Guide complet de gouvernance du Shadow AI en environnement Microsoft 365 Business Premium pour PME suisses : MDCA, Purview DLP, DSPM for AI, Insider Risk Management, DLP inline Edge for Business. Conformité nLPD.
View the Project on GitHub doit4everyone/shadow-ai-governance-microsoft-365-nLPD
MDCA + Microsoft Purview — Guide complet Environnement Microsoft 365
Conformité nLPD — PME Suisse 🇨🇭 — Version 1.1
| Licences de base | Microsoft 365 Business Premium |
| Extension sécurité | Microsoft Defender and Purview Suites for Microsoft 365 Business Premium |
| Environnement | Hybride (AD + Entra ID) et tenant pur Microsoft 365 |
| Réglementation | nLPD Suisse — Loi fédérale sur la protection des données |
| Niveau | Moyen — chaque étape expliquée en détail |
| Version | 1.1 — 2026 |
| Objectif | Gouverner et surveiller le Shadow AI. Protection des données et conformité nLPD |
ℹ️ Guide complémentaire requis (Cas A) : si Microsoft Purview n’a jamais été configuré dans votre organisation, consultez d’abord Configuration_Microsoft_Purview_2026 avant de suivre ce guide — voir Partie 2.
Cette chronologie permet un déploiement progressif sans interruption de service. Chaque semaine représente un palier stable : si vous devez vous arrêter, l’architecture reste cohérente à la fin de chaque semaine.
| Période | Actions |
|---|---|
| Semaine 1 | Activation MDCA + onboarding MDE : activer le toggle MDCA-MDE (section 1.3.4), vérifier Cloud Discovery, onboarder les appareils Windows dans Defender for Endpoint. Network Protection en mode Block via Intune (section 1.3.5). Ces deux contrôles sont les plus critiques : sans eux, toute la chaîne de blocage est silencieuse. |
| Semaine 2 | Gouvernance MDCA : sanctionner les apps IA approuvées (Copilot M365), non-sanctionner les apps IA non autorisées (ChatGPT grand public, Gemini, etc.), créer la stratégie AutoBlock (section 1.6) et la politique de détection MDCA-DET-Shadow-AI-Generative (section 1.7.1). Politique BYOD Conditional Access (section 1.8.1). |
| Semaine 3 | DLP Purview : créer la politique principale (section 3.2) en mode Test, créer la politique Endpoint DLP (section 3.3.2) en mode Test, configurer les activités surveillées (section 3.3.3). Blocage réseau : Edge URLBlocklist via Intune (section 6.2), 6 indicateurs MDE URL/Domaines API (section 6.3). Valider les tests T1a et T1b (section 8). |
| Semaine 4 | DSPM for AI (section 4), IRM Shadow-AI-Navigation (section 5), Power Platform DLP-ConnecteursProd (section 7). Communication aux utilisateurs obligatoire avant activation IRM (art. 19 nLPD, section 9.5). Passer les politiques DLP de mode Test en mode Actif (bloquant) après validation des résultats dans l’Activity Explorer. État final cible : toutes les politiques DLP en mode Actif (Enable) avec actions Block ou Block with override. Le mode Test n’est qu’une phase transitoire de validation, pas un état permanent. Planifier les vérifications mensuelles (section 9.1). Semaine 5 (optionnelle, v1.1) : lier l’abonnement Azure PAYG (section 3.4.2), créer la politique DLP inline Edge (section 3.4.3), configurer le mode hybride pour les apps IA à usage autorisé (section 3.4.4). Tester le blocage prompt dans Edge avant passage en mode actif. |
Cette solution est une architecture de contrôle centrée sur le réseau et la donnée dans l’écosystème Microsoft 365. Elle n’est pas un système de sécurité périmétrique universel. Les contrôles déployés voyagent avec les données et les flux réseau connus — pas avec les comportements invisibles au réseau. ✅ Ce que cette solution fait
❌ Ce qu’elle ne remplace pas
⚠️ Déployée sur des fondations fragiles (permissions SharePoint incohérentes, appareils non onboardés, Network Protection désactivé), cette solution donnera une fausse impression de sécurité. Déployée correctement, elle constitue une défense en profondeur efficace et démontrable face au PFPDT — dans un périmètre réaliste de 70 à 85 % de couverture sur un environnement Windows géré (voir matrice de couverture, section 9.7). Ce n’est pas une défense complète : mobile, SaaS IA native et LLM locaux restent hors périmètre.
| Chapitre | Description |
|---|---|
| Introduction — Le Shadow AI et les risques | Qu’est-ce que le Shadow AI, exemples concrets, risques de fuite de données, vecteur API, risques nLPD (art. 5, 6, 7, 8, 9, 16, 19, 22, 24, 32, 61, 62, 64), architecture de la solution, modèle de menace |
| Partie 0 — Avant de commencer | Licences requises, comptes et rôles, portails utilisés, installation PowerShell, checklist de départ |
| Partie 1 — Microsoft Defender for Cloud Apps (MDCA) | Cloud Discovery, onboarding Defender for Endpoint, sanction des apps IA, AutoBlock, Conditional Access BYOD |
| Partie 2 — Prérequis Microsoft Purview | Cas A (nouveau tenant), Cas B (guide suivi), Cas C (tenant existant) |
| Partie 3 — Politiques DLP | DLP principale, Endpoint DLP presse-papier, DLP inline Edge for Business (v1.1), mode hybride |
| Partie 4 — DSPM for AI | Surveillance des interactions IA via Purview DSPM |
| Partie 5 — Insider Risk Management | Détection comportementale du Shadow AI |
| Partie 6 — Contrôles navigateur et Power Platform | Edge URLBlocklist Intune, indicateurs MDE URL/Domaines API |
| Partie 7 — Power Platform et Copilot Studio | Gouvernance des connecteurs — DLP-ConnecteursProd |
| Partie 8 — Tests et validation | Tests T1 à T4 — validation du déploiement |
| Partie 9 — Gestion opérationnelle et maintenance | Vérifications périodiques, communication utilisateurs (art. 19 nLPD), matrice des angles morts |
| Document | Description |
|---|---|
| Configuration_Microsoft_Purview_2026 | Configuration complète de Microsoft Purview depuis un tenant vierge : étiquettes de sensibilité, SITs personnalisés suisses (AVS, IBAN, données médicales), politiques DLP, auto-labelling, Endpoint DLP, DSPM for AI, Insider Risk Management |
Ce guide constitue une aide à la mise en conformité technique. Il ne remplace pas un conseil juridique. Les références à la nLPD sont fournies à titre informatif et doivent être validées avec votre conseil juridique ou votre préposé à la protection des données avant mise en production.
ℹ️ Références et aide à la rédaction assistées par IA, avec validation humaine finale et tests en tenant lab réel.