérable, qui soulève des questions sur l’ampleur des risques liés à l’intégration de l’IA générative au cœur des flux de travail.

L’un des problèmes majeurs identifiés concerne l’« over-permissioning ». Copilot hérite automatiquement des accès dont disposent les utilisateurs de Microsoft 365. Or, dans bien des cas, ces permissions sont plus larges que nécessaire. Résultat : Copilot peut consulter et manipuler des fichiers confidentiels ( de la propriété intellectuelle à des données financières en passant par des informations personnelles ) au-delà de ce qui devrait être permis.

Les chiffres confirment l’ampleur du problème : plus de la moitié des fichiers partagés dans les entreprises contiennent des informations sensibles, et ce taux grimpe à 70 % dans la santé et la finance. En parallèle, deux millions de dossiers critiques circulent sans restriction d’accès, et environ 400 000 par organisation sont partagés avec des comptes personnels. La multiplication des interactions avec Copilot ( plus de 3 000 par organisation ) accentue le risque de fuite ou d’usage abusif.

Au-delà des statistiques, plusieurs incidents récents illustrent ces vulnérabilités. En mars, la Chambre des représentants américaine a interdit à ses employés d’utiliser Copilot, craignant des fuites de données vers des services cloud non autorisés. En juin, Microsoft a dû modifier son controversé outil Recall ( qui capturait automatiquement des captures d’écran pour analyse ) pour le rendre optionnel. La même période a vu l’abandon du module GPT Builder, qui permettait de créer des Copilot personnalisés mais soulevait des inquiétudes en matière de sécurité.

Des cas concrets exposent la fragilité du dispositif. Un rapport financier généré avec Copilot pourrait contenir des données d’avant publication et, faute de classification adéquate, être diffusé par erreur. De même, un rapport RH compilant des informations personnelles sur les employés pourrait être partagé à l’ensemble d’un département, violant des politiques de confidentialité. Dans la recherche et développement, des brevets en cours pourraient être intégrés à des documents circulant ensuite en externe, exposant la stratégie d’innovation d’une entreprise.

Concentric AI souligne aussi les risques liés aux failles techniques. L’été dernier, une vulnérabilité identifiée dans Copilot Studio (CVE-2024-38206) permettait à des attaquants d’exploiter une faille SSRF et d’accéder à des services internes de Microsoft, y compris Cosmos DB. Bien que corrigé rapidement, l’incident illustre comment un outil pensé pour améliorer la productivité peut devenir une porte d’entrée pour des intrusions plus graves.

La combinaison de fichiers obsolètes, de doublons, de données mal classifiées et de permissions trop larges rend les environnements numériques difficilement contrôlables. Concentric AI insiste sur la nécessité d’une gestion proactive : audit des permissions, application stricte du principe du moindre privilège, classification automatisée des données et suivi constant des accès. Sans cela, les organisations courent le risque de transformer un outil de productivité en vulnérabilité stratégique.

Qu’il s’agisse de la santé, de la finance, de la recherche, de l’administration publique ou de la technologie, aucune industrie n’échappe à ces enjeux. L’intégration de Copilot doit s’accompagner d’un effort accru de gouvernance et de cybersécurité. Car si l’IA promet de décupler la créativité et l’efficacité des équipes, elle impose aussi aux organisations un devoir de vigilance inédit face à la protection de leurs informations les plus critiques.

Source : Concentric.ai

++++

Tous les jours de la semaine, du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.