Publié le 21 février 2026 à 12h10. Microsoft a admis une faille de sécurité dans son assistant basé sur l’intelligence artificielle, Copilot, permettant à l’outil d’accéder et de résumer des courriels confidentiels, soulevant des questions sur la protection des données en entreprise.
- Microsoft a corrigé un bug dans Copilot qui lui permettait d’accéder à des courriels Outlook marqués comme confidentiels.
- L’incident souligne la nécessité d’une conception par défaut axée sur la confidentialité et le respect des autorisations d’accès.
- Des experts mettent en garde contre la rapidité du déploiement des fonctionnalités d’IA sans une gouvernance adéquate.
Microsoft a reconnu un dysfonctionnement dans Microsoft 365 Copilot, son assistant alimenté par l’intelligence artificielle générative. Ce bug a permis à certains utilisateurs professionnels de constater que le système était capable d’accéder et de résumer le contenu de courriels stockés dans Outlook, même lorsque ces messages étaient classifiés comme confidentiels. L’outil semblait contourner les protections en place, exposant potentiellement des informations sensibles.
Selon les explications fournies à la BBC, les politiques de contrôle d’accès et de protection des données de Microsoft étaient toujours actives, mais le comportement observé n’était pas conforme à la conception prévue de Copilot. L’objectif de l’assistant est d’exclure l’accès aux contenus protégés. Microsoft affirme avoir déployé une mise à jour de configuration globale pour résoudre ce problème, insistant sur le fait qu’elle n’a pas permis à quiconque d’accéder à des informations auxquelles il n’était pas déjà autorisé à accéder.
La question centrale n’est pas tant de savoir si des données ont été consultées par des personnes non autorisées, mais plutôt de savoir si un assistant automatisé doit avoir la capacité de résumer ou de recombiner des informations sensibles, même si l’utilisateur a l’autorisation d’y accéder. Un employé peut avoir le droit de consulter sa propre messagerie, mais il ne s’attend pas à ce qu’un outil d’IA expose des fragments de messages confidentiels dans un contexte différent de celui de leur création.
L’analogie est frappante : posséder un coffre-fort vous donne le droit d’ouvrir et de consulter son contenu, mais vous ne vous attendez pas à ce qu’une enceinte connectée lise à haute voix le contenu d’une lettre que vous y avez rangée, simplement parce que vous lui avez demandé de vous faire un résumé de votre semaine. La valeur des outils d’IA pour les entreprises comme Copilot repose sur la confiance des utilisateurs, qui doivent être assurés que des limites claires existent entre ce qui est accessible et ce qui est protégé, et que ces limites sont respectées par défaut.
L’incident est d’autant plus préoccupant qu’il a affecté des organisations ayant mis en place des étiquettes de sensibilité et des politiques de prévention de la perte de données (DLP) pour empêcher le partage non autorisé d’informations. Ces mesures de sécurité agissent comme des panneaux de signalisation et des barrières, définissant ce qui peut être déplacé, partagé ou traité, et dans quelles conditions. L’incident suggère que, dans certains cas, Copilot Chat a traité des messages étiquetés comme « confidentiels » alors qu’il aurait dû les exclure.
Microsoft a attribué la cause du problème à une « erreur de code », selon un avis publié sur un forum d’assistance du NHS en Angleterre. Le NHS a également indiqué à la BBC que le contenu traité restait la propriété de ses créateurs et qu’aucune information sur les patients n’avait été compromise. Néanmoins, la simple possibilité pour l’outil d’accéder à des messages sensibles a des implications en termes de réputation et d’opérations, car de nombreuses organisations adoptent Copilot précisément pour ses promesses de sécurité et de conformité dans des environnements réglementés.
Plusieurs experts interrogés par la BBC soulignent une tendance plus large : la rapidité avec laquelle les fonctionnalités d’IA sont intégrées aux logiciels d’entreprise. Nader Henein, analyste en gouvernance de l’IA et en protection des données chez Gartner, décrit cette situation comme un obstacle difficile à éviter dans un contexte de publication fréquente de fonctionnalités « nouvelles et inédites ». Il est réaliste de penser que plus un système est complexe, plus il est probable qu’une pièce du puzzle ne s’emboîte pas parfaitement, même si le reste du mécanisme fonctionne correctement.
Le problème est que, dans des circonstances normales, une organisation pourrait désactiver une fonctionnalité problématique et attendre que sa gouvernance s’adapte. Cependant, la pression pour « monter à bord de la vague de l’IA » – souvent alimentée par des attentes irréalistes – réduit cette marge de manœuvre. Lorsque la priorité est d’activer une fonctionnalité immédiatement, la sécurité et le contrôle deviennent des objectifs secondaires, nécessitant des efforts de rattrapage une fois le système en place.
Le professeur Alan Woodward, expert en cybersécurité à l’Université de Surrey, a souligné à la BBC l’importance pour ces outils d’être conçus avec la confidentialité comme priorité par défaut et de fonctionner selon le principe du consentement explicite. Si l’on accepte qu’il puisse y avoir des erreurs, la conception doit minimiser les dommages potentiels. C’est comme installer un robinet avec un limiteur de débit : en cas de problème, vous éviterez d’inonder la cuisine en quelques secondes.
Dans le cas de Copilot, « privé par défaut » signifie que les informations sensibles sont exclues sans que l’utilisateur n’ait à configurer des paramètres spécifiques, et que l’exposition potentielle ne dépend pas de la configuration parfaite de chaque service. « Consentement explicite » implique que l’accès de l’IA à certaines sources ou dossiers doit être activé consciemment et documenté, plutôt que d’être activé automatiquement au nom de la productivité.
Cet épisode rappelle que l’adoption de Copilot ou de tout autre assistant IA ne se limite pas à l’achat d’une licence. Cela introduit un nouvel acteur dans le flux de travail : une entité qui n’interprète pas les informations comme un humain, mais qui les ingère et les résume de manière probabiliste, et qui peut fournir des réponses convaincantes même si elle n’aurait pas dû avoir accès au matériel en premier lieu.
En pratique, les organisations doivent traiter ces outils comme elles le feraient pour une nouvelle intégration de données : avec une planification minutieuse, des tests rigoureux et une surveillance continue. Il est essentiel de vérifier quelles sources sont connectées à l’expérience de chat, comment l’outil se comporte avec des dossiers spécifiques, ce qui se passe avec les brouillons, quelles sont les différences entre les versions bureau et web, et comment les étiquettes de sensibilité sont appliquées tout au long du processus. Il est également important que les utilisateurs comprennent les limites de l’outil : un résumé « correct » ne garantit pas que l’accès était approprié.
L’affirmation de Microsoft selon laquelle « personne n’a vu ce qu’il n’était pas autorisé à voir » peut être vraie en termes d’autorisations d’accès, mais le véritable enjeu réside dans le « principe de moindre exposition » : même si l’utilisateur est autorisé à consulter les informations, un système automatisé ne devrait pas traiter les données protégées comme une matière première pour générer des résumés si la politique de l’entreprise le prohibe. Dans des secteurs tels que la santé, la finance ou l’administration publique, cette distinction peut faire la différence entre une alerte gérable et un incident aux conséquences juridiques.
Microsoft affirme avoir déployé une mise à jour globale pour corriger le problème. À court terme, cette correction technique est essentielle. Ce qui est plus important, c’est ce qu’elle révèle : le modèle de confiance sur lequel Microsoft s’appuie pour intégrer l’IA dans le travail quotidien. Les entreprises ne se demandent pas seulement si l’IA « fonctionne », mais aussi si elle fonctionne de manière prévisible lorsque des informations sensibles sont impliquées. Si l’IA est considérée comme un nouveau collègue, il ne suffit pas qu’elle soit rapide dans l’exécution des tâches ; elle doit également démontrer qu’elle sait quand ne pas s’immiscer dans des conversations confidentielles.
Cette affaire souligne également la nécessité d’une transparence opérationnelle. Lorsqu’un bug affecte la manière dont les étiquettes de sensibilité sont appliquées, les responsables de la sécurité ont besoin d’informations claires : quel scénario spécifique a déclenché le problème, quel pourcentage d’utilisateurs a pu être affecté, quels journaux d’activité sont disponibles pour un audit, et comment empêcher que le problème ne se reproduise dans les versions futures. À l’ère de l’IA générative, la confiance se construit grâce à l’ingénierie, mais aussi grâce à des explications compréhensibles et vérifiables.