IA
Ces derniers temps, les développeurs de logiciels intègrent des fonctionnalités d’IA directement dans les outils de travail courants, les systèmes d’exploitation et les navigateurs. Dans certains cas, celles-ci s’avèrent vraiment pratiques. Cependant, leur présence comporte des risques spécifiques, ce qui explique que de nombreuses entreprises hésitent à donner à leurs employés l’accès à ces outils. Dans un article précédent, nous avons classé ces systèmes d’IA indésirables par catégorie, examiné comment les détecter à l’échelle du réseau et des terminaux, et abordé le moyen ultime de les neutraliser : la gestion des accès OAuth sur les principales plateformes d’entreprise. Dans cette analyse approfondie, nous entrons dans les détails techniques : nous vous expliquons comment désactiver ou limiter l’IA intégrée aux plateformes les plus courantes.
Petite mise en garde : les principaux éditeurs de logiciels modifient parfois les noms de leurs paramètres d’IA et en ajustent le fonctionnement. Si l’une des options mentionnées ci-dessous manque ou ne fonctionne pas comme prévu, une recherche rapide sur Internet portant sur le nom du paramètre vous indiquera généralement où le trouver désormais ou sous quelle nouvelle appellation.
Comment désactiver Microsoft 365 Copilot
Détection : vous pouvez consulter l’utilisation réelle de Copilot dans les journaux en accédant à Administrateur Microsoft 365 (Microsoft 365 admin) → Rapport d’utilisation de Copilot (Copilot usage report).
Désactivation via des stratégies : dans le Centre d’administration Microsoft 365, accédez à Paramètres (Settings) → Applications intégrées (Integrated Apps), recherchez Copilot dans la liste Applications disponibles (Available Apps) et sélectionnez Bloquer (Block). Des stratégies de configuration plus détaillées sont disponibles sous Personnalisation (Customization) → Gestion des stratégies (Policy Management). La page Stratégies (Policies) comporte plus de deux mille entrées. Nous vous conseillons donc de les filtrer à l’aide du mot clé « Copilot » (guide détaillé). Étant donné que Copilot est un module complémentaire payant pour Office, une autre façon de le bloquer (et ainsi de faire des économies) consiste simplement à ne pas attribuer aux utilisateurs d’UGS incluant Copilot.
Nous vous recommandons de bloquer séparément Copilot Chat, qui est disponible dans Teams, Edge, Outlook et plusieurs autres services. Oui, ce n’est pas Copilot lui-même. Et oui, il faut le bloquer séparément en suivant ce guide.
Couche de protection supplémentaire : vous pouvez bloquer les domaines copilot.cloud.microsoft et m365.cloud.microsoft/chat via le filtre Web ou au niveau du pare-feu de nouvelle génération (NGFW). Cependant, Microsoft déconseille formellement cette pratique, avertissant qu’elle pourrait entraîner le dysfonctionnement d’autres fonctionnalités de Microsoft 365.
Comment désactiver Windows Copilot
Outre la version Office de Copilot, vous devez également gérer sa version grand public.
Détection : consultez les journaux de votre NGFW ou d’autres journaux réseau pour repérer le trafic à destination des sites copilot.microsoft.com, bing.com/chat ou edgeservices.bing.com.
Désactivation via les stratégies : dans la Stratégie de groupe Windows, accédez à Configuration de l’ordinateur (Computer Config) → Modèles d’administration (Admin Templates) → Composants Windows (Windows Components) → Windows Copilot. Dans la Stratégie de groupe Microsoft 365, accédez à Centre d’administration (Admin center) → Bloquer Copilot pour les comptes d’organisation (Block consumer Copilot for organizational accounts).
Couche de protection supplémentaire : interdisez le lancement complet de l’exécutable Copilot.exe.
Comment désactiver la barre latérale de Copilot dans Edge
Détection : consultez les journaux de votre NGFW ou d’autres journaux réseau pour repérer le trafic à destination des sites copilot.microsoft.com, bing.com/chat ou edgeservices.bing.com.
Blocage : configurez les stratégies de groupe MS Edge suivantes : HubsSidebarEnabled = false, EdgeShoppingAssistantEnabled = false, CopilotPageContext = Disabled (false), CopilotNewTabPageEnabled = false, Microsoft365CopilotChatIconEnabled = false, GenAILocalFoundationalModelSettings = 1 (notez que, contrairement à ce que l’on pourrait croire, la désactivation de ce paramètre nécessite la valeur 1 au lieu de 0).
Deuxième niveau de protection : bloquez les domaines copilot.cloud.microsoft et m365.cloud.microsoft/chat au niveau du filtre Internet ou du NGFW. Cependant, Microsoft déconseille formellement cette pratique, avertissant qu’elle pourrait entraîner le dysfonctionnement d’autres fonctionnalités.
Comment désactiver l’Assistant Gemini dans Google Workspace
Detection : consultez la console d’administration de l’espace de travail (admin.google.com), dans la section du rapport Utilisation de Gemini (Gemini usage).
Blocage via les stratégies : dans la Console d’administration, accédez à Applications (Apps) → Services Google supplémentaires (Additional Google services) → > Application Gemini (Gemini app), puis définissez-la sur DÉSACTIVÉ (OFF). Ensuite, accédez à Gérer les paramètres des fonctionnalités intelligentes de Workspace (Manage Workspace smart feature settings) → Fonctionnalités intelligentes dans Google Workspace (Smart features in Google Workspace), puis définissez-la sur DÉSACTIVÉ (OFF).
Deuxième niveau de protection : bloquez le trafic réseau à destination des domaines gemini.google.com, bard.google.com et aistudio.google.com.
Comment désactiver Gemini dans Google Chrome
Détection : consultez vos rapports Chrome Enterprise (Gestion de Chrome (Chrome management) → Rapports (Reports)) ou examinez les journaux de trafic réseau à la recherche de connexions vers les domaines mentionnés précédemment.
Blocage via les stratégies : dans vos stratégies Chrome Enterprise, configurez les paramètres suivants : GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (disabled), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.
Couche de protection supplémentaire : bloquez le trafic réseau à destination des domaines gemini.google.com, bard.google.com et aistudio.google.com. De plus, bloquez les installations non autorisées de Chrome/Chromium (celles qui ne relèvent pas de votre gestion des stratégies) à l’aide d’outils de contrôle des applications au niveau de l’hôte, comme EPP/EDR ou AppLocker.
Comment désactiver Apple Intelligence
Détection : sur vos filtres NGFW et Internet, la présence de trafic à destination des sites apple-relay.apple.com et *.apple-cloudkit.com est un indicateur clair que la fonctionnalité Apple Intelligence est active.
Blocage via des stratégies : tout appareil Apple géré vous permet de désactiver certaines fonctionnalités d’IA, même s’il n’existe pas de bouton unique permettant de désactiver « toute l’IA ». Dans votre profil MDM, vous devez définir les clés suivantes sur false (désactivé) : allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription et allowNotesTranscriptionSummary. Voici un bref résumé de la configuration :
<dict>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>allowWritingTools</key>
<false/>
<key>allowMailSummary</key>
<false/>
</dict>
Malgré l’évolution d’Apple vers une gestion déclarative des appareils, ces fonctionnalités d’IA doivent encore être gérées via les paramètres traditionnels de la charge utile MDM.
Deuxième niveau de protection : bloquez le trafic réseau vers les hôtes mentionnés ci-dessus, même si l’inconvénient évident pour les appareils mobiles est que cette mesure ne fonctionnera plus dès qu’ils sortiront du périmètre du réseau d’entreprise.
Conseils