Sécuriser la boîte-aux-lettres Office365 d'un ancien employé

Il est tout à fait normal que vienne un moment où un employé quitte son entreprise. Selon plusieurs statistiques, la moyenne du «taux de rotation des employés» dans les entreprises de la plupart des pays industrialisés occidentaux représente environ 15% du nombre total d'employés. Ce chiffre ne dépasse généralement pas 30% dans des pays comme la Russie ou le Mexique. Dans la plupart des entreprises américaines et européennes, ce  taux de rotation est compris en moyenne entre 8 et 10%, dans certaines sociétés spécialisées dans les centres d'appels, le taux pourrait même grimper jusqu’à  80%.

Quelle qu’en soit la raison, une entreprise doit encadrer ces départs et les conséquences qui en découlent. Alors que le département des ressources humaines doit constamment gérer l’équilibre entre recrutement et départ de salariés - selon les experts, un bon taux de rotation devrait se situer entre 10% et 15% - les autres départements doivent également s’organiser pour faire face à ces départs.

Comment gérer les boîtes-aux-lettres électroniques d'anciens employés?

Le service informatique (en collaboration avec le département financier et la haute direction) doit constamment gérer et planifier les ressources informatiques hébergées sur place, comme par exemple les boîtes-aux-lettres électroniques Exchange Server, mais également dans le cloud, notamment les licences Office 365 et Exchange Online.

Donc, en ce qui concerne le départ d'un employé, la question se pose : que faire de sa boîte-aux-lettres Office 365 / Exchange Online et de sa licence ? Certes, aucune entreprise dans le monde ne veut payer pour un service qui n'est plus nécessaire et pour une personne qui ne travaille plus pour l'entreprise. Ainsi, la décision sera dans bien des cas de mettre fin à l'abonnement avec Microsoft pour cette boîte-aux-lettres. Bien que ce ne soit pas un gros problème pour une entreprise qui utilise un serveur Exchange sur site, cette situation peut en effet être rencontrée par toutes les entreprises qui ont, entre temps, migré vers un environnement Office 365 basé dans le cloud.

Dans un environnement Exchange, le service informatique doit simplement sauvegarder le contenu des boîtes mails des anciens employés - soit la boîte mails «normale», soit la boîte mails d'archives. Il existe notamment plusieurs possibilités :

• Sauvegardez la boîte-aux-lettres Exchange à l'aide d'un logiciel de sauvegarde granulaire,
• Sauvegardez la boîte-aux-lettres Exchange faisant une exportation vers un fichier .pst,
• Placez toutes les boîtes-aux-lettres "expirées" sur un serveur Exchange actif.

Toutes ces options ont leurs avantages et inconvénients, mais indépendamment de la façon dont vous enregistrez les courriels et les données des anciens employés, vous pouvez être sûr que vous pourrez accéder aux données si nécessaire (enquête interne, poursuite judiciaire externe…)

Sécurisation des boîtes-aux-lettres basées dans le cloud

Dans le cas d'un abonnement à des solutions basées dans le cloud comme Exchange Online ou Office 365, vous avez globalement  les mêmes possibilités de sauvegarde, mais contrairement à un environnement Exchange Server hébergé en interne, vous devez décider si vous souhaitez conserver ou réutiliser la licence de l'utilisateur. Si vous ne souhaitez pas allouer cette licence à un nouvel employé, vous devez "sauver" les données associées en les exportant vers un fichier .pst. (Normalement, Microsoft supprimera les données 30 jours après l’annulation d’un compte Exchange, selon votre abonnement).

Si vous souhaitez conserver votre licence Exchange Online / Office 365 pour une utilisation ultérieure, Microsoft offre depuis mars 2013 la possibilité de rendre inactives les boîtes-aux-lettres que vous ne souhaitez plus utiliser.

Pour ce faire, il existe deux façons différentes : la conservation pour litige et la conservation inaltérable. Les deux conservent tout le contenu de la boîte-aux-lettres, y compris les éléments supprimés et les versions originales des éléments modifiés. La principale différence entre les deux façons est que, avec la méthode de conservation inaltérable, vous pouvez conserver les éléments correspondant au paramètre de requête et spécifier les types d'éléments à conserver (tels que les courriels, les calendriers, les notes, etc.). Avec la conservation pour litige, vous ne pouvez pas conserver des objets de manière sélective, tous les éléments sont conservés.

Cependant, depuis le 1er juillet, les clients des plans autonomes Office 365 et Exchange Online ne peuvent plus créer de nouvelles conservations inaltérables. Vous ne pouvez que modifier les données déjà existantes, ou utiliser la méthode de conservation pour litige. La création de nouvelles conservations inaltérables après cette date n'est possible qu'avec les déploiements Exchange Server 2013 et Exchange Hybrid sur site.

À partir d’Exchange Server 2016, Microsoft propose le In-Situ-Archive qui offre à nouveau la possibilité de conserver les éléments avec des exigences sélectionnées individuellement. Mais jusqu'à présent, cette technologie n'est pas disponible dans Exchange Online et avec l'arrêt des conservations inaltérables en juillet, il n'y a que la méthode de conservation pour litige disponible (jusqu'à ce que Microsoft en décide autrement)

La bonne nouvelle est qu’il reste possible, du moins jusqu'à présent, de rendre inactives les boîtes-aux-lettres d’anciens employés avec une seule licence. L'administrateur n’a qu’à placer la boite mail de l’ancien utilisateur soit en conservation inaltérable soit en la conservation pour litige, puis de supprimer l'utilisateur d’Office 365. La licence est libérée et peut ensuite être utilisée pour un autre utilisateur. L’avantage est qu'avec cette méthode, vous pouvez le faire non seulement une fois, mais également pour d’autres utilisateurs devenus inactifs et les regrouper par "utilisateurs inactifs". Ce faisant, vous avez rempli toutes les exigences réglementaires. Selon Microsoft, il est possible de conserver tous les courriels d'utilisateur inactifs aussi longtemps que vous le souhaitez, pourvu que vous soyez toujours client Office 365 / Exchange en ligne et actif. Pour utiliser les méthodes de conservation pour litige ou inaltérable et rendre les utilisateurs «inactifs», vous devez en effet avoir un abonnement E2, E4, A3, A4, G ou Exchange Online P2 actif.

Comme vous pouvez le voir, même si Microsoft a mis en place un système permettant de garder les données d’anciens employés archivées dans le Cloud, ce n'est pas complètement gratuit, puisque vous devez payer au moins un plan d'abonnement Exchange Online P2. Et alors que Microsoft annonce maintenant qu'il sera "gratuit" pour les prochaines décennies à venir, vous n'avez aucun droit légal quand ils changeront leur politique à l'avenir. Et ce que de nombreux experts avaient prédits, devient réalité : Microsoft modifie la façon de sauvegarder les anciens courriels sans pour autant l’annoncer dans un communiqué de presse, mais par une note de deux lignes dans son centre de ressources TechNet. Donc, même si Microsoft déclare qu'il conservera les courriels hérités autant que nécessaire, vous ne saurez pas s'il modifie par la suite sa politique commerciale.

L'alternative la plus sûre : le fichier .pst

La façon la plus sûre et la plus simple de sauvegarder tous les courriels d’anciens employés pour des besoins futurs ou des raisons de conformité et des objectifs légaux est de toujours sauvegarder les boîtes mails sous forme de fichiers .pst. En utilisant cette option, vous pouvez enregistrer et stocker tous vos e-mails en toute sécurité sur un périphérique de stockage externe, par exemple un disque dur externe que vous pourrez réutiliser ultérieurement.

Pour enregistrer les courriels de la boîte mail de votre employé, vous devrez utiliser un client Outlook et ajouter sa boîte mail à partir de son compte Office 365 en tant que votre deuxième compte client. Une fois que le nouveau compte de messagerie est actif dans votre logiciel client Outlook, vous pouvez utiliser la fonction d'exportation et enregistrer le contenu du courrier électronique en tant que fichier .pst.

Une autre façon de sauvegarder les emails des employés consiste à utiliser Ontrack PowerControls pour Exchange développé par Ontrack. Avec cet outil - développé à l'origine pour rechercher et récupérer des fichiers tels que des courriels, des archives et des bases de données sur un serveur Exchange - vous pouvez facilement vous connecter au serveur Exchange en ligne avec votre abonnement Office 365 et trouver la boîte mail de votre ancien employé. Une fois que la boîte mail est localisée, il vous suffit de la sélectionner (ou un sous-dossier) et de l'enregistrer comme un fichier .pst.

Quel que soit le type de stockage que vous utilisez, vous devez vérifier la "sauvegarde" de votre fichier .pst et les courriels qu’il contient. Pour vous assurer que vous avez toujours les courriels d'un ancien employé, vous pouvez également utiliser la fonctionnalité "boîte-aux-lettres inactive" que Microsoft Exchange Online et Office 365 proposent. Avec ces deux méthodes de sauvegarde, vous pouvez être certain que vous pourrez toujours réagir de manière appropriée en cas de nécessité.