Sécuriser ses données avant Copilot : le nouveau DSPM de Purview, mode d'emploi pour PME

Avant d'activer Copilot, réglez le problème que personne ne regarde : le partage excessif

Activer Microsoft 365 Copilot prend cinq minutes. Le problème, c'est que Copilot hérite exactement des droits de l'utilisateur — et lit tout ce que cet utilisateur a le droit de voir, y compris ce qu'il ne devrait jamais voir. Dans la plupart des parcs que nous auditons chez io4, des années de partages SharePoint « pour aller vite », de dossiers ouverts à « toute l'organisation » et de liens publics oubliés ont créé un partage excessif (oversharing) massif que personne ne voyait, parce que personne ne cherchait activement à l'exploiter. Copilot, lui, le trouve en une requête.

C'est précisément ce que vient adresser la nouvelle expérience DSPM (Data Security Posture Management) de Microsoft Purview, en disponibilité générale mondiale depuis mai 2026. Avant de <a href="/copilot">déployer Copilot</a> dans votre PME, c'est l'outil qui vous dit où sont vos données sensibles, qui peut y accéder, et ce que Copilot risque de remonter le premier jour.

Pourquoi Copilot transforme l'oversharing en risque immédiat

L'oversharing n'est pas nouveau. Ce qui est nouveau, c'est la vitesse à laquelle un assistant IA le rend exploitable. Avant Copilot, un document de paie mal partagé restait théoriquement accessible, mais encore fallait-il connaître son existence et son emplacement. Avec Copilot, un employé qui demande « quels sont les salaires de l'équipe de direction ? » obtient la réponse si le fichier est dans son périmètre d'accès — sans jamais ouvrir SharePoint.

Microsoft le formule clairement : l'IA générative amplifie le problème de l'oversharing parce qu'elle fait remonter, de façon proactive et instantanée, du contenu obsolète, sur-permissionné ou sans gouvernance. Pour une PME québécoise, l'enjeu est double : un risque opérationnel (fuite interne d'information RH, financière, contractuelle) et un risque de <a href="/loi-25">conformité Loi 25</a>, puisque les renseignements personnels surexposés deviennent consultables par des employés qui n'ont aucune raison d'y accéder.

Ce que change la nouvelle expérience DSPM

DSPM existait déjà, mais en deux outils séparés : DSPM « classique » pour les données traditionnelles, et DSPM for AI pour les apps d'IA. La nouvelle expérience, annoncée dans le message center sous la référence MC1191257 (roadmap 532728), unifie les deux en une seule console, avec trois apports concrets.

D'abord, des objectifs de sécurité orientés résultat : au lieu d'une liste d'alertes brute, Purview propose des parcours guidés comme « Prévenir l'exposition de données dans Copilot » ou « Empêcher le partage excessif de données sensibles », qui transforment un constat en plan d'action priorisé.

Ensuite, des agents Security Copilot intégrés qui automatisent le triage et la gestion des politiques — utile pour une PME qui n'a pas une équipe sécurité dédiée à temps plein. Enfin, une couverture élargie au-delà de Microsoft (signaux tiers de partenaires comme BigID, Cyera, OneTrust, Varonis) et une extension des évaluations de risque à Microsoft Fabric, avec des actions de remédiation directes.

L'arme concrète : l'évaluation de risque de données (Data Risk Assessment)

Le cœur utile de DSPM pour une PME, c'est l'évaluation de risque de données. Purview lance automatiquement, chaque semaine, une évaluation par défaut sur les 100 sites SharePoint les plus utilisés de votre tenant. Le rapport vous montre, sans projet long ni configuration lourde : quels sites contiennent des données sensibles, quels fichiers sont surpartagés, et par quels liens.

Surtout, il vient avec de la remédiation en masse : vous pouvez sélectionner d'un coup plusieurs liens de partage surexposés à travers vos sites SharePoint et les désactiver en une seule opération. Concrètement, c'est ce qui permet de passer de « on sait qu'on a un problème » à « on a réduit la surface d'exposition » en une session de travail, plutôt qu'en révisant les permissions fichier par fichier.

C'est exactement le réflexe que nous appliquons partout chez io4, côté coûts Azure comme côté <a href="/securite-microsoft">posture de sécurité</a> : on ne corrige bien que ce qu'on a d'abord mesuré. DSPM apporte enfin la mesure du côté des données.

La séquence à suivre avant d'activer Copilot

Déployer Copilot proprement, ce n'est pas l'activer puis surveiller. C'est cadrer les données d'abord. La séquence que nous recommandons à nos clients PME tient en quatre temps :

• Mesurer : lancer DSPM et son évaluation de risque pour cartographier où sont les données sensibles et où se concentre le partage excessif. Rien d'autre tant que cette photo n'est pas prise.
• Étiqueter : appliquer les étiquettes de confidentialité Purview (Confidentiel, RH, Financier…) sur les contenus à protéger, pour que les protections suivent le fichier et non l'emplacement.
• Remédier : utiliser la remédiation en masse pour désactiver les liens surpartagés et refermer les accès « toute l'organisation » sur les sites sensibles, avant que Copilot n'y ait accès.
• Déployer puis surveiller : activer Copilot sur un périmètre maîtrisé, et garder DSPM en supervision continue pour détecter les nouveaux cas d'oversharing au fil de l'eau.

Une brique de gouvernance, pas une licence magique

DSPM est un outil de visibilité et de remédiation puissant, mais il ne remplace ni une politique d'usage Copilot, ni une vraie gouvernance des accès. Les étiquettes de confidentialité, le tri des permissions SharePoint et la formation des utilisateurs restent le travail de fond. DSPM rend ce travail mesurable et priorisable — il ne le fait pas à votre place.

Côté licences, l'accès complet aux capacités DSPM for AI et à la remédiation avancée s'appuie sur Microsoft Purview et, selon les fonctions, sur des prérequis de licence Microsoft 365 (souvent E5 ou add-ons de conformité). C'est un point à valider sur votre parc réel avant de bâtir le plan, et non un détail à découvrir en cours de route.

Conclusion : la visibilité avant l'activation

Le nouveau DSPM de Purview tombe au bon moment : il donne aux PME, pour la première fois, un moyen simple de voir leur exposition de données avant d'ouvrir Copilot à tout le monde. L'erreur à éviter est de traiter la sécurité des données comme une étape « plus tard » — parce qu'avec Copilot, le « plus tard » se mesure en jours avant le premier incident.

Si vous voulez savoir ce que Copilot remonterait dans votre tenant aujourd'hui, parlez-en à un expert io4. Nous menons l'évaluation DSPM, le tri des accès SharePoint et la mise en place de la gouvernance Copilot avec la même méthode que sur le reste de votre environnement Microsoft : visibilité d'abord, déploiement ensuite.