Configuration de Microsoft Purview pour la protection des données dans les LLM tiers

Configuration de Microsoft Purview pour la protection des données dans les LLM tiers

18 février 2026

Introduction : Le défi de la gouvernance des données à l'ère des LLM externes

D’ici 2026, l’adoption de grands modèles linguistiques (LLM) et d’outils d’intelligence artificielle (IA) générative est devenue une réalité dans de nombreuses organisations. Alors que les solutions natives telles que Microsoft 365 Copilot offrent des intégrations sécurisées et une gouvernance des données, de nombreuses entreprises exploitent également une variété d'autres LLM tiers, accessibles via le Web ou des API. Cette prolifération d'outils d'IA externes, bien que bénéfique pour l'innovation et la productivité, introduit un risque important : l'exposition involontaire ou malveillante de données sensibles [1].

Les employés, par souci d'efficacité ou de curiosité, peuvent coller par inadvertance des secrets commerciaux, des informations sur les clients, des données financières ou de la propriété intellectuelle dans des interfaces de discussion publiques IA ou des LLM tiers qui n'offrent pas les mêmes garanties de sécurité et de confidentialité que les solutions d'entreprise. Ce comportement peut entraîner des fuites massives de données, des violations de conformité et de graves dommages à la réputation. Le risque que les employés « forment » des modèles d'IA publics avec des données sensibles de l'entreprise est l'une des plus grandes préoccupations en matière de sécurité et de gouvernance des données en 2026 [2].

Pour relever ce défi, Microsoft Purview a considérablement étendu en 2026 ses capacités de Data Loss Prevention (DLP). Purview agit désormais comme une « passerelle de sécurité IA », surveillant et bloquant en temps réel l'envoi de données sensibles à des outils d'IA externes non autorisés. Il inspecte le trafic sortant, identifie les modèles de données sensibles et applique des politiques pour empêcher l'exfiltration, garantissant que l'innovation en matière d'IA ne compromet pas la sécurité et la conformité des données [3].

Cet article technique et éducatif est destiné à guider les administrateurs de conformité, les analystes de sécurité et les responsables informatiques dans la compréhension des risques associés aux LLM tiers et dans la configuration des défenses Microsoft Purview pour protéger les données sensibles. Nous aborderons les principes sous-jacents, les conditions préalables et un guide détaillé étape par étape pour la mise en œuvre de politiques DLP spécifiques pour les services d'IA.

Les risques des LLM tiers et la nécessité d'une gouvernance

La facilité d’accès et la puissance des LLM tiers peuvent être une arme à double tranchant. Bien qu’ils offrent des avantages, ils présentent également des risques importants pour la sécurité des données de l’entreprise :

  • Exfiltration involontaire de données : les employés peuvent, sans intention malveillante, copier et coller des données sensibles dans des invites LLM externes pour résumer, analyser ou générer du contenu, sans se rendre compte que ces données peuvent être stockées ou utilisées pour entraîner le modèle d'IA, le rendant public ou accessible à des tiers.

  • Exfiltration de données malveillantes : un employé malveillant pourrait utiliser un LLM tiers comme canal pour exfiltrer des données sensibles, en contournant les contrôles de sécurité traditionnels.

  • Violations de conformité : l'envoi de données réglementées (telles que PII, PHI, PCI) à des LLM externes peut enfreindre les lois sur la confidentialité des données (RGPD, LGPD) et les réglementations spécifiques au secteur, entraînant de lourdes amendes et une atteinte à la réputation.

  • Propriété intellectuelle : les secrets commerciaux, les codes sources exclusifs et les plans d'affaires peuvent être exposés s'ils sont insérés dans des LLM tiers.

  • Manque de visibilité et de contrôle : sans les outils appropriés, les organisations manquent de visibilité sur les LLM tiers utilisés, les données partagées et la conformité de ces services aux politiques de sécurité internes.

Microsoft Purview répond à ces risques en étendant ses capacités DLP au domaine des services d'IA. Il permet aux organisations d'identifier, de surveiller et de contrôler le flux de données sensibles vers ces services, garantissant ainsi que les politiques de gouvernance des données sont appliquées de manière cohérente dans l'ensemble de l'écosystème numérique [4].

Principes de protection des données pour l'IA dans le domaine de Microsoft

Une protection efficace des données sensibles dans les LLM tiers dans Microsoft Purview repose sur les principes suivants :

  1. Découverte et classification de l'IA : identifiez les services d'IA tiers auxquels vous accédez sur le réseau et classez leur niveau.de risque. Cela permet aux politiques DLP d’être ciblées et efficaces.

  2. Détection des données sensibles en temps réel : inspectez le trafic sortant en temps réel pour identifier la présence d'informations sensibles (telles que les numéros de carte de crédit, les numéros de sécurité sociale, les données de santé) avant qu'elles n'atteignent un LLM externe.

  3. Contrôle d'accès et blocage : appliquez des politiques pour bloquer ou alerter sur les tentatives de partage de données sensibles avec des LLM non autorisés, en garantissant que seuls les canaux approuvés sont utilisés.

  4. Conscience des utilisateurs : fournissez des commentaires immédiats aux utilisateurs sur les violations des politiques, en les informant sur l'utilisation sûre des outils d'IA et les risques associés au partage de données sensibles.

  5. Audit et reporting : Tenir un enregistrement détaillé de toutes les tentatives de violations des politiques et fournir des rapports pour l'analyse et l'amélioration continue de la posture de sécurité.

Conditions préalables à la mise en œuvre

Pour configurer les protections Microsoft Purview pour les LLM tiers, vous aurez besoin des éléments suivants :

  • Licences Microsoft 365 E5 ou Microsoft Purview Compliance Suite : ces plans incluent les fonctionnalités avancées requises de gouvernance DLP et IA.

  • Accès administratif : comptes dotés des autorisations d'administrateur de conformité, d'administrateur de sécurité ou d'administrateur général sur le portail de conformité Microsoft Purview (compliance.microsoft.com).

  • Connaissance des politiques de données : Familiarité avec les types de données sensibles de votre organisation et les politiques de conformité internes.

  • Déploiement de l'agent DLP : pour la surveillance des points de terminaison, les agents Microsoft Purview DLP doivent être déployés sur les appareils des utilisateurs.

Guide étape par étape : Configuration des stratégies DLP pour l'IA dans Microsoft Purview

La mise en place de protections contre l'envoi de données sensibles à des LLM tiers implique d'identifier les applications d'IA à risque et de créer des politiques DLP ciblées.

Étape 1 : Identifier les applications d'IA à risque

La première étape consiste à obtenir une visibilité sur les services d’IA tiers auxquels vous accédez sur votre réseau et à évaluer leurs risques.

  1. Accédez au portail de conformité Microsoft Purview : ouvrez votre navigateur et accédez à « compliance.microsoft.com ». Connectez-vous avec un compte disposant des autorisations administratives nécessaires.

  2. Accédez à AI Hub : dans le volet de navigation de gauche, accédez à AI Hub > Découverte. AI Hub est la nouvelle section introduite en 2026 pour gérer la sécurité et la conformité de l'IA.

  3. Examinez les services d'IA découverts : Purview répertoriera tous les sites Web tiers et les services d'IA qui ont été consultés sur votre réseau. Pour chaque service, il attribuera un « Score de risque » basé sur des facteurs tels que la réputation du fournisseur, les politiques de confidentialité connues, l'emplacement des données et le type de données traitées par le service. Cela vous aide à identifier les LLM tiers qui présentent le plus grand risque pour votre organisation.

  4. Classer les applications : en fonction du score de risque et des politiques internes, classez les applications d'IA comme « Approuvées », « Surveillées » ou « Non autorisées ».

Étape 2 : Création de politiques de blocage DLP pour les LLM tiers

Une fois les applications d'IA à risque identifiées, vous pouvez créer des politiques DLP pour contrôler le flux de données sensibles.

  1. Créer une nouvelle stratégie DLP : dans le portail de conformité Microsoft Purview, accédez à Prévention contre la perte de données > Politiques. Cliquez sur ** Créer une stratégie **.

  2. Choisissez un modèle ou personnalisez : vous pouvez commencer avec un modèle préexistant (par exemple "Données financières", "Données de santé") ou créer une politique personnalisée. Pour les LLM tiers, une politique personnalisée offre une plus grande flexibilité.

  3. Définir les emplacements : dans la section Emplacements, sélectionnez "Services IA et chatbots". Il s'agit d'une nouvelle option introduite en 2026 qui vous permet de cibler des politiques spécifiquement pour les interactions avec des LLM tiers. Vous pouvez également inclure d'autres emplacements, tels que des points de terminaison, pour surveiller le copier/coller.

  4. Définir les conditions : configurez les conditions qui déclencheront la stratégie. Cela implique souvent la détection de types d'informations sensibles (SIT) spécifiques, tels que :

  5. Données financières : numéros de carte de créditdit, comptes bancaires.

  6. Données personnelles : CPF, numéros d'identité, adresses email d'entreprise.

  7. Propriété intellectuelle : code source, documents portant des étiquettes de sensibilité spécifiques (par exemple « Confidentiel »).

  8. Vous pouvez affiner les conditions pour inclure des mots-clés ou des expressions régulières indiquant des données propriétaires.

  9. Définissez les actions : pour les LLM tiers non autorisés ou à haut risque, définissez l'action sur "Bloquer avec un conseil de stratégie". L'astuce de politique informera l'utilisateur que l'action a été bloquée et pourquoi, en l'informant de la politique de sécurité. Pour les LLM surveillés, vous pouvez choisir « Auditer » ou « Bloquer avec remplacement de l'utilisateur » (permettant à l'utilisateur de justifier et de continuer).

  10. Enregistrez et activez la stratégie : examinez la stratégie et activez-la. Les stratégies DLP peuvent prendre un certain temps pour être pleinement appliquées dans l’ensemble de votre environnement.

Étape 3 : Suivi et formation continue

Le suivi est essentiel pour garantir l’efficacité des politiques DLP et pour identifier les domaines nécessitant une éducation supplémentaire.

  1. Utilisez les rapports AI Hub : dans Microsoft Purview AI Hub, vous trouverez des rapports détaillés sur les violations des politiques DLP liées aux LLM tiers. Ces rapports montreront :

  2. Quels LLM tiers sont utilisés : identifiez les services les plus populaires et ceux qui présentent le plus grand risque.

  3. Quelles données sensibles sont partagées : comprenez les types d'informations que les utilisateurs tentent d'envoyer à des LLM externes.

  4. Quels utilisateurs/services enfreignent les politiques : identifiez les domaines qui nécessitent une formation ou une sensibilisation supplémentaire.

  5. Enquête sur les incidents : utilisez Activity Explorer dans Purview pour enquêter en détail sur les incidents DLP, notamment sur l'utilisateur, le fichier, le service IA impliqué et le contenu bloqué.

  6. Éducation et sensibilisation : utilisez les données de reporting pour piloter la formation de sensibilisation à la sécurité de l'IA. Expliquez aux employés les risques liés au partage de données sensibles avec des LLM tiers et encouragez l'utilisation d'outils d'IA approuvés par l'entreprise.

  7. Examen périodique des politiques : Le paysage de l'IA est en constante évolution. Examinez régulièrement vos politiques DLP pour les LLM tiers afin de vous assurer qu'elles restent pertinentes et efficaces contre les nouvelles menaces et les services d'IA émergents.

Considérations supplémentaires et bonnes pratiques

  • Classification des données : une classification robuste des données constitue la base de politiques DLP efficaces. Utilisez des étiquettes de sensibilité pour classer automatiquement ou manuellement les données sensibles.

  • Communication claire : communiquez clairement les politiques d'utilisation de l'IA aux employés. Expliquez ce qui est autorisé et ce qui ne l'est pas, ainsi que les risques associés à l'utilisation de LLM non autorisés.

  • Approche progressive : envisagez de mettre en œuvre les politiques DLP par étapes, en commençant par le mode audit pour comprendre le comportement des utilisateurs avant d'appliquer des blocages définitifs.

  • Intégration SIEM/SOAR : intégrez les alertes Microsoft Purview DLP à votre système SIEM (tel que Microsoft Sentinel) pour une vue centralisée des incidents de sécurité et pour orchestrer des réponses automatisées.

  • Évaluation des fournisseurs d'IA : lorsque vous envisagez d'utiliser des LLM tiers, effectuez une évaluation rigoureuse de la sécurité et de la confidentialité des fournisseurs pour vous assurer qu'ils répondent à vos exigences de conformité.

Conclusion

La protection des données sensibles dans un monde où les LLM tiers sont largement accessibles constitue un défi critique en matière de sécurité des informations en 2026. Microsoft Purview, avec ses capacités améliorées de gouvernance DLP et IA, offre une solution robuste pour atténuer les risques d'exfiltration de données et de violations de conformité. En mettant en œuvre des politiques DLP ciblées, en identifiant les applications d'IA à risque et en sensibilisant les utilisateurs, les organisations peuvent tirer parti des avantages de l'intelligence artificielle sans compromettre la sécurité de leurs actifs les plus précieux. La configuration efficace de Microsoft Purview pour la protection des données dans les LLM tiers n'est pas seulement une mesure technique, mais un pilier fondamental d'une stratégie de sécurité IA complète et proactive.

Références

[1] Indice de sécurité des données Microsoft 2026." Explorerl'avenir de la sécurité des données, y compris les innovations et stratégies émergentes, ainsi que les recommandations et les meilleures pratiques. [2] Blog sur la sécurité Microsoft. "Quatre priorités pour une sécurité des identités et des accès au réseau basée sur l'IA en 2026." Disponible sur : [https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/) [3] Feuille de route Microsoft 365. "La feuille de route Microsoft 365 fournit des dates de sortie estimées et des descriptions des fonctionnalités commerciales." Disponible sur : https://www.microsoft.com/microsoft-365/roadmap?featureid=109581 [4] Sécurité Microsoft. "Renforcez la sécurité de l'identité grâce à l'IA." Disponible sur : https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id