Découverte électronique sur place et archive permanente dans le nouvel Exchange - Première partie

  • Articolo

Article d’origine publié le jeudi 27 septembre 2012

Lorsqu’elles sont confrontées aux demandes de découverte électronique, les organisations doivent pouvoir conserver les enregistrements de courrier électronique, rechercher ceux qui sont pertinents et les extraire pour les consulter.

Dans Exchange Server 2010 et Office 365, la suspension pour litige permet de conserver les éléments des boîtes aux lettres. Quand un utilisateur ou un processus tente de supprimer un élément de façon définitive, ce dernier n’est plus visible de l’utilisateur et est transféré vers un emplacement inaccessible de la boîte aux lettres. En outre, quand un utilisateur ou un processus modifie un élément, une opération de copie sur écriture (COW) est effectuée pour conserver la version originale de l’élément avant que la version modifiée ne soit validée et que le contenu original ne soit ainsi préservé. Le processus est reproduit pour chaque modification et une copie est conservée pour toutes les versions suivantes.

Grâce à la fonction de recherche dans plusieurs boîtes aux lettres, également nouvelle dans Exchange 2010, les représentants légaux, les ressources humaines ou le personnel informatique (désignés comme responsables de découverte, car ils doivent se voir attribuer les autorisations de gestion de découverte) peuvent rechercher un contenu de boîte aux lettres dans la totalité de leur organisation Exchange 2010. Les messages retournés par une recherche peuvent être copiés dans une boîte aux lettres de découverte, qui est un type particulier de boîte aux lettres avec des quotas plus élevés et dans l’incapacité d’envoyer ou de recevoir des messages.

Nouveautés dans la découverte électronique sur place et l’archive permanente dans Exchange 2013

Depuis la parution d’Exchange 2010 et d’Office 365, nous avons reçu beaucoup de commentaires de la part d’organisations de toute taille sur les fonctions de conformité et de stratégie de messagerie, et notamment sur l’archivage, la découverte électronique ( eDiscovery) et la suspension. Lors de l’élaboration de l’évolution des fonctions de conformité, nous avons tenu compte de ces remarques. Intéressons-nous à ce qui a changé.

  • Nouveau nom Dans le nouvel Exchange, la recherche dans plusieurs boîtes aux lettres est désormais intitulée découverte électronique sur place.

  • Nouveau moteur de recherche la découverte électronique sur place continue d’utiliser les index de recherche générés par la recherche Exchange, mais celle-ci a été discrètement modifiée afin qu’elle puisse utiliser Microsoft Search Foundation. La fonction d’indexation de contenu était précédemment effectuée par Windows Search. Microsoft Search Foundation est une plateforme de recherche élaborée qui propose des performances d’indexation et de requête, et des fonctions de recherche, profondément améliorées.

  • Nouvelle solution de conservation Dans le nouvel Exchange, vous pouvez utiliser l’archive permanente pour placer le contenu recherché en suspension. L’archive permanente est intégrée à la découverte électronique sur place, ce qui vous permet de rechercher un contenu et de le placer simultanément en suspension tout en vous servant de la même interface simple d’utilisation. L’intégration de la suspension à la découverte électronique permet d’être très spécifique quant à ce que vous placez en suspension à l’aide d’une requête. En réduisant le volume conservé de données, vous diminuez le coût de consultation ultérieure des données.

  • Nouvelle interface utilisateur Le nouvel Exchange arbore un outil d’administration web inédit, appelé Centre d’administration Exchange (CAE). Les responsables de découverte utilisent le nouvel Assistant Découverte électronique sur place et archive permanente pour exécuter les recherches de découverte électronique.

  • Statistiques de mots clés Après que vous avez créé la recherche de découverte électronique sur place, vous pouvez obtenir des statistiques détaillées de mots clés indiquant le nombre d’éléments correspondant à chaque mot clé. Vous pouvez utiliser ces informations pour déterminer si la requête a retourné le nombre de messages que vous avez estimé. Selon qu’une requête est trop ou pas assez étendue, la recherche peut retourner trop ou pas assez de messages. Utilisez ces informations pour affiner votre requête.

  • Aperçu de la recherche de découverte électronique Après que vous avez créé une recherche de découverte électronique, vous pouvez afficher rapidement un aperçu des résultats correspondants. Les messages retournés de chaque boîte aux lettres source sont affichés dans l’aperçu de la recherche. Le fait de pouvoir afficher rapidement les messages permet de s’assurer que la requête a retourné le contenu souhaité et de l’affiner le cas échéant.

  • Intégration au nouveau SharePoint Exchange offre une expérience de découverte électronique et de suspension intégrée au nouveau SharePoint. Grâce au Centre de découverte électronique, vous pouvez rechercher et archiver de façon permanente tout le contenu associé à un cas – sites Web SharePoint, documents, partages de fichiers indexés par SharePoint, contenu de boîte aux lettres dans Exchange et contenu Lync archivé à partir d’un seul emplacement. Vous pouvez exporter le contenu associé au cas, y compris les fichiers, listes, pages web et contenus de boîte aux lettres Exchange. Le contenu de boîte aux lettres est exporté comme fichier .PST. Un manifeste XML conforme aux spécifications EDRM (Electronic Discovery Reference Model) offre une vue d’ensemble des informations exportées.

    Pour explorer le contenu Exchange, SharePoint utilise l’API de recherche fédérée d’Exchange. Que vous exploriez le contenu Exchange à partir du CAE ou utilisiez SharePoint, vous obtenez les mêmes résultats de recherche. Le nouveau SharePoint et Exchange utilisent tous deux le même moteur d’indexation et de requête – Microsoft Search Foundation, ce qui vous permet d’employer la même requête de recherche pour le contenu SharePoint et pour le contenu Exchange.

Exécution d’une recherche de découverte électronique sur place

Regardons comment un responsable de découverte se livre à une recherche de découverte électronique sur place.

Robin travaille au service juridique de Contoso, société de marketing. Contoso reçoit une demande de l’entreprise Tailspin Toys pour l’aider dans une campagne marketing concernant l’un de leurs nouveaux jouets. Contoso a la réputation de créer d’excellentes campagnes marketing pour les jouets, car ils interviennent fréquemment dans ce secteur. Même s’il s’agit d’une excellente opportunité pour la société Contoso, celle-ci doit se montrer prudente, car nombre d’entreprises de jouets pour lesquelles elle travaille sont des concurrents. Contoso vient juste de terminer une campagne hautement réussie avec une entreprise de jouets appelée Wingtip Toys et Robin veut s’assurer qu’il n’y a aucune information confidentielle susceptible de passer malencontreusement d’un client à l’autre au travers de son service. À cette fin, Robin veut explorer les documents et les courriers électroniques avec l’aide de son service juridique et vérifier ainsi qu’il n’existe aucun problème potentiel.

Pour utiliser la découverte électronique sur place, un utilisateur doit se voir déléguer le groupe du rôle de gestion de découverte. Vous pouvez déléguer le rôle à un représentant du service juridique, de la gestion de conformité ou des ressources humaines. Robin est l’une des membres de l’équipe juridique. Cette possibilité d’avoir des rôles étendus dans le nouvel Exchange 2013 permet aux professionnels de l’informatique de déléguer les responsabilités de conformité à des personnes comme Robin sans leur donner un accès total à l’ensemble des fonctionnalités du serveur Exchange.

Robin commence par accéder au Centre d’administration Exchange. L’onglet Gestion de conformité du CAE est l’emplacement où vous pouvez gérer les fonctions de conformité du nouvel Exchange. Comme Robin ne possède pas d’autres rôles d’administrateur Exchange, elle ne voit que l’interface appropriée au groupe du rôle de gestion de découverte. Sur l’onglet Gestion de conformité, elle ne peut voir que Découverte électronique sur place et archive permanente.


Figure 1 : l’onglet Découverte électronique sur place et archive permanente est accessible aux utilisateurs titulaires d’autorisations de gestion de découverte déléguées.

Elle clique sur le bouton Ajouter pour démarrer le nouvel Assistant Découverte électronique sur place et archive permanente, puis attribue un nom à la recherche, ainsi qu’une description facultative.


Figure 2 : créer une recherche de découverte électronique sur place à l’aide du nouvel Assistant Découverte électronique sur place et archive permanente du CAE

Robin peut explorer toutes les boîtes aux lettres de l’organisation Exchange ou sélectionner celles de son choix.


Figure 3 : spécifier les boîtes aux lettres (explorer tout ou partie des boîtes aux lettres)

Sur la page Requête de recherche, Robin peut choisir de retourner tout le contenu des boîtes aux lettres ou seulement un contenu spécifique. Robin veut rechercher un contenu spécifique associé au travail effectué entre les membres de son équipe et WingTip Toys. Elle a le choix entre exécuter une recherche simple en entrant quelques mots clés et exécuter une recherche plus complexe à l’aide d’opérateurs booléens tels que AND ou OR, de parenthèses, etc. et se montrer très spécifique quant au contenu recherché. Cela peut représenter pour elle une grande économie de temps et de coût, car les boîtes aux lettres de plusieurs Go sont très fréquentes et Robin souhaite réduire le contenu au minimum dont elle a besoin pour récupérer le contenu souhaité.


Figure 4 : spécifier une requête de recherche, y compris les mots clés, les dates de début et de fin, l’expéditeur et les destinataires

En dehors de la logique booléenne, Robin se sert aussi de l’opérateur de proximité (NEAR), qui lui permet de rechercher les mots proches les uns des autres. Elle se sert aussi d’un caractère générique, en l’occurrence pour rechercher le mot « Wingtip » au sein de « toy » (jouet), « toys » (jouets), « toymaker » (fabricant de jouets) ou des mots ou expressions similaires.

Dans ce cas particulier, Robin veut rechercher ces mots clés n’importe où dans un courrier électronique donné, mais si elle souhaitait se montrer plus spécifique, par exemple ne rechercher une expression que dans l’objet du message, elle taperait « Subject: » (Objet :), suivi de l’expression recherchée. Selon le degré de spécificité auquel elle souhaite parvenir, elle peut créer des requêtes complexes. Vous pouvez utiliser plusieurs centaines de mots clés dans une requête.

Elle peut aussi choisir des types spécifiques de messages. Une boîte aux lettres Exchange possède des éléments de boîte aux lettres, mais aussi de calendrier, des tâches, des notes et autres éléments associés à la gestion d’informations personnelles. Le nouvel Exchange lui permet d’explorer l’ensemble de ces éléments ou de limiter sa requête à des types spécifiques d’éléments. Elle sélectionne les courriers électroniques et aussi les réunions afin de savoir quels et quelles employés et employées ont rencontré Wingtip et de lire les invitations des réunions pour en connaître le thème de discussion.


Figure 5 : sélectionner tous les types de message ou spécifier les types de message à rechercher

Une fois que Robin a créé sa requête pour définir le contenu qui lui importe, elle dispose de quelques options quant à l’utilisation des résultats. Si elle estime qu’il est important qu’elle protège son contenu, elle a la possibilité de le placer en suspension. Quand le contenu est placé en suspension, Exchange capture automatiquement toute tentative de modification ou de suppression des données, et stocke ces éléments dans un dossier masqué de la boîte aux lettres. Comme le dossier est totalement invisible des utilisateurs, leur flux de travail quotidien ne s’en trouve pas interrompu et ces données importantes sont conservées en vue d’une récupération ultérieure.


Figure 6 : placement des résultats de recherche en archive permanente

Nous évoquerons plus en détail l’archive permanente dans la deuxième partie de ce billet.

Robin clique sur Terminer. La recherche s’exécute sur les boîtes aux lettres Exchange 2013 et place les éléments en suspension.

Quand la recherche est terminée, Robin examine la taille totale et le nombre d’éléments pour voir si elle peut les gérer. S’il y a des millions d’éléments, sa requête est vraisemblablement trop large et s’il n’y a aucun élément sans doute trop étroite. Si elle veut rentrer plus avant dans le détail, elle peut afficher les statistiques de recherche pour voir exactement la place de chaque mot clé dans l’ensemble des résultats. Robin peut ainsi se montrer très précise dans l’affinement de ses requêtes et obtenir rapidement un résultat qui ait une taille qu’elle puisse gérer.


Figure 7 : utiliser l’estimation de la recherche et les statistiques de mots clés pour affiner les requêtes de recherche

Une fois que Robin a fini de modifier sa requête, elle peut arrêter la recherche et discuter avec son équipe ou son conseiller en matière juridique pour savoir si la requête est correcte. Elle peut aussi créer des recherches supplémentaires de découverte électronique et utiliser d’autres paramètres de recherche.

Elle peut également choisir d’afficher un aperçu des messages retournés par la recherche.


Figure 8 : aperçu de la recherche de la découverte électronique pour afficher les messages et déterminer l’efficacité de la requête

L’aperçu de la recherche de découverte électronique affiche le nombre de messages et la taille totale des boîtes aux lettres explorées. La fonctionnalité de l’aperçu repose sur Outlook Web App, qui affiche le message dans son format natif sans aucune modification.


Figure 9 : l’aperçu de la recherche de découverte électronique affiche l’aperçu des messages sans les copier dans une boîte aux lettres de découverte électronique

Robin peut faire défiler l’ensemble des résultats pour afficher les éléments supplémentaires retournés par la recherche. Comme elle utilise l’aperçu d’Outlook Web App, elle peut aussi afficher les pièces jointes.

Une fois que Robin a affiché l’aperçu de ses résultats et qu’elle en est satisfaite, elle peut en faire une copie pour consultation postérieure ou les exporter pour les transmettre à son conseil juridique externe. À cette fin, il lui suffit de cliquer sur le lien Copier les résultats de la recherche.


Figure 10 : copie des messages retournés par la recherche dans une boîte aux lettres de découverte électronique

Lors de la copie des messages dans une boîte aux lettres de découverte électronique, les options suivantes sont disponibles :

  • Inclure les éléments impossibles à rechercher Robin peut choisir des éléments sur lesquels la recherche ne peut pas porter et des éléments que notre système d’indexation ne peut pas gérer, comme un élément corrompu, une pièce jointe compressée protégée par mot de passe, ou un élément chiffré avec une autre technologie que la Gestion des droits relatifs à l’information (IRM). Cette case à cocher lui offre la possibilité d’inclure ces deux types d’éléments pour les consulter manuellement et s’assurer qu’elle a accompli son devoir et n’a rien manqué.
  • Activer la déduplication Robin a aussi l’option d’activer la déduplication. Comme vous le savez, il est très fréquent d’envoyer un message à plusieurs personnes à la fois. La déduplication permet de réduire cette option à une seule copie afin qu’il y ait moins de messages à vérifier.
  • Activer la journalisation complète Robin peut aussi conserver un enregistrement des résultats de la recherche de son choix, qui inclut la liste complète de chaque élément trouvé. Ceci est particulièrement utile pour la déduplication, car si vous dupliquez vous ne conservez qu’un seul exemplaire du message reçu par plusieurs destinataires. Par la suite, il se peut que Robin ait besoin de savoir si une personne donnée l’a reçue dans sa boîte de réception et s’il a été marqué comme important, mais qu’une autre personne l’ait transféré dans son dossier Éléments supprimés et ne l’ait jamais lu. Toutes ces informations sont dans ce journal.
  • Notification par messagerie électronique Robin peut aussi choisir qu’un courrier électronique lui soit envoyé quand le processus de copie est terminé. Si les résultats de la recherche retournent 20 à 30 Go de données, leur copie dans une boîte aux lettres de découverte électronique peut nécessiter un certain temps.

La dernière action de Robin consiste à choisir la boîte aux lettres de découverte électronique dans laquelle elle veut placer ses résultats de recherche.

Une fois que la copie est terminée, Robin peut vérifier si l’opération est complète et elle dispose d’un lien vers la boîte aux lettres où sont stockés les résultats. Robin peut désormais accéder à la copie de ses résultats de recherche pour les afficher. Elle peut alors afficher un aperçu de ses éléments et marquer les éléments importants, ou, si elle décide que certains éléments ne sont pas importants, les déplacer vers le dossier Éléments supprimés afin qu’ils n’apparaissent plus.

Si, après, Robin a besoin de partager les éléments consolidés avec un conseiller extérieur, elle peut utiliser le client Outlook pour exporter la liste des résultats consolidés vers un fichier PST.

Nous vous avons proposé un aperçu de la fonctionnalité Découverte électronique sur place et archive permanente du nouvel Exchange. Dans la deuxième partie du billet, dont la publication est prévue prochainement, nous traiterons plus en détail de l’archive permanente.

Bharat Suneja et Julian Zbogar-Smith

Ceci est une version localisée d’un billet de blog. L’article d’origine est disponible sur la page In-Place eDiscovery and In-Place Hold in the New Exchange - Part I