Temps de lecture :
10 minute(s)
-
22 décembre 2025
Dans un contexte où les cyber-menaces évoluent rapidement, les équipes TI doivent analyser un volume croissant d’alertes provenant d’environnements hybrides et infonuagiques.
Les organisations équipées de Microsoft 365 E5 disposent déjà d’une richesse de signaux issus de Microsoft Defender, Microsoft Entra, Microsoft Intune, Microsoft Purview et Microsoft Sentinel, mais la corrélation manuelle demeure exigeante.
Security Copilot est désormais inclus pour tous les clients Microsoft 365 E5, avec une capacité mensuelle de Security Compute Units (SCU) allouée par locataire.
Cette évolution marque une étape importante dans l’intégration de l’IA au cœur des opérations de sécurité.
Security Copilot permet d’exploiter ces données de manière structurée pour accélérer les analyses, réduire le bruit opérationnel et renforcer la cyber-résilience. Avec l’introduction d’une douzaine de nouveaux agents directement intégrés aux flux de travail via Microsoft Defender, Microsoft Entra, Microsoft Intune et Microsoft Purview, Security Copilot devient un soutien stratégique pour les équipes TI.
Parmi les agents annoncés figurent notamment le Triage Agent (Defender XDR), le Threat Hunting Agent, le Conditional Access Optimization Agent (Microsoft Entra), le Sensitive Information Remediation Agent (Microsoft Purview) et l’Intune Change Review Assistant. Chacun apporte des capacités ciblées pour automatiser le tri des alertes, guider la chasse aux menaces, optimiser les accès conditionnels, remédier aux informations sensibles et encadrer les changements Intune.
Le déploiement de ces nouvelles capacités a débuté le 18 novembre 2025 pour les organisations déjà utilisatrices de Security Copilot avec Microsoft 365 E5 et se poursuivra progressivement pour l’ensemble des clients E5, avec un avis préalable de 30 jours avant chaque activation. Microsoft 365 E5 inclut également une capacité mensuelle de calcul, appelée Security Compute Units (SCU), permettant de supporter les scénarios d’utilisation courants de Security Copilot.
Security Copilot accède uniquement aux données et signaux autorisés par les rôles et permissions déjà établis dans votre environnement Microsoft 365 E5. L’inclusion désigne donc le périmètre exact que votre gouvernance Microsoft 365 met à sa disposition. Elle regroupe à la fois les identités, les alertes de sécurité, les activités, les configurations et les contenus autorisés.
Security Copilot ne dépasse jamais les permissions de l’utilisateur qui l’invoque.
Il est également possible de contrôler l’accès à Security Copilot de manière granulaire à l’aide des groupes Microsoft Entra ID. Cette approche permet un déploiement progressif et maîtrisé, en limitant l’activation à des groupes ciblés, en validant les usages dans des contextes pilotes et en ajustant la gouvernance avant un déploiement élargi.
Une inclusion bien structurée offre plusieurs avantages :
une analyse contextualisée des signaux;
une meilleure corrélation des alertes;
une réduction du bruit opérationnel;
un respect strict du principe du moindre privilège.
Dans un environnement E5, l’inclusion repose sur trois éléments clés :
les données accessibles, dont les alertes Microsoft Defender, les incidents Microsoft Sentinel, les signaux Microsoft Entra, les contenus Microsoft SharePoint et Microsoft Exchange, ainsi que les configurations de sécurité;
les rôles et périmètres d’accès, qui déterminent précisément ce que chaque analyste peut voir et ce que Security Copilot peut exploiter;
les connecteurs, dont Microsoft Defender, Microsoft Sentinel, Microsoft Entra et Microsoft Intune, essentiels pour enrichir les analyses et fournir un contexte complet.
En combinant ces éléments, Security Copilot offre une vue cohérente, enrichie et sécurisée des activités, adaptée au périmètre réel des utilisateurs.
Security Copilot aide à comprendre des scénarios complexes, corrèle automatiquement les signaux et propose des actions pour contenir les menaces.
La réduction du bruit opérationnel libère les équipes pour les incidents plus critiques.
Security Copilot génère des requêtes KQL, des résumés d’incidents et des analyses contextualisées, améliorant la rapidité de décision.
Les analyses respectent la gouvernance Microsoft 365, garantissant traçabilité et cohérence.
Optimiser l’inclusion de Security Copilot signifie structurer clairement ce que l’outil peut utiliser dans votre environnement Microsoft 365 E5. Une inclusion bien définie améliore la qualité des analyses, la cohérence opérationnelle et la cyber-résilience, tout en restant alignée avec votre gouvernance interne.
L’objectif n’est pas de multiplier les restrictions, mais de permettre à Security Copilot d’opérer dans un cadre clair, cohérent et adapté aux besoins réels des équipes TI.
Sans gouvernance claire, l’IA ajoute de la complexité. Avec une inclusion maîtrisée, Security Copilot devient un véritable accélérateur.
une utilisation pertinente et sécurisée des données accessibles;
des analyses plus complètes, contextualisées et exploitables;
une cohérence entre les analystes grâce à des rôles harmonisés;
une continuité entre votre gouvernance interne et les permissions Microsoft 365;
une posture de cyber-résilience renforcée par une meilleure maîtrise de l’information.
L’activation du Baseline Security Mode (BSM) permet d’élever rapidement la posture de sécurité Microsoft 365 en appliquant des protections avancées de façon cohérente.
Avec Purview DLP for Copilot, les organisations bénéficient d’un contrôle accru sur les prompts et interactions, protégeant les données sensibles tout au long de l’utilisation de l’IA. L’ajout de SharePoint Advanced Management (SAM) renforce quant à lui les capacités d’audit et de gouvernance afin de détecter et prévenir la surexposition de l’information.
Auditer les accès et rôles Microsoft 365 avant l’activation.
Définir un modèle clair de rôles et responsabilités pour Security Copilot.
Appliquer rigoureusement le principe du moindre privilège.
Valider et optimiser les connecteurs essentiels (Microsoft Defender, Microsoft Sentinel, Microsoft Entra, Microsoft Intune).
Encadrer la classification et la sensibilité de l’information accessible.
Déployer Security Copilot progressivement pour mieux maîtriser l’adoption.
Surveiller et ajuster continuellement les accès et périmètres d’inclusion.
Microsoft a introduit une douzaine de nouveaux agents spécialisés qui renforcent la défense agentique. Ces agents automatisent certaines tâches, enrichissent les données, vérifient des configurations et seront directement intégrés aux flux de travail des équipes de sécurité via Microsoft Defender, Microsoft Entra, Microsoft Intune et Microsoft Purview, ce qui soutient une approche plus proactive et coordonnée.
Ils permettent d’accélérer les investigations, de réduire la charge opérationnelle et d’améliorer la cohérence des analyses.
Avec les agents, Security Copilot s’inscrit dans une approche de défense plus proactive, intégrée et coordonnée.
Le déploiement des nouveaux agents a débuté le 18 novembre 2025 pour les organisations utilisant déjà Security Copilot avec Microsoft 365 E5. Il sera ensuite étendu progressivement à l’ensemble des clients Microsoft 365 E5 dans les mois suivants. Chaque activation est précédée d’un avis de 30 jours, permettant aux équipes TI de valider leur gouvernance et leurs accès.
Microsoft 365 E5 inclut une capacité mensuelle de calcul destinée à l’exécution des charges de travail Security Copilot. Cette capacité, exprimée en Security Compute Units (SCU), permet de supporter les scénarios d’utilisation courants sans frais additionnels.
Les SCU représentent la puissance nécessaire aux fonctionnalités d’IA de Security Copilot, autant dans son expérience autonome que dans ses intégrations avec Defender, Sentinel, Entra, Intune ou Purview. Elles sont utilisables à travers l’ensemble des espaces de travail du même locataire et se renouvellent chaque mois.
Pour consulter l’ensemble des détails liés au modèle de consommation et à la capacité incluse, référez-vous à la documentation officielle de Microsoft : https://learn.microsoft.com/.
L’intégration de Security Copilot dans Microsoft 365 E5 demande une gouvernance claire. Precicom accompagne les organisations dans :
l’évaluation des accès et rôles;
la configuration de l’inclusion;
l’optimisation des connecteurs;
l’adoption sécurisée par les équipes TI.
C’est l’ensemble des données que Security Copilot peut utiliser selon les permissions existantes.
Non. Il n’accède qu’aux données visibles par l’utilisateur qui l’utilise.
Non. Les données internes ne sont pas utilisées pour entraîner les modèles. Elles peuvent toutefois être journalisées afin d’assurer l’audit, la traçabilité et le respect des principes de Responsible AI.
Oui. L’inclusion de Security Copilot s’applique aux clients Microsoft 365 E5 (et E5 Security). Les clients non E5 peuvent accéder à Copilot for Security via un modèle à la consommation basé sur les SCU, sans bénéficier de l’entitlement E5.
En appliquant strictement le moindre privilège.
Parce que leurs rôles et permissions diffèrent.
Validez vos rôles Microsoft 365, vos politiques d’accès, vos groupes d’administration, ainsi que la classification et la sensibilité des données accessibles.
Une SCU représente la puissance de calcul utilisée par Security Copilot. Microsoft 365 E5 inclut une capacité mensuelle dédiée, renouvelée chaque mois.
Le barème inclus est établi à 400 SCU pour 1 000 licences Microsoft 365 E5, jusqu’à un maximum de 10 000 SCU par mois et par locataire. Les SCU sont partagées entre l’ensemble des espaces de travail du locataire et ne sont pas cumulatives d’un mois à l’autre.
Pour consulter l’ensemble des détails liés au modèle de consommation et à la capacité incluse, référez-vous à la documentation officielle de Microsoft : https://learn.microsoft.com/
Security Copilot est désormais inclus dans Microsoft 365 E5, avec une capacité mensuelle de calcul (SCU) permettant de soutenir les usages courants.
L’inclusion de Security Copilot repose entièrement sur la gouvernance Microsoft 365 existante, notamment les rôles, permissions et groupes Microsoft Entra.
Une douzaine de nouveaux agents renforcent l’approche de défense agentique en s’intégrant directement aux flux de travail via Microsoft Defender, Microsoft Entra, Microsoft Intune et Microsoft Purview.
Une inclusion bien structurée améliore la sécurité, la performance et la cohérence opérationnelle, tout en réduisant le bruit et la charge des équipes TI.
La gouvernance et le déploiement progressif sont des leviers essentiels pour tirer pleinement parti de Security Copilot.
Avec l’arrivée de nouveaux agents et le déploiement progressif à tous les clients Microsoft 365 E5, Security Copilot franchit une étape importante. L’outil devient un amplificateur opérationnel pour les équipes TI et un élément clé de la cyber-résilience. Une inclusion bien structurée et alignée avec les politiques internes permet d’exploiter pleinement ce potentiel.
Les organisations qui anticipent cette transition renforceront leur sécurité, optimiseront leur performance opérationnelle et amélioreront leur capacité d’adaptation.
Microsoft Learn – Security Copilot inclusion with Microsoft 365 E5 :
learn.microsoft.com/…/security-copilot-inclusion
Microsoft Learn – What is Copilot for Security :
learn.microsoft.com/…/security
Microsoft Learn – Security Compute Units (SCU) and billing model :
learn.microsoft.com/…/pricing
Microsoft Learn – Responsible AI and data handling for Copilot :
learn.microsoft.com/…/privacy-security
Nidhal Ferchichi est consultant sénior en cybersécurité chez Precicom, avec plus de 15 ans d’expérience en technologies de l’information. Spécialisé en sécurité infonuagique, en services de sécurité gérés et en infrastructures TI, Nidhal combine expertise technique, gestion de projets et conception de solutions sécuritaires alignées sur les réalités opérationnelles des organisations. Titulaire de nombreuses certifications reconnues, il contribue activement à renforcer la posture de sécurité et la résilience numérique des clients de Precicom.
