Étude de cas (Menaces et tactiques d'atténuation)

Étude de cas : Deya

En guise d’illustration, examinons l’expérience fictive mais relativement commune de Deya. Deya est une activiste féministe qui se sert de son compte sur Twitter pour interpeller les gens qui font la promotion de la culture du viol. Cela a amené Deya à recevoir des insultes et des menaces en ligne.

La menace qui la préoccupe le plus provient des personnes promettant de trouver l’adresse de son domicile et de diffuser cette information sur l’internet pour inviter les gens à lui nuire physiquement. Dans ce cas, la répercussion est claire : un dommage physique à l’encontre de Deya. Il y a d’autres menaces, comme harceler son employeur pour qu’elle soit renvoyée, et harceler ses ami·e·s en ligne.

Pour mettre en œuvre une évaluation des risques, Deya va devoir examiner chaque menace et l’analyser pour en évaluer la probabilité et les répercussions, afin de planifier comment atténuer les risques qui pèsent sur elle.

Menace nº1 : trouver où elle habite et partager cette information en ligne

La plupart des menaces proviennent de comptes en ligne qu’elle ne connaît en majorité pas et dont elle ne peut vérifier s’ils sont réels ou falsifiés. Elle reconnaît que certaines de ces personnes proférant des menaces en ligne sont connues pour leurs attaques en ligne contre les femmes. Elle sait déjà, de leurs attaques précédentes, que certaines données personnelles ont parfois été publiées en ligne, ce qui suscite chez elle un véritable sentiment de peur pour sa sécurité personnelle.

Y a-t-il pour elle une manière d’empêcher que cela se produise ? Quelle est la probabilité pour ses harceleurs et ses agresseurs de découvrir où elle habite ? Elle doit chercher s’il est possible que son adresse soit déjà disponible sur l’internet ou que l’un de ses agresseur·e·s puisse la mettre à disposition.

Pour évaluer cela, Deya peut commencer par une recherche sur elle-même et les informations disponibles en ligne la concernant, pour vérifier s’il y a des espaces physiques associés avec elle et si ceux-ci peuvent permettre de déterminer sa localisation réelle. Si elle découvre que l’adresse de son domicile est en ligne, que peut-elle faire ? Si elle découvre qu’il est possible de rechercher son adresse sur l’internet, peut-elle éviter qu’elle reste publique ?

Deya peut également évaluer la vulnérabilité et/ou la sécurité de son domicile. Vit-elle dans un immeuble gardé et avec des protocoles d’accès pour les non-locataires ? Vit-elle dans un appartement qu’elle doit sécuriser elle-même ? Vit-elle seule ? Quels sont les points faibles de son domicile ?

Deya va également devoir évaluer ses propres capacités et ressources pour se protéger. Si l’adresse de son domicile est rendue publique, peut-elle partir vivre autre part ? Qui pourrait lui offrir son soutien pendant ce temps ? Y a-t-il des autorités auprès de qui demander une protection ?

Menace nº2 : harceler son employeur pour qu’elle soit renvoyée de son travail

Deya travaille pour une ONG en faveur des droits humains et ne risque donc pas d’être renvoyée. Mais l’adresse des bureaux de l’organisation est bien connue dans sa ville et disponible sur leur site web.

Pour Deya, la menace d’un renvoi est faible. Mais les informations publiques sur son ONG peuvent être source de vulnérabilité pour sa sécurité physique et celle de tout le personnel.

Dans un tel scénario, c’est à l’organisation de réaliser sa propre évaluation des risques en raison des menaces qui pèsent sur une membre de son personnel.

Que faire avec les menaces ? Tactiques générales d’atténuation des risques

Au-delà d’identifier et analyser les menaces, la probabilité, les répercussions et les capacités, l’évaluation des risques consiste aussi à établir un plan pour atténuer tous les risques identifiés et analysés.

Il existe cinq méthodes générales pour atténuer les risques :

Accepter le risque et établir des plans de secours. Certains risques sont inévitables. Ou certains objectifs valent la peine de prendre un risque. Cela ne signifie pas pour autant qu’on peut les ignorer. Créer un plan de secours consiste à imaginer le risque et ses pires répercussions, et à prendre des mesures pour gérer la situation.

Éviter le risque. Cela signifie réduire la probabilité qu’une menace soit mise à exécution. Il peut s’agir de mettre en place des politiques de sécurité pour améliorer la sécurité du groupe. Il peut également s’agir de modifier certains comportements pour augmenter les chances d’éviter un risque en particulier.

Contrôler le risque. Un groupe peut décider de se focaliser sur les répercussions d’une menace plutôt que sur la menace elle-même. Contrôler les risques consiste à réduire la gravité des répercussions.

Transférer le risque. Faire en sorte qu’une ressource extérieure prenne à sa charge le risque et ses répercussions.

Surveiller l’évolution de la probabilité et des répercussions du risque. C’est la tactique habituelle pour atténuer les risques de faible niveau.

Dans le cas de Deya

Pour continuer avec l’exemple de Deya, différentes possibilités s’offrent à elle sur la base de son analyse de chaque menace, de la probabilité pour chacune d’entre elles d’être mise à exécution, des répercussions de chacune d’entre elles, et de ses propres capacités à gérer la menace et/ou ses répercussions.

Dans un scénario où l’adresse du domicile de Deya est déjà disponible sur l’internet, il lui faudra accepter le risque et concentrer ses efforts sur la mise en place de plans de secours. Ces plans peuvent aller de l’amélioration de la sécurité de son domicile au déménagement. Les possibilités dépendent des réalités et contextes existant pour Deya.

L’autre option pour Deya dans un tel scénario consiste à demander au site qui publie son adresse la retirer. Cette tactique n’est cependant pas infaillible. Elle lui permettra d’éviter le risque dans le cas où aucun de ses harceleuses et harceleurs n’aurait encore vu son adresse. Mais si son adresse a été vue et qu’une capture d’écran en a été faite, Deya n’aura plus grand-chose à faire pour en éviter la divulgation.

Dans un scénario où l’adresse de Deya n’est ni publique ni disponible sur l’internet, elle a un certain répit lui permettant d’éviter le risque. Que peut faire Deya pour éviter que les personnes la harcelant ne découvrent l’adresse de son domicile ? Elle peut par exemple retirer ses publications géolocalisées près de chez elle et arrêter de géolocaliser en temps réel ses publications.

Dans les deux scénarios (selon que son adresse soit publique ou non), Deya peut également contrôler le risque en se concentrant sur la protection de son domicile.

De bonnes stratégies d’atténuation des risques impliquent de réfléchir à des stratégies préventives et aux mesures à prendre en cas d’incident. Autrement dit, évaluer ce qu’on peut faire pour éviter une menace et ce qu’on peut faire quand la menace est mise à exécution.

Stratégies de prévention

  • De quelles capacités disposez-vous pour éviter la réalisation de cette menace ?
  • Quelles actions allez-vous entreprendre pour empêcher la réalisation de cette menace ? Comment allez-vous modifier les processus dans le réseau pour empêcher cette menace de se réaliser ?
  • Est-il nécessaire de créer des politiques et des procédures en ce sens ?
  • De quelles compétences allez-vous avoir besoin pour éviter cette menace ?

Réponse aux incidents

  • Que ferez-vous quand la menace se sera concrétisée ? Quelles mesures prendrez-vous à ce moment-là ?
  • Comment atténuerez-vous la gravité des répercussions de cette menace ?
  • De quelles compétences avez-vous besoin pour prendre les mesures nécessaires face à cette menace ?
Passez à la page suivante Quelques rappels.

wiggy-cactus-white-several.png