Le modèle de menace à envisager d'abord dans une alerte
Dans un signalement, on commence par construire un modèle de menace.
Un modèle de menace est une manière d'organiser "contre qui, quoi et par quels chemins" on cherche à protéger.
Dans un signalement, l'autre partie n'est souvent pas un attaquant extérieur, mais l'organisation à laquelle on appartient. L'organisation peut posséder la liste de diffusion des documents, les journaux de consultation, la gestion des appareils, les registres d'entrée et de sortie et l'historique des e-mails.
Il faut donc réfléchir avec plus de prudence que pour une publication anonyme ordinaire.
Contre qui protéger
Commencez par penser à qui pourrait chercher à identifier le lanceur d'alerte.
Supérieur hiérarchique, service juridique, systèmes d'information, audit, direction, société d'enquête externe et, selon les cas, autorités d'enquête. Les informations visibles changent selon l'acteur.
| Acteur | Informations visibles |
|---|---|
| Supérieur direct | Contenu du travail, horaires, personnes mécontentes |
| Systèmes d'information | Journaux d'appareil, historique d'accès, e-mails, historique cloud |
| Juridique et audit | Documents diffusés, personnes concernées, dossiers d'enquête |
| Direction | Pouvoirs internes, consignes d'enquête, décisions disciplinaires |
| Société d'enquête externe | Entretiens, analyse des journaux, enquête sur les personnes concernées |
Si vous agissez en gardant flou l'acteur concerné, vous risquez de vous tromper sur la force des mesures.
Dans un signalement, l'autre partie n'est pas un simple lecteur. Elle peut disposer de pouvoirs internes, de journaux, d'entretiens, d'audits et de réponses juridiques. Un supérieur direct connaît les relations humaines et les mécontentements. Les systèmes d'information peuvent parfois voir l'historique des appareils et du cloud. Le juridique et l'audit examinent la diffusion des documents et les personnes concernées.
Sous-estimer les capacités de l'autre partie rend les mesures insuffisantes. À l'inverse, considérer tout le monde comme un acteur de niveau étatique rend toute action impossible. Il faut distinguer les acteurs réalistes et leurs capacités.
Ce qu'il faut protéger
L'objet à protéger n'est pas seulement le nom.
L'accès aux documents, l'heure d'envoi, le fait d'avoir consulté quelqu'un, les informations de création du document, le lien avec un service et la réaction après publication font aussi partie de ce qu'il faut protéger.
| Objet à protéger | Exemple concret |
|---|---|
| Identité | Nom, service, fonction, lieu de travail |
| Fait de l'accès | Trace d'ouverture, d'impression ou de téléchargement d'un document |
| Fait du contact | Qui a été consulté et quand |
| Origine du document | Créateur du document, périmètre de diffusion, numéro de version |
| Chronologie des actions | Quand cela a été vu, envoyé et publié |
Dans un signalement, "qui pouvait agir à ce moment-là" devient parfois plus important que "qui possédait le document".
Limiter la protection au vrai nom fait manquer des risques importants. Le fait d'avoir accédé aux documents, d'avoir consulté quelqu'un, l'heure d'impression, l'historique d'ouverture du fichier et la réaction après publication sont aussi des objets à protéger. L'organisation peut chercher non pas le nom lui-même, mais "les personnes qui ont touché cette information".
Dans un signalement, on protège séparément l'identité, les actions, les documents, la chronologie et les personnes concernées. Si l'un de ces éléments fuit, il se relie aux autres informations et réduit le nombre de personnes susceptibles d'être soupçonnées.
Par où cela fuit
Séparez les endroits où une fuite peut se produire.
Système interne, appareil, cloud, document, communication, destinataire du signalement, article après publication. Chaque étape contient des indices.
| Chemin de fuite | Exemple |
|---|---|
| Système interne | Accès au fichier, téléchargement, journaux d'impression |
| Appareil | Connexion USB, capture d'écran, historique de lancement des applications |
| Document | Créateur, nom de l'organisation, historique de modification, commentaires |
| Communication | E-mail, DM, appel, IP, heure |
| Destinataire | Journaux côté réception, méthode de conservation, méthode de réponse |
| Après publication | Contenu de l'article, heure de publication, type de documents |
Dans un signalement, l'étape antérieure au dépôt peut devenir dangereuse.
Chercher, ouvrir, copier ou imprimer un document laisse déjà des traces.
Le chemin de fuite ne se limite pas au chemin d'envoi. L'historique de recherche des documents, la consultation du serveur de fichiers, le téléchargement cloud, l'utilisation d'une imprimante, la prise de photo avec un smartphone, la synchronisation vers un cloud personnel et la conservation de notes de consultation deviennent tous des indices.
La fuite peut aussi se produire après publication. La précision de l'article ou du signalement, le moment de publication, les informations supplémentaires et les réactions au travail deviennent des éléments pour chercher le lanceur d'alerte. Dans le modèle de menace, distinguez l'avant-action, l'envoi et l'après-publication.
Distinguer l'ampleur du risque
Les alertes couvrent des situations très différentes.
Une simple consultation interne, un problème de travail, une violation de la loi, une fraude comptable, une alerte d'intérêt public grave ou des informations proches du secret d'État n'ont pas du tout le même risque.
| Risque | Situation | Manière de penser |
|---|---|---|
| Faible | Consultation générale au travail | Vérifier l'interlocuteur de conseil et le traitement des dossiers |
| Moyen | Problème de travail ou harcèlement | Regarder la conservation des preuves, les interlocuteurs et le risque de représailles |
| Élevé | Fraude comptable, violation de la loi, faute organisée | L'avis juridique et le choix du destinataire sont importants |
| Très élevé | Concerne l'État, la sécurité ou des secrets graves | Ne pas agir sans spécialistes |
Plus le risque est élevé, plus il devient important de chercher un interlocuteur fiable avant de toucher un outil anonyme.
L'ampleur du risque change non seulement selon le contenu, mais aussi selon la position du lanceur d'alerte. Salarié permanent ou précaire, étudiant, personne étrangère, effets possibles sur la famille, isolement au travail, représailles passées. La même information peut causer des dommages différents selon la position.
Dans une situation à haut risque, il est important de ne pas agir seul. Cherchez un interlocuteur adapté à la situation : avocat, organisation de soutien, rédaction expérimentée dans la protection des sources, par exemple.
Questions pour construire un modèle de menace
Avant d'agir, répondez aux questions suivantes.
| Question | Objectif |
|---|---|
| Combien de personnes connaissent cette information | Vérifier si le nombre de personnes susceptibles d'être soupçonnées est faible |
| L'accès à ce document laisse-t-il une trace | Regarder le risque des journaux internes |
| Le destinataire est-il fiable | Penser au traitement côté réception |
| Qui sera soupçonné après publication | Anticiper les représailles après publication |
| Existe-t-il une consultation juridique ou de sécurité | Réduire le danger d'agir seul |
Si beaucoup de points restent sans réponse, il n'est pas encore temps d'envoyer.
Il faut d'abord vérifier.
Écrire le modèle de menace sur papier peut aider à organiser les idées. Mais cette note elle-même demande de la prudence. Si vous laissez des détails sur un appareil professionnel, dans un cloud en nom réel ou dans un dossier partagé, cela devient une nouvelle trace. Organisez-les dans un environnement sûr, avec le minimum nécessaire.
Décider des mesures à partir du modèle de menace
Le modèle de menace ne s'arrête pas à la réflexion. Il sert à décider les mesures.
| Ce qui a été compris | Mesure suivante |
|---|---|
| Peu de personnes ont eu accès au document | Ajuster le contenu ou le moment de publication |
| Les journaux de l'appareil professionnel sont forts | Ne pas augmenter les actions sur l'appareil et chercher un interlocuteur de conseil |
| Le destinataire est inconnu | Vérifier l'opérateur et la politique de journaux avant l'envoi |
| Le risque juridique est important | Consulter un avocat ou un guichet spécialisé |
| La famille ou des collègues peuvent être affectés | Revoir le périmètre de publication et le contenu |
Le modèle de menace ne sert pas seulement à arrêter l'action. C'est un outil pour décider ce qu'il faut vérifier d'abord, ce qu'il faut réduire et qui consulter.
Résumé
Dans un signalement, on commence par construire un modèle de menace.
On organise contre qui protéger, quoi protéger, par où cela fuit et quel est le niveau de risque.
Une organisation peut posséder des journaux sur l'accès aux documents, les actions sur les appareils, le cloud, les e-mails, les entrées et sorties et l'impression.
Avant d'utiliser des outils anonymes, vérifiez l'origine de l'information, le destinataire, les déductions possibles après publication et les interlocuteurs juridiques ou de sécurité.
Le modèle de menace est la première carte d'organisation des risques dans une alerte.
Outils liés
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/