Copilot Cowork agit seul, le SOC ne le voit pas
7 Min. Temps de lecture
Microsoft a introduit avec Copilot Cowork dans la Wave 3 un mode qui agit de manière autonome : envoi d’e-mails, planification de rendez-vous, modification de documents, sur plusieurs étapes et en arrière-plan. Ce n’est plus un chatbot, c’est un acteur avec les droits de son utilisateur. Pour les équipes de sécurité, la question se déplace. Elle ne concerne plus ce que l’utilisateur tape, mais ce que l’agent déclenche en son nom. Et si le SOC le voit du tout.
Les points clés en bref
- Cowork agit, ne répond plus seulement. Le mode Wave 3 exécute des tâches multi-étapes de manière autonome en arrière-plan et prend des actions réelles, avec les autorisations de l’utilisateur concerné.
- L’injection de prompt devient une chaîne d’actions. Un e-mail manipulé ou un document préparé que l’agent lit au milieu de la tâche peut détourner les étapes suivantes.
- La porte de sortie est facultative. Cowork peut être vérifié, dirigé et arrêté. Sans seuil de libération défini, l’être humain ne voit l’action à conséquences qu’après coup.
- La piste d’audit n’est pas automatique. Les événements Cowork sont enregistrables, mais le journalisation Purview doit être configurée spécifiquement pour cela. Sans cette étape, le SOC n’a pas de télémétrie.
Lié :Auto-réplication : les agents IA passent de 6 à 81 % / Phishing IA : les filtres de messagerie deviennent aveugles
Qu’est-ce que Copilot Cowork ? Cowork est le nouveau mode central de la Wave 3 de Copilot de Microsoft, présenté le 9 mars 2026 et construit en collaboration avec Anthropic. Contrairement au Copilot basé sur le dialogue, Cowork exécute des tâches longues et multi-étapes et prend des actions réelles : planification de rendez-vous, envoi d’e-mails, édition de documents. La tâche s’exécute en arrière-plan pendant que l’utilisateur travaille sur autre chose. Cowork démarre comme Preview de recherche avec des clients sélectionnés et fonctionne via le programme Frontier.
De l’assistant à l’acteur
La rupture pertinente pour la sécurité ne se situe pas dans l’IA elle-même, mais dans la transition de la suggestion à l’action. Un Copilot basé sur le dialogue formule un brouillon d’e-mail qu’un humain lit, vérifie et envoie. Cowork envoie lui-même l’e-mail parce que l’envoi fait partie de la tâche assignée. Il n’y a plus de clic humain entre l’intention et l’effet.
Microsoft décrit délibérément Cowork avec un vocabulaire de contrôle. Le travail est observable, les actions sont transparentes, le progrès peut être vérifié, dirigé et arrêté. Tout se déroule dans le cadre de sécurité, d’identité et de gouvernance de Microsoft 365. C’est vrai. Ce n’est pourtant que la moitié de l’affirmation. Observable ne signifie pas observé. Arrêtable ne signifie pas arrêté. Les capacités existent, leur efficacité dépend de la configuration et du processus.
Pour une équipe de sécurité, c’est la distinction décisive. Cowork agit avec l’identité et les autorisations de l’utilisateur qui a lancé la tâche. Un agent qui fonctionne pour un dirigeant commercial peut accéder à la boîte de réception, aux documents et aux contacts de celui-ci. Si cet agent est détourné dans une mauvaise direction, il n’agit pas comme un script anonyme, mais comme ce dirigeant.
L’injection de prompts devient une chaîne d’actions
L’injection de prompts est connue comme un modèle d’attaque. Ce qui est nouveau, c’est l’effet de levier lorsqu’il s’agit non pas d’une fenêtre de chat, mais d’une chaîne d’actions en cours. Un exemple vu du côté de l’incident : un collaborateur reçoit pour tâche d’examiner les e-mails entrants de fournisseurs et de répondre aux questions. Dans l’un de ces e-mails, une instruction au destinataire est cachée, invisible dans le texte ou en écriture blanche. Elle demande à l’agent de définir une règle de redirection ou d’envoyer un fichier spécifique à une adresse externe.
L’agent fait la distinction entre les données et les instructions moins bien qu’un humain. S’il lit l’e-mail manipulé au milieu d’une tâche à plusieurs étapes, la commande insérée peut transformer les étapes suivantes. L’utilisateur a confié une tâche inoffensive. L’agent exécute finalement une tâche supplémentaire qui n’a jamais été autorisée. Parce que les deux se produisent dans la même session et sous la même identité, cela ressemble dans le journal à une action cohérente et voulue.
C’est la différence avec l’injection classique. Autrefois, l’attaque se terminait par une réponse incorrecte dans le chat. Aujourd’hui, elle se termine par une action exécutée avec un effet réel, intégrée dans une chaîne d’étapes légitimes. La chaîne est le déguisement.
Où manque la passerelle Human-in-the-Loop
Microsoft a prévu les points de contrôle. Le collaborateur peut être vérifié, dirigé et arrêté. La question ouverte est de savoir à quel moment l’humain doit impérativement intervenir avant qu’une action à conséquences ne soit exécutée. C’est précisément ici que la configuration décide du risque.
Sans seuil de libération défini, la logique standard s’applique : l’agent travaille, l’humain peut regarder. Qui ne regarde pas, voit le résultat. Pour une tâche comme la synthèse de notes internes, cela est acceptable. Pour une tâche qui envoie un e-mail à l’extérieur en une étape ou modifie un document partagé, ce n’est pas le cas. Ces actions doivent être placées derrière une passerelle qui impose une confirmation humaine.
Les équipes de sécurité ne devraient donc pas permettre ou interdire les tâches Cowork de manière générale, mais les classer en fonction de leur impact. Les actions sans impact externe se déroulent. Les actions avec impact externe ou avec accès en écriture à des contenus partagés nécessitent une étape de confirmation. Cette classification est un travail manuel. C’est le levier le plus efficace qu’une entreprise peut actionner avant le déploiement.
Le manque de détection dans le SOC
Le point le plus dangereux est le plus discret. Microsoft affirme que chaque action Cowork peut faire l’objet d’un audit. Dans le même temps, il précise que les organisations doivent configurer explicitement la journalisation d’audit Purview pour les événements Cowork afin de garantir la conformité. Être auditables et être effectivement audités sont deux états différents.
Ce qui reste en suspens
- Les événements Cowork sans journalisation Purview configurée ne génèrent aucune télémétrie SOC
- Les actions des agents s’exécutent sous l’identité de l’utilisateur et ne sont pas détectées dans les journaux standards
- Aucun contrôle préalable pour les actions à fort impact si aucun seuil d’approbation n’est défini
- L’injection de prompt dans des chaînes d’actions laisse une séquence d’étapes apparemment légitime
Ce qui compte avant le déploiement
- Activer explicitement la journalisation d’audit Purview pour les événements Cowork
- Classer les tâches Cowork selon leur impact externe et instaurer des points de contrôle
- Compléter les règles de détection du SOC pour identifier les actions anormales des agents
- Limiter les autorisations Cowork à un cercle pilote, sans les diffuser massivement
Une entreprise qui active Cowork sans activer au préalable la journalisation dispose d’un acteur autonome sur son réseau dont les actions n’apparaissent pas dans les journaux standards. En cas d’incident, c’est précisément la trace montrant ce qu’a fait l’agent et à quel moment qui fait défaut. L’enquête forensique ne commence donc pas sur les journaux, mais sur une lacune.
S’ajoute à cela le problème d’identité. Puisque Cowork agit sous l’identité de l’utilisateur qui l’a lancé, ses actions ne déclenchent aucune anomalie évidente dans les outils SIEM et EDR. Un courrier envoyé par un compte utilisateur semble tout à fait normal. Le fait qu’un agent se cache derrière, détourné par une saisie manipulée, n’apparaît dans aucune alerte standard. La détection des activités d’agents est une tâche spécifique, pas un sous-produit des règles existantes.
Ce que les équipes sécurité doivent faire maintenant
Cowork est en cours de déploiement via le programme Frontier et sous forme d’aperçu de recherche. C’est la fenêtre idéale pour mettre en place les contrôles avant le déploiement à grande échelle. Quatre étapes doivent être anticipées.
Premièrement, activer la journalisation. Activez la journalisation d’audit Purview pour les événements Cowork avant que le premier agent ne soit utilisé en production. Sans cette étape, toute autre mesure est aveugle.
Deuxièmement, classer les tâches. Triez les tâches Cowork selon leur impact externe. Les actions envoyant des données à l’extérieur ou modifiant des contenus partagés doivent passer par une confirmation humaine obligatoire. Les actions sans impact externe peuvent être exécutées automatiquement.
Troisièmement, renforcer la détection. Le SOC a besoin de règles spécifiques pour détecter les comportements anormaux des agents : règles de transfert inhabituelles, accès massifs aux fichiers en peu de temps, communications externes en dehors des schémas habituels. Ces règles ne se mettent pas en place d’elles-mêmes.
Quatrièmement, limiter au pilote. Démarrez Cowork avec un groupe restreint d’utilisateurs, pas avec l’ensemble du personnel. Le pilote permettra d’obtenir des modèles réels d’utilisation, seuls capables de servir de base à l’ajustement des règles de détection.
L’analyse est réaliste. Cowork ne constitue pas un risque incontrôlable. Microsoft fournit les outils nécessaires pour le maîtriser. L’erreur serait de croire que ces outils équivalent à un contrôle effectif. Un agent agissant de manière autonome n’est jamais plus sûr que les points de contrôle et les journaux que l’équipe sécurité aura mis en place avant le déploiement. Après cela, ce n’est plus que de la gestion des conséquences.
Foire aux questions
Qu’est-ce que Copilot Cowork ?
Cowork est le nouveau mode autonome de la vague 3 de Copilot de Microsoft, présenté le 9 mars 2026. Il exécute en arrière-plan des tâches longues et multi-étapes, en menant des actions concrètes comme planifier des rendez-vous, envoyer des e-mails ou modifier des documents. Cowork a été développé en collaboration avec Anthropic et est lancé en tant qu’aperçu de recherche via le programme Frontier.
Pourquoi Cowork est-il un sujet de sécurité ?
Parce que Cowork ne propose pas seulement du texte, mais exécute des actions – avec l’identité et les autorisations de l’utilisateur qui a donné la tâche. Entre l’intention et l’effet, il n’y a plus de clic humain. Si l’agent est détourné par une saisie manipulée, il agit comme cet utilisateur, sans que cela ne soit détecté dans le protocole standard.
Comment fonctionne l’injection de prompt avec un agent autonome ?
L’agent lit des contenus tels que des e-mails ou des documents pendant une tâche. Si un tel contenu contient une instruction cachée, l’agent peut la traiter comme une commande au lieu de données. Dans une tâche à plusieurs étapes, cela dévie les étapes suivantes. Le résultat est une action non autorisée exécutée, intégrée dans une séquence d’étapes par ailleurs légitime.
Les actions de Cowork sont-elles traçables ?
Elles sont auditables, mais pas automatiquement enregistrées. Les organisations doivent configurer le journal d’audit Purview spécifiquement pour les événements Cowork. Sans cette étape, les actions ne génèrent pas de télémétrie SOC. En cas d’incident, la trace de ce que l’agent a fait et quand manque.
Que devraient faire les équipes de sécurité avant le déploiement ?
Quatre choses : activer le journal d’audit Purview pour Cowork, classer les tâches Cowork en fonction de leur impact externe et définir des passerelles d’approbation, compléter les règles de détection d’actions anormales des agents dans le SOC, et limiter Cowork à un cercle pilote au lieu de le déployer largement.
Conseils de lecture de la rédaction
- Audit NIS2 : Où la liste des fournisseurs s’effondre en deux heures
- MFA adaptatif : La pression NIS2 comme levier Zero Trust dans les PME
- Ingénierie de détection sans verrouillage fournisseur : Wazuh-Stack 2026
Plus de contenu du réseau MBF Media
- cloudmagazin : Copilot Studio devient la centrale des agents
- MyBusinessFuture : Le bundle KI de Microsoft à 99 dollars : est-ce que le saut en vaut la peine ?
- Digital Chiefs : Agent 365 organise les agents KI, la responsabilité reste ouverte
Source de l’image : générée par KI (mai 2026)
