Gouvernance Shadow AI Microsoft 365 — Guide MDCA + Purview

Guide complet de gouvernance du Shadow AI en environnement Microsoft 365 Business Premium pour PME suisses : MDCA, Purview DLP, DSPM for AI, Insider Risk Management, DLP inline Edge for Business. Conformité nLPD.

View the Project on GitHub doit4everyone/shadow-ai-governance-microsoft-365-nLPD

🛡️ Gouvernance Shadow AI Microsoft 365

MDCA + Microsoft Purview — Guide complet Environnement Microsoft 365
Conformité nLPD — PME Suisse 🇨🇭 — Version 1.1

GitHub Pages License: MIT


📖 À propos

   
Licences de base Microsoft 365 Business Premium
Extension sécurité Microsoft Defender and Purview Suites for Microsoft 365 Business Premium
Environnement Hybride (AD + Entra ID) et tenant pur Microsoft 365
Réglementation nLPD Suisse — Loi fédérale sur la protection des données
Niveau Moyen — chaque étape expliquée en détail
Version 1.1 — 2026
Objectif Gouverner et surveiller le Shadow AI. Protection des données et conformité nLPD

ℹ️ Guide complémentaire requis (Cas A) : si Microsoft Purview n’a jamais été configuré dans votre organisation, consultez d’abord Configuration_Microsoft_Purview_2026 avant de suivre ce guide — voir Partie 2.


Chronologie de déploiement

Cette chronologie permet un déploiement progressif sans interruption de service. Chaque semaine représente un palier stable : si vous devez vous arrêter, l’architecture reste cohérente à la fin de chaque semaine.

Période Actions
Semaine 1 Activation MDCA + onboarding MDE : activer le toggle MDCA-MDE (section 1.3.4), vérifier Cloud Discovery, onboarder les appareils Windows dans Defender for Endpoint. Network Protection en mode Block via Intune (section 1.3.5). Ces deux contrôles sont les plus critiques : sans eux, toute la chaîne de blocage est silencieuse.
Semaine 2 Gouvernance MDCA : sanctionner les apps IA approuvées (Copilot M365), non-sanctionner les apps IA non autorisées (ChatGPT grand public, Gemini, etc.), créer la stratégie AutoBlock (section 1.6) et la politique de détection MDCA-DET-Shadow-AI-Generative (section 1.7.1). Politique BYOD Conditional Access (section 1.8.1).
Semaine 3 DLP Purview : créer la politique principale (section 3.2) en mode Test, créer la politique Endpoint DLP (section 3.3.2) en mode Test, configurer les activités surveillées (section 3.3.3). Blocage réseau : Edge URLBlocklist via Intune (section 6.2), 6 indicateurs MDE URL/Domaines API (section 6.3). Valider les tests T1a et T1b (section 8).
Semaine 4 DSPM for AI (section 4), IRM Shadow-AI-Navigation (section 5), Power Platform DLP-ConnecteursProd (section 7). Communication aux utilisateurs obligatoire avant activation IRM (art. 19 nLPD, section 9.5). Passer les politiques DLP de mode Test en mode Actif (bloquant) après validation des résultats dans l’Activity Explorer. État final cible : toutes les politiques DLP en mode Actif (Enable) avec actions Block ou Block with override. Le mode Test n’est qu’une phase transitoire de validation, pas un état permanent. Planifier les vérifications mensuelles (section 9.1). Semaine 5 (optionnelle, v1.1) : lier l’abonnement Azure PAYG (section 3.4.2), créer la politique DLP inline Edge (section 3.4.3), configurer le mode hybride pour les apps IA à usage autorisé (section 3.4.4). Tester le blocage prompt dans Edge avant passage en mode actif.

Positionnement de la solution

Cette solution est une architecture de contrôle centrée sur le réseau et la donnée dans l’écosystème Microsoft 365. Elle n’est pas un système de sécurité périmétrique universel. Les contrôles déployés voyagent avec les données et les flux réseau connus — pas avec les comportements invisibles au réseau. ✅ Ce que cette solution fait

❌ Ce qu’elle ne remplace pas

⚠️ Déployée sur des fondations fragiles (permissions SharePoint incohérentes, appareils non onboardés, Network Protection désactivé), cette solution donnera une fausse impression de sécurité. Déployée correctement, elle constitue une défense en profondeur efficace et démontrable face au PFPDT — dans un périmètre réaliste de 70 à 85 % de couverture sur un environnement Windows géré (voir matrice de couverture, section 9.7). Ce n’est pas une défense complète : mobile, SaaS IA native et LLM locaux restent hors périmètre.


🗂️ Sommaire complet

Chapitre Description
Introduction — Le Shadow AI et les risques Qu’est-ce que le Shadow AI, exemples concrets, risques de fuite de données, vecteur API, risques nLPD (art. 5, 6, 7, 8, 9, 16, 19, 22, 24, 32, 61, 62, 64), architecture de la solution, modèle de menace
Partie 0 — Avant de commencer Licences requises, comptes et rôles, portails utilisés, installation PowerShell, checklist de départ
Partie 1 — Microsoft Defender for Cloud Apps (MDCA) Cloud Discovery, onboarding Defender for Endpoint, sanction des apps IA, AutoBlock, Conditional Access BYOD
Partie 2 — Prérequis Microsoft Purview Cas A (nouveau tenant), Cas B (guide suivi), Cas C (tenant existant)
Partie 3 — Politiques DLP DLP principale, Endpoint DLP presse-papier, DLP inline Edge for Business (v1.1), mode hybride
Partie 4 — DSPM for AI Surveillance des interactions IA via Purview DSPM
Partie 5 — Insider Risk Management Détection comportementale du Shadow AI
Partie 6 — Contrôles navigateur et Power Platform Edge URLBlocklist Intune, indicateurs MDE URL/Domaines API
Partie 7 — Power Platform et Copilot Studio Gouvernance des connecteurs — DLP-ConnecteursProd
Partie 8 — Tests et validation Tests T1 à T4 — validation du déploiement
Partie 9 — Gestion opérationnelle et maintenance Vérifications périodiques, communication utilisateurs (art. 19 nLPD), matrice des angles morts

📚 Guide complémentaire

Document Description
Configuration_Microsoft_Purview_2026 Configuration complète de Microsoft Purview depuis un tenant vierge : étiquettes de sensibilité, SITs personnalisés suisses (AVS, IBAN, données médicales), politiques DLP, auto-labelling, Endpoint DLP, DSPM for AI, Insider Risk Management

⚖️ Avertissement

Ce guide constitue une aide à la mise en conformité technique. Il ne remplace pas un conseil juridique. Les références à la nLPD sont fournies à titre informatif et doivent être validées avec votre conseil juridique ou votre préposé à la protection des données avant mise en production.


ℹ️ Références et aide à la rédaction assistées par IA, avec validation humaine finale et tests en tenant lab réel.