2. Monter un plan réaliste

Pour en savoir plus

• Lisez les bonnes pratiques pour créer un budget, dans ENISA (2020). « High-level roadmap and budget ». ENISA, How to set up CSIRT and SOC - Good Practice Guide (pp. 16-18). https://www.enisa.europa.eu/publications/how-to-set-up-csirt-and-soc.

2.2 Décidez des moyens de financer votre CASNSC

Pour veiller à ce que votre CASNSC puisse fonctionner sur le long terme et devenir un point de référence pour vos bénéficiaires, vous aurez besoin de mettre au point un modèle de financement fiable pour couvrir vos coûts.

Si votre CASNSC fait partie d’une plus grande organisation, vous pourrez sans doute vous appuyer sur votre organisation-hôte pour réfléchir à comment couvrir vos coûts. En revanche, si vous êtes une organisation indépendante, vous devrez penser aux détails suivants :

• D’où proviendront les fonds ? Allez-vous postuler à des subventions, solliciterez-vous des dons, serez-vous financé·es par un consortium d’organisations ou couvrirez-vous vos coûts en proposant certains services payants ?
• Aurez-vous besoin de trouver plusieurs sources de financement ou une seule source vous suffira pour garantir vos opérations sur le long terme ?
• Votre source de financements est-elle sécurisée ?
• Votre source de financement est-elle stable ou prendra-t-elle fin à un moment donné ?
• Chercherez-vous uniquement des ressources financières ou votre CASNSC cherchera à établir des relations de collaboration avec des organisations et institutions partenaires ?

Les difficultés que nous avons rencontrées jusqu’ici sont liées à la durabilité, parce que la ligne d'assistance est un projet financé. Donc, que se passe-t-il s’il n’y a pas de financement ? Comment pouvons-nous la maintenir ? Comment pouvons-nous la gérer ? Et pour cela, nous avons créé certaines ressources pour que les personnes aient accès à de l'aide. L’une de ces ressources est un portail d'avocat·es et de professionnel·les pouvant offrir gratuitement des services juridiques aux femmes qui subissent du cyberharcèlement, par exemple.

Digital Rights Foundation (Haché, 2021).

Politique de financement

Certaines organisations choisissent également de se doter d’une politique de financement pour décider si une nouvelle source de financement est bien en cohérence avec leur mission et leurs objectifs. Par exemple, certains groupes décident de ne recevoir que des dons afin de pouvoir rester complètement indépendants, tandis que d'autres n'accepteront pas de fonds qui pourraient avoir une influence sur leurs priorités.

Voici quelques exemples de politiques de financement de membres du CiviCERT :

Access Now

La majorité de nos soutiens sont des fondations et des agences de développement, et le reste des fonds provient d'entreprises, tribunaux, individus et organisations de la société civile. Pour veiller à l’indépendance et à l'intégrité de notre organisation, nous acceptons de recevoir du soutien, sous réserve de respecter les conditions suivantes non négociables :

• Access Now n'accepte pas de fonds qui mettraient en danger ses équipes, ses partenaires, les communautés qu’elle accompagne ou sa mission.
• Access Now n'accepte pas de fonds qui compromettraient sa relation avec ses partenaires, ses parties prenantes ou les communautés qu’elle soutient et ses réseaux.
• Access Now n'accepte pas de fonds qui ébranleraient son indépendance organisationnelle, notamment les liens de financement pouvant avoir de l'influence sur ses priorités, ses positionnements politiques, ses efforts de plaidoyer, les régions sur lesquelles elle se focalise, ou son travail d'action directe.
• Access Now n'accepte pas de fonds supposant un risque pour sa réputation dans un sens plus large ou concernant certains domaines de travail spécifiques.

Amnesty International

L’immense majorité de nos revenus provient d’individus partout dans le monde.

Ces dons de particuliers permettent à Amnesty International de rester totalement indépendante vis-à-vis des gouvernements, des idéologies politiques, des intérêts économiques ou des religions.

Nous ne cherchons pas ni n'acceptons de fonds pour la recherche en droits humains provenant de gouvernements ou de partis politiques et nous acceptons le soutien d’entreprises que nous avons soigneusement contrôlées et validées.

Grâce à notre collecte de fonds basée sur des principes éthiques et aux dons des particuliers, nous pouvons continuer de défendre fermement et résolument l'universalité et l'indivisibilité des droits humains.

Pour en savoir plus

• Politique de financement d’Access Now
• Politique de financement d’Amnesty International

2.3 Sécurité physique des équipes et du bureau

Que vous décidiez ou non de monter un bureau physique, lorsque vous créez votre ligne d’assistance, il vous faut établir un plan pour protéger des attaques physiques vos équipes et bénévoles, ainsi que votre bureau et vos infrastructures.

Au moment de réfléchir à la sécurité physique de votre bureau, envisagez par exemple de :

• Protéger les équipements informatiques contenant des données sensibles : ordinateurs, disques durs externes, serveurs, etc.
• Vous assurer que personne n’a accès au bureau sans autorisation. Vous pouvez par exemple faire installer une caméra de sécurité à l’entrée ou sensibiliser vos équipes à qui peut avoir accès à leur domicile et qui ne devrait pas.
• Protéger les imprimantes et les documents imprimés de tout accès non autorisé et détruire les documents imprimés qui ne sont plus utilisés.
• Sécuriser les routeurs et les infrastructures de communication.
• Rappeler aux équipes de ne jamais laisser leur ordinateur sans surveillance. Et s’ils et elles le font, de toujours le verrouiller.

Pour en savoir plus

• Retrouvez des recommandations sur la sécurité physique de votre bureau et des bénévoles qui travaillent depuis leur domicile dans les modèles de politiques de sécurité de la plateforme d’assistance d'Access Now.
• Higson Smith, Craig ; Ó Cluanaigh, Daniel ; Ravi, Ali G. ; Steudtner, Peter (2016). Holistic Security - A Strategy Manual for Human Rights Defenders. Tactical Technology Collective - https://holistic-security.tacticaltech.org
• Eguren, E. et Cara, M. (éds.) 2009. Nouveau Manuel de protection pour les défenseurs des droits humains. Protection International. https://www.protectioninternational.org/wp-content/uploads/2022/12/New-protection-manual-French.pdf
• Tsunga, Arnold (éd.) (2007). Protection Handbook for Human Rights Defenders. Front Line, The International Foundation for the Protection of Human Rights Defenders. https://www.frontlinedefenders.org/fr/file/1671/download?token=XHaqzSCK

2.4 Sécurité des réseaux

Si votre équipe travaille depuis un bureau, il faut qu’un réseau lui soit exclusivement réservé pour se connecter à internet, ainsi que des imprimantes, des serveurs physiques, et ainsi de suite, rien que pour cette équipe. Un réseau pour les invité·es peut être créé à part si vous souhaitez laisser la possibilité aux personnes qui vous rendent visite d’utiliser votre Wifi.

Si vous le pouvez, envisagez d’embaucher un ou une administratrice système pour gérer le réseau de votre bureau ainsi que votre propre infrastructure, si vous avez décidé d’héberger vous-mêmes vos outils et plateformes en ligne.

2.5 Infrastructure et outils

En théorie, vous pouvez démarrer un CASNSC avec seulement un ordinateur pour chaque personne de votre équipe et une plateforme sécurisée de collaboration telle qu’une instance NextCloud, Gitlab ou Discourse auto-hébergée pour partager les informations entre membres de l'équipe, organiser les tâches, garder une trace des contacts, etc. Vous pouvez même recourir à un fournisseur de service bienveillant pour héberger ladite plateforme si cela est compatible avec votre modèle de menaces.

Lorsque vous planifiez votre centre d’assistance à la sécurité numérique, si votre budget le permet, vous pouvez envisager d’utiliser des outils qui ont été créés dans le but de traiter les incidents, d’identifier les indicateurs de compromission, de partager les informations et d’analyser les logiciels malveillants.

Nombre de CASNSC utilisent les outils suivants pour traiter et analyser les incidents :

• Un système de tickets d’assistance pour gérer les demandes d’aide et les cas (voir ci-dessous, section Systèmes de tickets d’assistance).
• Une instance auto-hébergée ou fédérée de MISP pour partager, conserver et corréler les indicateurs de compromission.
• Un système d’analyse des logiciels malveillants, comme Cuckoo Sandbox.
• Parfois un GRC pour gérer les contacts, comme CiviCRM.

En général, lorsque vous choisissez un outil ou un service, il vaut mieux appliquer les critères suivants :

• Le logiciel doit être gratuit et en open-source.
• Dans l'idéal, il doit être auto-hébergé ou être hébergé par une entité de confiance.
• Si le service est hébergé par une tierce partie, il doit être chiffré de bout en bout, audité et offrir un bon niveau de sécurité (par ex., l’authentification multifacteurs).

Systèmes de tickets d’assistance

Dès qu’une demande d’aide est reçue, la personne chargée du cas doit noter tous les détails concernant le/la bénéficiaire, l'incident et toute action ayant été mise en œuvre pour le traiter. Enregistrer toutes les communications avec le/la bénéficiaire, ainsi que toutes les mesures prises pour détecter et aborder l'incident peut faciliter la collaboration avec les autres membres de l’équipe et la dérivation vers d’autres organisations. Cela peut aussi améliorer les procédures de traitement des incidents et fournir des preuves utiles qui pourraient se révéler nécessaires lors d’un procès.

Les cas peuvent être documentés de plusieurs façons, même dans des documents de texte ou sur papier, mais le recours à un système de tickets d’assistance simplifiera cette tâche. En effet, ce genre d’outils permet d’enregistrer et d’organiser les communications et les détails de façon systématique, rendant alors possible de retracer chaque demande d'assistance, mais aussi les bénéficiaires et toute tierce partie concernée, et de passer en revue les cas précédents pour assurer la qualité et obtenir des statistiques, pour ne nommer que quelques-unes des principales fonctionnalités utiles au travail d’un CASNSC.

Étant donné que les communications passent par le système de tickets d’assistance et y sont conservées, l’une des fonctionnalités que doit chercher un CASNSC lors du choix d’un outil pour retracer les demandes est la possibilité de sécuriser les communications et les informations sur les incidents. Par conséquent, il est recommandé d’opter pour un système qui soit compatible avec les outils de communication chiffrée tels que les emails chiffrés par GPG ou les applications de messagerie sécurisées telles que Signal.

En outre, un système de tickets d’assistance doit pouvoir permettre d’enregistrer les informations suivantes :

• Nom et adresse email de la personne bénéficiaire
• Statut de vérification de la bénéficiaire (vérifié·e, non-vérifié·e, rejeté·e)
• Type de public auquel appartient la bénéficiaire
• Statut actuel de l'incident (nouveau, ouvert, clôturé, etc.)
• Urgence et priorité de l'incident
• Résumé de l'incident
• Type de service sollicité pour aborder l'incident
• Toutes les communications avec la bénéficiaire
• Preuves recueillies lors de l’enquête sur l'incident
• Indicateurs liés à l'incident
• Autres cas liés à l'incident
• Actions/Mesures prises face à cet incident
• Informations de contact pour les autres parties impliquées (ex. : intermédiaires, entreprises ayant été contactées pour une remontée, partenaires aidant à traiter le cas, etc.)
• Toutes les communications avec les autres parties impliquées
• Commentaires des personnes traitant le cas
• Prochaines étapes à suivre

Ce qui suit est un aperçu des systèmes de tickets d’assistance les plus utilisés dans la sphère du soutien à la sécurité numérique pour la société civile.

Zammad et CDR Link

Zammad est un centre d'assistance et système de soutien clientèle en open-source et sur le web avec des fonctionnalités telles que la gestion des communications avec les client·es via différents canaux comme le téléphone, Facebook, Twitter, chat et email, entre autres.

Au vu des nécessités spécifiques de la société civile et des défenseur·es des droits humains, le Center for Digital Resilience a mis au point CDR Link, un système de tickets d’assistance axé sur la confidentialité et la sécurité, et se basant sur Zammad, qui est doté de plug-ins de messagerie personnalisables pour Signal, Whatsapp et GPG, afin de sécuriser les communications. CDR Link requiert un compte Google pour s’y connecter et est hébergé par AWS (Amazon Web Services).

Zammad peut également être intégré à NextCloud (à partir de la version 20) : l’appli d’intégration de Zammad pour NextCloud fournit un widget de tableau de bord avec un aperçu des tickets Zammad, une aide pour trouver les tickets Zammad à l'aide de la recherche unifiée de NextCloud et des notifications sur les mises à jour de statuts des tickets.

Request Tracker

Request Tracker, connu comme RT, est une plateforme de flux de travail et de suivi des problèmes en open-source, développé et pris en charge par Best Practical Solutions.

RT peut être auto-hébergé, mais il existe également des options d’hébergement géré ou d’hébergement dans le cloud avec AWS. Il peut être intégré avec un chiffrement PGP et est l’un des systèmes de tickets d’assistance les plus courants chez les équipes de soutien informatique d’urgence. Il convient de signaler que les façons dont les solutions sont documentées pendant le traitement de l'incident peuvent rapidement se transformer en documentation de procédure au sein même de RT.

Freescout

Freescout est un système de tickets d’assistance gratuit et en open-source qui peut être facilement déployé, même en hébergement partagé. Il peut être auto-hébergé mais l’hébergement géré est également disponible.

Freescout propose des modules payants qui peuvent étendre ses fonctionnalités, notamment l'intégration avec PGP (uniquement signature et chiffrement),WhatsApp, Telegram, et Twitter.

Trac

Trac est un système de suivi des bugs et de gestion de projets en open-source et sur le web qui peut être utilisé pour effectuer un suivi des tâches, problèmes et incidents et qui est parfois utilisé par les centres d’assistance pour gérer leurs cas. Il peut être auto-hébergé mais l’hébergement géré est également disponible.

GLPI

GLPI (Gestionnaire Libre de Parc Informatique)est un système de suivi et de centre de services gratuit et en open-source. Il peut être [auto-hébergé] https://glpi-install.readthedocs.io/en/latest/) mais l’hébergement géré est également disponible.

Primero et GBVIMS

Primero est une plateforme logicielle auto-hébergée en open-source pour la gestion des cas des services sociaux et le suivi des incidents, notamment la protection de l'enfance et les violences de genre.

Basé sur Primero, le système de gestion des informations sur les violences de genre (GBVIMS selon son acronyme en anglais) est un système de gestion des données qui permet aux personnes qui fournissent des services aux survivantes et survivants de violences de genre de recueillir, conserver, analyser et partager efficacement et en toute sécurité les données liées aux incidents signalés.

#### Autres

Il existe un grand nombre de bons outils pouvant intégrer les tickets du processus de traitement à votre flux de travail actuel. Comme nous l'avons indiqué précédemment, si votre organisation utilise déjà NextCloud, il existe un plug-in spécifique pour l'intégration avec Zammad. Si votre organisation utilise Discourse, vous pouvez ajouter un système de tickets d’assistance à l'aide des plug-ins tickets et assign

Un outil standard de tickets d’assistance peut être excessif pour les petites organisations. Un grand nombre d’outils de gestion de projet peuvent être très efficaces et sont bien plus faciles à utiliser. Par exemple, NextCloud Deck est un moyen simple et facile de traiter les tickets. Sa simplicité est un grand atout pour les petites organisations. Dans NextCloud Desk, chaque ticket est une tâche, une tâche a une description, elle est assortie d’étiquettes, et a une date de début et de fin et peut être déplacée d’une colonne à l'autre de façon à répliquer le flux de travail des tickets d’assistance.

2.6. Gestion d’équipe

Tout CASNSC nécessite une équipe de personnes ayant des compétences spécifiques pour répondre aux demandes d’aide de façon prompte et précise. La taille et l’expérience de l’équipe dépendront de votre structure organisationnelle et de votre situation de financement, mais aussi de votre capacité à créer, gérer et accompagner leur épanouissement professionnel et leur bien-être.

Compétences souhaitées

Un CASNSC doit définir les compétences nécessaires à réaliser sa mission. La tâche de votre centre d’assistance étant de répondre à des demandes de sécurité numérique, il faut que votre équipe ait une série de compétences de base.

Voici une liste indicative des compétences techniques et non techniques/interpersonnelles que les membres d’une équipe de CASNSC devraient avoir. Si votre équipe ne dispose pas d’une compétence nécessaire, il vous faudra identifier une tierce partie pour externaliser la tâche qui requiert ladite compétence.

Ensemble de compétences techniques

• Capacité à administrer un système GNU/Linux-UNIX
• Capacité à administrer des serveurs web
• Familiarité avec les systèmes d’exploitation les plus répandus : Windows, GNU/Linux, macOS, Android et iOS.
• Capacité à travailler avec au moins un outil d’analyse réseau comme Wireshark, tcpdump, Zeek, Snort, etc.
• Connaissance pratique de la gamme de protocoles de réseaux TCP/IP ou OSI, y compris les protocoles fondamentaux tels que IP, ICMP (protocole de message de contrôle sur internet),TCP, UDP (protocole de datagramme utilisateur), SMTP (protocole simple de transfert de courrier), POP3 (post-office protocol 3), HTTP (protocole transfert hypertexte), FTP (protocole de transfert fichier) et SSH.
• Connaissance pratique des algorithmes et protocoles de cryptographie tels que l’Advanced Encryption Standard (AES), Rivest, Shamir et Adleman (RSA), Message-Digest Algorithm (5) (MD5), Secure Hash Algorithm (SHA), Kerberos, Secure Socket Layer/ Transport Layer Security (SSL/TLS) et Diffie-Hellman.
• Capacité à effectuer des évaluations de vulnérabilité et travailler avec les outils d’évaluation d’intrusion tels que Kali Linux, Metasploit, etc.
• Connaissances en scripts avec les langages et outils tels que Python, bash, awk, sed, grep, etc.
• Connaissance des techniques et tactiques des attaques.
• Compréhension solide de la gestion des utilisateurs finaux des plateformes de réseaux sociaux comme Facebook, Instagram, Twitter, YouTube, etc.
• Pour ceux et celles qui travaillent avec la rétro-ingénierie sur les logiciels malveillants, connaissance du code d'assemblage Intel x86 et capacité à travailler avec les divers services aidant à l’analyse des logiciels malveillants, tels que SysInternals, ainsi que des suites d’outils utilisées pour décompiler et examiner les logiciels malveillants, telles que IDA et Ghidra.

Il est certain que les candidats et candidates ayant une formation en sciences informatiques et en études de sécurité informatique seront les mieux préparé·es pour maîtriser ces compétences. Toutefois, les personnes passionnées par ces domaines peuvent également acquérir et démontrer rapidement ces compétences. Au moment du recrutement, vous devrez évaluer les études, l’expérience et le degré d’enthousiasme afin d’identifier le bon ou la bonne candidate pour rejoindre votre équipe.

Habituellement lors de la mise en place d’un centre d’assistance, il n'est pas toujours possible d’obtenir ces compétences aussi vite qu’on le souhaite. La direction doit donc se focaliser sur l’identification des capacités qui sont absolument nécessaires pour réaliser la mission du CASNSC puis combler les fossés en formant les membres d’équipe, en menant une campagne de recrutement ciblé ou en externalisant certaines tâches à d’autres équipes.

Compétences non-techniques/interpersonnelles

Les compétences non-techniques/interpersonnelles sont tout aussi importantes que les compétences techniques, en particulier pour les personnes qui traiteront les cas et seront en contact direct avec les bénéficiaires.

• Bonne communication écrite et orale en anglais, afin de pouvoir se coordonner avec les autres partenaires, et dans les langues locales de la région où les personnes qui traitent les cas se focaliseront.
• Capacité à s’épanouir dans un travail au rythme intense, dans des environnements où le stress est élevé.
• Forte capacité à travailler en équipe.
• Capacité à dispenser des formations sur le tas et partager ses connaissances avec les autres membres d’équipe.
• Sens de l'initiative avec une très bonne gestion du temps.
• une grande intégrité et identification avec la mission du CASNSC.
• Très bonne compréhension culturelle et expérience dans la région de travail.
• Compréhension profonde du contexte politique du public du CASNSC.
• Sensibilité intersectionnelle dans l’approche adoptée pour s’occuper des bénéficiaires.

Rôles et responsabilités

Une équipe de CASNSC contient un grand nombre de rôles, chacun avec différentes responsabilités. Les avoir à l’esprit vous aidera à concevoir la structure de votre équipe et à identifier les postes qu’il vous faut - ou que vous pouvez - recruter selon votre cadre de travail et votre budget.

• Personnels chargé·es des incidents en première ligne - Ce sont les membres principaux et principales de l’équipe. Ce sont ces personnes qui seront en contact direct avec les bénéficiaires et coordonneront les tâches multiples qui mèneront à la réussite de la réponse à la demande d’un ou d’une bénéficiaire. Outre les compétences de communication nécessaires à comprendre les besoins de la personne bénéficiaire et lui envoyer les instructions, les personnels chargé·es des incidents en première ligne devront être capables de suivre les communications internes entre membres de l’équipe, identifier les lacunes dans la documentation et maîtriser les différentes ressources à disposition pour procéder au traitement de l'incident. Ces ressources sont par exemple : (1) des logiciels comme les systèmes de tickets d’assistance, des programmes de sécurisation des communications et les outils pour effectuer le triage ; et (2) les ressources humaines, qu’elles soient internes comme dans le cas des analystes de deuxième niveau ; ou externes, comme les analystes externes, les fournisseurs de service et les partenaires.
• Responsable d’équipe - Dans le cas de petits centres d’assistance, il peut s’agir des personnes en charge de la coordination. Son rôle est d’encadrer les personnels chargé·es des incidents en première ligne.
• Analystes de deuxième niveau - Leur rôle est de fournir un soutien technique aux personnels traitant les incidents lorsque les cas sont compliqués.
• Responsable des opérations - C’est la personne qui gère les finances de l’équipe et ses besoins en termes de matériel informatique, localisation, logistique, etc. Ces tâches peuvent être effectuées par la direction dans le cas de petits centres d’assistance, puis par la suite, d’autres personnes peuvent être recrutées pour ce rôle, ou le rôle peut être externalisé.
• Personne chargée de la documentation - Le rôle de chargée de la documentation consiste à gérer la base des connaissances du CASNSC. Elle doit s’assurer que la documentation existante est bien gérée et aide à identifier les lacunes et les opportunités de modification et de création de la documentation nécessaire pour le centre d’assistance et en particulier pour permettre aux personnels en première ligne d’accomplir leurs tâches.
• Personne chargée de l’administration de système - Son rôle est de créer et gérer l'infrastructure que le centre d’assistance utilisera dans son travail quotidien. Cette tâche peut être externalisée ou accomplie par le directeur/la directrice ou les personnels traitant les cas, lorsqu’il s'agit d’un petit CASNSC.
• Personne chargée du conseil juridique - Son rôle est d’évaluer la sécurité des interventions menées à bien par le centre d'assistance du point de vue légal, et s’assure que ses politiques respectent bien les cadres juridiques existants (protection des données personnelles, par exemple).
• Personne chargée du support psychosocial - Son rôle est de former les personnels traitant les incidents à répondre aux demandes d’aide sans opérer de revictimisation et à acquérir les compétences nécessaires pour gérer des personnes en situation de détresse émotionnelle.
• Externalisation des tâches - Lorsqu’une tâche est externalisée, il faut veiller à ce qu’un certain degré de confiance soit installé entre l’équipe ou la personne à qui la tâche est externalisée. La mission d’un centre d’assistance consistant à travailler avec la société civile et les défenseur·es des droits humains, les contrats et les accords de confidentialité sont bien entendu nécessaires, mais ils ne sont pas suffisants pour garantir le niveau de sécurité que nécessite le public d’un CASNSC.

Créez votre équipe

Le recrutement du personnel pour votre centre d'assistance est un processus crucial à la réussite du projet. Outre leurs compétences techniques et interpersonnelles, les membres de votre équipe doivent s’aligner sur les valeurs de votre équipe et s'engager sincèrement à soutenir et accompagner le public de votre CASNSC. Lorsque vous recherchez de nouveaux et nouvelles membres d’équipe, prenez en compte les aspects suivants :

• La confiance des communautés que vous soutenez est plus importante que des compétences purement techniques. L’alignement sur les valeurs et l’engagement envers la mission de l’équipe doivent faire partie des exigences prioritaires pour tous les postes.
• Il est toujours possible d'acquérir des compétences techniques tant que le temps et les ressources permettent d’accompagner le parcours professionnel.
• Les processus d’accueil et d’intégration font une grande différence : ils permettent à votre centre d’assistance de commencer plus vite à donner une assistance de qualité à vos bénéficiaires. Lorsque c'est possible, créez des lignes directrices sur toutes les thématiques qui devront être couvertes et adoptez une approche de mentorat. Vous pouvez décider d’embaucher une personne puis la former aux compétences dont elle aura besoin lorsqu'elle travaillera au sein de votre CASNSC ou vous pouvez lancer une campagne de renforcement des capacités communautaire pour former des activistes qui pourraient ensuite collaborer avec votre centre d’assistance. Si vous adoptez cette approche, il vaudra mieux fonder votre session de formation sur une approche holistique et sur un cadre comme le modèle Activité-Discussion-Contributions-Approfondissement-Synthèse (ADIDS selon son acronyme en anglais).

Pour en savoir plus sur le modèle ADIDS :

• Aborder la formation des adultes – Level Up
• Mettre au point des sessions à l'aide ADIDS – Level Up
• Module de formation des formateur·rices à la formation des adultes et ADIDS – Fabriders

Entre 2019 et 2021, DDP a mis en œuvre un projet pour renforcer les capacités des formateurs et formatrices qui pourraient apporter un soutien holistique en matière de sécurité aux défenseur·es des droits humains en Asie du Sud-Est, en Amérique Latine et en Afrique. Ce processus s’est déroulé en deux phases : d’une part, il visait à renforcer les capacités des personnes fournissant une protection en général ; d’autre part, il entendait impliquer directement certain·es participant·es pour mener à bien des processus d’accompagnement. Une fois terminé, DDP a lancé un appel permettant aux participant·es de manifester leur intérêt à faire partie e l’équipe de DDP de facilitateurs et facilitatrices de la protection numérique. Le projet a été une pierre angulaire du projet plus vaste de DDP de décentralisation et de renforcement du degré d’intégration de son équipe aux mouvements des droits humains dans le Sud Global.

Daniel Ó Cluanaigh, Digital Defenders Partnership.

Formation et évolution professionnelle

Afin de renforcer les connaissances et les capacités au sein de l’équipe du centre d’assistance, différentes possibilités doivent être mises à disposition car une unique stratégie de travail pour tout le monde pourrait ne s’avérer ni possible ni idéale.

Les membres de l’équipe doivent travailler ensemble et avec leur responsable direct·e pour créer des plans de formation et de renforcement. Ces plans doivent être régulièrement consultés et les progrès doivent être notés lors des interventions ou lors des entretiens sur les performances.

Les plans individuels de développement peuvent varier : formation en ligne, acquisition de livres et de revues, mais aussi formation présentielle.

Outre ces plans individuels, l'organisation du centre d’assistance doit continuellement partager des ressources en interne, en particulier sur les thématiques qui sont importantes pour tou·tes les membres de l’équipe, comme les sujets techniques sur la sécurité numérique et autre, notamment comment prendre soin de soi, le soutien psychologique et la sécurité physique.

Fournir des ressources et encourager l’apprentissage autonome

Les responsables des centres d’assistance doivent faire circuler les ressources au sein de l’équipe, afin de renforcer leurs compétences techniques sur différentes thématiques liées à la sécurité. Ceci devrait prendre la forme d’une invitation lancée aux membres de l’équipe à examiner et utiliser ces ressources, mais il ne faut pas qu’il y ait de suivi pour s'assurer que les informations sont bien utilisées. Le principal objectif ici est de fournir à l’équipe des informations qui les intéresseront et mettre ainsi en place une culture de l’apprentissage autonome au sein de l’équipe.

Outre les ressources en ligne, des livres et des revues considérées comme adéquates et bénéfiques au travail du centre d'assistance pourront être fournies à l’équipe. Les revues et les livres seront fournis sur demande des membres de l’équipe ou lorsque la direction du centre d'assistance considère qu’ils ont un impact positif sur le développement de l’équipe.

Formation externe payante

Le cas échéant et les ressources permettant, la direction du centre d'assistance devrait approuver la participation à des formations techniques en fonction des plans individuels d’évolution des membres de l’équipe.

Conférences

Tentez de fournir aux membres de vos équipes la possibilité de participer à au moins un événement par an en lien avec le centre d'assistance. Informez-vous des conférences programmées et essayez de participer aux événements qui sont pertinents pour votre travail avec les groupes de la société civile et les autres organisations et individus qui fournissent ces services de sécurité numérique.

L’un des meilleurs moyens de trouver ces conférences et événements est de demander à vos bénéficiaires à quels événements ils et elles se rendront ou auxquels ils et elles aimeraient que vos membres d’équipes participent.

Exemples de conférences qui pourraient être pertinentes pour un CASNSC

Événement	Périodicité	Site internet	Thématique
Bread&Net	Annuelle	https://www.breadandnet.org/en/	Conférence annuelle qui promeut et défend les droits numériques dans les pays de langue arabe
Chaos Communications Congress	Annuelle	https://events.ccc.de/	Acquisition de connaissances techniques, rencontre avec de nouveaux et nouvelles partenaires
Dublin Platform	Tous les deux ans	https://www.frontlinedefenders.org/en/programme/dublin-platform	Rassemblement biennal des défenseur·es des droits humains
FIFAfrica	Annuelle	https://cipesa.org/fifafrica/	Forum sur la liberté d’internet en Afrique
Réunion du Global Rapid Response Network	Annuelle	https://rarenet.org	Réunion des membres du réseau de réponse rapide
Global Internet Governance Forum	Annuelle	https://www.intgovforum.org	Groupe de gouvernance multipartite pour le dialogue politique sur les enjeux de gouvernance d’internet
ILGA World (& regional conferences)	Annuelle	https://ilga.org/world-conferences	Rassemblements mondiaux et régionaux des acteurs et actrices du changement LGBTQIA+
MozFest	Annuelle	https://www.mozillafestival.org/	Conférence tech organisée par Mozilla
Regional Internet Governance Forums	Annuelle	https://www.intgovforum.org/multilingual/content/regional-igf-initiatives	Conférences régionales pour le dialogue politique sur les enjeux de la gouvernance d’internet
Regional Rapid Response Network meetings	Toute l’année	https://rarenet.org	Réunions des membres du réseau de réponse rapide
RightsCon	Annuelle	https://rightscon.org	Réunion mondiale sur les droits numériques organisée par Access Now
Stockholm Internet Forum	Annuelle	https://stockholminternetforum.se/	Forum international pour promouvoir un internet libre, ouvert et sécurisé comme moteur du développement mondial

Événements de Trusted Introducer

Le CiviCERT est une CERT agréée par Trusted Introducer, ce qui permet donc aux membres du CiviCERT de participer aux réunions et aux formations pour les équipes de sécurité et de réponse aux incidents. Retrouvez une liste des prochains événements ici.

Plateformes en ligne

Vous pouvez également fournir à votre équipe un accès à des cours sur des plateformes en ligne. Ces cours sont habituellement moins chers que les cours présentiels, et permettent aux membres de l’équipe de les effectuer à leur rythme et lorsque la charge de travail le permet.

Voici quelques-unes de ces plateformes :

• Pluralsight.
• Udemy.
• Cybrary.
• Coursera.

Sessions de partage des compétences

Les membres de l’équipe qui ont acquis des compétences (au cours de leur travail ou après avoir suivi une formation) qui pourraient être utiles au reste de l’équipe sont encouragé·es à les documenter sous forme d’articles et à proposer des sessions de partage des compétences. Si ces sessions sont enregistrées, elles peuvent servir de support de formation pour l’équipe et les nouvelles embauches.

Politiques de bien-être des personnels

Les personnes qui travaillent dans un centre d’assistance et traitent des cas d'incident se retrouvent face à de nombreuses situations éprouvantes qui peut les affecter. Prendre soin du bien-être psychologique et émotionnel de votre équipe évite l’épuisement et accroît la qualité de l’attention fournie.

Il est tout aussi important de prendre soin du bien-être de vos bénéficiaires que de celui de vos équipes. Vous pouvez alors allouer tout un éventail de ressources (temps, ressources humaines, argent, etc.) afin d’adopter une approche de soin psycho-émotionnel au sein de vos stratégies de gestion d’équipe.

Il n’y a pas de moyen universel d’y parvenir. Tout dépendra des besoins de vos équipes et de leur notion du soin. Voici plusieurs stratégies de soins pour préserver le bien-être de vos équipes :

• Même si votre centre d’assistance est bénévole, offrez de bonnes conditions de travail : indemnités, avantages, vacances, etc.
• Allouez un pourcentage de votre budget (jusqu’à 30 %) à des activités collectives de soins personnels.
• Prévoyez des quarts de travail courts, pour mettre aux personnes chargées des incidents de mieux se concentrer et de fournir une meilleure attention.
• Établissez des réunions hebdomadaires pour discuter des cas et apporter une vision collective.
• Incluez la figure de la pesonne conseillère en santé mentale pour accompagner les personnes chargées des incidents et leur éviter l’épuisement ou le stress.
• À chaque début de quart d’une personne chargée des incidents, prévoyez un moment pour faire le point et évaluer si la personne se sent bien et disposée à fournir son aide. Si ce n'est pas le cas, une autre personne sans quart spécifique assigné peut la remplacer.
• Établissez une série de paramètres à appliquer lorsqu’un appel est trop risqué et requiert d’être rapidement remonté à une personne responsable. Par exemple, lorsque la personne qui appelle court un risque imminent. Avoir ces étapes en tête permettra de protéger la personne chargée de l'incident d’un stress excessif.
• Programmez une réunion annuelle avec toutes les équipes pour aborder les défis, identifier les enseignements tirés et ajuster les stratégies de soin du centre d’assistance.

Vous pouvez rédiger une politique de soin du personnel qui définit toutes ces stratégies et à laquelle les équipes et les responsables pourront se référer pour créer un environnement de travail sain. Envisagez également une approche psycho-émotionnelle lorsque vous rédigez votre procédure de traitement des incidents (pour veiller à l’équilibre dans le triage et l'attribution des cas entre membres de l’équipe, par exemple), votre code de conduite, votre mécanisme de plainte interne et toute autre politique.

Nous priorisons l’équilibre dans la charge de travail entre les personnes qui prennent les cas en charge. Nous effectuons une rotation dans la réception des nouveaux cas chaque semaine, afin de les répartir de façon égale. En même temps, il arrive souvent qu’un plus grand nombres de cas arrivent la même semaine. Lorsque c’est le cas, et que les possibilités de la personne chargée des incidents sont dépassées, nous recherchons des stratégies pour réorganiser le suivi et alléger la charge.

Luchadoras (entretien, janvier 2022).