Tech CareTech Care

4. Au-delà de votre équipe : réseautage et assurance qualité

collage d'un ordenateur

Les attaques numériques sont en constante évolution, elles élargissent leur rayon d’action et leurs impacts sont de plus en plus graves, à l'instar des contextes politiques au sein desquels les défenseur·es des droits humains et les activistes agissent. Rester au fait des changements, les comprendre et mettre au point des stratégies de réponse peut être chronophage et gourmand en ressources.

Pour un CASNSC, la création et le maintien d’une communauté de pratiques sont essentiels, car cela facilite la collaboration. La communauté de pratiques permet de fluidifier les mécanismes de dérivation, d’avoir conscience des réalités de toutes les régions, d’échanger des ressources, d’apprendre de nouvelles approches et de produire des recherches et des études collaboratives/collectives. Chaque centre d’assistance ou CERT peut se spécialiser dans un type particulier d’attaque ou de public, et le reste des membres de la communauté peuvent bénéficier de ces connaissances.

Il est également important d’être constamment à jour, de vérifier et revérifier que les procédures suivies par les personnes qui traitent les incidents sont bien adéquates, et recevoir un retour continu de la part des pairs et des bénéficiaires pour améliorer le flux de travail du centre d’assistance.

Ce chapitre se focalise sur les dérivations, une stratégie commune pour la collaboration entre centre d’assistance et CERT permettant de renforcer la capacité de réponse, et sur l'assurance de la qualité, assortie de recommandations pour différentes approches et mécanismes pouvant être utilisés pour le suivi, le maintien et l'amélioration de la qualité des services fournis.

4.1 Créer et nourrir votre réseau de partenaires

Pour disposer de davantage d’options de dérivation, il est important de construire votre réseau de confiance, en donnant de la visibilité à votre travail, et d’en apprendre davantage sur le travail de vos pairs. Pour ce faire, vous pouvez participer à des événements à l’échelle locale ou internationale, par exemple. Qu’il s'agisse d’événements en ligne ou présentiels, vous pouvez présenter votre travail sur des stands, lors de conversations éclair, démonstrations techniques, ateliers, etc. Jetez un coup d'œil à la liste de conférences au chapitre 2 (section Formation et évolution professionnelle) pour savoir auxquelles participer.

Être inscrit·es sur les listes de diffusion comme la liste de diffusion chiffrée du CiviCERT est précieux, quand il vous faut faire une dérivation de cas, par exemple. Habituellement, cette communauté de veille pour la sécurité numérique de la société civile échange des connaissances sur les dérivations et l’expertise en réponse rapide. Pour en savoir plus sur comment rejoindre leur réseau, rendez-vous sur leur site web.

Il va sans dire que faire partie d’un réseau ou d’une communauté est un engagement proactif. Les communautés ont besoin qu’on prenne soin d’elles et qu’on les alimente. Autrement dit, elles demandent de la maintenance de leurs infrastructures et documentation, l’organisation de réunions, des ressources, de la divulgation, des échanges et par-dessus tout, du temps. Tenez-en compte lorsque vous planifiez les heures et les activités de votre équipe.

4.2 Dérivations

Parfois, un CASNSC ne peut se charger d’une demande qui lui arrive, que ce soit parce que cela ne relève pas de son mandat, ou bien parce qu’une série de compétences dont il n'est pas pourvu s’avèrent pourtant nécessaires. Le CASNSC peut dériver le cas à une autre entité qui pourra offrir le soutien nécessaire à la situation en question.

Après vérification et approbation de la personne en demande, et en fonction de ladite demande, vous pouvez la rediriger vers quatre types de contacts :

  • Une autre ONG ou entité sans but lucratif : il peut s'agir là d’une dérivation vers une organisation sans but lucratif dans laquelle vous avez confiance, que vous connaissez ou avec qui vous avez travaillé par le passé.
  • Entreprises privées : ce peut être une dérivation vers une entreprise privée ayant une politique de confidentialité et un modèle d’affaires éthiques ; une entreprise de confiance ou qui connaît bien les défis des organisations sans but lucratif et utilise des technologies transparentes, vérifiables et open-source.
  • Entités gouvernementales : vous pourriez avoir besoin de rediriger vers des institutions gouvernementales telles que la CERT nationale.
  • Expert·es freelance : vous pouvez également dériver un·e bénéficiaire vers un individu de la communauté des experts et expertes de sécurité numérique, qui connaît bien les besoins spécifiques des défenseur·es des droits humains.

La détection des besoins au sein des demandes d’aide que nous recevons nous a mené·es à jeter des ponts avec des plateformes en ligne engagées dans la lutte contre les violences. Nous avons approché directement les plateformes et elles nous ont ouvert leurs portes en partie car elles étaient intéressées par certaines informations ou parce qu’elles souhaitaient connecter avec des organisations qui puissent servir de médiatrices. Il nous fallait être stratégiques et fixer des limites sur les informations que nous partagions, car elles auraient pu les utiliser à leur avantage. Si ce qu’elles nous offraient ne servait pas à améliorer les conditions de soins des femmes, cela ne nous intéressait pas. Même s’il s’agit de grosses sociétés, nous nous attendons à de la réciprocité dans les collaborations

Luchadoras (Haché, 2021).

Ci-dessous, vous retrouverez une liste des soutiens que vous pouvez potentiellement trouver dans la communauté de la sécurité numérique ou qui sont proches de cette communauté, une fois que la personne en demande a été identifiée. Même si ce n'est pas obligatoire dans ce cas-là, il convient de vérifier la personne qui effectue la demande avant de la dériver vers le site web d’une organisation partenaire.

Processus de dérivation

Vérification

Il est obligatoire de vérifier la personne en demande et son organisation lorsque vous dérivez cette personne directement à une autre équipe. Lors de ce processus, vous aurez besoin de vous assurer que vous avez vérifié la véracité de la demande et l’authenticité du travail et de la demande de la personne. Vérifier une organisation ou un individu constitue une opportunité d’élargir votre réseau de confiance et celui de votre communauté.

Triage

Avant de dériver à l'organisation ou à l’individu adéquat, il est important d’évaluer les besoins de la personne en demande en commençant par analyser la menace et l'incident qu’elle présente. Une approche de modélisation des menaces ou d’évaluation des risques peut être un bon point de départ. Le triage initial vous aidera à déterminer à qui dériver le/la bénéficiaire.

Déterminer la dérivation adéquate

Les critères du choix d’une dérivation se baseront sur : <<<<<<< HEAD

e1236da (fixes with fr frontmatter)

  • Les nécessités de la personne en demande.
  • La langue utilisée par la personne bénéficiaire.
  • Le contexte géopolitique.
  • L’expertise technique nécessaire.
  • Le coût de la dérivation.

Consentement à la dérivation

Il est recommandé que vous informiez votre bénéficiaire dès le départ de votre intention de la dériver vers quelqu’un d’autre. Pour respecter l'accord de confidentialité entre le CASNSC et la personne en demande, il vous faudra demander officiellement son approbation à la personne pour partager les informations avec d'autres personnes (évaluation de la sécurité, identité du/de la bénéficiaire et détails de contact, etc.).

Partager avec la personne en demande les principales raisons pour lesquelles vous souhaitez la dériver vers une entité en particulier, dotée d’une expertise spécifique, mais aussi les principales raisons pour lesquelles vous ne pouvez répondre à leur demande pourra aider le/la bénéficiaire à prendre sa décision. Il est également fondamental de préciser à votre bénéficiaire si l’entité vers laquelle vous la dérivez peut proposer ses services de façon gratuite ou non.

Consentement de la tierce partie à qui vous dérivez votre bénéficiaire

Une fois que vous avez identifié l’entité adéquate vers qui dériver votre bénéficiaire, et une fois que cette dernière a approuvé la dérivation, vous pouvez partager les informations suivantes avec l’entité :

  • Évaluation des nécessités de la personne en demande.
  • Modèle de menaces de la personne en demande.

L'objectif est de s'assurer que la tierce partie vers qui vous faites la dérivation dispose de suffisamment d’informations avant de traiter la demande. Si la tierce partie ne peut pas offrir ses services gratuitement, il faudra déterminer :

  • Quel service sera offert.
  • Le coût de ce service.

Pour que la dérivation soit réussie, ces détails doivent être discutés en amont, afin que les attentes de la bénéficiaire et celles de l’entité de dérivation coïncident bien.

Nouer le contact

Lorsque vous mettez en contact la personne en demande et l’entité de dérivation, essayez de trouver un canal de communication sécurisé qui leur soit familier. Si vous utilisez PGP, envisagez de partager leurs clés PGP lorsque vous les présentez l’un·e à l’autre.

Suivi

Après un certain temps (en fonction de votre charge de travail, cela peut vouloir dire quelques semaines ou quelques mois), il est bon de faire un point avec la bénéficiaire et la tierce partie de dérivation, afin de vous assurer que le cas a été résolu et que ses besoins ont bien été satisfaits.

Dériver un cas en cours

Il peut arriver que vous ayez déjà commencé à aider un ou une utilisatrice en situation de risque mais que pour différentes raisons, vous ne soyez plus en mesure de l’aider.

Dans une situation de ce genre, il vaut mieux dériver votre bénéficiaire vers un ou une partenaire de confiance. Le processus de dérivation suivra les étapes détaillées dans cette section mais devrait comprendre une étape supplémentaire au moment de la remise du cas et des efforts supplémentaires devront être faits pour gérer les attentes.

  • Lorsque vous informez votre partenaire de votre intention de lui transmettre la demande :
    • Dans ce cas-là, il est fondamental de bien gérer les attentes.
    • Il est préférable d’avoir une liste d’entités de dérivation pour ce genre de cas.
    • Clarifiez les détails financiers.
  • Lorsque vous convenez avec la personne en demande de sa dérivation à un·e partenaire :
    • Expliquez pourquoi vous avez besoin de la dériver vers quelqu’un·e d’autre.
    • Donnez-lui des détails sur l’expertise de votre partenaire.
  • Au moment de la dérivation :
    • Transmettez à votre partenaire toutes les informations que vous avez recueillies et votre évaluation technique.

4.3 Partage d’informations sur les menaces

Il est bon de partager régulièrement des informations anonymisées avec votre communauté concernant les cas que vous avez traités. Cet échange permettra aux autres membres de comprendre et d’identifier les schémas et tendances dans les attaques, qui pourraient également toucher leurs bénéficiaires.

Au sein du CiviCERT, les informations concernant le travail de chaque membre sont partagées deux fois par an, en répondant aux questions suivantes :

  • Informations sur les menaces
    • Quel type de cas de réponse rapide avez-vous traité dernièrement ?
    • Quelle était la nature de ces attaques ?
    • Qui était la cible ?
    • Quelles tendances observez-vous dans votre travail ?
  • Cyberveille (renseignement sur les cybermenaces)
    • Quelles sont les menaces et/ou tendances récentes qui vous inquiètent le plus ?
    • Constatez-vous des changements dans les attaques que vous avez surveillées/abordées ?
    • À quoi les autres équipes de réponse rapide devraient-elles faire attention ?

N'oubliez pas que l'anonymisation de ces informations doit être faite de façon à ce qu’il soit impossible de remonter au cas, d’une quelconque façon que ce soit.

4.4 Assurance qualité

Ce processus décrit les standards de qualité recommandés pour une ligne d’assistance. Il présente également des recommandations pour les différents angles et mécanismes pouvant être utilisés pour effectuer le suivi, le maintien et l’amélioration de la qualité des services fournis.

Standards de qualité

Afin de mesurer et évaluer la qualité de votre travail, il est important de définir les attentes et les standards que votre CASNSC appliquera.

Pour l’évaluation de la qualité des services, il faudra tenir compte des lignes directrices suivantes :

  • Créez un espace où les bénéficiaires et les intermédiaires se sentent les bienvenu·es, compris·es, en sécurité.
  • Un centre d’assistance doit être clair, fiable et pratique. Le service offert à vos bénéficiaires doit être excellent et être fourni d’une façon qui fasse preuve de compréhension et d’empathie envers les besoins des bénéficiaires et leur situation.
  • Traitez les bénéficiaires avec dignité, respect et confidentialité, pour veiller à ce qu’ils et elles se sentent en sécurité et que leur problème est pris en charge.
  • Avant toute chose, écoutez. Faites preuve de patience et écoutez toujours ce qu’ont à dire les bénéficiaires avant de tirer des conclusions et donner des conseils techniques.
  • Utilisez un langage inclusif et neutre lorsque vous écrivez ou parlez.
  • Les personnes qui traitent les cas doivent adopter une approche éclairée par les stratégies d’apprentissage pour adultes. Dans la mesure du possible, le but des interactions sera de former et d’autonomiser les bénéficiaires par le savoir et les conseils.
  • Les interactions avec les bénéficiaires doivent être claires et concises. Les bénéficiaires peuvent provenir de contextes très différents et leur niveau de connaissances techniques peut varier.
  • Définissez votre niveau de service adéquat ou Service Level Agreement (SLA), qui inclut un délai de réponse maximal pour les demandes reçues. Par exemple : « les jours ouvrables, si la demande est reçue aux horaires de travail, la réponse devra se faire dans les deux heures suivant la réception ; sous 24 heures si la demande est reçue le week-end ».
  • Lorsqu’un cas est ouvert, répondez rapidement. Si un·e bénéficiaire ne répond plus, vérifiez régulièrement que ses besoins sont bien satisfaits.
  • Utilisez la documentation existante, les processus de remontée et les autres mécanismes pour fournir des solutions techniques excellentes, raisonnables et bien conçues.

Mécanismes d’assurance qualité

Définissez les rôles et les responsabilités

Plusieurs rôles doivent être définis par le CASNSC pour veiller à la qualité de ses services :

Chargé·e de cas : il s'agit de la personne qui pilote le cas et œuvre à aider la personne bénéficiaire dans sa demande.

  • Chargé·e de révision : il s’agit de la personne qui révise la qualité du travail. Il peut s'agir de la même personne à chaque fois, ou il peut y avoir une rotation entre membres de l’équipe, en fonction de la taille et de la structure du CASNSC. Pour les grandes organisations, il peut y avoir plusieurs personnes chargées de la révision.

Définissez la périodicité

Pour être efficace, la révision des cas doit régulièrement être effectuée. Définissez la fréquence à laquelle les révisions devront être faites. La périodicité peut être hebdomadaire, mensuelle, trimestrielle voire annuelle. Elle dépendra de la taille de votre CASNSC, de la capacité des personnels, du nombre de demandes traitées, du type de demande, etc.

Révisions de cas individuels

Processus

La personne en charge de ce processus effectuera une révision des cas clos par les chargé·es de cas, sur la période de temps déterminée, en fonction des besoins du CASNSC.

Les personnes chargées des révisions doivent disposer de flexibilité quant au moment où effectuer la révision, mais au terme de chaque période, tous les cas clos devront avoir été révisés.

Pour faciliter leur travail, et obtenir des révisions plus riches et utiles, les chargé·es de cas doivent documenter chaque cas de manière exhaustive. Envisagez d’ajouter des métadonnées spécifiques à la documentation de cas afin de garder une trace des commentaires et des retours pour chaque cas. Notez également tout retour ou toute amélioration pouvant être faite du processus de révision même.

Le CASNSC doit tenir compte des résultats des révisions en vue d’améliorer ses politiques, son processus de traitement des incidents, ses protocoles de soin et les compétences de ses équipes.

Critères

La révision devra tenir compte des aspects suivants :

  • Métadonnées
    • Toutes les métadonnées du cas sont-elles complètes ?
    • Le contenu des métadonnées est-il détaillé et exact ?
  • Ponctualité
    • La première réponse a-t-elle été envoyée conformément au SLA ?
    • Des suivis ont-ils été faits régulièrement ?
    • Le/La bénéficiaire a-t-il/elle reçu des réponses en temps voulu ?
  • Langue
    • Les communications avec le/la bénéficiaire étaient-elles claires ?
    • La structure, l’orthographe et la grammaire des communications étaient-elles adéquates ?
    • La langue employée était-elle non-violente et de genre neutre ? Une approche intersectionnelle a-t-elle été utilisée ?
  • Efficacité
    • Le/La bénéficiaire a-t-il/elle effectué une évaluation des risques avant qu'une solution ne lui soit recommandée ?
    • La solution utilisée était-elle la mieux adaptée au contexte du/de la bénéficiaire ?
  • Documentation
    • Le cas a-t-il été correctement documenté ?
    • Les données additionnelles (captures d’écran, analyses, fichiers) ont-elles été correctement enregistrées dans le cas ?
  • Service clientèle
    • Un effort a-t-il été fait pour valider le récit fait par le/la bénéficiaire de ce qui lui était arrivé ?
    • Le/La bénéficiaire s’est-il/elle senti·e autonomisé·e une fois le cas résolu ?
  • Recommandations techniques
    • La solution technique appliquée était-elle la bonne dans ce cas ?
    • Les informations techniques ont-elles été communiquées d’une façon adaptée aux capacités et besoins du/de la bénéficiaire ?

Retours (feedbacks)

Une bonne façon de fournir continuellement un service de qualité aux bénéficiaires est de mettre en places plusieurs mécanismes pour recueillir leurs retours une fois le cas résolu. Ces retours peuvent être collectés de différentes manières, en fonction des besoins et des capacités de votre organisation. Exemples :

  • Formulaires en ligne
  • Messages de suivi
  • Appels de débriefing

Il est important de garder à l'esprit que les informations recueillies lors de cette phase peuvent être sensibles, il faut donc s'assurer qu’elles sont transmises et conservées de façon sécurisée.

Processus de passage en revue des retours

Si des retours sont recueillis, la personne chargée de la révision doit en tenir compte et trouver des domaines où il est possible d’améliorer les processus.

La personne chargée de la révision trouve ensuite une façon adéquate pour informer le ou la chargée du cas de ce retour (qu’il soit positif ou négatif), et détermine si d’autres actions s’avèrent nécessaires pour le cas en question.