Copilote comme risque pour la sécurité : quand l’assistant IA fuit les secrets d’entreprise

8 min de lecture

Microsoft 365 Copilot présente une vulnérabilité Zero-Click avec un score CVSS de 9.3. Le Délégué européen à la protection des données a critiqué la Commission européenne pour son utilisation de M365. Et 34 pour cent des employés allemands utilisent des outils d’IA en contournant l’IT de l’entreprise. Trois faits, un problème : les entreprises déploient des assistants IA sans avoir construit l’architecture de sécurité nécessaire.

L’essentiel en bref

• CVE-2025-32711 (EchoLeak) : Première vulnérabilité Zero-Click dans un système d’IA en production. CVSS 9.3. Les attaquants pouvaient exfiltrer des données du contexte Copilot sans interaction de l’utilisateur (Infosecurity Magazine, mai 2025).
• Le CEPD critique la Commission européenne : En mars 2024, le Délégué européen à la protection des données a constaté que la Commission européenne enfreignait la législation sur la protection des données en utilisant M365 – spécification insuffisante de la collecte de données et absence de garanties de transfert.
• 34 pour cent de Shadow AI en Allemagne : Un employé sur trois utilise des IA génératives avec un compte privé en dehors de l’IT de l’entreprise (Bitkom 2024). Seulement 23 pour cent des entreprises ont des règles à ce sujet.
• Le partage excessif est le plus grand risque : Microsoft lui-même identifie les permissions excessives comme la catégorie de risque la plus fréquente dans les déploiements de Copilot. Copilot rend immédiatement exploitables les erreurs de permission existantes.
• Gartner avertit : 40 pour cent de toutes les violations de la vie privée liées à l’IA d’ici 2027 proviendront de l’abus transfrontalier de GenKI (Gartner, février 2025).

EchoLeak : la première vulnérabilité Zero-Click dans un système d’IA

Copilot n’est pas un chatbot. C’est un système qui accède à toutes les données qu’un utilisateur peut voir dans SharePoint, OneDrive, Teams et Outlook – et parfois à des données qu’il ne devrait pas voir. Pour les équipes de sécurité informatique, cela signifie : chaque faille de permission, chaque partage « Anyone » oublié, chaque espace de travail abandonné devient soudainement accessible par un moteur de recherche IA. Cet article montre quels vecteurs d’attaque sont documentés, ce que recommande le BSI et quelles mesures doivent être prises avant un déploiement de Copilot.

En janvier 2025, des chercheurs d’Aim Labs ont découvert une vulnérabilité dans Microsoft 365 Copilot qui a ouvert une nouvelle catégorie : CVE-2025-32711, baptisée « EchoLeak ». Score CVSS : 9.3 sur 10. Particularité : aucun clic, aucune ouverture de fichier, aucune interaction de l’utilisateur requise. L’attaquant pouvait exfiltrer des données directement du contexte Copilot d’un autre utilisateur.

Microsoft a corrigé la faille en mai 2025. Mais EchoLeak marque un tournant : c’était le premier cas documenté d’une vulnérabilité Zero-Click dans un système LLM en production. Pour les équipes de sécurité, cela signifie que les assistants IA ne créent pas seulement de nouvelles surfaces d’attaque – ils créent des surfaces d’attaque qui peuvent être exploitées sans aucune participation de la victime.

Prompt Injection : Quatre voies d’attaque documentées

EchoLeak n’est pas le seul vecteur d’attaque documenté. Depuis 2024, les chercheurs en sécurité ont découvert plusieurs moyens de manipuler Copilot – et Microsoft a dû corriger chaque fois.

ASCII Smuggling (Johann Rehberger, 2024) : Le chercheur a montré que des caractères Unicode invisibles peuvent dissimuler des données sensibles dans des hyperliens inoffensifs. Un email manipulé ou un document préparé suffit : Copilot exécute une injection de prompt indirecte, collecte des données (y compris des codes MFA) et les cache dans un lien. Un clic de l’utilisateur exfiltre les données. Microsoft a initialement classifié cette découverte comme « faible gravité » – et n’a corrigé qu’après une démonstration publique à la conférence HITCON.

Exfiltration de diagrammes Mermaid (Truesec, septembre 2025) : Copilot pouvait être amené, via des documents Office manipulés, à intégrer des contenus d’emails dans des liens interactifs au sein de diagrammes Mermaid. Microsoft a ensuite désactivé complètement les liens interactifs dans les diagrammes Mermaid.

Contournement des étiquettes confidentielles (janvier 2026) : Copilot accédait à des emails protégés dans les éléments envoyés et les brouillons, malgré les étiquettes de confidentialité. Les politiques DLP ont été contournées. Microsoft a fourni un patch d’urgence.

Injection de prompt indirecte via email (Zenity, Black Hat 2024) : Le PDG de Zenity a démontré lors de la Black Hat USA que Copilot traitait de manière autonome des emails manipulés – sans que la victime les ouvre. Dans la démonstration, Copilot remplaçait les données bancaires dans les instructions de paiement et présentait une fausse page de connexion Microsoft.

« Le BSI recommande de réaliser une analyse des risques pour le cas d’application concret avant d’intégrer de grands modèles linguistiques d’IA dans les processus de travail. »
– BSI, Modèles d’IA générative : chances et risques, sens (mai 2024)

Oversharing : le risque quotidien sous-estimé

Les failles spectaculaires font les gros titres. Mais le plus grand risque lié à Copilot est banal : des autorisations excessives dans SharePoint, OneDrive et Teams. Microsoft lui-même identifie l’oversharing comme la catégorie de risque la plus fréquente lors des déploiements de Copilot.

Le problème : Copilot utilise le modèle d’autorisation existant. Si un dossier SharePoint a été partagé avec un lien « Anyone », si des espaces de travail orphelins avec des autorisations actives existent, si des autorisations de groupes imbriqués permettent l’accès à des données que l’utilisateur n’a jamais vues consciemment – alors Copilot rend tout cela immédiatement recherchable et résumable.

Un exemple : un employé demande à Copilot « Qu’est-ce qui a été discuté la semaine dernière sur le projet Alpha ? » Copilot recherche dans tous les chats Teams, les e-mails et les documents SharePoint auxquels l’utilisateur a accès – même ceux dans des canaux qu’il n’a jamais visités, dans des dossiers qu’il n’a jamais ouverts. Si les autorisations sont trop larges, Copilot fournit des informations confidentielles que l’utilisateur n’aurait jamais trouvées sans Copilot.

Pour les entreprises allemandes, cela est particulièrement critique. Contrairement aux États-Unis, où l’accès aux données au sein d’une entreprise est souvent traité de manière généreuse, le RGPD impose des exigences claires en matière de finalité et de minimisation des données. Si Copilot résume des négociations salariales d’un canal RH à un employé du département marketing parce que les autorisations Teams étaient trop larges, ce n’est pas seulement un problème de sécurité – c’est une violation du RGPD. Les autorités de surveillance en Bavière et en Rhénanie-du-Nord-Westphalie ont déjà signalé que le traitement des données assisté par l’IA recevra une attention particulière.

La recommandation de Microsoft est claire : avant de déployer Copilot, le modèle d’autorisation doit être nettoyé. Le plan d’évaluation de l’oversharing de Microsoft prévoit : appliquer le principe du moindre privilège, des révisions régulières des permissions, SharePoint Advanced Management pour l’identification des sites à risque. En pratique, cela signifie : des semaines, voire des mois de préparation avant qu’un premier utilisateur ne puisse activer Copilot.

Décision de l’EDPS : lorsque la Commission européenne elle-même enfreint le droit à la protection des données

Le 8 mars 2024, le Contrôleur européen de la protection des données (EDPS) a officiellement constaté : la Commission européenne enfreint le règlement de protection des données EU 2018/1725 lors de l’utilisation de Microsoft 365. Les principaux constats : spécification insuffisante des données personnelles collectées par Microsoft et des finalités de cette collecte, et absence de garanties adéquates pour les transferts de données en dehors de l’UE/EEE.

La mesure était drastique : à partir du 9 décembre 2024, tous les transferts de données vers Microsoft en dehors de l’UE/EEE devaient être suspendus. La Commission européenne a depuis remédié aux infractions – l’EDPS a clos l’enquête en juillet 2025. Mais la décision reste un précédent : si la Commission européenne elle-même enfreint le droit à la protection des données avec Microsoft M365, qu’en est-il pour une PME utilisant le même logiciel avec moins de ressources ?

Pour les entreprises DACH, c’est un appel à l’action concret. Une évaluation d’impact sur la protection des données selon l’art. 35 RGPD est vivement recommandée par les experts en protection des données lors de l’utilisation de Copilot. Et bien que Microsoft ait annoncé un traitement des données in-country pour l’Allemagne en novembre 2025, il est controversé parmi les juristes si cela résout entièrement les préoccupations liées au RGPD.

En novembre 2025, le BSI a publié un avertissement spécifique concernant les « Evasion Attacks sur les modèles linguistiques d’IA ». Les recommandations : des invites système précises, le filtrage des contenus nuisibles dans les documents tiers et une confirmation explicite de l’utilisateur avant toute action exécutée par un LLM. CERT-Bund a publié un avis spécifique sur M365 Copilot sous WID-SEC-2025-1746. Pour les entreprises soumises à la réglementation NIS2 ou KRITIS, ces recommandations du BSI ne sont pas optionnelles – elles font partie de l’obligation de diligence qui, en cas de non-respect, peut entraîner une responsabilité personnelle des dirigeants.

Shadow AI : le problème qui croît plus vite que les politiques

Alors que les départements informatiques discutent du déploiement de Copilot, les employés ont déjà pris les devants. Selon Bitkom, 34 % des employés allemands utilisent des outils d’IA générative avec un compte privé en dehors du système informatique de l’entreprise. Dans 8 % des entreprises, le Shadow AI est largement répandu – un doublement par rapport à l’année précédente. Et seulement 23 % des entreprises ont défini des règles pour l’utilisation de l’IA.

À l’échelle mondiale, la situation n’est pas meilleure : selon une enquête de WalkMe auprès de 12 000 travailleurs du savoir, 60 % utilisent des outils d’IA au travail, mais seulement 18,5 % connaissent une politique officielle d’IA de leur employeur. 38 % partagent des données confidentielles avec des plateformes d’IA sans autorisation.

Gartner prévoit : d’ici 2030, plus de 40 % des entreprises mondiales subiront des incidents de sécurité ou de conformité dus à des outils d’IA non autorisés. La prévision pour 2027 est plus spécifique : 40 % de toutes les violations de la protection des données liées à l’IA résulteront d’un abus transfrontalier de l’IA générative.

Pourquoi Copilot est plus dangereux que ChatGPT

De nombreuses entreprises assimilent Copilot à ChatGPT – un chatbot permettant d’écrire des textes. C’est un malentendu fondamental. ChatGPT fonctionne avec les données que l’utilisateur entre. Copilot fonctionne avec toutes les données auxquelles l’utilisateur a accès – plus toutes les données présentes dans les ressources partagées auxquelles il pourrait théoriquement accéder.

La différence en pratique : lorsqu’un employé donne un document interne à ChatGPT, c’est une décision consciente – problématique, mais compréhensible. Lorsque Copilot recherche automatiquement des e-mails, agrège des chats Teams et résume des documents SharePoint, cela se fait automatiquement et de manière invisible. L’utilisateur ne sait souvent même pas à partir de quelles sources Copilot compile ses réponses.

Cela a des conséquences sur la surface d’attaque. Avec ChatGPT, un attaquant doit inciter l’utilisateur à faire une entrée manipulée. Avec Copilot, il suffit d’envoyer un e-mail manipulé ou de placer un document préparé dans un dossier partagé. Copilot tire le contenu de manière autonome – c’est le mécanisme que le CTO de Zenity a démontré lors de la Black Hat et que Johann Rehberger a poussé à son terme avec l’ASCII Smuggling.

Pour les équipes de sécurité, cela signifie : La modélisation des menaces pour Copilot est fondamentalement différente de celle des autres outils d’IA. Il ne suffit pas de former l’utilisateur. Il faut sécuriser l’ensemble du paysage de données – car Copilot trouve chaque faille et la présente à l’utilisateur sur un plateau d’argent.

Microsoft a reconnu cela et offre depuis fin 2025 un traitement des données in-country pour 15 pays, dont l’Allemagne. Cela résout partiellement le problème de transfert de données. Mais cela ne résout pas le problème de partage excessif ni les attaques par injection de prompts qui se produisent à l’intérieur des limites de son propre tenant.

Ce qui devrait être obligatoire avant un déploiement Copilot

1. Audit des permissions avant le déploiement. Microsoft recommande SharePoint Advanced Management pour effectuer un audit systématique des permissions. Éliminer les liens « Tout le monde », identifier les espaces de travail orphelins, résoudre les permissions de groupes imbriqués. Aucun accès à Copilot sans audit des permissions préalablement finalisé.

2. Appliquer systématiquement des étiquettes de sensibilité. Utiliser les étiquettes de protection des informations Microsoft Purview sur tous les documents et courriels. Sans étiquettes, aucune politique DLP efficace n’est possible – et Copilot ignore tout contenu non étiqueté.

3. Configurer des politiques DLP spécifiques pour Copilot. Depuis 2025, Microsoft Purview DLP prend explicitement en charge l’emplacement « Microsoft 365 Copilot ». Ne pas configurer ces politiques revient à lâcher Copilot sur les données de l’entreprise sans garde-fous.

4. Tester avec un groupe pilote avant déploiement organisationnel. Maximum 50 utilisateurs dans un environnement contrôlé. Surveillance active : quelles données Copilot affiche-t-il qu’il ne devrait pas montrer ? Ne passer à l’échelle que lorsque la réponse est « aucune ».

5. Réaliser une évaluation d’impact relative à la protection des données. L’article 35 du RGPD exige une évaluation d’impact lorsque le traitement est susceptible d’engendrer des risques élevés. Un système d’intelligence artificielle ayant accès à l’intégralité des données d’entreprise remplit pleinement ce critère.

6. Mettre en place une politique d’utilisation de l’IA. Des règles claires : quels outils sont autorisés, quelles données peuvent être saisies, comment gérer l’IA fantôme (Shadow AI). Les chiffres de Bitkom sont sans appel : sans politique, chacun fait ce qu’il veut.

L’interaction entre le déploiement officiel de Copilot et l’usage non officiel de l’IA fantôme crée une double surface d’attaque. D’un côté, les instances Copilot contrôlées, avec leurs vulnérabilités documentées. De l’autre, les outils d’IA privés non supervisés, dans lesquels les collaborateurs saisissent des données clients, des détails contractuels ou des documents stratégiques internes – sans audit, sans journalisation, sans aucune traçabilité. Pour les CISO, c’est le scénario cauchemardesque : impossible de sécuriser totalement ni le canal d’IA officiel, ni celui qui est informel.

« Les attaques assistées par l’IA sont, selon Gartner, le risque émergent numéro un pour les entreprises – trois trimestres consécutifs. »
– Enquête Gartner sur les risques émergents, Q3 2024, traduction libre

Le point essentiel : Copilot n’est pas un problème de sécurité en soi. C’est un multiplicateur. Qui maîtrise ses permissions en tire profit. Qui ne les maîtrise pas donne à une IA accès à tout ce qui est mal protégé – et rend ces données consultables, résumables et exportables. La préparation à Copilot n’est pas une tâche informatique. C’est une mission de sécurité.

Un dernier élément de contexte : Microsoft n’est pas l’ennemi. Copilot est un outil productif qui, correctement préparé, apporte une réelle valeur ajoutée. Mais cette préparation est la clé – et la majorité des entreprises sous-estiment l’effort requis. La vulnérabilité EchoLeak, la décision du CEPD et les chiffres de Bitkom sur l’IA fantôme convergent tous vers la même conclusion : déployer des assistants IA sans avoir au préalable mis en ordre les permissions, l’architecture de protection des données et les politiques d’utilisation, c’est agir de manière négligente. Or, sous NIS2, la négligence en matière de cybersécurité peut entraîner des conséquences personnelles pour la direction générale.

Questions fréquentes

Microsoft 365 Copilot est-il sécurisé ?

Copilot lui-même n’est pas intrinsèquement non sécurisé. Mais il amplifie les problèmes de permissions existants – il rend accessibles des données que les utilisateurs n’auraient jamais trouvées sans Copilot. Les vulnérabilités documentées (EchoLeak, ASCII Smuggling, Label-Bypass) ont été corrigées par Microsoft, mais montrent que le système est vulnérable.

Qu’est-ce qu’EchoLeak (CVE-2025-32711) ?

La première vulnérabilité zero-click documentée dans un système d’IA productif. Score CVSS de 9,3 sur 10. Les attaquants pouvaient exfiltrer des données du contexte Copilot sans que l’utilisateur n’ait à faire quoi que ce soit. Microsoft a corrigé la faille en mai 2025.

Que décide le CEPD sur l’utilisation de Microsoft 365 ?

En mars 2024, le Contrôleur européen de la protection des données a constaté que la Commission européenne avait enfreint le droit à la protection des données lors de l’utilisation de M365. Les infractions ont été corrigées d’ici juillet 2025, mais la décision reste pertinente en tant que précédent pour toutes les organisations de l’UE utilisant M365.

Ai-je besoin d’une évaluation d’impact sur la protection des données pour Copilot ?

Les experts en protection des données recommandent vivement une évaluation d’impact sur la protection des données conformément à l’article 35 du RGPD, car Copilot traite des données personnelles et accède à de larges ensembles de données d’entreprise. Dans le Data Processing Addendum de Microsoft, il n’y a pas de dispositions spécifiques concernant l’IA/Copilot.

À quel point l’IA fantôme est-elle répandue dans les entreprises allemandes ?

34 pour cent des employés allemands utilisent des outils d’IA générative avec un compte privé, contournant ainsi l’IT de l’entreprise (Bitkom 2024). Dans 8 pour cent des entreprises, l’IA fantôme est largement répandue. Seulement 23 pour cent ont des règles pour l’utilisation de l’IA.

Que dois-je faire avant de déployer Copilot ?

Au minimum : effectuer un audit des permissions dans SharePoint/OneDrive/Teams, mettre en place des étiquettes de sensibilité à grande échelle, configurer des politiques DLP pour Copilot, réaliser une évaluation d’impact sur la protection des données et établir une politique d’utilisation de l’IA. Microsoft recommande un test pilote avec un maximum de 50 utilisateurs.

Copilot peut-il accéder à des e-mails confidentiels ?

Oui – si les permissions le permettent. En janvier 2026, un bug a été documenté où Copilot accédait à des e-mails protégés dans les éléments envoyés et les brouillons malgré les étiquettes de confidentialité. Microsoft a fourni un correctif d’urgence.

Source de l’image de couverture : Pexels / cottonbro studio (px:6153354)

À propos de l'auteur: Alec Chizhik

Plus d'articles de Alec Chizhik