Le monde passionnant de l’eDiscovery
eDiscovery est une activité basée sur la recherche de réponses à des questions.
- Qui a fait quelque chose et quand l’a-t-il fait ? ;
- Qui était impliqué ? ;
- Comment ont-ils été impliqués ? ;
- Où se trouvent les preuves et quelle est la force de ces preuves ?
Et ainsi de suite.
De nombreuses données à rechercher
Lorsqu’il s’agit d’effectuer de l’eDiscovery dans un locataire Microsoft 365, beaucoup de données sont disponibles à rechercher pour trouver des réponses. Les deux charges de travail de base, Exchange Online et SharePoint Online, ont commencé à ajouter des fonctionnalités de conformité dans leurs versions sur site de 2010. La technologie sur site est désormais largement remplacée par des implémentations plus récentes et plus performantes dans le cadre de la gouvernance des données d’Office 365. Par exemple, les recherches de contenu sont beaucoup plus rapides et plus performantes que leurs homologues sur site, car elles peuvent porter sur plusieurs emplacements. Les politiques de rétention permettent de s’assurer que toutes les charges de travail conservent les informations en fonction des mêmes critères. Certaines méthodes plus anciennes, comme les retenues pour litiges d’Exchange, continuent d’être utilisées, mais dans l’ensemble, Office 365 est un bon endroit pour aller à la chasse aux informations.
Documents de conformité pour les communications
Un nombre croissant d’organisations utilisent Teams pour les communications internes, dont beaucoup remplacent Skype for Business Online avant que Microsoft ne retire cette appli le 31 juillet 2021. Toute personne travaillant dans le domaine de l’eDiscovery doit comprendre comment les deux applications enregistrent les informations qui pourraient apparaître dans les recherches. Comme le résume le tableau 1, Skype for Business Online et Teams capturent tous deux des enregistrements pour les communications textuelles (Skype appelle ces messages instantanés, Teams utilise des chats ou des conversations). Aucune des deux applications ne capture d’enregistrements de conformité pour le contenu vidéo ou audio. Notez que l’emplacement des enregistrements de conformité de Teams a changé en 2020.
Le dossier TeamsMessagesData fait partie de la section non-IPM des boîtes aux lettres et est uniquement disponible en ligne. Vous pouvez utiliser la cmdlet PowerShell Get-ExoMailboxFolderStatistics pour vérifier le nombre d’éléments dans le dossier. Si vous souhaitez examiner les éléments avec un utilitaire tel que MFCMAPI, assurez-vous que votre profil Outlook n’est pas configuré en mode Exchange cached, car sinon vous ne verrez pas le contenu du dossier.
Dossiers de conformité de Skype for Business
Dans le cas de Skype pour les entreprises, la même méthode permet de capturer les conversations pour les réunions et les discussions personnelles. Skype pour les entreprises enregistre l’interaction entre les personnes dans une conversation sous forme de transcription. Vous pouvez trouver les transcriptions dans le dossier Historique de la conversation dans la boîte aux lettres de chaque participant. En fait, selon la durée de la conversation et d’autres facteurs, plusieurs versions d’une transcription peuvent exister. À des fins d’eDiscovery, vous recherchez toujours la version la plus récente, car elle détient l’enregistrement le plus complet.
Dossiers de conformité des équipes
Teams adopte une approche différente pour capturer les enregistrements de conformité des conversations. Lorsque les gens communiquent dans des chats et des conversations de canal, le substrat Microsoft 365 capture les enregistrements de conformité de Teams dans Exchange Online. Les « vraies » données de chat restent dans le service de chat Teams sur Azure Cosmos DB. Certains fournisseurs de sauvegarde déclarent à tort qu’ils peuvent sauvegarder Teams parce que leurs produits copient les enregistrements de conformité stockés dans Exchange Online. Bien que la sauvegarde préserve les enregistrements de conformité, les données ne sont pas une copie complète de ce que Teams détient dans Cosmos DB.
Les enregistrements de conformité capturés pour les chats personnels vont dans le dossier TeamsMessagesData dans les boîtes aux lettres des participants, tandis que les éléments capturés pour les conversations de canal se trouvent dans le même dossier dans les boîtes aux lettres de groupe. Teams capture des enregistrements dans des boîtes aux lettres fantômes pour les messages envoyés par des utilisateurs hybrides avec des boîtes aux lettres sur site ou des utilisateurs invités. Les enregistrements de conformité capturés pour les chats personnels vont dans le dossier TeamsMessagesData dans les boîtes aux lettres des participants.
Transcriptions versus enregistrements individuels
Le format utilisé pour les enregistrements de conformité crée un autre défi en matière d’eDiscovery. Comme les conversations Skype pour les entreprises sont limitées dans le temps (en d’autres termes, elles se terminent), l’application peut générer une transcription complète montrant tout le contexte de la conversation.
Les conversations en équipe sont persistantes. Elles sont ouvertes et peuvent reprendre à tout moment, ce qui signifie alors qu’il est plus difficile de créer une transcription comme le formulaire utilisé par Skype for Business. Teams capture donc les enregistrements de conformité sous la forme d’une série d’éléments, un pour chaque contribution. Bien que les éléments soient entièrement consultables, le fait que plusieurs éléments individuels existent pour une conversation crée un défi de réassemblage pour les enquêteurs.
Prenez l’exemple où une recherche découvre un élément intéressant d’une conversation des équipes. Le contenu de l’élément pourrait être suffisant pour l’enquête, mais il est plus probable que les enquêteurs aient besoin d’informations supplémentaires pour comprendre comment la conversation s’est développée. Ils doivent donc récupérer les éléments capturés avant et après l’élément intéressant, puis les assembler dans le temps pour créer le type de transcription disponible dans Skype for Business Online. Il s’agit d’un processus manuel, à moins que vous ne disposiez de licences pour utiliser Microsoft 365 Advanced eDiscovery, qui permet de réassembler les conversations pour les afficher. Le problème des processus manuels est qu’ils sont à la fois coûteux et susceptibles d’être contestés devant les tribunaux. Pour satisfaire un juge, il est probable que les enquêteurs doivent prouver qu’ils disposent des bons éléments (et n’en ont pas omis) et présenter les informations dans le bon ordre. Bien que je sache comment utiliser les transcriptions de Skype for Business dans le cadre d’actions en justice, je n’ai pas encore fait l’expérience de la façon dont les aigles juridiques traitent les résultats de recherche de Teams.
La conformité est difficile
De manière générale, la conformité est un sujet difficile et coûteux. La quantité croissante de données accumulées par les interactions informatiques rend plus difficile les recherches pour trouver précisément les bonnes informations. Le bon côté des choses, c’est que Teams capture des informations sur les conversations qui sont consultables. L’inconvénient est que la transition de Skype for Business Online à Teams pourrait rendre la recherche et la satisfaction des avocats juste un peu plus difficile.