Image : Catherine Virginie Voulez-vous protester contre le bilan merdique de votre entreprise en matière de harcèlement sexuel ? Envisagez-vous de vous syndiquer? Voici le Guide de la carte mère pour sécuriser l'organisation du travail.Avant même de penser à ce que vous devriez ou ne devriez pas faire, ou quelle technologie vous devriez ou ne devriez pas utiliser, demandez-vous : connaissez-vous votre entreprise ?
En d'autres termes, votre entreprise a-t-elle des antécédents de lutte contre les syndicats, de politiques anti-ouvrières ou d'hostilité générale envers les travailleurs qui s'organisent ou expriment leur inquiétude ? Ou, d'un autre côté, a-t-il historiquement été favorable aux travailleurs qui défendent leurs droits ? Il est impossible d'anticiper l'avenir, mais avoir une idée générale de ce à quoi vous êtes confronté est la base de ce que les professionnels de la cybersécurité appellent modélisation des menaces . C'est la base de tout bon plan de sécurité opérationnelle (ou OPSEC).
Dans le cadre de cet effort, il peut être utile de déterminer également la position de vos collègues. Comme le disent les travailleurs syndiqués chez Microsoft : Apprenez à connaître vos collègues organisateurs !
Si nous pouvions condenser ce guide en une phrase, ce serait « Évitez l'infrastructure de l'entreprise ». Nous entendons par là les ordinateurs, les téléphones, les imprimantes, les logiciels de chat et les e-mails. Mais évitez également de discuter des actions syndicales dans des lieux physiques comme les salles de réunion, les cafétérias ou les terrains de basket.
Cela peut sembler difficile, mais utiliser l'infrastructure de l'entreprise pour organiser est risqué et peut alerter la direction sur votre prochaine campagne d'organisation, lettre ouverte, débrayage ou autre action syndicale. Il est peu probable que votre entreprise renifle activement le trafic Internet ou surveille les ordinateurs en temps réel pour tout bavardage sur la formation d'un syndicat ou l'organisation d'une sorte d'action syndicale. Mais il n'y a aucune garantie.
C'est le moyen le plus simple pour votre entreprise de garder un œil sur vous. Vous devez supposer que le service informatique et les autres membres de la direction ont accès à votre messagerie d'entreprise. Et même s'ils ne le lisent pas tous les jours, ils peuvent probablement le parcourir après coup. Évitez donc à tout prix d'utiliser la messagerie d'entreprise. Récemment, Google a licencié des employés qui, dans certains cas, accédaient à calendriers d'entreprise que la société a jugé inhabituel.
Chaque action syndicale devrait probablement commencer par la collecte des coordonnées personnelles des travailleurs, telles qu'une adresse e-mail personnelle et un numéro de téléphone portable. Utilisez-les pour communiquer.
N'UTILISEZ PAS LES ORDINATEURS DE L'ENTREPRISE OU D'AUTRES APPAREILS
Comme Holmes l'a prévenu, la plupart des entreprises ont un moyen d'accéder aux ordinateurs portables des travailleurs et peut-être même à leurs téléphones d'entreprise. Essayez donc d'éviter de les utiliser. L'utilisation d'un ordinateur personnel sur le WiFi de l'entreprise n'est pas aussi dangereux, mais si vous le pouvez, évitez cela aussi et connectez-vous depuis chez vous.
Les travailleurs impliqués dans l'organisation chez Amazon suggèrent de garder tous les documents et conversations d'organisation non publics hors de votre ordinateur de travail.
Si vous restez loin de l'infrastructure de votre entreprise, vous aurez déjà fait la plupart de ce dont vous avez besoin pour sécuriser vos activités d'organisation. Mais, juste au cas où, essayez d'éviter Slack ou d'autres services de discussion qui ne sont pas cryptés et ne vous donnent pas beaucoup de contrôle sur les données conservées. Les entreprises ont la possibilité de lire les archives Slack, y compris les DM. Il convient également de mentionner que, par défaut, les comptes Slack payants conservent les messages indéfiniment.
Les applications de discussion de groupe alternatives telles que Keybase et Wire protègent non seulement vos messages en transit, elles vous permettent également de configurer les messages pour qu'ils s'autodétruisent après un laps de temps défini. Cela aide à couvrir vos traces.
Un rappel utile sur la confidentialité du robot de conseil automatisé de Slack.
Une fuite ou un tuyau soigneusement placé à la presse alertant les journalistes de votre campagne syndicale ou de votre action collective peut aider votre cause. Si vous allez faire une fuite dans la presse, Familiarisez-vous avec ce que signifient les termes « sur le dossier », « en privé » et « en arrière-plan ».
Si vous contactez ou parlez à un journaliste, les choses que vous lui dites sont, par défaut, enregistrées. Cela signifie que le journaliste peut citer et utiliser cette information et vous l'attribuer avec votre nom. « Off the record » signifie que le journaliste peut avoir cette information pour sa propre connaissance, mais ne peut pas la publier sans la confirmer avec une autre source, et il ne peut pas vous l'attribuer. Cependant, ils sont autorisés à prendre ces informations et à essayer de faire en sorte que quelqu'un d'autre les fournisse au dossier. « En arrière-plan » signifie différentes choses pour différentes personnes. Cela signifie souvent que le journaliste peut utiliser les informations contenues dans son article mais ne vous les attribuez pas. D'autres personnes l'utilisent pour signifier « peut être cité de manière anonyme ». Il est préférable d'en discuter avec le journaliste avant de partager des informations.
Vous pouvez discuter du partage d'informations de manière anonyme ou de la réalisation d'interviews anonymes avec un journaliste. Chez Motherboard, nous accordons l'anonymat aux sources si le fait de nous parler les mettrait en danger physique ou professionnel. Nous demandons à nos journalistes de dire aux lecteurs pourquoi nous accordons l'anonymat d'une source ; si la source pouvait être licenciée de son travail pour nous avoir parlé, nous accorderons souvent l'anonymat. Nous connaîtrons l'identité de la source - le plus souvent, nous avons besoin de cette information pour nous assurer que nous parlons à quelqu'un qui est en mesure de connaître le problème en question - mais nous ne publierons ni ne révélerons qui est la personne. est.
Il est préférable d'être clair avec le journaliste avant que vous partagez quoi que ce soit sur la façon dont vous voulez que les informations soient utilisées — si vous dites quelque chose « officiellement », vous ne pouvez pas le retirer rétroactivement du compte rendu. (Il s'agit de s'assurer que quelqu'un ne peut pas revenir en arrière sur les informations qu'il a déclarées qui sont dans l'intérêt public, mais qu'il change d'avis). Ces conditions doivent être acceptées par les deux parties, donc ne contactez pas un groupe de journalistes avec des informations que vous souhaitez partager « officiellement » si ces journalistes n'ont pas déjà accepté de le faire avec vous.
Souvent, les travailleurs souhaitent partager des documents internes, des e-mails, des mémos ou d'autres documents de l'entreprise avec la presse. Il y a plusieurs façons de le faire. Le plus simple est de prendre une photo de l'écran de votre ordinateur avec l'appareil photo de votre téléphone personnel et de partager la ou les images que vous prenez sous forme de message de disparition sur Signal. Ensuite, supprimez l'image de votre téléphone et éventuellement le numéro du journaliste de vos contacts et de l'historique des messages. Vous pouvez également utiliser SecureDrop. Si l'anonymat est important pour vous, ne transférez pas les e-mails de l'entreprise que vous avez l'intention de divulguer aux journalistes si vous pensez que vous pourriez être licencié pour cela.
Tout cela peut sembler beaucoup, mais bon nombre des tactiques de ce guide deviennent une seconde nature avec la pratique. La pratique des meilleures pratiques générales en matière de cybersécurité est également recommandée. Pour en savoir plus, vous pouvez consulter le Guide de la carte mère pour ne pas être piraté.
Abonnez-vous à notre podcast sur la cybersécurité, CYBER .