Microsoft a reconnu une défaillance de Microsoft 365 Copilot qui, depuis la fin de janvier, a permis à l'assistant IA de lire et de résumer les courriels marqués comme confidentiels, évitant ainsi les politiques que de nombreuses entreprises utilisent pour protéger les informations sensibles. La société a détecté le problème à la fin de janvier et l'a signalé à son centre de message interne (appelé CW122632), tandis que des moyens spécialisés tels que Calculateur ont suivi le cas et publié des détails supplémentaires.
L'erreur a spécifiquement affecté la fonctionnalité de chat de la section de travail Copilot - l'interaction de type assistant qui peut aider à résumer et synthétiser le contenu stocké dans l'environnement Microsoft 365 - et a fait des messages enregistrés dans les éléments envoyés et brouillons des dossiers inclus dans les résumés malgré le port d'étiquettes de sensibilité conçues pour limiter l'accès automatisé. En termes simples: les e-mails qui devraient être laissés hors de portée des outils automatiques étaient en cours de traitement par l'AI.
Microsoft a attribué le problème à un échec de code et a commencé à déployer une correction au début de février. Selon l'entreprise, le déploiement continue d'être surveillé et les utilisateurs touchés sont contactés de manière limitée pour vérifier que la solution fonctionne. Cependant, Microsoft n'a pas encore offert de calendrier définitif pour la réparation complète et n'a pas précisé combien d'organisations ou de comptes pourraient être compromis; l'incidence est listée comme un avis de service, une étiquette qui est habituellement utilisée lorsque la portée est considérée comme initialement réduite.
Pourquoi est-ce pertinent? Les étiquettes de sensibilité et les politiques de prévention des pertes de données (DLP) sont des piliers de la gouvernance dans les environnements d'entreprise : elles visent à empêcher que des données financières, juridiques, sanitaires ou classifiées ne soient accessibles ou hors de certains périmètres, y compris les processus automatiques. Microsoft publie des documents sur la façon dont ces étiquettes et politiques de DLP fonctionnent sur son portail de conformité ( Guide de l'étiquette de sensibilité) et dans des environnements où les exigences réglementaires sont strictes, il est essentiel de croire que ces protections fonctionnent correctement.
Du point de vue des risques, même si l'incident classé comme « avertissement » affecte finalement un nombre limité de cas, la capacité d'un outil d'IV à lire et à résumer le contenu confidentiel ouvre plusieurs perspectives : l'exposition des secrets d'affaires, les risques de conformité réglementaire et, bien sûr, une incidence sur la confiance interne dans l'utilisation d'assistants automatisés dans les processus sensibles. La combinaison de fonctions de productivité puissantes et d'une confiance insuffisante dans les contrôles d'accès peut créer des situations de risque non remarquées.
Pour les équipements informatiques et de sécurité qui gèrent Microsoft 365, la recommandation immédiate est de vérifier les dossiers d'audit et les politiques autour de Copilot, examiner la sensibilité et les paramètres DLP, et rester en contact avec le support Microsoft pour connaître la portée réelle et les actions recommandées. Il vaut également la peine d'envisager des mesures d'atténuation temporaires - comme l'adaptation des permis d'accès à Copilot ou la limitation de l'utilisation de l'onglet de travail jusqu'à ce que la correction soit entièrement vérifiée - et de documenter les constatations au cas où il serait nécessaire de démontrer la conformité avec les vérificateurs ou les autorités.
Microsoft offre des informations sur Copilot et son fonctionnement dans la suite commerciale dans sa documentation officielle ( Page copilote de Microsoft 365), qui peut servir de référence lors de l'examen de la façon dont ces capacités sont intégrées aux politiques existantes en matière de sécurité et de protection des renseignements personnels. En parallèle, les médias technologiques surveillent les communications officielles et les mises à jour de l'état, donc suivre des sources spécialisées vous aide à être informé des nouveaux développements.
En fin de compte, cet épisode met l'accent sur une leçon qui sonnait déjà dans le secteur : Les fonctionnalités IA offrent des avantages évidents en termes de productivité, mais nécessitent des contrôles et des vérifications spécifiques. Il ne suffit pas de permettre aux assistants intelligents pour leur valeur immédiate; ils doivent être intégrés dans un cadre de gouvernance qui assure que la protection des données s'applique comme prévu. Les organisations qui dépendent d'étiquettes de sensibilité et de DLP devraient utiliser ce moment pour vérifier leur position et, surtout, pour valider que les outils tiers et les nouvelles capacités automatisées respectent les règles qui protègent leurs renseignements.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...