Utilisation de Microsoft Purview eDiscovery pour l'investigation des données

Utilisation de Microsoft Purview eDiscovery pour l'investigation des données

08/05/2025

Cet article technique et pédagogique est destiné à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans l'utilisation de Microsoft Purview eDiscovery pour mener des enquêtes sur les données de manière efficace et conforme. La capacité d'identifier, de collecter, d'examiner et de conserver les informations pertinentes en cas de litige, d'enquêtes internes ou de demandes réglementaires est essentielle. Microsoft Purview eDiscovery propose une suite de solutions qui simplifient ce processus complexe tout en garantissant l'intégrité des données et la chaîne de traçabilité [1].

Présentation

La découverte électronique fait référence au processus d'identification, de collecte, de traitement, d'examen et de production d'informations stockées électroniquement (ESI) en réponse à une demande légale ou d'enquête. Microsoft Purview eDiscovery est une solution intégrée qui permet aux organisations de gérer l'ensemble du flux de travail eDiscovery au sein de l'écosystème Microsoft 365, de la recherche initiale à l'examen final et à l'exportation des données [2].

Ce guide pratique couvrira les concepts de différentes solutions eDiscovery, telles que la création et la gestion de cas, l'exécution de recherches de contenu, l'examen des données, l'exportation des résultats et la configuration des autorisations.

Pourquoi Microsoft Purview eDiscovery est-il crucial ?

  • Conformité réglementaire et juridique : aide à se conformer aux exigences légales et réglementaires.
  • Identification précise des données : vous permet de rechercher et d'identifier des informations pertinentes dans plusieurs sources Microsoft 365.
  • Conservation des données : facilite la mise en conservation légale des données.
  • Réduction des coûts et des délais : automatise de nombreux aspects du processus de découverte électronique.

Prérequis

  1. Licence Microsoft 365 : un abonnement qui inclut des fonctionnalités eDiscovery (par exemple Microsoft 365 E3 pour Standard, E5 pour Premium) [3].
  2. Accès administrateur : un compte avec les autorisations appropriées dans le portail de conformité Microsoft Purview (par exemple « eDiscovery Administrator »).

Étape par étape : configuration et utilisation de Microsoft Purview eDiscovery

1. Comprendre les solutions de découverte électronique

  • Recherche de contenu : outil de base pour rechercher des boîtes aux lettres, des sites SharePoint, OneDrive et Teams. N'inclut pas la gestion de cas ou les mises en suspens pour raisons juridiques [4].
  • eDiscovery (Standard) : ajoute la gestion des cas, les conservations légales, l'exportation des résultats et l'attribution d'autorisations aux membres du cas [5].
  • eDiscovery (Premium) : La solution la plus avancée, avec traitement des données, analyse de texte, détection des doublons, analyse de thème et revue de documents [6].

2. Attribution d'autorisations de découverte électronique

  1. Dans le portail de conformité Microsoft Purview (https://compliance.microsoft.com), accédez à Autorisations.
  2. Sous « Rôles Microsoft Purview », cliquez sur Rôles.
  3. Recherchez le groupe de rôles « Administrateur eDiscovery » et ajoutez les utilisateurs ou les groupes qui auront besoin d'accéder aux ressources.

3. Création d'un cas de découverte électronique (standard)

Un dossier est un conteneur logique pour toutes les informations liées à une enquête.

  1. Dans le portail de conformité, sélectionnez eDiscovery > eDiscovery (Standard).
  2. Cliquez sur + Créer un dossier.
  3. Donnez au cas un Nom et une Description et cliquez sur Enregistrer.

4. Créer une conservation légale

Une conservation légale préserve le contenu afin qu'il ne puisse pas être supprimé ou modifié.

  1. Dans votre dossier eDiscovery, sélectionnez Holds.
  2. Cliquez sur + Créer une politique de rétention.
  3. Donnez un Nom et une Description.
  4. Sous Emplacements, sélectionnez les sources de données (boîtes aux lettres, sites, OneDrive, Teams) et ajoutez des utilisateurs/groupes spécifiques.
  5. (Facultatif) Ajoutez des Conditions pour affiner le contenu à conserver.
  6. Examinez et Créez cette politique.

5. Mener une recherche de contenu

Utilisez l'outil de recherche de contenu pour trouver des informations pertinentes.

  1. Dans votre dossier eDiscovery, sélectionnez Recherches.
  2. Cliquez sur ** Nouvelle recherche **.
  3. Donnez un Nom et une Description.
  4. Sous Emplacements, sélectionnez les sources de données dans lesquelles rechercher.
  5. Sous Conditions, définissez vos critères de recherche à l'aide de mots-clés, de dates, d'expéditeurs/destinataires, de types de fichiers, etc. Vous pouvez utiliser la syntaxe KQL (Keyword Query Language)..
    • Exemple KQL : (ProjectX OR "informations confidentielles") AND (date>=2024-01-01 AND date<=2024-12-31) AND (from:"[email protected]")
  6. Cliquez sur Enregistrer et exécuter.
  7. Une fois la recherche terminée, vous pouvez afficher les statistiques et les résultats de la recherche.

6. Exportation des résultats de recherche

Après la recherche, vous pouvez exporter les résultats pour examen.

  1. Sur la page Recherches de votre dossier, sélectionnez la recherche terminée.
  2. Cliquez sur Actions > Exporter les résultats.
  3. Choisissez les options d'exportation (par exemple, inclure des éléments non consultables, exporter vers un fichier PST, etc.).
  4. Cliquez sur Exporter.
  5. Pour télécharger les résultats, accédez à eDiscovery (Standard) > Exportations et utilisez eDiscovery Export Tool pour télécharger les fichiers.

7. Découverte électronique (Premium) - Présentation

Pour les enquêtes complexes, eDiscovery Premium propose :

  • Traitement des données : Normalisation, suppression des doublons, détection des emails en fil de discussion.
  • Analyse avancée : analyse de texte, détection de thèmes, catégorisation de documents.
  • Révision de documents : outils permettant aux réviseurs de marquer, annoter et classer des documents.
  • Exportation avancée : options d'exportation plus granulaires et personnalisables.

Bonnes pratiques et conseils de sécurité

  • Planification : avant de commencer toute enquête, planifiez soigneusement la portée, les sources de données et les critères de recherche.
  • Autorisations minimales : accordez uniquement les autorisations requises pour les fonctions eDiscovery.
  • Conservations légales : appliquez des conservations légales le plus tôt possible pour garantir la préservation des données.
  • Documentation : conservez un enregistrement détaillé de toutes les actions prises au cours du processus de découverte électronique pour garantir la chaîne de traçabilité.
  • Formation : formez votre équipe à l'utilisation correcte des outils d'eDiscovery et des politiques de l'organisation.
  • Surveillance : surveillez les journaux d'audit Purview pour détecter les activités liées à l'eDiscovery.

Conclusion

Microsoft Purview eDiscovery est un outil puissant et essentiel pour toute organisation qui doit gérer les enquêtes sur les données de manière efficace et conforme. En tirant parti de ses capacités, de la recherche de contenu de base aux analyses avancées de Premium, les entreprises peuvent identifier, conserver, examiner et produire efficacement des informations pertinentes, réduisant ainsi les risques juridiques et opérationnels. La mise en œuvre d'un processus de découverte électronique bien défini, pris en charge par les fonctionnalités de Purview, est essentielle à la gouvernance des données et à la résilience organisationnelle.

Références

[1]Microsoft. (2023). Présentation de Microsoft Purview eDiscovery. [2]Microsoft. (2023). Flux de travail de découverte électronique (standard). [3]Microsoft. (2023). Licence pour eDiscovery dans Microsoft 365. [4]Microsoft. (2023). Recherche de contenu sur Microsoft Purview. [5]Microsoft. (2023). eDiscovery (Standard) sur Microsoft Purview. [6]Microsoft. (2023). eDiscovery (Premium) sur Microsoft Purview.