Copilot ne contourne pas vos permissions. Il les respecte à la lettre, ce qui signifie qu'il fait remonter tout ce à quoi vos utilisateurs ont techniquement accès, y compris des sites que personne ne se souvient d'avoir partagés. Cette checklist guide les équipes IT et sécurité à travers sept phases de préparation, avec 57 points étayés par des preuves et des jalons go/no-go formels avant le pilote et avant le déploiement général.
La plupart des déploiements bloqués remontent à la même histoire : un utilisateur pilote pose une question banale et obtient une réponse tirée de contenus qu'il n'aurait jamais dû voir.
Copilot puise dans tout ce qu'un utilisateur peut techniquement atteindre. Les sites partagés avec « Tout le monde sauf les utilisateurs externes » il y a des années ne sont plus qu'à une question en langage courant.
Les anciens liens à l'échelle de l'organisation accordent un accès permanent longtemps après que tout le monde les a oubliés. Copilot honore chacun d'eux tant que vous ne les faites pas expirer.
Personne ne visite le site financier oublié, donc rien ne semble anormal. La recherche assistée par IA change cela du jour au lendemain : la gouvernance doit donc précéder l'activation.
La checklist remet les correctifs dans le bon ordre : auditer la prolifération des permissions, nettoyer les liens de partage, étiqueter et protéger les contenus sensibles avec Microsoft Purview, et seulement ensuite attribuer les licences.
57 points de contrôle, chacun avec une ligne « pourquoi c'est important », un champ de preuve et un responsable. Suivez les phases dans l'ordre ; les jalons vérifient que rien n'a été sauté.
Plans de base éligibles, boîtes aux lettres Exchange Online, Entra ID, OneDrive, canaux de mise à jour et points de terminaison réseau. Le socle technique avant tout travail de gouvernance.
La phase décisive : audit de la prolifération des permissions, hygiène des liens de partage, étiquettes de confidentialité, DLP pour Copilot et décisions Restricted Content Discovery.
Journalisation d'audit des interactions Copilot, rétention et eDiscovery, posture d'ancrage web et référentiel de gouvernance des agents.
Une cohorte issue des métiers, des indicateurs de succès avec valeurs de référence, une boucle de retour avec un responsable et un plan de confinement que vous espérez ne jamais utiliser.
Amendement de la politique d'usage acceptable citant Copilot, guide des prompts acceptables, formation avant l'attribution des licences et accusés de réception signés.
Vagues échelonnées avec points de contrôle, surveillance continue du surpartage, revue des journaux d'audit, revue des agents et chaîne d'incident opérationnelle.
La revue à 90 jours : relancer l'évaluation du surpartage, ajuster étiquettes et DLP, retirer les restrictions temporaires et rendre compte au sponsor.
Deux points de décision formels gardent le déploiement honnête. Chaque critère doit être « Go » ; un seul « No-go » suspend le lancement jusqu'à résolution ou dérogation écrite.
Le modèle inclut un exemple concret de « No-go » bien géré : restreindre les sites signalés, corriger, reconvoquer douze jours plus tard, démarrer proprement.
Le jalon B transforme les preuves du pilote en une décision de déploiement que votre comité de gouvernance peut assumer.
Copilot est rarement la seule IA de l'entreprise. Aona découvre chaque outil d'IA que vos employés utilisent déjà, montre quelles données y circulent et maintient votre inventaire IA prêt pour l'audit au moment du déploiement.