Microsoft Purview : DSPM for AI, eDiscovery et NIS2/DORA

Depuis le déploiement de Copilot, le constat est clair : l’IA ne distingue pas une présentation commerciale d’un contrat confidentiel. Elle accède à tout ce que l’utilisateur peut voir un périmètre souvent bien plus large que ce que la DSI imagine.

Microsoft Purview est la réponse native à ce risque. En 2026-2027, il intègre le DSPM for AI, une conformité renforcée NIS2/DORA, et des capacités d’enquête augmentées par l’IA. Nos équipes accompagnent les DSI dans le cadre de notre offre Sécurité Cloud & Gouvernance M365.

Microsoft Purview protection données : pourquoi 2026-2027 change tout

Purview existait avant Copilot. Mais son rôle a fondamentalement changé depuis que les agents IA sont devenus opérationnels dans les tenants Microsoft 365. Avant Copilot, une donnée mal classifiée ou un site SharePoint trop ouvert était un risque latent — visible seulement si quelqu’un cherchait activement. Après Copilot, c’est un risque actif qui se matérialise à la prochaine requête.

En conséquence, Purview n’est plus seulement un outil pour les équipes juridiques et conformité. C’est une infrastructure de gouvernance des données que le DSI doit piloter — au même titre qu’Intune pour les appareils ou Entra ID pour les identités. Trois dimensions structurent cette évolution en 2027 : la gouvernance des données IA via DSPM for AI, les enquêtes et l’audit via eDiscovery Premium, et la conformité réglementaire via NIS2, DORA et AI Act.

Ce que Purview couvre aujourd’hui dans Microsoft 365

Les caractéristiques principales de Purview en 2025-2026 incluent : une intégration fluide avec les environnements sur site, cloud et SaaS incluant Microsoft Fabric, un Unified Catalog avec recherche en langage naturel, des capacités d’enquête enrichies par l’IA avec recherche vectorielle et catégorisation automatisée, et une gouvernance unifiée des données locales, multicloud et SaaS avec recommandations IA. En d’autres termes, Purview est désormais une plateforme complète — pas seulement un outil de labellisation.

DSPM for AI : la nouveauté structurante pour les DSI qui déploient Copilot

Le DSPM for AI de Microsoft Purview est la réponse technique au risque le plus fréquent dans les déploiements Copilot. Il aide les organisations à sécuriser les interactions IA, à monitorer les contenus générés par l’IA et à assurer la conformité réglementaire. Il fournit une visibilité sur l’activité IA, des politiques de sécurité pour les interactions IA et des contrôles de conformité pour gérer les risques liés à l’IA.

Ce que DSPM for AI détecte concrètement

DSPM for AI identifie quels outils IA sont utilisés dans l’organisation, y compris Microsoft 365 Copilot et les services IA non-Microsoft. Il fournit des insights sur les risques d’exposition des données dans les contenus générés par l’IA, et des rapports pour évaluer la posture de sécurité et de conformité. Par ailleurs, DSPM for AI effectue des évaluations hebdomadaires sur les 100 sites SharePoint les plus utilisés par Copilot. Ces évaluations identifient les données fréquemment accédées ou sur-partagées, les fichiers contenant des informations sensibles pouvant être exposées via l’IA, et les contenus manquant de labellisation ou de contrôles de gouvernance appropriés.

Les politiques de sécurité IA en un clic

Quand vous activez DSPM for AI, la page Recommandations dans le portail Purview remonte les risques de sécurité IA liés aux interactions avec Microsoft 365 Copilot, les outils IA d’entreprise comme ChatGPT Enterprise, et d’autres applications IA. Ces risques sont regroupés en catégories : sécurité des données, prévention du surpartage, application des labels et actions protectrices. Certaines recommandations s’appliquent automatiquement via des politiques en un clic. C’est précisément ce qui change le rapport des DSI à la gouvernance IA — elle devient actionnable sans expertise Purview approfondie.

DSPM for AI et la capture des interactions Copilot

La stratégie de collecte DSPM for AI capture les invites et les réponses pour la conformité réglementaire des applications IA d’entreprise, afin qu’elles puissent être gérées dans des solutions Purview telles que eDiscovery et la gestion du cycle de vie des données. En d’autres termes, chaque interaction Copilot devient un objet auditable — traçable, consultable en eDiscovery et soumis aux politiques de rétention. C’est la base technique de la conformité AI Act. Pour aller plus loin, consultez la documentation officielle Microsoft sur les considérations DSPM for AI.

Microsoft Purview eDiscovery Premium : ce que le DSI doit savoir

L’eDiscovery Premium est la fonctionnalité Purview la moins connue hors des équipes juridiques — et pourtant l’une des plus critiques pour le DSI en contexte réglementaire. Il regroupe les solutions Purview les plus pertinentes — protection des informations, DLP, gestion des risques internes et eDiscovery — en vous permettant de vous concentrer sur des résultats de sécurité spécifiques plutôt que sur la navigation dans des solutions distinctes.

Trois cas d’usage concrets pour le DSI

Le premier cas d’usage est l’enquête interne. Quand un collaborateur suspecté d’exfiltration de données quitte l’organisation, eDiscovery Premium permet de retrouver et de préserver l’ensemble de ses échanges Teams, emails Exchange et documents SharePoint en quelques clics — avec une chaîne de custody juridiquement recevable.

Le deuxième cas est l’audit réglementaire. Face à la CNIL, à un auditeur NIS2 ou à un contrôleur DORA, l’organisation doit être capable de produire rapidement la preuve qu’une donnée spécifique a été traitée conformément à ses politiques. eDiscovery Premium génère ces preuves depuis Purview — sans extraction manuelle.

Le troisième cas est la conformité AI Act. Les interactions Copilot capturées par DSPM for AI sont accessibles en eDiscovery. En conséquence, documenter le comportement d’un agent IA dans le cadre d’un système à haut risque devient techniquement faisable — directement depuis le portail Purview. Nos équipes en projets Microsoft 365 accompagnent le déploiement de ces capacités.

NIS2, DORA et AI Act : ce que Purview Compliance Manager intègre

Le DSPM devient indispensable pour assurer une gouvernance efficace de vos données et éviter les fuites d’informations critiques. Il constitue une stratégie et un ensemble d’outils pour identifier, surveiller et protéger vos données sensibles tout en garantissant leur conformité aux réglementations de plus en plus strictes : DORA, NIS2, RGPD.

Ce que NIS2 exige — et comment Purview y répond

NIS2 impose aux entités essentielles et importantes une gestion des risques cyber documentée, une notification des incidents sous 24 heures et une sécurisation de la chaîne d’approvisionnement. Purview intègre des évaluations de conformité pour NIS2 et DORA directement dans le Compliance Manager, avec des évaluations de conformité intégrées. Concrètement, Compliance Manager fournit un score de conformité continu avec des actions recommandées priorisées — chaque action exécutée améliore le score et produit une trace auditée.

DORA : les exigences spécifiques au secteur financier

DORA impose au secteur financier des exigences de résilience opérationnelle numérique, de test de pénétration régulier et de reporting des incidents ICT sous 72 heures. Purview Compliance Manager intègre le référentiel DORA avec des contrôles mappés aux fonctionnalités Purview existantes : DLP, audit logs, rétention des données et gestion des incidents. En d’autres termes, les organisations du secteur financier utilisant Microsoft 365 peuvent adresser une large partie de leur conformité DORA depuis un seul portail.

AI Act : la conformité documentaire des agents IA

Depuis août 2026, les obligations de transparence de l’AI Act s’appliquent. Tout agent Copilot Studio déployé dans un contexte RH, de notation ou d’analyse financière entre potentiellement dans le périmètre des systèmes à haut risque. Par conséquent, les logs d’audit Purview sur les interactions agents, les politiques DSPM for AI et la documentation des systèmes IA ne sont plus optionnels — ils deviennent la preuve réglementaire que les autorités peuvent demander. Notre offre d’accompagnement couvre ce volet documentation réglementaire.

Les Sensitivity Labels : le prérequis absolu de tout le reste

DSPM for AI, DLP, eDiscovery, Communication Compliance — toutes ces fonctionnalités Purview reposent sur les Sensitivity Labels pour fonctionner correctement. Sans labels déployés, Purview ne peut pas distinguer une donnée sensible d’un fichier banal. C’est le prérequis le plus sous-estimé — et le plus systématiquement repoussé.

Pourquoi le déploiement des labels est toujours reporté

Trois raisons expliquent ce report systématique. D’abord, le déploiement des labels touche tous les utilisateurs — il est visible et génère des questions. Ensuite, définir la taxonomie de labels nécessite une décision métier, pas seulement technique. Enfin, le labellisage automatique nécessite une configuration précise pour ne pas étiqueter massivement des documents de manière incorrecte.

Toutefois, chaque mois sans labels est un mois supplémentaire pendant lequel DSPM for AI opère sans protection complète, DLP ne bloque aucune fuite sensible et Copilot peut restituer des données non étiquetées. Par conséquent, le déploiement des labels n’est pas un chantier optionnel — c’est la fondation de toute la stratégie Purview.

Le business case Purview face à votre CFO

Purview E5 Compliance coûte entre 10 et 12 € par utilisateur par mois. Face à un CFO qui voit ce coût comme un add-on de conformité sans valeur business directe, le DSI doit construire un argument fondé sur le coût de l’incident — pas sur la valeur de la prévention.

Une violation de données RGPD peut coûter jusqu’à 4 % du chiffre d’affaires mondial. Une enquête NIS2 avec notification tardive génère des sanctions et des coûts d’audit externe. Une procédure juridique sans capacité d’eDiscovery structurée coûte en moyenne plusieurs centaines de milliers d’euros en extraction manuelle. En d’autres termes, Purview ne coûte pas 10 à 12 € par utilisateur par mois — il évite des incidents qui coûtent plusieurs centaines de fois plus.

Par où commencer : les quatre étapes prioritaires

Face à la richesse de Purview, la tentation est de vouloir tout déployer en même temps. C’est la stratégie qui génère le plus d’échecs. Une approche séquencée produit des résultats visibles et progressifs — sans saturer les équipes.

Étape 1 — Activer DSPM for AI immédiatement

DSPM for AI est activable en quelques clics depuis le portail Purview. Il ne nécessite pas de labels déployés pour produire ses premières insights. Activez-le maintenant — et laissez-le analyser vos 100 sites SharePoint les plus utilisés par Copilot. Les résultats de la première évaluation hebdomadaire seront votre argument le plus convaincant pour lancer les chantiers suivants.

Étape 2 — Déployer les quatre labels fondamentaux

Public, Interne, Confidentiel, Hautement confidentiel. Commencez par ces quatre labels et activez le labellisage automatique sur les types de données identifiables. Cette étape prend 2 à 4 semaines selon la taille du tenant. Elle débloque immédiatement DLP, DSPM for AI complet et eDiscovery structuré.

Étape 3 — Configurer Compliance Manager sur NIS2 et DORA

Activez les modèles d’évaluation NIS2 et DORA dans Compliance Manager. Le score de conformité initial révèle vos lacunes prioritaires — et priorise les actions à fort impact sur votre posture réglementaire.

Étape 4 — Activer Communication Compliance et Insider Risk Management

Ces deux fonctionnalités nécessitent une validation juridique préalable sur le cadre légal applicable en France. Toutefois, une fois validées, elles constituent le deuxième niveau de protection — au-delà des données et des agents IA. Nos experts en gouvernance M365 accompagnent cette configuration et la validation juridique associée.

Conclusion — Microsoft Purview : de l’outil de conformité au pilier de gouvernance IA

Microsoft Purview n’est plus l’outil des équipes juridiques. C’est le pilier de gouvernance des données que chaque DSI doit maîtriser en 2027. DSPM for AI rend visible ce que Copilot expose. eDiscovery Premium rend prouvable ce que vos politiques protègent. Compliance Manager rend traçable votre conformité NIS2, DORA et AI Act.

Ces trois dimensions convergent vers la même réalité : à l’ère des agents IA, la gouvernance des données n’est plus un projet de conformité — c’est une condition opérationnelle. Les organisations qui la déploient maintenant auront un avantage décisif face à leurs régulateurs, à leurs auditeurs et à leurs partenaires. Celles qui attendent découvriront l’étendue de leur exposition au pire moment.