Série de solutions eDiscovery : Scénario de déversement de données - Recherche et vidage
Conseil
eDiscovery (préversion) est désormais disponible dans le nouveau portail Microsoft Purview. Pour en savoir plus sur l’utilisation de la nouvelle expérience eDiscovery, consultez En savoir plus sur eDiscovery (préversion).
Qu’est-ce que la fuite de données et pourquoi devez-vous vous en soucier ? La fuite de données se produit lorsqu’un document confidentiel est libéré dans un environnement non approuvé. Lorsqu’un incident de déversement de données est détecté, il est important d’évaluer rapidement la taille et les emplacements du déversement, d’examiner les activités des utilisateurs autour d’elle, puis de vider définitivement les données déversées du système.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Scénario de déversement de données
Vous êtes responsable de la sécurité des informations chez Contoso. Vous êtes informé d’une situation de déversement de données où un employé a partagé sans le savoir un document hautement confidentiel avec plusieurs personnes par e-mail. Vous souhaitez évaluer rapidement qui a reçu ce document en interne et en externe. Une fois identifié, vous souhaitez partager les résultats du cas avec d’autres enquêteurs à examiner, puis supprimer définitivement les données de Office 365. Une fois l’enquête terminée, vous souhaitez générer un rapport avec la preuve de suppression définitive et d’autres détails de cas pour toute référence ultérieure.
Étendue de cet article
Ce document fournit une liste d’instructions sur la façon de supprimer définitivement un message de Microsoft 365 afin qu’il ne soit pas accessible ou récupérable. Pour supprimer un message et le rendre récupérable jusqu’à l’expiration de la période de rétention des éléments supprimés, consultez Rechercher et supprimer des messages électroniques dans votre organization.
Flux de travail pour la gestion des incidents de déversement de données
Voici comment gérer un incident de déversement de données :
Étape 1 : Gérer les personnes autorisées à accéder au cas et définir les limites de conformité (facultatif)
Étape 2 : Créer un cas eDiscovery
Étape 3 : Rechercher les données renversées
Étape 4 : Examiner et valider les résultats d’un cas
Étape 5 : Utiliser le journal de suivi des messages pour case activée comment les données renversées ont été partagées
Étape 6 : Préparer les boîtes aux lettres
Étape 7 : supprimer définitivement les données renversées
Étape 8 : Vérifier, fournir une preuve de suppression et auditer
Ce qu’il faut savoir avant de commencer
- Le flux de travail de déversement de données décrit dans cet article ne supprime pas les messages de conversation dans Microsoft Teams. Pour rechercher et supprimer des messages de conversation Teams, consultez Rechercher et vider les messages de conversation dans Teams.
- Lorsqu’une boîte aux lettres est en attente, un message supprimé reste dans le dossier Éléments récupérables jusqu’à l’expiration de la période de rétention ou jusqu’à ce que la conservation soit libérée. L’étape 6 explique comment supprimer la conservation des boîtes aux lettres. Vérifiez auprès de vos services de gestion des enregistrements ou juridiques avant de supprimer la conservation. Votre organization peut avoir une stratégie qui définit si une boîte aux lettres en attente ou un incident de déversement de données est prioritaire.
- Pour contrôler les utilisateurs aux boîtes aux lettres qu’un enquêteur de déversement de données peut rechercher et gérer les personnes autorisées à accéder au cas, vous pouvez configurer des limites de conformité et créer un groupe de rôles personnalisé, comme décrit à l’étape 1. Pour ce faire, vous devez être membre du groupe de rôles Gestion de l’organisation ou avoir le rôle de gestion des rôles. Si vous ou un administrateur de votre organization avez déjà défini des limites de conformité, vous pouvez ignorer l’étape 1.
- Pour créer un cas, vous devez être membre du groupe de rôles Gestionnaire eDiscovery ou être membre d’un groupe de rôles personnalisé auquel le rôle Gestion des cas est attribué. Si vous n’êtes pas membre, demandez à un administrateur Microsoft 365 de vous ajouter au groupe de rôles gestionnaire eDiscovery.
- Pour créer et exécuter une recherche de contenu, vous devez être membre du groupe de rôles de gestionnaire de découverte électronique ou disposer du rôle de gestion de recherche de contenu. Pour supprimer des messages, vous devez être membre du groupe de rôles de gestion de l’organisation ou disposer du rôle de gestion de recherche et de purge. Pour plus d’informations sur l’ajout d’utilisateurs à un groupe de rôles, consultez la rubrique Attribuer des autorisations eDiscovery dans le Centre de sécurité et conformité.
- Pour rechercher les activités eDiscovery du journal d’audit à l’étape 8, l’audit doit être activé pour votre organization. Vous pouvez rechercher des activités qui ont été effectuées au cours des 90 derniers jours. Pour en savoir plus sur l’activation et l’utilisation de l’audit, consultez la section Audit du processus d’investigation de déversement de données à l’étape 8.
(Facultatif) Étape 1 : Gérer les personnes autorisées à accéder au cas et définir les limites de conformité
En fonction de votre pratique organisationnelle, vous devez contrôler qui peut accéder au cas eDiscovery utilisé pour enquêter sur un incident de déversement de données et configurer les limites de conformité. Le moyen le plus simple consiste à ajouter des enquêteurs en tant que membres d’un groupe de rôles existant dans le portail de conformité Microsoft Purview, puis à ajouter le groupe de rôles en tant que membre du cas eDiscovery. Pour plus d’informations sur les groupes de rôles eDiscovery intégrés et sur l’ajout de membres à un cas eDiscovery, consultez Affecter des autorisations eDiscovery.
Vous pouvez également créer un groupe de rôles qui s’aligne sur les besoins de votre organisation. Par exemple, vous souhaiterez peut-être qu’un groupe d’enquêteurs sur les déversements de données dans le organization puisse accéder à tous les cas de déversement de données et collaborer dessus. Pour ce faire, vous pouvez créer un groupe de rôles « Enquêteur de déversement de données », en attribuant les rôles appropriés (Exportation, RMS Déchiffrement, Révision, Préversion, Recherche de conformité et Gestion des cas), en ajoutant les enquêteurs de déversement de données au groupe de rôles, puis en ajoutant le groupe de rôles en tant que membre du cas eDiscovery de déversement de données. Pour obtenir des instructions détaillées sur la procédure à suivre, consultez Configurer des limites de conformité pour les enquêtes eDiscovery dans Office 365.
Étape 2 : Créer un cas eDiscovery
Un cas eDiscovery offre un moyen efficace de gérer votre investigation de fuite de données. Vous pouvez ajouter des membres au groupe de rôles que vous avez créé à l’étape 1, ajouter le groupe de rôles en tant que membre d’un nouveau cas eDiscovery, effectuer des recherches itératives pour rechercher les données renversées, exporter un rapport à partager, suivre les status du cas, puis faire référence aux détails du cas si nécessaire. Envisagez d’établir une convention de nommage pour les cas eDiscovery utilisés pour les incidents de déversement de données, et fournissez autant d’informations que possible dans le nom et la description du cas afin de pouvoir localiser et référencer à l’avenir si nécessaire.
Pour créer un cas, vous pouvez utiliser eDiscovery dans le portail de conformité Microsoft Purview. Consultez « Créer un cas » dans Prise en main d’eDiscovery (Standard).
Étape 3 : Rechercher les données renversées
Maintenant que vous avez créé un cas et un accès managé, vous pouvez utiliser le cas pour rechercher de manière itérative les données renversées et identifier les boîtes aux lettres qui contiennent les données renversées. Vous utiliserez la même requête de recherche que celle utilisée pour rechercher les messages électroniques afin de supprimer ces mêmes messages à l’étape 7.
Pour créer une recherche de contenu associée à un cas eDiscovery, consultez Rechercher du contenu dans un cas eDiscovery (Standard).
Importante
Les mots clés que vous utilisez dans la requête de recherche peuvent contenir les données réellement propagées que vous recherchez. Par exemple, si vous recherchez des documents contenant un numéro de sécurité sociale et que vous l’utilisez comme mot clé de recherche, vous devez supprimer la requête par la suite afin d’éviter d’autres débordements. Consultez Suppression de la requête de recherche à l’étape 8.
Étape 4 : Examiner et valider les résultats d’un cas
Après avoir créé une recherche de contenu, vous devez vérifier et valider que les résultats de la recherche et vérifier qu’ils se composent uniquement des messages électroniques qui doivent être supprimés. Dans une recherche de contenu, vous pouvez afficher un aperçu d’un échantillonnage aléatoire de 1 000 messages électroniques sans exporter les résultats de la recherche pour éviter toute autre fuite de données. Pour en savoir plus sur les limitations de la préversion, consultez Limites de la recherche de contenu.
Si vous avez plus de 1 000 boîtes aux lettres ou plus de 100 messages électroniques par boîte aux lettres à examiner, vous pouvez diviser la recherche initiale en plusieurs recherches à l’aide de mots clés ou de conditions supplémentaires, tels que la plage de dates ou l’expéditeur/destinataire, et examiner les résultats de chaque recherche individuellement. Veillez à noter toutes les requêtes de recherche à utiliser lorsque vous supprimez des messages à l’étape 7.
Lorsque vous trouvez un message électronique contenant des données propagées, vérifiez les destinataires du message pour déterminer s’il a été partagé en externe. Pour suivre davantage un message, vous pouvez collecter des informations sur l’expéditeur et des plages de dates afin de pouvoir utiliser les journaux de suivi des messages. Ce processus est décrit à l’étape 5.
Après avoir vérifié les résultats de la recherche, vous pouvez partager vos résultats avec d’autres personnes pour une révision secondaire. Les personnes que vous avez affectées au cas de l’étape 1 peuvent examiner le contenu du cas dans eDiscovery et Microsoft Purview eDiscovery (Premium) et approuver les conclusions de cas. Vous pouvez également générer un rapport sans exporter le contenu réel. Vous pouvez également utiliser ce même rapport comme preuve de suppression, comme décrit à l’étape 8.
Pour générer un rapport statistique :
Accédez à la page Rechercher dans le cas eDiscovery, puis sélectionnez la recherche pour laquelle vous souhaitez générer un rapport.
Dans la page de menu volant, sélectionnez Plus > exporter le rapport.
La page Exporter le rapport s’affiche.
Sélectionnez Tous les éléments, y compris ceux dont le format n’est pas reconnu, sont chiffrés ou n’ont pas été indexés pour d’autres raisons, puis sélectionnez Générer un rapport.
Dans le cas eDiscovery, sélectionnez Exporter pour afficher la liste des travaux d’exportation. Vous devrez peut-être sélectionner Actualiser pour mettre à jour la liste afin d’afficher le travail d’exportation que vous avez créé.
Sélectionnez le travail d’exportation, puis sélectionnez Télécharger le rapport dans la page volante.
Le rapport Résumé de l’exportation contient le nombre d’emplacements trouvés avec les résultats et la taille des résultats de la recherche. Vous pouvez l’utiliser pour effectuer une comparaison avec le rapport généré après la suppression et fournir une preuve de suppression. Le rapport Résultats contient un résumé plus détaillé des résultats de la recherche, y compris l’objet, l’expéditeur, les destinataires, si l’e-mail a été lu, les dates et la taille de chaque message. Si l’un des détails de ce rapport contient des données réellement renversées, veillez à supprimer définitivement le fichier Results.csv une fois l’enquête terminée.
Pour plus d’informations sur l’exportation de rapports, consultez Exporter un rapport de recherche de contenu.
Étape 5 : Utiliser le journal de suivi des messages pour case activée comment les données renversées ont été partagées
Pour examiner plus en détail si un e-mail contenant des données renversées a été partagé, vous pouvez éventuellement interroger les journaux de suivi des messages avec les informations de l’expéditeur et les informations de plage de dates que vous avez collectées à l’étape 4. La période de rétention pour le suivi des messages est de 30 jours pour les données en temps réel et de 90 jours pour les données historiques.
Vous pouvez utiliser suivi des messages dans le portail de conformité Microsoft Purview ou utiliser les applets de commande correspondantes dans Exchange Online PowerShell. Il est important de noter que le suivi des messages n’offre pas de garanties complètes sur l’exhaustivité des données retournées. Pour plus d’informations sur l’utilisation du suivi des messages, consultez :
- Suivi des messages dans le centre de conformité et de sécurité
- Nouvelle trace de message dans le Centre de conformité security &
Étape 6 : Préparer les boîtes aux lettres
Après avoir vérifié que les résultats de la recherche contiennent uniquement les messages qui doivent être supprimés, vous devez collecter une liste des adresses e-mail des boîtes aux lettres concernées à utiliser à l’étape 7 lorsque vous supprimez les données déversées. Vous devrez peut-être également préparer les boîtes aux lettres avant de pouvoir supprimer définitivement les messages électroniques, selon que la récupération d’élément unique est activée sur les boîtes aux lettres qui contiennent les données renversées ou si l’une de ces boîtes aux lettres est en attente.
Obtenir la liste des adresses des boîtes aux lettres avec des données renversées
Remarque
Pendant une durée limitée, cette expérience eDiscovery classique est également disponible dans le nouveau portail Microsoft Purview. Activez l’expérience eDiscovery classique du portail de conformité dans les paramètres de l’expérience eDiscovery (préversion) pour afficher l’expérience classique dans le nouveau portail Microsoft Purview.
Il existe deux façons de collecter une liste d’adresses e-mail de boîtes aux lettres avec des données renversées.
Option 1 : obtenir une liste d’adresses de boîtes aux lettres avec des données renversées
Ouvrez le cas eDiscovery, accédez à la page Recherche et sélectionnez la recherche de contenu appropriée.
Dans la page de menu volant, sélectionnez Afficher les résultats.
Dans la liste déroulante Résultats individuels , sélectionnez Statistiques de recherche.
Dans la liste déroulante Type , sélectionnez Emplacements principaux.
Une liste de boîtes aux lettres contenant des résultats de recherche s’affiche. Le nombre d’éléments de chaque boîte aux lettres qui correspondent à la requête de recherche s’affiche également.
Copiez les informations de la liste et enregistrez-les dans un fichier ou sélectionnez Télécharger pour télécharger les informations dans un fichier CSV.
Option 2 : Obtenir les emplacements des boîtes aux lettres à partir du rapport d’exportation
Ouvrez le rapport Résumé de l’exportation que vous avez téléchargé à l’étape 4. Dans la première colonne du rapport, l’adresse e-mail de chaque boîte aux lettres est répertoriée sous Emplacements.
Préparer les boîtes aux lettres pour pouvoir supprimer les données renversées
Si la récupération d’un seul élément est activée ou si une boîte aux lettres est mise en attente, un message définitivement supprimé (vidé) est conservé dans le dossier Éléments récupérables. Par conséquent, avant de pouvoir vider les données renversées, vous devez case activée les configurations de boîte aux lettres existantes, désactiver la récupération d’élément unique et supprimer toute stratégie de conservation ou de rétention. Gardez à l’esprit que vous pouvez préparer une boîte aux lettres à la fois, puis exécuter la même commande sur différentes boîtes aux lettres ou créer un script PowerShell pour préparer plusieurs boîtes aux lettres en même temps.
- Consultez « Étape 1 : Collecter des informations sur la boîte aux lettres » dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente pour obtenir des instructions sur la façon de case activée si la récupération d’un élément unique est activée ou si la boîte aux lettres est mise en attente ou affectée à une stratégie de rétention.
- Consultez « Étape 2 : Préparer la boîte aux lettres » dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente pour obtenir des instructions sur la désactivation de la récupération d’un élément unique.
- Consultez « Étape 3 : Supprimer toutes les conservations de la boîte aux lettres » dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente pour obtenir des instructions sur la suppression d’une stratégie de conservation ou de conservation d’une boîte aux lettres.
- Consultez « Étape 4 : Supprimer le délai de conservation de la boîte aux lettres » dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente pour obtenir des instructions sur la suppression de la conservation de retard placée sur la boîte aux lettres après la suppression d’un type de mise en attente.
Importante
Contactez vos services juridiques ou de gestion des enregistrements avant de supprimer une stratégie de conservation ou de rétention. Votre organization peut avoir une stratégie qui définit si une boîte aux lettres en attente ou un incident de fuite de données est prioritaire.
Veillez à rétablir les configurations précédentes de la boîte aux lettres après avoir vérifié que les données renversées ont été supprimées définitivement. Consultez les détails de l’étape 7.
Étape 7 : supprimer définitivement les données renversées
À l’aide des emplacements de boîte aux lettres que vous avez collectés et préparés à l’étape 6 et de la requête de recherche qui a été créée et affinée à l’étape 3 pour rechercher les messages électroniques qui contiennent les données renversées, vous pouvez maintenant supprimer définitivement les données renversées. Comme expliqué précédemment, pour supprimer des messages, vous devez être membre du groupe de rôles Gestion de l’organisation ou disposer du rôle De gestion de la recherche et du vidage. Pour plus d’informations sur l’ajout d’utilisateurs à un groupe de rôles, consultez la rubrique Attribuer des autorisations eDiscovery dans le Centre de sécurité et conformité.
Pour supprimer les messages renversés, consultez Rechercher et supprimer des messages électroniques.
Gardez à l’esprit les limites suivantes lors de la suppression de données renversées :
Le nombre maximal de boîtes aux lettres dans une recherche que vous pouvez utiliser pour supprimer des éléments en effectuant une action de recherche et de vidage est de 50 000. Si la recherche que vous créez à l’étape 3 recherche plus de 50 000 boîtes aux lettres, l’action de vidage échoue. Une recherche de plus de 50 000 boîtes aux lettres au cours d’une même recherche est probable, généralement lorsque la configuration de la recherche prend en compte toutes les boîtes aux lettres de votre organisation. Cette restriction s’applique même si moins de 50 000 boîtes aux lettres contiennent des éléments qui correspondent à la requête de recherche.
Un maximum de 10 éléments par boîte aux lettres peuvent être supprimés à la fois. Sachant que la fonction de recherche et de suppression de messages est censée être un outil de réponse aux incidents, cette limite permet de s’assurer que les messages sont rapidement supprimés des boîtes aux lettres. Cette fonctionnalité n’est pas destinée à nettoyer les boîtes aux lettres des utilisateurs.
Importante
Les éléments de courrier dans un jeu à réviser dans un cas eDiscovery (Premium) ne peuvent pas être supprimés à l’aide des procédures décrites dans cet article. Cela est dû au fait que les éléments d’un jeu de révision sont des copies d’éléments du service actif qui sont copiés et stockés dans un emplacement de stockage Azure. Cela signifie qu’ils ne seront pas retournés par une recherche de contenu que vous créez à l’étape 3. Pour supprimer des éléments d’un jeu à réviser, vous devez supprimer le cas eDiscovery (Premium) qui contient le jeu à réviser. Pour plus d’informations, consultez Fermer ou supprimer un cas eDiscovery (Premium).
Étape 8 : Vérifier, fournir une preuve de suppression et auditer
La dernière étape du flux de travail pour gérer un incident de déversement de données consiste à vérifier que les données renversées ont été définitivement supprimées de la boîte aux lettres en accédant au cas eDiscovery et en réexécutant la même requête de recherche que celle utilisée pour supprimer ces données afin de confirmer qu’aucun résultat n’est retourné. Une fois que vous avez vérifié que les données propagées ont été supprimées définitivement, vous pouvez exporter un rapport et l’inclure (ainsi que le rapport d’origine) comme preuve de suppression. Vous pouvez ensuite fermer le dossier , ce qui vous permettra de le rouvrir si vous devez y faire référence à l’avenir. En outre, vous pouvez également rétablir l’état précédent des boîtes aux lettres, supprimer la requête de recherche utilisée pour rechercher les données déversées et rechercher des enregistrements d’audit des tâches effectuées lors de la gestion de l’incident de déversement de données.
Rétablissement de l’état précédent des boîtes aux lettres
Si vous avez modifié une configuration de boîte aux lettres à l’étape 6 pour préparer les boîtes aux lettres avant la suppression des données renversées, vous devez les rétablir à leur état précédent. Consultez « Étape 6 : Rétablir l’état précédent de la boîte aux lettres » dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente.
Suppression de la requête de recherche
Si les mots clés de la requête de recherche que vous avez créés et utilisés à l’étape 3 contiennent une partie de toutes les données réellement renversées, vous devez supprimer la requête de recherche pour éviter toute nouvelle fuite de données.
Remarque
Pendant une durée limitée, cette expérience eDiscovery classique est également disponible dans le nouveau portail Microsoft Purview. Activez l’expérience eDiscovery classique du portail de conformité dans les paramètres de l’expérience eDiscovery (préversion) pour afficher l’expérience classique dans le nouveau portail Microsoft Purview.
Dans le portail de conformité Microsoft Purview, ouvrez le cas eDiscovery, accédez à la page Recherche et sélectionnez la recherche de contenu appropriée.
Dans la page de menu volant, sélectionnez Supprimer.
Audit du processus d’investigation sur les déversements de données
Vous pouvez rechercher dans le journal d’audit les activités eDiscovery qui ont été effectuées pendant l’examen. Vous pouvez également effectuer une recherche dans le journal d’audit pour retourner les enregistrements d’audit de la commande New-ComplianceSearchAction -Purge que vous avez exécutée à l’étape 7 pour supprimer les données renversées. Pour plus d’informations, reportez-vous aux rubriques suivantes :