Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

Twitter Facebook-f Pinterest-p Instagram

Featured insights

Business Intelligence

Avec le déploiement de Copilot M365, il est plus que temps de reprendre le contrôle de vos données…

Série « Les 4 temps à respecter pour réussir le déploiement de Copilot Microsoft 365 » – Episode 1.

Pour réussir le déploiement de Copilot M365, il faut agir avec méthode et, vous l’avez peut-être déjà lu par ailleurs, je ne suis pas fan du conseil d’exclure un site de la recherche. C’est d’ailleurs à la fin de ce billet que j’annonçais ma volonté de parler méthodologie de déploiement Copilot.

Je vais donc vous partager ma recette dans une toute nouvelle série de 4 billets à venir..

  1. Cet épisode 1 s’intitule « … il est plus que temps de reprendre le contrôle de vos données… » ; évidemment, on va parler sécurité, conformité et gouvernance de la donnée dans ce billet et c’est normal, car c’est la base et vous l’avez sans doute déjà lu ou entendu ;
  2. Dans l’épisode 2, il sera question de la pertinence de l’utilisation de Copilot M365 de manière à parvenir à amarrer Copilot M365 à la vraie vie des utilisateurs ; comme je le dis souvent concernant l’adoption de M365 d’une manière générale, pour que les organisations évitent de se limiter à n’utiliser que 10-20% des fonctionnalités de ce Modern Workplace, il y a du travail pour trouver le moyen de faire converger les usages de l’organisation avec les fonctionnalités de M365 ; or, la clé selon moi est principalement d’ »éviter l’erreur de cantonner Copilot M365 à un outil de productivité individuel » ;
  3. Dans l’épisode 3, après le PoC, nous verrons « comment porter à l’échelle Copilot M365 dans l’organisation et le faire rentrer dans les usages sur la durée » ; je parlerai donc de vision et de stratégie d’organisation ;
  4. Enfin, dans l’épisode 4, je finirai par évoquer « l’indispensable gouvernance que requiert Copilot M365 », parce que, comme je considère Copilot M365 pas comme un outil de productivité individuelle comme les autres, je l’apparente à un outil de productivité de groupe, ce qui implique une gouvernance particulière.

Cet épisode 1 s’intitule donc « il est plus que temps de reprendre le contrôle de vos données ? ». Il n’est pas facile de revenir sur cette évidence car tout le monde (Microsoft et ses partenaires) communique sur cette nécessaire étape préalable au déploiement de Copilot M365.

Avec l’achat de licence Copilot M365, une nouvelle page fait son apparition dans le centre d’administration M365 ; avant d’attribuer les licences aux utilisateurs, assurez-vous que lla configuration de Copilot M365 en lien avec Bing est conforme à vos souhaits. 

Il est temps de reprendre en main la sécurité de vos données

On parle plutôt d’exposer des données sensibles à des publics d’utilisateurs qui ne devraient pas en connaitre l’existence et en prendre connaissance. Manquer le déploiement de Copilot M365 pour des problèmes de confidentialité, c’est clairement une négligence et une négligence beaucoup plus grave qui dépasse l’utilisation de Copilot.

C’est une négligence de tous les jours que les utilisateurs peuvent exploiter en utilisant le moteur de recherche. Alors, il faut se sortir de la tête la fausse bonne idée d’exclure des sites de la recherche comme je l’ai déjà indiqué avant ; faire cela revient à cacher la poussière sous le tapis et ne pas régler le problème du ménage dans les autorisations par le bon bout… Rappel, mon billet précédent cité en introduction.

Cela permet d’éviter de reprocher à M365 de ne pas gérer correctement la confidentialité : j’avais déjà entendu pareil reproche dans la bouche de DSI à propos de SharePoint Server, et la réponse est toujours la même : ce sentiment est surtout la preuve de la non maitrise des fonctionnalités de partage interne, directement par les équipes IT Pro ou indirectement en raison d’un défaut d’accompagnement des utilisateurs.

Comme Copilot M365 fera son traitement d’IA Gen en suivant ce que l’utilisateur a le droit de voir, la démonstration qui suit suffit à stresser une DSI qui maitrise mal les paramètres de partage interne : « taper le signe * dans la barre de recherche Organisation pour voir tout ce que vous avez le droit de voir… ».

Contrairement à ce que vous avez peut-être entendu au niveau sécurisation des données, je ne vais pas commencer par vous parler de Purview. Commençons par revenir aux fondamentaux, aux mains des administrateurs Ms Teams, Viva Engage et SharePoint.

Aujourd’hui, on peut constater que Microsoft a bien appris des expériences passées et a largement amélioré l’aspect self-service de SharePoint, avec la simplification de la gestion apportées par les équipes Ms Teams : le concept de portail de sites SharePoint (SharePoint Server), composé d’un site parent et de sous-sites a laissé la place au concept de « 1 site SharePoint par équipe Ms Teams ». Cette idée, géniale parce que simple, a ainsi permis de réduire un certain nombre de problèmes rencontrés avec SharePoint, même s’il subsiste toujours, par défaut, les fonctionnalités de création des sous-sites et de partage des fichiers autorisé pour les membres.

Quant à la gestion des équipes Ms Teams, il demeure néanmoins un point de vérification particulier  : le fait qu’il existe des équipes Ms Teams de type public.

Les dernières mises à jour concernant la sensibilisation des créateurs d’équipe sur le fait qu’« une équipe publique signifie visible aux yeux de tous » ont dû diminuer le risque d’erreur. Reste néanmoins un point d’attention quant aux équipes publiques qui existent depuis un certain nombre d’années et dont personne n’a remarqué le caractère confidentiel de certaines d’entre elles ( ?).

Il n’est donc pas interdit que l’administrateur Ms Teams fasse une petite campagne d’inventaire auprès des propriétaires d’équipes Ms Teams publiques. Il remarquera également au passage s’il n’y a plus de propriétaire dans ces équipes publiques.

Je vais faire la même remarque concernant les communautés Viva Engage. Là, également, la gouvernance de Yammer a nettement muté avec l’arrivée du « nouveau Yammer », devenu Viva Engage : en effet, le rôle d’administrateur de communauté, géré par l’administrateur Viva Engage, permet désormais de couper l’esprit self-service qui caractérisait l’ « ancien Yammer », dans lequel tout utilisateur pouvait créer des communautés tant privée que publique.

L’administrateur Viva Engage peut donc désormais suivre ce qu’il a fait en termes de création de communautés, de nomination d’administrateur de communauté et suivre si ce paramètre de visibilité privée/publique n’a pas été modifiée.

Enfin, ce questionnement s’applique t’il aussi à l’administrateur SharePoint ? La gestion des autorisations SharePoint reste la plus compliquée, même si des efforts là aussi ont été faits et que des options s’offrent à vous.

La gestion des droits d’accès à un site SharePoint (sans oublier Stream : le nouveau portail Stream repose aussi sur la politique de sécurité SharePoint) est plus complexe mais se résume simplement : le paramètre de visibilité privée/publique sur un site SharePoint n’existe que pour les sites d’équipes tandis que le site de communication requiert de mettre forcément des utilisateurs dans des groupes SharePoint. Par conséquent, concernant SharePoint, le point d’attention porte sur le fait que le bouton de création de site est visible pour une création de sites en libre-service pour tous les utilisateurs (centre d’administration SharePoint) ou certains utilisateurs (groupes de sécurité via PowerShell).

Si on ne veut pas se retrouver dans l’embarras de partager une information sensible pour des raisons de confidentialité, un suivi régulier des options de partage de site est une bonne résolution mais on doit surtout se poser la question si on laisse l’option de création de site disponible pour tous les modèles de site pour tous les utilisateurs (paramétrable par PowerShell), même si l’interface de création de site d’équipe a été simplifiée pour se rapprocher de l’expérience de création d’équipe Ms Teams.

Pour ne pas négliger cette partie de la préparation du déploiement à Copilot M365, il y a des tâches d’administrateur de ces outils collaboratifs (Ms Teams, Viva Engage, SharePoint) et le rappel fréquent aux utilisateurs des conséquences du partage de données. Là aussi, Microsoft ne cesse de simplifier et de clarifier ce paramètre auprès des utilisateurs directement.

Une fois que ce travail sera fait, vous pourrez alors utiliser Purview pour appliquer des étiquettes de confidentialité, manuelle, par défaut ou automatique sur des équipes Teams, des sites ou des bibliothèques SharePoint (donc de Viva Engage) et sur OneDrive ! Cela permet de se protéger contre les fuites de données en externe mais également en interne : par conséquent ces étiquettes vont vous permettre de compléter le dispositif susvisé.

Mais, voici maintenant la dernière petite nouveauté : Copilot M365 respecte désormais scrupuleusement ces étiquettes : vous accédez à un document sensible à travers un prompt Copilot M365 et Copilot M365 vous affiche non seulement l’étiquette de confidentialité associée au document mais l’appliquera également aux nouveaux documents qu’il produira à partir de ces données !

Image tirée de https://learn.microsoft.com/en-us/purview/ai-microsoft-purview

Après avoir parlé longuement de sécurité d’accès, la reprise en main de vos données ne se limite pas qu’à cela. En effet, la base du fonctionnement de Copilot M365 sera l’accès aux données et surtout aux données de qualité, présentées sous forme d’un résultat de recherche retraité sous la forme d’un texte généré. Cela signifie que l’on doit aussi parler de qualité de la donnée.

La qualité de la donnée doit également être au rendez-vous avant de lancer Copilot M365

Reprendre en main les données va concerner la qualité de ces données : pas en termes de structuration de la données (cela viendra mais actuellement Copilot M365 ignore le schéma de recherche) mais en termes de pertinence au regard de la fraîcheur.

Cela vous engage par conséquent à éliminer ce qui est obsolète, redondant ou de l’invisibiliser aux yeux de Copilot M365. Là encore, revient la facilité de retirer des sites non pertinents de la recherche mais je préfère retirer les droits d’accès aux « informations poubelles » (à savoir, retirer les droits de lecture).

Avec SharePoint, on a un logiciel conforme à la norme ISO 15489 : cela signifie que l’on peut gérer le cycle de vie des données avec les fonctionnalités de rétention manuelle et automatique depuis de nombreuses années. Microsoft a annoncé que 2025 sera une année de décommissionnement de ces fonctionnalités historiquement intrinsèques à SharePoint aux bénéfices des fonctionnalités de gestion des enregistrements de Purview. Par conséquent, M365 reste conforme à la norme ISO 15489.

Par conséquent, si vous reprendre la main sur la qualité des données, vous pouvez utiliser les étiquettes de rétention sur les bibliothèques et les types de contenu SharePoint, mais surtout, dernières nouveautés de M365, il existe un nouveau service en prévisualisation appelé M365 Archives qui permet de sortir ces données de la vue de Copilot M365.

La sortie de Copilot M365 a permis de relancer les campagnes de présentation de Purview mais par où commencer ?

Surtout, la sortie de Copilot M365 a permis de relancer les campagnes de présentation de Purview, ex-centre de sécurité et de conformité. Purview est puissant et vous pouvez trouver des add-ons parfois plus simples parfois encore plus puissants (il en faut pour tous les goût) pour se mettre à la protection des données aussi bien au niveau fuite de données (internes ou externes) que perte de données (destruction inopinée).

Mais, le problème fondamental avec l’utilisation de ces outils Microsoft ou de tiers éditeurs (AvePoint, ShareGate, TeamsFox… n’hésitez pas à me consulter), c’est que vous ne saurez pas trop quoi en faire à partir du moment où vous ne disposez pas d’une cartographie des données sensibles et des modalités de protection à appliquer en accord avec les utilisateurs concernés.

Cette cartographie des données sensibles et des modalités de protection à appliquer, c’est un élément de base de la gestion des risques qui fait, selon moi, partie de la gestion de la Conformité et de la Qualité au sens ISO des termes : c’est la raison pour laquelle j’ai suivi une formation à la norme ISO-37301 le mois dernier.

Me commander un audit de 3 jours

Quand à vous, il est peut-être temps de faire réaliser un audit : personnellement, je m’engage sur une formule de 3 jours pour examiner la situation et rédiger un rapport, composée de matrices de maturité et d’un plan d’action. N’hésitez pas à me consulter directement en cliquant sur ce lien.

Dans le billet 2 de la série consacrée aux 4 temps à respecter pour réussir le déploiement de Copilot M365, le sujet sera le choix des cas d’usage puisque, comme présenté en introduction, il sera question de la pertinence de l’utilisation de Copilot M365 de manière à « parvenir à amarrer Copilot M365 à la vraie vie des utilisateurs ».

Par Frank Poireau, M365 Adoption Facilitator, MVP

Nous utilisons des cookies pour personnaliser le contenu et les publicités, fournir des fonctionnalités de médias sociaux et analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse.
Cookies settings
Accept
Privacy & Cookie policy
Privacy & Cookies policy
Cookies list
Cookie name Active

Privacy Policy

What information do we collect?

We collect information from you when you register on our site or place an order. When ordering or registering on our site, as appropriate, you may be asked to enter your: name, e-mail address or mailing address.

What do we use your information for?

Any of the information we collect from you may be used in one of the following ways: To personalize your experience (your information helps us to better respond to your individual needs) To improve our website (we continually strive to improve our website offerings based on the information and feedback we receive from you) To improve customer service (your information helps us to more effectively respond to your customer service requests and support needs) To process transactions Your information, whether public or private, will not be sold, exchanged, transferred, or given to any other company for any reason whatsoever, without your consent, other than for the express purpose of delivering the purchased product or service requested. To administer a contest, promotion, survey or other site feature To send periodic emails The email address you provide for order processing, will only be used to send you information and updates pertaining to your order.

How do we protect your information?

We implement a variety of security measures to maintain the safety of your personal information when you place an order or enter, submit, or access your personal information. We offer the use of a secure server. All supplied sensitive/credit information is transmitted via Secure Socket Layer (SSL) technology and then encrypted into our Payment gateway providers database only to be accessible by those authorized with special access rights to such systems, and are required to?keep the information confidential. After a transaction, your private information (credit cards, social security numbers, financials, etc.) will not be kept on file for more than 60 days.

Do we use cookies?

Yes (Cookies are small files that a site or its service provider transfers to your computers hard drive through your Web browser (if you allow) that enables the sites or service providers systems to recognize your browser and capture and remember certain information We use cookies to help us remember and process the items in your shopping cart, understand and save your preferences for future visits, keep track of advertisements and compile aggregate data about site traffic and site interaction so that we can offer better site experiences and tools in the future. We may contract with third-party service providers to assist us in better understanding our site visitors. These service providers are not permitted to use the information collected on our behalf except to help us conduct and improve our business. If you prefer, you can choose to have your computer warn you each time a cookie is being sent, or you can choose to turn off all cookies via your browser settings. Like most websites, if you turn your cookies off, some of our services may not function properly. However, you can still place orders by contacting customer service. Google Analytics We use Google Analytics on our sites for anonymous reporting of site usage and for advertising on the site. If you would like to opt-out of Google Analytics monitoring your behaviour on our sites please use this link (https://tools.google.com/dlpage/gaoptout/)

Do we disclose any information to outside parties?

We do not sell, trade, or otherwise transfer to outside parties your personally identifiable information. This does not include trusted third parties who assist us in operating our website, conducting our business, or servicing you, so long as those parties agree to keep this information confidential. We may also release your information when we believe release is appropriate to comply with the law, enforce our site policies, or protect ours or others rights, property, or safety. However, non-personally identifiable visitor information may be provided to other parties for marketing, advertising, or other uses.

Registration

The minimum information we need to register you is your name, email address and a password. We will ask you more questions for different services, including sales promotions. Unless we say otherwise, you have to answer all the registration questions. We may also ask some other, voluntary questions during registration for certain services (for example, professional networks) so we can gain a clearer understanding of who you are. This also allows us to personalise services for you. To assist us in our marketing, in addition to the data that you provide to us if you register, we may also obtain data from trusted third parties to help us understand what you might be interested in. This ‘profiling’ information is produced from a variety of sources, including publicly available data (such as the electoral roll) or from sources such as surveys and polls where you have given your permission for your data to be shared. You can choose not to have such data shared with the Guardian from these sources by logging into your account and changing the settings in the privacy section. After you have registered, and with your permission, we may send you emails we think may interest you. Newsletters may be personalised based on what you have been reading on theguardian.com. At any time you can decide not to receive these emails and will be able to ‘unsubscribe’. Logging in using social networking credentials If you log-in to our sites using a Facebook log-in, you are granting permission to Facebook to share your user details with us. This will include your name, email address, date of birth and location which will then be used to form a Guardian identity. You can also use your picture from Facebook as part of your profile. This will also allow us and Facebook to share your, networks, user ID and any other information you choose to share according to your Facebook account settings. If you remove the Guardian app from your Facebook settings, we will no longer have access to this information. If you log-in to our sites using a Google log-in, you grant permission to Google to share your user details with us. This will include your name, email address, date of birth, sex and location which we will then use to form a Guardian identity. You may use your picture from Google as part of your profile. This also allows us to share your networks, user ID and any other information you choose to share according to your Google account settings. If you remove the Guardian from your Google settings, we will no longer have access to this information. If you log-in to our sites using a twitter log-in, we receive your avatar (the small picture that appears next to your tweets) and twitter username.

Children’s Online Privacy Protection Act Compliance

We are in compliance with the requirements of COPPA (Childrens Online Privacy Protection Act), we do not collect any information from anyone under 13 years of age. Our website, products and services are all directed to people who are at least 13 years old or older.

Updating your personal information

We offer a ‘My details’ page (also known as Dashboard), where you can update your personal information at any time, and change your marketing preferences. You can get to this page from most pages on the site – simply click on the ‘My details’ link at the top of the screen when you are signed in.

Online Privacy Policy Only

This online privacy policy applies only to information collected through our website and not to information collected offline.

Your Consent

By using our site, you consent to our privacy policy.

Changes to our Privacy Policy

If we decide to change our privacy policy, we will post those changes on this page.
Save settings
Cookies settings