Copilot : quand l’IA de Microsoft résume sans autorisation des e-mails confidentiels

Un simple bug, selon Microsoft. Pourtant, pendant plusieurs semaines, Copilot a pu résumer des e-mails marqués « confidentiels » dans Microsoft 365. L’incident, confirmé mi-février 2026, interroge sur la fiabilité des garde-fous de l’IA en entreprise et sur la protection réelle des données sensibles.

Paolo Garoscio
By Paolo Garoscio Published on 20 février 2026 7h36
IA : Microsoft déploie son plan d’envergure pour former les Français
Copilot : quand l’IA de Microsoft résume sans autorisation des e-mails confidentiels - © Economie Matin
72%72 % des entreprises du S&P 500 citent l’IA comme un risque matériel

Un bug affecte Microsoft 365 Copilot Chat. Selon BleepingComputer, Microsoft a reconnu qu’un dysfonctionnement faisait que « les messages e-mail des utilisateurs avec une étiquette confidentielle appliquée sont traités de manière incorrecte par Microsoft 365 Copilot Chat ».

Copilot lit sans autorisation des e-mails confidentiels

Concrètement, Copilot résumait des e-mails pourtant protégés par des étiquettes de sensibilité et des politiques de prévention de perte de données, dites DLP. Toujours selon BleepingComputer, la fonction « work tab » de Copilot Chat était en cause, et les messages stockés dans les dossiers « Sent Items » et « Drafts » pouvaient être lus et synthétisés, y compris lorsqu’ils portaient des mentions destinées à restreindre leur traitement automatisé.

Le bug est identifié sous le numéro CW1226324. Il aurait été détecté pour la première fois le 21 janvier 2026, ce qui signifie que pendant plusieurs semaines, Copilot a pu fonctionner en contradiction avec les règles de confidentialité définies par les entreprises. Microsoft indique avoir commencé à déployer un correctif début février 2026 et poursuivre la surveillance du déploiement.

Tom’s Guide souligne que Microsoft n’a pas précisé combien de clients avaient été affectés ni quand le correctif serait totalement déployé. L’absence de chiffres précis alimente l’inquiétude, surtout dans des environnements où la gestion des e-mails est centrale pour la conformité réglementaire.

Copilot et le contournement des politiques DLP : un signal d’alarme pour la sécurité des entreprises

L’aspect le plus préoccupant ne tient pas seulement au bug lui-même. Il concerne la manière dont Copilot a contourné des politiques DLP censées empêcher précisément ce type de traitement. Selon The Register, Microsoft a reconnu que « le chat Microsoft 365 Copilot dans l’onglet travail résume des messages e-mail même si ces messages ont une étiquette de sensibilité appliquée et qu’une politique DLP est configurée ». Un porte-parole de Microsoft affirme que l’entreprise a « identifié et corrigé un problème où Microsoft 365 Copilot Chat pouvait retourner du contenu provenant d’e-mails étiquetés confidentiels rédigés par un utilisateur et stockés dans ses dossiers Brouillons et Éléments envoyés ». Il ajoute que cela « n’a donné à personne accès à des informations auxquelles il n’était pas déjà autorisé ».

Certes, Microsoft soutient que Copilot n’a pas ouvert l’accès à des tiers non autorisés. Toutefois, le simple fait que l’IA traite des contenus explicitement marqués comme confidentiels, malgré des règles DLP actives, démontre une faille dans l’articulation entre les couches de sécurité et les fonctions d’IA. En effet, la politique DLP, construite pour empêcher Copilot Chat de traiter des e-mails confidentiels, a été ignorée en raison d’une erreur de code. Pas de quoi rassurer les entreprises. The Register rappelle que 72 % des entreprises du S&P 500 citent l’IA comme un risque matériel dans leurs dépôts réglementaires.

Données sensibles : un précédent inquiétant pour les entreprises

Le problème ne se limite pas à une anomalie technique isolée. Il touche au cœur de la promesse de Microsoft : intégrer l’IA dans les flux de travail professionnels sans compromettre les données sensibles. Or, selon TechCrunch, l’incident a été suffisamment sérieux pour raviver des inquiétudes institutionnelles sur l’utilisation d’outils d’IA intégrés. Le contournement des politiques DLP par Copilot Chat concrétise les craintes de confidentialité pour les organisations qui s’appuient sur les étiquettes de sensibilité pour empêcher le traitement automatisé des données confidentielles. Autrement dit, les entreprises qui pensaient avoir verrouillé leurs e-mails sensibles découvrent que l’IA pouvait malgré tout en générer des synthèses.

Microsoft insiste sur le fait que personne n’a eu accès à des données auxquelles il n’était pas déjà autorisé. Toutefois, la frontière entre accès autorisé et traitement automatisé n’est pas neutre. Dans de nombreux cadres réglementaires, le simple fait qu’un système d’IA analyse des données confidentielles peut déclencher des obligations de transparence, d’audit ou d’évaluation d’impact. Copilot, en ignorant temporairement les règles DLP, fragilise cette chaîne de conformité.

Copilot n’a peut-être pas ouvert la porte à des pirates. Cependant, il a démontré que les garde-fous pouvaient céder. Pour les responsables de la conformité et de la sécurité, l’épisode agit comme un avertissement. L’IA intégrée aux outils bureautiques n’est plus un simple assistant. Elle devient un acteur à part entière du traitement des données sensibles, et donc un nouveau maillon critique de la chaîne de sécurité.

Paolo Garoscio
Paolo Garoscio

Rédacteur en chef adjoint. Après son Master de Philosophie, il s'est tourné vers la communication et le journalisme. Il rejoint l'équipe d'EconomieMatin en 2013.   Suivez-le sur Twitter : @PaoloGaroscio

No comment on «Copilot : quand l’IA de Microsoft résume sans autorisation des e-mails confidentiels»

Leave a comment

* Required fields