Risques liés aux expressions propres à une organisation
Quand on écrit anonymement sur des événements internes à une organisation, il est facile de penser qu'il suffit de supprimer le nom de l'entreprise ou de l'école.
Pourtant, les mots utilisés seulement à l'intérieur d'une organisation peuvent être des indices aussi forts que des noms propres.
Abréviations de services, termes internes, noms de réunions propres, noms de projets, façons de désigner les rôles et expressions de flux de travail peuvent être obscurs pour les personnes extérieures, mais immédiatement reconnaissables pour les personnes internes.
Cet article explique le lien entre expressions propres à une organisation et anonymat, ainsi que la façon de les généraliser avant publication.
Que sont les expressions propres à une organisation ?
Les expressions propres à une organisation sont des mots compris seulement dans une entreprise, école, association, service ou équipe donnée.
| Type | Exemple | Point d'attention pour l'anonymat |
|---|---|---|
| Abréviation de service | CS, système d'information, développement G1 | Montre l'affiliation interne |
| Nom de réunion | réunion du matin, réunion régulière, revue XX | Resserre participants ou période |
| Nom de projet | nom de code interne, nom de dossier | Montre responsables ou services liés |
| Façon de désigner les rôles | niveaux de poste propres, titres internes à l'équipe | Peut révéler la structure de l'organisation |
| Flux de travail | procédures propres à cette organisation | Devient une information compréhensible seulement par les internes |
Les lecteurs généraux peuvent ne pas comprendre ces mots.
Mais pour les personnes internes, ce sont de forts matériaux d'identification.
Pour l'anonymat, "les personnes qui ne savent pas ne comprendront pas" ne suffit pas. Pensez à "qui viendrait à l'esprit si une personne qui sait lisait ceci".
Ce qui reste après suppression des noms propres
Même si vous supprimez le nom de l'organisation ou du service, la source devient plus facile à déduire si les expressions restent.
| Ce qui a été supprimé | Indice restant |
|---|---|
| Nom d'entreprise | Noms de systèmes internes, noms de réunions, abréviations |
| Nom de service | Travail assigné, flux d'approbation, rôles |
| Nom de personne | Manières de s'adresser, relations, rôles |
| Nom de projet | Chronologie, services liés, codes internes |
| Nom de lieu | Noms de salles de réunion, étages, noms d'installations |
Soyez particulièrement prudent avec les lancements d'alerte, les consultations de travail, les problèmes internes à une école et les récits d'activité de groupe.
Même si un mot est ordinaire au quotidien pour la personne qui écrit, il devient une information interne une fois placé à l'extérieur.
Comment généraliser
Remplacez les expressions propres à l'organisation par des termes généraux.
| Expression d'origine | Exemple de remplacement | Point d'attention |
|---|---|---|
| Réunion recrutement récurrente | réunion régulière | Ne pas révéler plus que nécessaire l'objectif de la réunion |
| Développement G1 | un service | Flouter davantage si le service compte peu de personnes |
| Nom de code interne | un projet | Ne pas le donner avec le timing ou les responsables |
| M. ou Mme XX, chef de section | supérieur, responsable | Éviter une relation trop étroite |
| Salle de réunion du 3e étage du siège | une salle de réunion au travail | Baisser la précision du lieu |
Le but du remplacement n'est pas de rendre le texte vague.
Il est de réduire la précision qui permet aux personnes internes de resserrer les candidats tout en gardant le sens nécessaire aux lecteurs.
Vérifier en supposant que des internes peuvent lire
Un texte sur une organisation doit être vérifié en supposant que des personnes internes peuvent le lire.
Même si vous pensez l'avoir suffisamment flouté pour des lecteurs extérieurs, les internes peuvent encore comprendre.
| Question à vérifier | Raison |
|---|---|
| Ce mot est-il aussi utilisé hors de l'organisation ? | Le remplacer s'il s'agit d'un langage interne |
| Combien de personnes connaissent cet événement ? | C'est dangereux s'il y a peu de candidats |
| Cette chronologie est-elle nécessaire ? | Elle peut se relier à une réunion ou à un historique de diffusion |
| Ce rôle est-il tenu par une seule personne ? | Un rôle seul peut identifier quelqu'un |
| Cette expression révèle-t-elle le service ? | Éviter l'inférence d'affiliation |
Montrer un texte à haut risque à une autre personne est en soi une nouvelle exposition. Si une vérification reste nécessaire, ne montrez que le périmètre nécessaire, limitez-vous à un conseiller de confiance et demandez quelle organisation ou quel service lui vient à l'esprit.
Cela peut rester aussi dans les fichiers et images
Les expressions propres à une organisation ne restent pas seulement dans le corps du texte.
Elles peuvent rester dans les noms de fichiers PDF, les modèles de documents Office, les notifications dans les captures d'écran, les affiches visibles dans les images et les conversations audio.
| Lieu | Information qui reste |
|---|---|
| Nom de fichier | Nom de projet, service, réunion |
| Métadonnées de document | Nom d'entreprise, modèle, auteur |
| Image | Tableau blanc, affiche, badge |
| Audio | Termes internes, manières de s'adresser, noms de réunions |
| URL | Nom de système interne, nom d'écran d'administration |
Corriger seulement le texte ne suffit pas si des expressions propres à l'organisation restent dans les fichiers joints.
Avant publication, vérifiez ensemble le corps du texte, les fichiers, images, audios et URL.
Attention à ne pas remplacer trop
Il ne s'agit pas simplement de supprimer les expressions propres à l'organisation.
Si vous retirez même le sens nécessaire aux lecteurs, ils ne comprendront plus le problème. Dans les textes de consultation ou liés à l'anonymat, gardez le minimum nécessaire à la compréhension de la situation tout en réduisant la précision qui permet aux internes de resserrer les candidats.
| Objectif | Information à garder | Information à retirer |
|---|---|---|
| Consulter sur un environnement de travail | Charge de travail, chaîne de signalement, comportement problématique | Noms précis de services, noms de réunions, noms utilisés pour les supérieurs |
| Partager un problème interne à une école | Position, type de problème, soutien nécessaire | Nom de département, nom de classe, petit séminaire |
| Signaler un problème technique | Périmètre d'impact, type de cause, point de vue pour éviter la récidive | Nom de système interne, code projet, noms des responsables |
| Brouillon de lancement d'alerte | Valeur d'intérêt public, type de preuve, plage de timing | Noms de documents, participants, détails des destinataires de diffusion |
Ce qui compte dans ce tableau est de séparer le sens de la précision.
Le sens est nécessaire pour que les lecteurs jugent. La précision devient un indice qui resserre la personne ou les personnes liées. Modifier pour protéger l'anonymat consiste à garder le sens et à baisser la précision.
Relire depuis plusieurs positions de lecteur
Pour vérifier les expressions propres à une organisation, relisez le texte depuis plusieurs positions de lecteur.
Même si aucun problème n'apparaît en lecteur général, des candidats peuvent soudainement venir à l'esprit en lisant comme collègue du même lieu de travail, étudiant de la même école ou responsable du même service.
Lors de la vérification, relisez dans cet ordre.
- Un lecteur qui ne sait rien peut-il comprendre le sens du contenu ?
- Une personne du même secteur serait-elle incapable de déduire l'organisation ?
- Une personne de la même organisation serait-elle incapable de déduire le service ou la personne ?
- Une personne impliquée serait-elle incapable de deviner l'auteur ?
Pour un contenu à haut risque, le dernier point de vue est le plus important.
Pour l'anonymat, se cacher du grand public ne suffit pas. Il faut aussi penser aux informations connues par les personnes qui ont une raison réelle de chercher.
Portée par rapport aux autres articles
La manière de gérer profession et affiliation elles-mêmes est traitée en détail dans "Identification par la profession et l'affiliation".
Cet article se concentre sur les expressions comprises seulement à l'intérieur d'une organisation.
La précision de floutage des noms de régions, d'écoles et d'entreprises est traitée dans "Comment flouter les noms de lieux, lieux de travail, écoles et lieux habituels".
La manière de remplacer les noms propres est traitée dans "Comment flouter les noms propres en toute sécurité".
Séparer les points de vue article par article aide à réduire les oublis dans les vérifications avant publication, plutôt que de répéter le même contenu.
Résumé
Les expressions propres à une organisation sont des indices forts qui affaiblissent l'anonymat.
Même si vous supprimez un nom d'entreprise ou d'école, les personnes internes peuvent comprendre si des termes internes, abréviations de service, noms de réunions, noms de projets, façons de désigner les rôles et expressions de flux de travail restent.
Quand vous écrivez anonymement sur une organisation, remplacez-les par des expressions générales.
Mais même après remplacement, les candidats peuvent encore se resserrer si le texte se combine avec chronologies, rôles, régions, noms de fichier, images et audio.
Avant publication, vérifiez qui viendrait à l'esprit si une personne interne lisait le texte.
Si des expressions dont vous n'êtes pas sûr restent, ne publiez pas dans la précipitation ; faites une pause.
Pour un texte qui exige l'anonymat, généraliser les mots compris seulement par les internes est aussi important que supprimer les noms propres.
Outils liés
OSINT Framework
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/