À cause d’un bug, l’intelligence artificielle Copilot Chat de Microsoft a contourné les politiques de prévention contre les pertes de données (DLP), exposant ainsi le contenu de mails pourtant classés comme confidentiels.
Quand Copilot s’affranchit des étiquettes de confidentialité
En principe, les politiques DLP pour Copilot permettent d’appliquer des règles pour stipuler que tout document ou e-mail porteur d’une étiquette de confidentialité spécifique doit être exclu du périmètre de l’assistant IA. C’est d’ailleurs une bonne pratique pour la protection des données en entreprise. Ainsi, si un utilisateur demande des informations sur un projet confidentiel à Copilot Chat, l’outil doit répondre qu’il a bien trouvé une correspondance interne, mais qu’il ne peut en divulguer le contenu en raison de sa sensibilité.
Cependant, il s’avère qu’un bug a permis à l’IA de lire et de résumer des informations contenues dans des e-mails classés comme confidentiels. De premiers signalements de clients sont apparus le 21 janvier 2026. De son côté, Microsoft a reconnu l’existence de ce problème (CW1226324) et des investigations sont en cours depuis le 3 février 2026.
D’ailleurs, l’origine de ce dysfonctionnement a été identifiée : il s’agit d’un problème de code. “Le chat de l’onglet « Travail » de Microsoft 365 Copilot résume les messages électroniques même si ceux-ci sont associés à une étiquette de confidentialité et qu’une stratégie DLP est configurée.”, précise Microsoft.
Ce bug affecte particulièrement les e-mails stockés dans deux répertoires “Éléments envoyés” et “Brouillons”. L’exposition des brouillons est certainement moins critique que les éléments envoyés : toutes les conversations ayant reçu une réponse passent par ce dossier.
Microsoft a identifié le problème et un correctif est en cours de déploiement auprès de tous les environnements. À l’heure actuelle, le problème n’est donc pas entièrement résolu.
La gouvernance de l’IA sur Microsoft 365
Toutes les entreprises qui font l’usage de l’IA avec Microsoft 365, et en particulier celles qui disposent de licences Microsoft 365 Copilot, doivent protéger leurs données sensibles pour les exclure du périmètre de l’IA.
Deux fonctionnalités sont là pour vous accompagner en ce sens :
Auditer et appliquer des politiques DLP (Data Loss Prevention) spécifiques à Copilot via Purview pour s’assurer qu’elles excluent rigoureusement les informations sensibles. De son côté, Microsoft doit faire en sorte de stabiliser le respect de ces règles par son IA. À ce sujet, consultez cette page.
Restreindre la découverte de contenus (RCD – Restricted Content Discovery) pour SharePoint Online. Cette fonctionnalité est incluse dans SharePoint Advanced Management et elle est disponible sur les tenants où il y a des licences Copilot. À ce sujet, consultez cette page.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.