Engagement Et Pratiques Des Organisations en Matière de Gouvernance de La Sécurité de L'Information

ENGAGEMENT ET PRATIQUES DES ORGANISATIONS EN MATIÈRE
DE GOUVERNANCE DE LA SÉCURITÉ DE L'INFORMATION

Nathalie Dagorn, Nicolas Poussing
ESKA | « Systèmes d'information & management »
2012/1 Volume 17 | pages 113 à 143
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
ISSN 1260-4984
ISBN 9782747219051
Article disponible en ligne à l'adresse :
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-systemes-d-information-et-
management-2012-1-page-113.htm
--------------------------------------------------------------------------------------------------------------------
Pour citer cet article :

--------------------------------------------------------------------------------------------------------------------
Nathalie Dagorn, Nicolas Poussing« Engagement et pratiques des organisations en
matière de gouvernance de la sécurité de l'information », Systèmes d'information &
management 2012/1 (Volume 17), p. 113-143.
DOI 10.3917/sim.121.0113
--------------------------------------------------------------------------------------------------------------------
Distribution électronique Cairn.info pour ESKA.

© ESKA. Tous droits réservés pour tous pays.
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.
Powered by TCPDF (www.tcpdf.org)

113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page113
CAS, EXPÉRIENCES ET PÉDAGOGIE
Engagement et pratiques
des organisations en matière
de gouvernance de la sécurité
de l’information
Nathalie DAGORN* & Nicolas POUSSING**
* ICN Business School Nancy-Metz, Laboratoire CEREFIGE
** CEPS/INSTEAD Esch-sur-Alzette (Luxembourg), Laboratoire CREM Rennes
RÉSUMÉ
Cet article aborde le thème de la gouvernance de la sécurité de l’information. Pour pal-

lier les faiblesses relevées dans la littérature, il explore (i) le processus d’engagement des or-
ganisations dans la gouvernance de la sécurité de l’information et (ii) les pratiques des or-
ganisations engagées dans la démarche. L’analyse statistique et économétrique de données
issues d’une enquête conduite auprès de cent vingt grandes entreprises luxembourgeoises
suggère que la connaissance d’organisations engagées dans la gouvernance de la sécuri-
té de l’information ou promouvant cette approche, la performance espérée et l’effort dé-
ployé sont des déterminants de l’engagement des organisations dans la démarche. Ces ré-
sultats peuvent être rapprochés du modèle unifié d’adoption des technologies (UTAUT)
formulé par Venkatesh et al. (2003). Les données des organisations permettent aussi d’éta-
blir un état des pratiques actuelles en matière de gouvernance de la sécurité de l’informa-
tion. L’originalité majeure de cette recherche réside dans le taux de participation très im-
portant (85,71%) des organisations à l’enquête menée, conférant aux résultats une forte
validité, qui plus est, dans un domaine extrêmement sensible et confidentiel. Sur le plan
théorique, la recherche améliore la connaissance du domaine sur les deux questions abor-
dées. En pratique, elle fournit aux managers un retour sur les pratiques actuelles des or-
ganisations en matière de gouvernance de la sécurité de l’information et propose quelques
recommandations. Ces contributions peuvent également avoir une incidence sur les poli-
tiques publiques et organismes promouvant la gouvernance de la sécurité de l’information.
Mots-clés : Engagement, Gouvernance, Pratiques, Sécurité de l’information, UTAUT.
N° 1 – Vol. 17 – 2012 113

SYSTÈMES D’INFORMATION ET MANAGEMENT
ABSTRACT
This article looks at the issue of information security governance. To respond to the short-
comings identified in the literature, it explores (i) the process of organizations’ engagement
in the governance of information security, and (ii) the practices of the organizations in-
volved. The statistical and econometric analysis of data from a survey conducted with one
hundred and twenty large companies in Luxembourg suggests that the knowledge of orga-
nizations involved in the governance of information security or promoting this approach,
the expected performance, and the effort undertaken, are potential determinants of the or-
ganizations’ engagement in the process. These results may be analyzed under the unified
theory of acceptance and use of technology (UTAUT) developed by Venkatesh et al. (2003).
The data from organizations also helps to draw a picture of current practices in the mat-
ter of information security governance. The major originality of the research lies in the very
high participation rate (85.71%) by organizations in the study, which gives the results a
strong validity in what is, moreover, an extremely sensitive and confidential field. At the
theoretical level, the research improves knowledge of the two issues explored. In practice, it
provides managers with feedback on current practices implemented by the organizations
in the field of information security governance and draws some recommendations. These
contributions may also have an impact on public policies and on institutions promoting
information security governance.
Keywords: Engagement, Governance, Practices, Information security, UTAUT.
114
ENGAGEMENT ET PRATIQUES DES ORGANISATIONS
INTRODUCTION en place dans les organisations de di-

verses mesures stratégiques de sécuri-
La gouvernance de la sécurité de té allant, pour les sociétés anonymes,
l’information est une approche straté- de la présentation d’un rapport annuel
gique de la sécurité visant à la pro- sur les procédures de contrôle interne
tection des actifs informationnels1 de liées à la sécurité de l’information, à
l’organisation, dans une acceptation l’instauration, pour les professionnels
allant bien au-delà de la « simple » ga- du secteur financier, d’une véritable
rantie opérationnelle que les informa- politique de gestion des risques géné-
tions de l’organisation sont adéquate- riques et fonctionnels. Cette posture
ment protégées : elle implique une impose une gestion des risques et une
vision holistique du management de la prise en compte des questions de sé-
sécurité de l’information, comprenant curité de l’information au plus haut ni-
des enjeux, des décisions, une straté- veau de l’organisation. Dans ce
gie globale et à long terme qui ne font contexte, la gouvernance de la sécuri-

pas partie des missions du technicien. té de l’information prend tout son sens
Ce postulat pour une gouvernance de puisqu’elle « consiste à mettre en place
la sécurité de l’information peut s’ex- une structure permettant de prendre
pliquer par les différentes initiatives de les bonnes décisions en matière de sé-
conformité (compliance) suscitées par curité, au bon moment et au bon ni-
les lois de sécurité financière récem- veau hiérarchique » (Fernandez-Toro,
ment mises en place. En effet, les scan- 2009, p. 91). Elle permet aux organisa-
dales financiers d’Enron, Worldcom et tions d’inclure les questions de sécuri-
Parmalat il y a maintenant huit ans, ont té dans leur stratégie de gouvernance
propulsé la gouvernance institution- institutionnelle. Mais l’intérêt d’une
nelle et le contrôle interne parmi les gouvernance de la sécurité de l’infor-
priorités des organisations et des in- mation s’explique également par la
vestisseurs. Les lois et réglementations prise de conscience grandissante des
en découlant (Sarbanes-Oxley aux dirigeants, de l’impact profond que
Etats-Unis, Bâle II touchant les pays de peuvent avoir les questions de sécuri-
l’OCDE, et la loi de sécurité financière té sur le bon fonctionnement et la per-
en France) ont rapidement été appli- formance du système d’information
quées dans la plupart des secteurs (SI) de l’organisation.
d’activité. Selon Moulton et Coles Pour répondre à ces préoccupations,
(2003) ainsi que Teufel (2003), celles- de nombreux référentiels de pratiques
ci ont un impact significatif sur les (CMMi, Cobit, Coso, Gtag, Itil, RiskIT)
technologies de l’information (TI) dé- et normes internationales (suite ISO
ployées dans les organisations, et en 27000, norme ISO 15408) incluent dé-
particulier sur le management de la sé- sormais des paragraphes sur la gou-
curité puisqu’elles requièrent la mise vernance de la sécurité. Les premiers
1
Sapir (2005, p. 159) définit un actif informationnel comme « une information considérée comme si-
multanément pertinente et utilisable pour une décision donnée ».
115
rapports ou articles de revues acadé- 1. CADRE CONCEPTUEL

miques évoquant clairement la gou-
vernance de la sécurité de l’informa- Cette section présente les travaux an-
tion datent du début des années 2000. térieurs sur le thème du management
Les contributions en sciences de ges- stratégique (ou gouvernance) de la sé-
tion comprennent surtout des articles curité dans la littérature académique et
concernant l’organisation de la gou- clarifie les motivations de notre re-
vernance de la sécurité (rôle du ma- cherche.
nagement, valeur stratégique). Cepen-
dant, à notre connaissance, la 1.1. La gouvernance
problématique de l’engagement des de la sécurité de l’information
organisations dans cette démarche de dans la littérature
gouvernance de la sécurité de l’infor-
mation n’a pas encore été étudiée. De En sciences de gestion, les responsa-
même, les pratiques actuelles de gou- bilités et rôles du management, et en

vernance de la sécurité de l’informa- particulier de la direction générale,
tion ne sont que peu explicitées et sont mis en avant par plusieurs au-
mériteraient d’être actualisées. Notre teurs. Ainsi, Straub et Welke (1998)
recherche tente de répondre à ces in- postulent que le risque de sécurité
terrogations. concernant le SI peut être réduit
lorsque les managers sont conscients
L’article est structuré comme suit. La de l’étendue des contrôles existants et
section 2 présente les travaux anté- mettent en œuvre les contrôles les plus
rieurs ayant trait à la gouvernance de efficaces en fonction des risques iden-
la sécurité de l’information dans la lit- tifiés. Williams (2001), alors président
térature académique (2.1) et clarifie les de l’ISACA et co-fondateur de l’IT Go-
motivations de notre recherche (2.2). vernance Institute, rappelle que les di-
La section 3 décrit l’enquête conduite recteurs des organisations ont la res-
auprès de cent vingt grandes entre- ponsabilité de protéger la valeur
prises luxembourgeoises (3.1), restitue actionnariale, et que cette responsabi-
une image fidèle de leurs pratiques en lité s’applique aux actifs information-
matière de gouvernance de la sécurité nels valorisés. Rockart et Crescenzi
de l’information via une analyse statis- (1984), Davenport (2002) et Reix
tique (3.2) et suggère, via une analyse (2004) insistent sur la nécessité de
économétrique, trois déterminants du considérer la sécurité de l’information
processus d’engagement des organisa- comme un problème de managers et
tions dans la gouvernance de la sécu- non de techniciens ; Markus (1983), de
rité de l’information (3.3). La section 4 même que Knapp et al. (2006, 2009),
analyse et discute les résultats de cette confirment que la sécurité doit être
recherche (4.1) ; elle examine ses prise en compte au niveau de la direc-
contributions théoriques, méthodolo- tion générale de l’organisation.
giques et pratiques (4.2), ses limites et Williams (2007) précise les rôles de la
dégage des pistes de recherches fu- direction et du conseil d’administration
tures (4.3). Au vu de ces éléments, la en matière de sécurité de l’informa-
section 5 énonce nos conclusions. tion.
116
Plusieurs auteurs ont étudié la va- deux éléments cruciaux de la gouver-

leur ajoutée, l’avantage stratégique nance de la sécurité de l’information.
et/ou concurrentiel procurés par la
Enfin, parmi les autres contribu-
mise en place d’une gouvernance de
tions, Dhillon et al. (2007) présentent
la sécurité de l’information. En ce
les résultats d’une étude empirique
sens, Williams (2001) postule que les permettant de mieux comprendre les
actifs informationnels sont essentiels à dimensions de la gouvernance de la
la survie de l’organisation et suscep- sécurité des SI. Dans son ouvrage sur
tibles de générer un avantage concur- la gouvernance de la sécurité de l’in-
rentiel. Schou et Schoemaker (2006)
formation, Brotby (2009) consacre
constatent que, pour procurer un plusieurs chapitres aux rôles et res-
avantage plus important à l’organisa- ponsabilités des managers, aux me-
tion, la gouvernance de la sécurité de sures stratégiques et avantages de la
l’information peut éventuellement
démarche, au développement et à la
être coordonnée avec des démarches mise en œuvre d’une stratégie de
stratégiques d’intelligence écono- gouvernance de la sécurité de l’infor-
mique, de responsabilité sociétale ou mation et de gestion des incidents.
de communication. Shi-Ming et al. Klai (2010) discute la nécessité de dé-
(2006) s’appuient sur un tableau de finir un niveau de gouvernance dans
bord équilibré pour mettre en place l’organisation et clarifie le lien exis-
dans les organisations des indicateurs tant entre ce niveau et les pro-
de performance pour le management grammes de sécurité.
de la sécurité de l’information, et ren-
forcer le lien entre ces indicateurs et
la stratégie institutionnelle. Kraemer 1.2. Motivations
et al. (2009) montrent que les facteurs de notre recherche
humains et organisationnels jouent un
rôle significatif dans le développe- Notre revue de littérature suggère
ment des vulnérabilités liées au SI et que la sécurité de l’information est
suggèrent une approche multiniveau passée progressivement d’une dimen-
pour améliorer la performance de la sion opérationnelle à une dimension
sécurité du SI. Johnston et Hale stratégique. Les contributions anté-
(2009) examinent les aspects straté- rieures ont proposé divers modèles
giques de la sécurité de l’information pour la gouvernance de la sécurité de
et essaient d’évaluer la valeur ajoutée l’information, discuté le rôle du ma-
apportée à l’organisation par la dé- nagement et la valeur ajoutée de
marche de gouvernance de la sécuri- cette démarche. Mais il apparaît que
té ; les auteurs proposent un plan de la question de l’engagement des or-
ganisations dans le processus de gou-
sécurité de l’information fondé sur
vernance de la sécurité de l’informa-
une enquête menée auprès de profes-
tion n’a pas encore été étudiée.
sionnels de la sécurité, ainsi que des
programmes pour sa mise en œuvre. Par ailleurs, au sein de la commu-
Pour Krjukovs et Strauss (2009), la va- nauté académique, des difficultés
leur ajoutée et la performance sont sont régulièrement rapportées par les
117
chercheurs en sécurité, tant pour 2.1. Données et méthodologie

l’élaboration de théories (par
exemple, par Dhillon & Backhouse,
2001; Dlamini et al., 2009) qu’en ma- 2.1.1. La collecte des données
tière de recherches empiriques (les Nos données ont été collectées au-
faibles taux de participation aux près de grandes entreprises luxem-
études en témoignent) ; hormis bourgeoises. Ce choix trouve plusieurs
quelques études de cas, les enquêtes justifications. La gouvernance a été
recensant les pratiques détaillées mise en œuvre d’abord par les grandes
d’un échantillon significatif d’organi-
entreprises (Pougnet-Rozan, 2005 ; IT
sations en matière de gouvernance Governance Institute, 2006). Dans le
de la sécurité de l’information sont même ordre d’idée, Waddock et
rares. Il nous semble qu’un état des Graves (1997) démontrent que les or-
pratiques courantes des organisa- ganisations disposant de ressources fi-

tions, établi à partir de nouvelles nancières importantes peuvent davan-
données, actualiserait les connais- tage investir dans des activités
sances dans ce champ de recherche. stratégiques, or les ressources finan-
cières et les compétences se trouvent
Nous nous proposons donc de ré-
généralement dans les maisons-mères
pondre ici à deux questions :
ou structures les plus importantes
• quels sont les facteurs déterminant (Archibugi & Michie, 1994). Elles sont
l’engagement des organisations ensuite diffusées aux filiales du groupe
dans la gouvernance de la sécurité (Bartlett & Ghoshal, 1991). Cohen
de l’information ? (2006) précise que les organisations
doivent prendre en compte la dimen-
• quelles pratiques de gouvernance sion de la sécurité dans leur stratégie
de la sécurité de l’information lorsqu’elles évoluent dans un environ-
sont mises en œuvre par les or- nement compétitif, ce qui est souvent
ganisations engagées dans la dé- le cas des grandes entreprises. Par
marche ? ailleurs, les PME font état, depuis tou-
jours, d’un manque global de sensibi-
lisation à la sécurité (Mitchell et al.,
2. ÉTUDE EMPIRIQUE 1999) et sont confrontées à des pro-
blèmes plus importants que ceux ren-
Afin de répondre aux questions de contrés par les grandes entreprises en
recherche posées, nous exploitons matière de sécurité : difficultés de re-
(analyse statistique et économétrique) crutement de personnes qualifiées
des données collectées dans le cadre (Monnoyer, 2003) et d’appréciation
d’une enquête menée auprès de réaliste des risques encourus (Boulet,
grandes entreprises implantées au 2007 ; Goodhue & Straub, 1991). Les
Luxembourg. Les paragraphes suivants dirigeants des PME se préoccupent
présentent la méthodologie de re- peu des questions de sécurité (Bar-
cherche mise en œuvre et les résultats lette, 2009, 2011; Carpentier, 2009 ;
obtenus. Gupta & Hammond, 2005) et la grande
118
majorité des PME n’a aucune obliga- utilisée dans la cadre des enquêtes
tion légale en matière de sécurité à ce communautaires.
jour (Barlette, 2011). La sécurisation
Le questionnaire véhiculé a été réali-
des PME accuse donc toujours un re- sé en plusieurs étapes. Une première
tard sur les grandes entreprises (Clusif, version a été élaborée afin de prendre
2010). Enfin, nous avons interrogé des en considération nos hypothèses théo-
organisations implantées au Luxem- riques. Cette première version a été
bourg car des travaux récents mettent testée auprès de deux responsables de
en avant la disposition favorable des la sécurité. Ce prétest a permis de re-
grandes entreprises envers les TI et la
formuler certaines questions afin
sécurité au Grand-duché, particulière- d’améliorer la compréhension du
ment dans le secteur financier (Martin questionnaire et par là-même d’amé-
& Poussing, 2007, 2008a, 2008b). liorer la qualité des réponses données
Pour sélectionner les organisations (élimination de la non-réponse partiel-

cibles, nous nous sommes référés au ré- le). Au final, le questionnaire com-
pertoire des entreprises édité par l’Insti- prend trente questions réparties en six
tut national de la statistique et des thèmes : la connaissance de la gouver-
études économiques du Luxembourg nance de la sécurité de l’information,
(STATEC2). Cette liste renseigne le nom ses enjeux stratégiques, ses conditions
et/ou la dénomination des organisa- de mise en œuvre, son niveau de ma-
tions implantées au Luxembourg, leur turité, son mode d’organisation et les
secteur d’activité et leur taille (en caractéristiques économiques des or-
nombre de salariés). Nous avons ainsi ganisations répondantes. Le question-
identifié cent quarante organisations de naire a été rédigé dans les trois
deux cent cinquante salariés et plus. Par langues les plus pratiquées au sein des
des recherches sur Internet et des organisations implantées au Luxem-
contacts téléphoniques, nous avons ras- bourg, à savoir le français, l’anglais et
semblé leurs coordonnées complètes l’allemand (les questionnaires sont dis-
ainsi que celles de leur responsable de ponibles sur demande).
la sécurité. Ces organisations appartien- La collecte des données a été réali-
nent à la quasi-totalité des secteurs sée durant le dernier trimestre 2010.
d’activité : la construction, le transport, Elle s’est déroulée en deux temps.
les télécommunications et l’informa- D’abord, le questionnaire a été envoyé
tique3, l’industrie, le commerce, les ser- par courrier, messagerie électronique
vices et la finance. Cette décomposition ou remis en mains propres aux res-
sectorielle est conforme à la nomencla- ponsables de la sécurité des organisa-
ture européenne des activités écono- tions cibles dans la langue de leur
miques (NACE rev. 1) habituellement choix afin d’être complété par leurs
2
http://www.statistiques.public.lu/fr/acteurs/statec/index.html.
3
Les organisations du secteur informatique sont éliminées des échantillons lorsqu’elles sont suscep-
tibles de biaiser les résultats concernant des comportements ou des connaissances « techniques » ;
nous ne les avons pas soustraites de notre échantillon car, justement, il ne s’agit pas de tester ici des
hypothèses techniques mais managériales.
119
soins. Puis il nous a été restitué par les général, responsable qualité/conformi-
organisations à l’occasion d’un rendez- té, RSSI ou security officer. L’âge des
vous qui a permis de vérifier que le ré- répondants varie entre 22 et 62 ans
pondant avait bien répondu à toutes (avec une moyenne de 42 ans). Le ni-
les questions et, dans la négative, de veau d’études des répondants varie du
lui donner les explications permettant Bac au Bac+8 ; 37% ont un niveau
de compléter ses réponses. Nous d’études supérieur ou égal à Bac+5.
avons ainsi obtenu cent vingt réponses
exploitables, soit un taux de réponse
de 85,71%. Vingt organisations n’ont 2.1.3. Le modèle mis en œuvre
pas donné suite à notre demande, Dans un premier temps, des
principalement pour des raisons de statistiques descriptives permettent de
confidentialité des informations de sé- présenter les pratiques détaillées des
curité4. organisations interrogées.
Dans un deuxième temps, afin de

2.1.2. Les caractéristiques mettre au jour les déterminants du
de la population étudiée processus d’engagement des organisa-
tions dans une démarche de gouver-
Notre population est composée de
nance de la sécurité de l’information,
31% d’organisations appartenant au
nous avons choisi de mettre en œuvre
secteur des services, 22% au secteur fi-
une analyse multivariée. Ce choix
nancier, 19% à l’industrie. La construc-
trouve sa motivation dans le fait que
tion, les transports et le commerce re-
nous serons ainsi en mesure d’isoler
présentent respectivement 12%, 7% et
l’influence de la variation d’une carac-
7% des organisations de notre popula-
téristique, à l’exclusion de tout autre
tion. La proportion d’organisations ap-
facteur (analyse toutes choses égales
partenant au secteur des télécommuni-
par ailleurs) sur la probabilité de s’en-
cations est de 2% (Annexe A). 72% des
gager dans une démarche de gouver-
organisations appartiennent à un grou-
nance de la sécurité de l’information ou
pe (29% sont des maisons-mères et
non.
43% des filiales). La plupart des orga-
nisations (67%) évolue sur le marché Devant modéliser le fait de s’engager
extranational (européen pour 16% et ou de ne pas s’engager dans une dé-
international pour 51%). La moitié des marche de gouvernance de la sécurité
organisations de la population (49%) a de l’information, nous constatons l’ab-
vu son chiffre d’affaires augmenter du- sence de continuité dans les modalités
rant les trois dernières années ; pour prises par la variable expliquée. S’en-
42% d’entre elles, il est resté stable ou gager ou ne pas s’engager dans une
a diminué. Les répondants à l’enquête telle démarche est une variable binaire
assurent des fonctions de responsable qui prend la valeur 1 pour une répon-
SI/TI (DSI), risk manager, directeur se positive et la valeur 0 pour une ré-
4
Problème de confidentialité (65%), organisation peu informatisée ou externalisation (20%), contact
non intéressé (15%).
120
ponse négative. Cette caractéristique Prob (yi=0) = Prob (yi* ≤ 0) = F (-bxi)

de la variable expliquée impose l’utili- = 1 – F (bxi)
sation de méthodes spécifiques, en
où b est le vecteur des coefficients es-
l’occurrence de modèles dichoto-
timés et F (.) est la fonction de réparti-
miques simples Logit et Probit.
tion.
Au sein de notre population de cent
La fonction de répartition F (.) peut
vingt organisations i (i étant compris
être de deux types : soit une loi logis-
entre 1 et 120), on observe pour
tique (modèle Logit), soit une loi nor-
chaque organisation la survenance
male centrée réduite (modèle Probit).
d’un événement yi où :
Les résultats obtenus à partir des mo-
yi = 1 si l’organisation i s’engage dèles Probit et Logit sont relativement
dans une démarche de gouvernance similaires (Morimune, 1979 ; Davidson
de la sécurité de l’information, & MacKinnon, 1984). Pour nos estima-
yi = 0 si l’organisation i ne s’engage tions, nous retiendrons un modèle

pas dans une telle démarche. Logit où l’estimation des paramètres
du modèle est réalisée par la méthode
Les modèles dichotomiques admet- du maximum de vraisemblance.
tent pour variable expliquée que la
probabilité d’apparition de cet événe- La population d’analyse étant de
ment est conditionnelle aux variables taille modeste (cent vingt organisa-
exogènes. Le modèle prend la forme tions), le nombre de variables expli-
suivante : catives introduites dans nos modèles
devra être limité. Afin de lever cette
pi = Prob (yi = 1| xi) = F (xib) contrainte, nous avons agrégé les mo-
où la fonction F (.) désigne une fonc- dalités de certaines variables. Pour
tion de répartition, xi désigne les va- tirer profit de la richesse du ques-
riables explicatives et b le vecteur des tionnaire, nous avons créé des va-
paramètres à estimer. riables qui synthétisent les informa-
tions disponibles et réalisé plusieurs
Si yi* est une variable latente (inob-
estimations où toutes les informations
servable) qui est fonction des variables
explicatives (xi), du vecteur des para- disponibles sont introduites alternati-
mètres à estimer (noté b) et du terme vement. Plus précisément, les sec-
d’erreur (noté ei), la règle de décision teurs d’activité ont été regroupés en
probabiliste s’écrit alors : deux secteurs : industrie versus servi-
ce (variables INDUS et SERV)5. Pour
Prob (yi=1) = Prob (yi* > 0) = 1-F (-bxi) prendre en compte la variation du
= F (bxi) chiffre d’affaires durant les trois der-
5
Compte tenu de l’importance du secteur de la finance au Luxembourg, l’appartenance à tel ou tel
secteur d’activité a aussi été prise en compte à l’aide de trois modalités : appartenir à l’industrie, ap-
partenir au secteur de la finance, appartenir à un autre secteur. Les résultats obtenus avec cette spé-
cification montrent que l’appartenance au secteur de la finance est sans effet sur la probabilité de
s’engager dans une gouvernance de la sécurité de l’information. Réduire l’appartenance sectorielle à
deux secteurs (industrie versus service) est donc sans impact sur nos résultats.
121
nières années, nous nous focalisons • à l’aide d’une variable : connaître

sur l’impact d’un chiffre d’affaires en des organismes de promotion de la
croissance (variable CHIDA). démarche de gouvernance de la sé-
curité (variable ORGANISME).
Afin que la façon dont sont
construites les variables n’affecte pas Pour prendre en compte les béné-
nos estimations, certaines caractéris- fices, les obstacles et les domaines
tiques sont prises en compte à l’aide prioritaires d’une démarche de gouver-
de différentes variables. Ainsi, la nance de la sécurité de l’information,
connaissance de structures engagées nous introduisons alternativement
dans une démarche de gouvernance chaque bénéfice, obstacle et domaine
de la sécurité est prise en compte al- prioritaire. Nous avons également
ternativement de quatre façons : construit trois variables qui prennent
en compte le nombre de bénéfices re-
• à l’aide du nombre de structures en-
tirés d’une démarche de gouvernance
gagées dans une démarche de gou-

de la sécurité de l’information
vernance de la sécurité que l’orga-
(NB_BENEF), le nombre d’obstacles
nisation connaît, compris entre 0 et
rencontrés (NB_OBST) et le nombre
5 (variable NB_RESEAU) ;
de domaines prioritaires (NB_VAL).
• à l’aide de deux variables :
L’ensemble des variables introduites
connaître des clients ou des fournis-
dans notre modèle est présenté dans
seurs ou des concurrents engagés
l’Annexe B6.
dans une démarche de gouvernan-
ce de la sécurité (variable RE-
SEAU10) d’une part ; connaître 2.2. Pratiques des organisations
d’autres organisations engagées interrogées
dans une démarche de gouvernan-
ce de la sécurité, implantées au Ce paragraphe présente les pratiques
Luxembourg ou dans d’autres pays détaillées des organisations interrogées
(variable RESEAU11) d’autre part ; en matière de gouvernance de la sécu-
rité de l’information à l’aide de statis-
• à l’aide de trois variables : connaître
tiques descriptives, répondant ainsi à
des clients ou des fournisseurs en-
notre deuxième question de re-
gagés dans une démarche de gou-
cherche.
vernance de la sécurité (variable
RESEAU20) ; connaître des concur-
rents engagés dans une démarche 2.2.1. Connaissance
de gouvernance de la sécurité (va- de la gouvernance de la sécurité
riable RESEAU21) ; connaître de l’information
d’autres organisations, implantées
au Luxembourg ou dans d’autres L’enquête révèle que 86% des orga-
pays, engagées dans une démarche nisations connaissent les pratiques de
de gouvernance de la sécurité (va- gouvernance des SI/TI et de la sécuri-
riable RESEAU22) ; té de l’information, essentiellement par
6
L’existence de corrélation entre les variables a été testée. La matrice des corrélations n’a pas été in-
troduite dans l’article pour ne pas alourdir la lecture. Elle peut être transmise sur demande.
122
le biais d’Internet, de formations pro-

fessionnelles et de la veille technolo-
gique. 72% de ces organisations sont
engagées à la fois dans une démarche
de gouvernance des SI/TI et dans une
démarche de gouvernance de la sécu-
rité de l’information (Figure 1). 80%
des organisations connaissent d’autres
organisations engagées dans une dé-
marche de gouvernance de la sécurité
de l’information, dont 34% parmi leurs
clients, 59% parmi leurs fournisseurs et
41% parmi leurs concurrents (Figure
2). Soixante-dix-sept de ces organisa-
Figure 1. Engagement des organi-

tions (80%) sont engagées dans la dé-
sations dans une démarche de gou-
marche de gouvernance de la sécurité
vernance de la sécurité de l’infor-
de l’information. Une large proportion
mation
d’organisations connaît également
d’autres organisations luxembour-
CSSF7 au Luxembourg, l’ISACA en
geoises (62%) et étrangères (57%) en-
France ou le BSI8 en Allemagne).
gagées dans une démarche de gouver-
nance de la sécurité de l’information.
42% des organisations connaissent des 2.2.2. Enjeux stratégiques
organismes luxembourgeois ou étran- de la gouvernance de la sécurité
gers cherchant à promouvoir la gou- de l’information
vernance de la sécurité de l’informa-
tion (par exemple, le Clusil, le centre Au sein des organisations pratiquant
de recherche public Henri Tudor, la la gouvernance de la sécurité de l’in-
Figure 2. Connaissance d’organisations pratiquant la gouvernance de la
sécurité de l’information dans l’environnement
7
CLUb de la Sécurité de l'Information Luxembourg, http://www.clusil.lu/; http://www.tudor.lu/;
Commission de Surveillance du Secteur Financier, http://www.cssf.lu/.
8
Bundesamt für Sicherheit in der Informationstechnik, https://www.bsi.bund.de/.
123
formation, sa mise en œuvre résulte çoivent des difficultés (obstacles très

avant tout de la nécessité de satisfaire importants ou importants) dans la mise
les clients (72%). Elle vise ensuite à en œuvre de la gouvernance de la sé-
contenter les actionnaires et la direc- curité de l’information, pourtant 74%
tion (48%), les salariés (40%), la légis- d’entre elles sont engagées dans la dé-
lation en vigueur (36%), les fournis- marche. L’examen des obstacles jugés
seurs (17%), les collectivités locales ou très importants par les organisations
organisations non gouvernementales fait apparaître, par ordre de citation
(12%). Les principaux bénéfices et obs- décroissant, le manque de temps
tacles rencontrés ou perçus de la gou- (21%), le manque de ressources en in-
vernance de la sécurité de l’informa- terne (20%), le coût de la mise en
tion sont synthétisés dans une matrice œuvre (17%) et le manque d’intérêt de
SWOT (Annexe C), qui fournit une la Direction (17%) ; ces résultats sont
analyse stratégique des forces illustrés par la Figure 4. Dans les orga-
(strengths), faiblesses (weaknesses), nisations pratiquant la gouvernance de

opportunités (opportunities) et me- la sécurité de l’information, les béné-
naces (threats) liées à la démarche. fices de cette démarche sont jugés très
95% des organisations pensent pouvoir supérieurs aux coûts pour 15% d’entre
retirer un avantage concurrentiel (bé- elles, légèrement supérieurs aux coûts
néfices très importants ou importants) pour 14%, globalement équivalents
de la gouvernance de la sécurité de aux coûts pour 17%, légèrement infé-
l’information et 75% d’entre elles sont rieurs aux coûts pour 13% et très infé-
engagées dans la démarche. Parmi trei- rieurs aux coûts pour 8%. 33% des ré-
ze bénéfices jugés très importants reti- pondants ne savent pas estimer
rés de la gouvernance de la sécurité de précisément les bénéfices retirés de la
l’information, les organisations mettent démarche. Au sein des organisations
principalement en avant l’amélioration pratiquant la gouvernance de la sécu-
des procédures en matière de sécurité rité de l’information, la responsabilité
(52%), la conformité avec la législation de cette démarche est confiée à un res-
(32%) et le gage de confiance pour les ponsable SI/TI (DSI) pour 53% d’entre
partenaires (31%) ; ces résultats sont elles, à un risk manager pour 14%, au
illustrés par la Figure 3. A contrario, directeur de l’organisation pour 13%, à
94% des organisations interrogées per- un responsable qualité/conformité
Figure 3. Principaux bénéfices retirés de la gouvernance

124
Figure 4. Principaux obstacles à la mise en œuvre de la gouvernance

pour 12% et à un RSSI (ou security of- en œuvre de la gouvernance de la sé-
ficer) dans seulement 8% des cas. curité de l’information est décrite et va-
lorisée par 27% des organisations dans
leur rapport d’activités, par 16% sur
2.2.3. Conditions de mise leur site Web, par 45% dans leurs do-
en œuvre de la gouvernance cuments internes (intranet, charte in-
de la sécurité de l’information formatique), nulle part pour 29%
Avant d’engager une démarche de d’entre elles. De même 63% des orga-
gouvernance de la sécurité de l’infor- nisations ont établi des plans de com-
mation, les organisations pratiquantes munication de leurs engagements en
ont fait l’inventaire des actions déjà interne, 17% vers l’extérieur et 34%
menées en interne (83%) ainsi que des n’ont pas du tout communiqué sur ces
actions envisageables (83%), pris engagements.
connaissance des normes et certifica-
tions existantes (81%), collecté des in- 2.2.4. Organisation
formations auprès d’organismes spé- de la gouvernance de la sécurité
cialisés (71%), évalué les coûts de mise de l’information
en œuvre de la démarche (71%) et
examiné les actions menées par Selon les organisations répondantes,
d’autres organisations (35%) ; ces ré- les domaines prioritaires (ou valeurs)
sultats sont illustrés par la Figure 5. En d’une démarche de gouvernance de la
moyenne 6 personnes par organisation sécurité de l’information sont le mana-
sont affectées à la démarche de gou- gement du risque et la réduction des
vernance de la sécurité de l’informa- impacts potentiels à un niveau accep-
tion dont 2 responsables, 3 membres table (87%), l’alignement de la sécurité
de l’équipe SI/TI, 1 consultant externe de l’information sur la stratégie institu-
ou autre (par exemple, un salarié de la tionnelle (83%), les choix technolo-
maison-mère ou un correspondant mé- giques liés à la sécurité (78%), l’éva-
tiers). Presque une organisation sur luation de la performance par le suivi
deux (45%) dispose d’un budget dédié d’indicateurs de sécurité (65%), le ma-
à la sécurité de l’information. La mise nagement des ressources information-
125
Figure 5. Démarches préalables à la mise en œuvre de la gouvernance

nelles (63%) et la création de valeur place un tableau de bord pour suivre

par l’optimisation des investissements leur plan de gouvernance de la sécuri-
de sécurité (43%) ; ces résultats sont té de l’information par des indicateurs-
illustrés par la Figure 6.
clés de performance (KPI pour Key
Parmi les organisations pratiquant la Performance Indicators). 62% ont éla-
boré des plans d’actions, en cours ou
mation, 41% se sont fixé des objectifs
mesurables, par exemple la diminution futurs, dans le cadre de la gouvernan-
des incidents de sécurité, la réduction ce de la sécurité de l’information, com-
du risque opérationnel, la mise en prenant par exemple la mise en place
place d’un audit annuel, etc. 41% dis- d’un plan de continuité des activités, la
posent d’outils permettant d’évaluer formation du personnel, la redondance
les effets de la démarche de gouver-
du réseau informatique, la centralisa-
nance appliquée, tels que l’analyse des
causes premières, le scanner de vulné- tion des données, la virtualisation des
rabilités, divers outils de surveillance serveurs, l’amélioration de la traçabili-
informatique, etc. 33% ont mis en té, etc.
Figure 6. Domaines prioritaires d’une démarche de gouvernance

126
2.2.5. Maturité des organisations ting) est incomplet ou inadéquat.

en matière de gouvernance Ceci correspond au niveau 2 ;
de la sécurité de l’information • pour 18% les procédures sont for-
malisées, documentées et commu-
Au total 48% des organisations inter-
niquées par une politique organi-
rogées jugent la gouvernance de la sé-
sationnelle. Le rapport reste axé
curité de l’information indispensable ;
sur les TI plutôt que sur l’organi-
38% la considèrent nécessaire, 9% peu
sation. Ceci correspond au niveau
utile et 4% inutile. 87% des respon- 3;
sables interrogés perçoivent donc la
gouvernance de la sécurité de l’infor- • pour 9% les procédures sont
mation comme une valeur importante contrôlées et mesurées. La fonc-
pour l’organisation ; 79% de ces orga- tion sécurité est assurée par un
nisations sont engagées dans une dé- manager senior. Les responsabili-
marche de gouvernance de la sécurité tés sont appliquées. Le rapport est

lié aux objectifs de l’organisation.
de l’information. En analysant la matu-
Ceci correspond au niveau 4 ;
rité des organisations en matière de
gouvernance de la sécurité de l’infor- • pour 15% les procédures, techno-
mation selon une typologie proposée logies de sécurité et plans de se-
par l’IT Governance Institute (2006), il cours sont intégrés dans l’activité
apparaît que : de l’organisation, optimisés et au-
tomatisés. Le rapport permet d’an-
• pour 14% aucune procédure n’est ticiper les risques. Ceci correspond
appliquée. L’organisation ne re- au niveau 5.
connaît aucun besoin en matière
de sécurité de l’information. Aucu- Ces résultats sont illustrés par la Fi-
gure 7. Le portefeuille de projets de
ne obligation ni responsabilité
n’est établie. Ceci correspond au
mation ne comprend aucun projet
niveau de base (niveau 0) ;
pour 28% des organisations interro-
• pour 18% des procédures existent gées ; des projets sont envisagés pour
mais restent désorganisées. Les 33% d’entre elles (en moyenne 2 pro-
risques TI sont appréciés ad hoc jets par organisation) ; des projets sont
par projet. L’organisation reconnaît en cours pour 49% des organisations
le besoin de sécuriser ses res- (en moyenne 3 projets par organisa-
sources informationnelles, mais de tion) et des projets ont été clôturés du-
manière réactive. Les responsabili- rant les trois dernières années pour
tés sont informelles. Ceci corres- 35% d’entre elles (en moyenne 5 pro-
pond au niveau 1 ; jets par organisation). 90% des organi-
sations ayant engagé une démarche de
• pour 26% les procédures suivent gouvernance de la sécurité de l’infor-
un modèle défini. Les risques TI mation font état de mutations organi-
sont jugés importants. Des poli- sationnelles : recrutement de profils
tiques de sécurité sont en cours de managériaux en externe (20%), évolu-
développement. Le rapport (repor- tion des métiers en interne pour 62%
127
Figure 7. Maturité des organisations sollicitées selon la typologie de l’IT

Governance Institute (2006)
(par exemple, évolution des profils Le modèle 1 (cf. Annexe D) met en

techniques vers des tâches managé- évidence l’impact positif du nombre de
riales, spécialisation), mise en œuvre bénéfices attendus d’une démarche de
de formations spécifiques pour 66%, gouvernance de la sécurité de l’infor-
adaptation des départements pour 6% mation sur la probabilité d’adopter une
(par exemple, séparation TI/gestion telle démarche. On constate également
des risques, mise en place ou révision que le nombre d’organisations que l’on
de procédures de secours). sait avoir adopté une démarche de
mation a un effet positif sur la proba-
2.3. Les déterminants bilité d’adopter ce type de gouvernan-
du processus d’engagement ce. En revanche, les caractéristiques
économiques de l’organisation (son
Afin de répondre à notre première secteur d’activité, la croissance de son
question de recherche, ce paragraphe chiffre d’affaires, l’appartenance à un
présente les déterminants du proces- groupe) sont sans effet. Le nombre
sus d’engagement des organisations d’obstacles jugés importants est sans
dans une démarche de gouvernance effet.
de la sécurité de l’information, mis au Pour affiner ce dernier résultat, nous
jour à l’aide de plusieurs spécifications avons introduit successivement et al-
de notre modèle économétrique (mo- ternativement les différents obstacles
dèle Logit). Comme précisé plus avant, rencontrés par les organisations9. Nous
estimer plusieurs modèles permet d’in- constatons alors que seuls deux obs-
troduire les potentiels déterminants de tacles ont un effet significatif : la diffi-
différentes façons afin de garantir la culté à traduire les concepts en actions
qualité des effets obtenus. concrètes est un frein à l’adoption
9
Lors de l’introduction dans nos modèles des variables prenant en compte les différents obstacles,
bénéfices et valeurs, les tableaux de résultats ne mentionnent que les effets significatifs.
128
d’une gouvernance de la sécurité de à traduire les concepts en actions

l’information (modèle 2) ; le faible in- concrètes a un effet négatif. Connaître
térêt de la Direction pour les questions des clients ou des fournisseurs ou des
liées à la sécurité de l’information a concurrents, d’une part, et connaître
également un impact négatif (modèle d’autres organisations implantées au
3). La prise en compte simultanée de Luxembourg ou à l’étranger d’autre
ces deux obstacles confirme unique- part, a un effet positif sur l’adoption
ment l’effet négatif de la difficulté à d’une démarche de gouvernance de la
traduire les concepts en actions sécurité de l’information (modèle 5).
concrètes (modèle 4). Lorsqu’on examine séparément les
L’ensemble des modèles (modèles 1 clients et les fournisseurs d’un côté et
à 7) montre que le nombre de valeurs les concurrents de l’autre (modèle 6),
partagées par l’organisation relevant on constate que connaître des clients
de la démarche de gouvernance de la ou des fournisseurs est sans effet ;
sécurité de l’information n’affecte pas connaître des concurrents et d’autres

son adoption. Lorsque les valeurs ju- organisations engagés dans une dé-
gées importantes par l’organisation marche de gouvernance de la sécurité
sont prises en compte successivement, est faiblement significatif (au seuil de
ce résultat persiste. 10%). Connaître des organismes qui vi-
sent à promouvoir une telle démarche a
Une analyse détaillée de l’impact de un effet incitatif sur son adoption (mo-
l’environnement de l’organisation dèle 7). Nous devons remarquer que
(connaître une organisation ayant une cette spécification (modèle 7) met au
démarche de gouvernance de la sécuri- jour un effet sectoriel : appartenir au
té de l’information ; connaître un orga- secteur de l’industrie, relativement au
nisme qui cherche à la promouvoir) secteur des services, affecte négative-
montre que l’environnement de l’orga- ment la probabilité d’adopter une dé-
nisation a un effet positif sur la proba- marche de gouvernance de la sécurité
bilité d’adopter une telle démarche, de l’information. L’ensemble de ces ré-
quelle que soit la manière de prendre sultats démontre l’effet incitatif de l’en-
compte cette dimension. D’une maniè- vironnement de l’organisation sur son
re générale (modèles 5 à 7), on retrou-
comportement.
ve globalement les effets obtenus dans
le modèle que l’on pourrait qualifier de Sachant que le nombre de bénéfices
base (modèle 1) : la croissance du retirés d’une démarche de gouvernan-
chiffre d’affaires et le nombre de va- ce de la sécurité a un effet positif sur
leurs de l’organisation sont sans effet ; la probabilité d’adoption de celle-ci
on peut également considérer que l’ap- (modèles 1 à 7), nous avons introduit
partenance à un groupe est sans effet successivement chaque bénéfice jugé
car seul le modèle 7 met en évidence important par l’organisation afin
un effet positif mais à un niveau très d’identifier le ou les bénéfices ayant un
peu significatif (au seuil de 10%) ; le impact positif (cf. Annexe A). Force est
nombre de bénéfices a un effet incitatif de constater qu’aucun bénéfice n’a un
sur l’adoption de la gouvernance de la effet significatif sur la probabilité
sécurité de l’information et la difficulté d’adopter une démarche de gouver-
129
Tableau 1. Présentation synoptique des déterminants de l’engagement

des organisations dans la gouvernance de la sécurité de l’information
Effet positif Effet négatif
− Bénéfices : nombre de bénéfices retirés − Obstacles : difficulté à traduire les concepts
d’une gouvernance de la sécurité de l’infor- en actions concrètes, appartenir au secteur
mation de l’industrie comparativement au secteur
− Environnement : connaissance d’organisa- des services
tions engagées dans une gouvernance de la
sécurité de l’information, connaissance d’or-
ganismes de promotion de la gouvernance
Figure 8. Déterminants proposés du processus d’engagement

des organisations dans la gouvernance de la sécurité de l’information
nance de la sécurité de l’information10. être rencontrés par les organisations, la

Ce résultat montre que c’est l’accumu- difficulté de traduire les concepts en
lation de différents bénéfices jugés im- actions concrètes est la seule qui affec-
portants qui incite les organisations à te négativement la probabilité d’adop-
s’inscrire dans une telle démarche et ter une démarche de gouvernance de
non l’impact d’un bénéfice en particu- la sécurité de l’information. Appartenir
lier. au secteur de l’industrie, comparative-
En résumé, la probabilité d’adopter ment au secteur des services, impacte
une démarche de gouvernance de la négativement cette probabilité. Les
sécurité de l’information est affectée autres caractéristiques des organisa-
positivement par le nombre de béné- tions (appartenance à un groupe,
fices retirés d’une telle démarche, par chiffre d’affaires en croissance) et leurs
la connaissance de structures engagées valeurs sont sans effet. Le Tableau 1
dans cette démarche (organisations reprend ces résultats. La Figure 8 réca-
ayant mis en œuvre cette démarche et pitule les propositions suggérées par
organismes de promotion de celle-ci). notre recherche, concernant les déter-
Parmi une dizaine d’obstacles pouvant minants de l’engagement des organisa-
10
Ces variables n’ayant pas un effet significatif sur la probabilité d’adopter une démarche de gou-
vernance de la sécurité de l’information, nous n’avons pas reporté les résultats correspondants dans
le Tableau D1 de l’Annexe D.
130
tions dans la gouvernance de la sécu- Plusieurs auteurs soulignent, en

rité de l’information. effet, dans leurs travaux que la gou-
vernance est une forme d’innovation.
Par exemple Theys (2003), Bodet et
3. DISCUSSION, Lamarche (2007) qualifient la gouver-
CONTRIBUTIONS ET nance d’innovation institutionnelle ou
RECHERCHES FUTURES organisationnelle. Dans le domaine
des SI/TI, au travers d’un cahier de la
revue Management & Avenir intitulé
3.1. Discussion des résultats « Gouvernance et innovation à l’épreu-
ve des technologies de l’information »,
Bidan et Trinquecoste (2010) mettent
3.1.1. Processus d’engagement en exergue l’intérêt du tryptique « gou-
vernance – innovation – TI » pour les
Nous remarquons que les détermi-

nants proposés du processus d’enga- chercheurs en sciences de gestion. La
gement des organisations dans la gou- sécurité a été assimilée à une innova-
vernance de la sécurité de tion dans plusieurs travaux : par
l’information sont très proches des exemple, Kesh et Ratnasingam (2007)
quatre déterminants identifiés par Ven- parlent d’une innovation exclusive-
katesh et al. (2003) dans leur modèle ment technique, tandis que Herath et
unifié d’adoption et de diffusion des al. (2010) évoquent une innovation
technologies (UTAUT pour Unified technique et organisationnelle. De
Theory of Acceptance and Use of Tech- même, la perception des utilisateurs
nology). En effet, ce modèle synthétise est régulièrement prise comme cadre
huit modèles antérieurs en quatre dé- d’analyse des innovations technolo-
terminants principaux : (1) la perfor- giques de sécurité (par exemple
mance espérée de la démarche de Charndra et Calderor, 2005 ; Cazier et
gouvernance (valeur ajoutée, béné- al., 2008). Il semblerait donc que la
fices, avantage concurrentiel) ; (2) l’ef- gouvernance de la sécurité de l’infor-
fort déployé pour sa mise en œuvre mation puisse être appréhendée à la
(dépassement des freins, obstacles) ; fois comme une innovation technique
(3) les conditions facilitatrices et organisationnelle.
(connaissance d’organisations suscep-
tibles d’aider l’organisation dans sa dé- Le modèle de Venkatesh et al.
marche) ; (4) l’influence sociale (2003), initialement adapté à l’évalua-
(normes subjectives, image, valeurs). tion des comportements individuels, a
La proximité de nos résultats avec ce été étendu récemment par plusieurs
modèle suggérerait que l’engagement auteurs au contexte organisationnel
des organisations dans le processus de (par exemple, Curtis et al., 2010 ; Gon-
gouvernance pourrait être comparé zales et al., 2011 ; Zhou, 2011). Il a
avec l’engagement dont les organisa- ainsi permis de mesurer l’adoption
tions pourraient faire état face à une d’un phénomène au niveau d’une or-
innovation, en d’autres termes à ganisation toute entière plutôt que de
l’adoption d’une innovation. se focaliser sur l’intention d’utiliser au
131
niveau individuel. Nos contributions à l’audit ou au contrôle interne est plu-

s’inscrivent dans cette perspective. tôt typique des organisations exposées
aux risques liés à l’information (sec-
Cependant, toutes les conditions du
teurs d’activités tertiaires et quater-
modèle de Venkatesh et al. (2003) ne
naires). Le rattachement de la gouver-
sont pas rassemblées dans notre en-
nance à la direction générale de
quête. En particulier, les quatre va-
l’organisation est privilégié lorsque
riables modératrices (genre, âge, expé-
l’information est le produit de l’organi-
rience, utilisation volontaire) dont
sation, et que le risque de l’organisa-
l’influence est significative dans le mo-
tion et celui lié à l’information sont
dèle, n’ont pas été prises en compte.
quasi-confondus. Ces observations
Conscients de cette limite, nous pou-
vont dans le sens de Bennasar et al.
vons conclure avec prudence sur la
(2007), mais doivent être relativisées
base de l’enquête menée que la théo-
car elles dépendent fortement des
rie unifiée d’adoption de Venkatesh et
structures organisationnelles en place

al. (2003) peut être un modèle perti-
et des secteurs d’activités. Il est inté-
nent pour analyser le phénomène
ressant aussi de relever un autre résul-
d’engagement dans la gouvernance de
tat de l’enquête : 29% des organisa-
la sécurité de l’information.
tions interrogées pratiquant la
gouvernance de la sécurité n’ont valo-
3.1.2. Pratiques de gouvernance risé cette démarche ni en interne, ni
vers l’extérieur, et 34% d’entre elles
Les réponses obtenues dans le cadre n’ont pas du tout communiqué sur
de notre enquête confirment que la leurs engagements. Preuve que la gou-
gouvernance de la sécurité de l’infor- vernance de la sécurité de l’informa-
mation est un sous-ensemble à part tion n’est pas encore forcément consi-
entière de la gouvernance des SI/TI, dérée comme un atout dans la
puisque les organisations impliquées communication de l’organisation avec
dans les deux démarches sont exacte- ses diverses parties prenantes (ou que
ment les mêmes. Soulignons aussi que l’organisation se situe dans un secteur
la responsabilité de la gouvernance de d’activités qui ne requiert pas de com-
la sécurité est attribuée, selon les orga- munication sur le sujet). Enfin, les ré-
nisations, à des acteurs variés allant du sultats de l’enquête nous amènent à
responsable SI/TI (DSI), risk manager, nous demander si un engagement im-
responsable qualité/conformité, RSSI portant de l’organisation dans la dé-
ou security officer, au directeur géné- marche de gouvernance de la sécurité
ral. Au sein de l’échantillon étudié, le de l’information entraîne des muta-
rattachement de la gouvernance à la tions organisationnelles. Les données
DSI concerne plutôt les organisations empiriques collectées montrent que
faiblement ou moyennement exposées soixante organisations (87%) font déjà
aux risques liés à l’information, où la état de mutations organisationnelles au
fonction sécurité a une vocation plus niveau 2 de la typologie précédente ;
opérationnelle que stratégique et ma- elles sont 100% au niveau 3. Il semble-
nagériale. Le rattachement de la gou- rait donc que ces deux événements
vernance au management des risques, soient corrélés : plus l’engagement de
132
l’organisation dans la démarche de logie de leur maturité en quatre ni-

gouvernance de la sécurité de l’infor- veaux :
mation est important, et plus les muta-
• au niveau 0, nous situons les orga-
tions organisationnelles engendrées le
nisations qui ne pratiquent pas la
sont (il existe un lien d’alignement
gouvernance de la sécurité de l’in-
entre l’architecture organisationnelle et
formation et jugent cette démarche
la sécurité de l’information).
peu utile voire inutile ; elles n’ont
Au vu des résultats de l’enquête, il aucun projet en cours. Selon l’en-
nous a semblé intéressant de tester quête menée, douze organisations
aussi si la perception des enjeux de la (10%) se situent à ce niveau ;
• le niveau 1 regroupe les organisa-
mation était la même ou non, pour les
tions qui ne pratiquent pas la gou-
organisations effectivement engagées
vernance de la sécurité de l’infor-
dans la démarche et pour celles n’en
mation mais jugent tout de même

ayant pas l’expérience pratique. Au re-
la démarche positive (nécessaire
gard de la distinction établie dans le
ou indispensable) ; elles envisa-
questionnaire quant aux organisations
gent éventuellement des projets
engagées ou non dans la démarche de
futurs. L’enquête montre que
vingt-deux organisations (18%) se
mation, nous observons 100% de simi-
situent à ce niveau ;
litude dans le classement des trois pre-
miers bénéfices en comparant les • le niveau 2 est composé des orga-
réponses de chaque type d’organisa- nisations qui pratiquent la gouver-
tion ; le classement diffère ensuite de nance de la sécurité de l’informa-
quelques organisations seulement tion et jugent cette démarche
(moins de dix) pour les bénéfices sui- globalement intéressante (peu
vants. Concernant les obstacles perçus utile, nécessaire ou indispen-
de la démarche, nous observons 100% sable) ; elles ont un petit porte-
de similitude sur tous les résultats du feuille de projets clôturés et/ou en
classement. Donc les enjeux straté- cours, et leurs pratiques peuvent
giques perçus de la gouvernance de la se traduire par des mutations in-
sécurité de l’information sont très simi- ternes. Soixante-neuf organisations
laires, que l’organisation soit engagée (58%) se situent à ce niveau ;
ou non dans cette démarche.
• au niveau 3, nous classons les or-
Pour finir, nous avons souhaité abor- ganisations qui pratiquent réguliè-
der la question de la maturité des or- rement la gouvernance de la sécu-
ganisations interrogées en matière de rité de l’information et ont acquis
gouvernance de la sécurité de l’infor- une réelle expérience dans ces
mation : au regard de l’engagement ou pratiques, qu’elles jugent indispen-
non des organisations dans la dé- sables ; leur portefeuille de projets
marche de gouvernance de la sécurité comprend à la fois des projets clô-
de l’information, nous pouvons com- turés, en cours et à venir, et leur
pléter la typologie de l’IT Governance engagement s’est traduit par des
Institute (2006) et proposer une typo- mutations organisationnelles. Dix-
133
Figure 9. Maturité des organisations sollicitées selon la typologie proposée
sept organisations (14%) se situent vernance mises en œuvre par les orga-
à ce niveau. nisations interrogées.

Ces informations sont illustrées par Sur le plan méthodologique, l’atout
l’histogramme de la Figure 9. de notre recherche est certainement le
taux de participation à l’enquête
L’âge et le niveau d’études du res- menée, soit 85,71%. Ce taux peut être
ponsable de la sécurité n’influencent apprécié au regard d’autres taux de
pas l’engagement de l’organisation participation obtenus lors de re-
dans la démarche de gouvernance de cherches empiriques comparables en
la sécurité de l’information. sécurité de l’information, par exemple
1,6% pour Kotulic et Clark (2004) ;
8,77% pour Dagorn (2008) ; 1,57%
3.2. Contributions théoriques,
pour Barlette (2009, 2011). Ces auteurs
méthodologiques et pratiques ont justifié leur faible taux de participa-
Du point de vue théorique, les résul- tion par divers arguments liés à la sen-
sibilité et à la confidentialité du domai-
tats de notre enquête suggèrent que le
ne : par exemple, Barlette (2011), citant
modèle d’adoption unifié de Venkatesh
Kotulic et Clark (2004), a souligné que
et al. (2003) est un modèle pertinent
peu d’organisations acceptent de parler
d’analyse du processus d’engagement de la sécurité car celle-ci constitue un
dans la gouvernance de la sécurité de sujet « envahissant » et « importun » ; les
l’information. L’enquête propose trois organisations ne souhaitent générale-
déterminants de l’engagement des or- ment pas traiter d’un sujet sensible à
ganisations dans la gouvernance de la distance, et qui plus est, avec des per-
sécurité de l’information et renvoie sonnes « extérieures »11. Ajoutons qu’au
une image fidèle des pratiques de gou- Luxembourg, les organisations sont ré-
11
Kotulic et Clark (2004) constatent que, dans un domaine aussi sensible, des études à grande échel-
le ne sont pas adaptées car les organisations craignent de divulguer à une personne « extérieure »
des informations relatives à la sécurité de leur SI. Ils conseillent de pratiquer plutôt des entretiens en
face à face ou des études de cas, comme déjà mis en évidence par Eisenhardt (1989).
134
gulièrement interrogées dans le cadre mer les déterminants suggérés par le

d’enquêtes ayant un caractère obliga- modèle de Venkatesh et al. (2003) dont
toire ; elles ne sont donc pas forcément les résultats sont proches mais pas si-
disposées à répondre à des enquêtes milaires. Il serait possible de vérifier
non obligatoires. Le très bon taux de l’applicabilité de la théorie unifiée
participation obtenu à notre enquête d’adoption au processus d’engagement
est le fruit de trois mois complets de dans la gouvernance de la sécurité de
sollicitations quotidiennes, et de mise l’information (et donc de tester si la
en avant à la fois de nos connaissances gouvernance de la sécurité de l’infor-
académiques et de nos compétences mation peut être assimilée à une inno-
professionnelles pour mériter la vation) en focalisant une prochaine
confiance des responsables interrogés enquête par questionnaire sur ces dé-
dans un domaine où les recherches ap- terminants précis et tous leurs facteurs
profondies, les témoignages et les constitutifs.
preuves sont rares (Siponen et al.,

2008). Du point de vue empirique, la prin-
cipale limite de notre enquête est cer-
Sur l’aspect pratique, cette recherche tainement liée à l’échantillon : nous
apporte aux managers des informa- avons choisi de ne consulter que des
tions sur l’engagement des organisa- grandes entreprises, alors que cer-
tions dans la gouvernance de la sécu- taines PME, notamment celles pour
rité de l’information et leurs pratiques lesquelles l’information est le cœur de
de gouvernance. L’enquête suggère métier, pratiquent peut-être la gouver-
que la connaissance d’organisations nance de la sécurité de l’information ;
engagées dans ou favorisant la dé- le sondage d’un tel échantillon pour-
marche, la performance escomptée et rait constituer une extension intéres-
l’effort déployé pour surmonter les dif- sante de la recherche.
ficultés ont une influence sur l’engage-
ment des organisations dans la dé-
marche. Elle décrit et actualise CONCLUSION
également les pratiques de quatre-
vingt-six grandes entreprises engagées Cet article propose une exploration
dans la gouvernance de la sécurité de des déterminants de l’engagement des
l’information, sur les thèmes de la organisations dans la gouvernance de
connaissance, des enjeux stratégiques, la sécurité de l’information et de leurs
des conditions de mise en œuvre, de pratiques en la matière. L’enquête
la maturité et de l’organisation de la conduite auprès de cent vingt organi-
gouvernance de la sécurité de l’infor- sations permet de formuler un modè-
mation. le constitué de trois déterminants de
l’engagement des organisations dans
3.3. Limites et pistes le processus de gouvernance de la sé-
de recherches futures curité de l’information : il suggère que
la connaissance d’organisations enga-
Sur le plan théorique, l’enquête gées dans la gouvernance de la sécu-
menée ne nous permet pas de confir- rité de l’information ou la promou-
135
vant, la performance espérée et l’effort RÉFÉRENCES

déployé conditionnent l’engagement
des organisations dans la démarche. Archibugi, D. & Michie, J. (1994), “Techno-
Les réponses au questionnaire appren- logy and Innovation: An Introduction”,
nent également à mieux connaître les Cambridge Journal of Economics, Vol.
19, n° 1, p. 1-4.
pratiques actuelles de gouvernance de
la sécurité de l’information mises en Barlette, Y. (2009), « Vers une implication
œuvre par les organisations. et une action des dirigeants de PME dans
la sécurité de leur SI », 14e Congrès de
Outre leur utilité pour les managers l’Association Information et Manage-
désireux de mieux connaître ou de ment (AIM 2009), Marrakech, Maroc, 10-
mettre en place une démarche de 12 juin.
gouvernance de la sécurité de l’infor- Barlette, Y. (2011), « L’implication et l’ac-
mation au sein de leur organisation, tion des dirigeants de PME dans la sécu-
les résultats mis en avant par cette re- rité de leur Système d’Information », 16e
cherche peuvent également avoir une Congrès de l’Association Information et
incidence sur les politiques publiques Management (AIM 2011), La Réunion,
et institutions visant à faciliter la mise 25-27 mai.
en œuvre de la gouvernance de la sé- Bartlett, C.A. & Ghoshal, S. (1991), Le Ma-
curité de l’information : en effet, au nagement sans frontières, Editions d’Or-
vu des faiblesses identifiées, cette der- ganisation, Paris.
nière devrait passer par une promo- Bennasar, M., Champenois, A., Arnould, P.,
tion de la démarche en priorité auprès Rivat, T. & Ballenghien, Y. (2007), Ma-
des grandes entreprises dont l’effectif nager la sécurité du SI: Planifier, dé-
est inférieur à mille salariés, et des ployer, contrôler, améliorer, Dunod,
grandes entreprises appartenant aux Paris.
secteurs les moins favorables à la Bidan, M. & Trinquecoste, J.-F. (2010),
gouvernance de la sécurité de l’infor- « Gouvernance et innovation à l’épreuve
mation (transports et télécommunica- des technologies de l’information », Ma-
tions). Cette promotion pourrait être nagement & Avenir, Vol. 4, n° 34, p. 125-
réalisée via des réseaux communau- 127.
taires au sein desquels les organisa- Bodet, C. & Lamarche, T. (2007), « La res-
tions engagées dans la gouvernance ponsabilité sociale des entreprises
exposeraient les grandes lignes de comme innovation institutionnelle. Une
leur démarche et surtout des projets lecture régulationniste », Revue de la ré-
gulation, n° 1, juin.
concrets mis en œuvre. Ces commu-
nautés de pratiques présenteraient Boulet, P. (2007), Management de la sécu-
l’intérêt de partager des connais- rité du SI, Hermès Science Publications,
sances (Hildreth & Kimble, 2002) ; Cachan.
idéalement, elles pourraient même se Brotby, K. (2009), Information Security
fixer des objectifs spécifiques à at- Governance, Wiley-Blackwell, Hoboken,
teindre et ainsi prendre la forme de New Jersey.
communautés stratégiques (Storck & Carpentier, J.-F. (2009), La sécurité infor-
Hill, 2000). matique dans la petite entreprise – Etat
136
de l’art et bonnes pratiques, Editions ENI, Towards Socio-Organizational Perspec-

Saint-Herblain. tives”, Information Systems Journal, n°
11, p. 127-153.
Cazier, J.A., Jensen, A.S. & Dave, D.S.
(2008), “The Impact of Consumer Per- Dhillon, G., Tejay, G. & Hong, W. (2007),
ceptions of Information Privacy and Se- “Identifying Governance Dimensions to
curity Risks on the Adoption of Residual Evaluate Information Systems Security in
RFID Technologies”, Communications Organizations”, 40th Hawaii Interna-
of the AIS, n° 23, p. 235-256. tional Conference on System Sciences.
Charndra, A. & Calderor, T. (2005), “Chal- Dlamini, M.T., Eloff, J.H.P. & Eloff, M.M.
lenges and Constraints to the Diffusion (2009), “Information Security: The Mov-
of Biometrics in Information Systems”, ing Target”, Computers & Security, n° 28,
Communications of the ACM, Vol. 48, n° p. 189-198.
12, p. 101-106.
Eisenhardt, K.M. (1989), “Building Theo-
Clusif (2010), « Menaces Informatiques et ries from Case Study Research”, Acade-
Pratiques de Sécurité en France », rap- my of Management Review, Vol. 14, n°

port, http://www.clusif.asso.fr/fr/produc- 532, p. 57-74.
tion/sinistralite/docs/CLUSIF-rapport-
2010.pdf. Fernandez-Toro, A. (2009), Management
de la sécurité de l’information : Implé-
Cohen, F. (2006), IT Security Governance mentation ISO 27001 - Mise en place
Guidebook With Security Program Met- d’un SMSI et audit de certification, Ey-
rics, Auerbach Publishers Inc., rolles, Paris, 2e édition.
Pennsauken, New Jersey.
Gonzalez, G., Sharma, P.N. & Galletta, D.
Curtis, L., Edwards, C., Fraser, K.L., Gudel- (2011), “The Antecedents of Internal Au-
sky, S., Holmquist, J., Thornton, K. & ditors’ Adoption of Continuous Auditing
Sweetser, K.D. (2010), “Adoption of So- Technology: Exploring UTAUT in an Or-
cial Media for Public Relations by Non- ganizational Context”, 7th University of
profit Organizations”, Public Relations Waterloo Research Symposium on Infor-
Review, Vol. 36, n° 1, p. 90-92. mation Integrity and Information Sys-
Dagorn, N. (2008), « Politiques en matière tems Assurance, Toronto, Canada.
de sécurité des systèmes d’information Goodhue, D.L. & Straub, D.W. (1991), “Se-
inter-organisationnels : une enquête curity Concerns of Systems Users: A
dans dix grandes entreprises », Systèmes Study of Perceptions of the Adequacy of
d’Information et Management, Vol. 13, Security Measures”, Information and
n° 2, p. 97-125. Management, Vol. 20, n° 1, p. 13-27.
Davenport, T. (2002), « Privilégier l’infor- Gupta, A. & Hammond, R. (2005), “Infor-
mation sur la technologie », http://www. mation Systems Security Issues and De-
lesechos.fr/formations/manag_info/arti-
cisions for Small Businesses: An Empiri-
cles/article_1_1.htm.
cal Examination”, Information
Davidson, R. & MacKinnon, J.G. (1984), Management and Computer Security,
“Convenient Tests for Logit and Probit Vol. 13, n° 4, p. 297-310.
Models”, Journal of Econometrics, Vol.
Herath, T., Herath, H. & Bremser, W.G.
25, p. 241-262.
(2010), “Balanced Scorecard Implemen-
Dhillon, G. & Backhouse, J. (2001), “Cur- tation of Security Strategies: A Frame-
rent Directions in IS Security Research: work for IT Security Performance Man-
137
agement”, Information Systems Manage- Pathways to Vulnerabilities”, Computers

ment, Vol. 27, n° 1, p. 72-81. & Security, n° 28, p. 509-552.
Hildreth, P. & Kimble, C. (2002), “The Du- Krjukovs, D. & Strauss, R. (2009), “Infor-
ality of Knowledge”, Information Re- mation Security Governance as as Key
search, Vol. 8, n° 1, p. 1-27, http://infor- Performance Indicator for Financial Insti-
mationr.net/ir/8-1/paper142.html. tutions”, Computer Sciences, n° 38, Jan-
uary, p. 161-167.
IT Governance Institute (2006), Informa-
tion Security Governance: Guidance for Markus, M.L. (1983), “Power, Politics, and
Boards of Directors and Executive Man- MIS Implementation”, Communications
agement, IT Governance Publishing, of the ACM, Vol. 26, n° 6, p. 430-444.
Cambridgeshire, 2e édition. Martin, L. & Poussing, N. (2007), « Adop-
Johnston, A.C. & Hale, R. (2009), “Im- tion et usages des Technologies de l’In-
proved Security through Information Se- formation et de la Communication dans
les entreprises de la branche des activi-
curity Governance”, Communications of

the ACM, Vol. 52, n° 1, p. 126-129. tés financières », CEPS/Instead, Econo-
mie et Entreprises, n° 08.
Kesh, S. & Ratnasingam, P. (2007), “A
Knowledge Architecture for IT Security”, Martin, L. & Poussing, N. (2008a), « Les dé-
terminants de l’adoption électronique
Communications of the ACM, Vol. 50, n°
par les entreprises: une analyse empi-
7, p. 103-108.
rique sur données luxembourgeoises »,
Klai, A. (2010), “Overview of the State and CEPS/Instead, Enterprises Working Pa-
Trends in the Contemporary Information pers, n° 2008-03.
Security Policy and Information Security
Martin, L. & Poussing, N. (2008b), “The
Management Methodologies”, MIPRO
Make-or-Buy Decision in ICT Services:
2010, May 24-28, Opatija, Croatia, p.
Evidence from Luxembourg”, CEPS/In-
1203-1208.
stead, Enterprises Working Papers, n°
Knapp, K.J., Marshall, T.E., Rainer, R.K. & 2008-06
Ford, F.N. (2006), “Information Security: Mitchell, R.C., Marcella, R. & Baxter, G.
Management’s Effect on Culture and Pol- (1999), “Corporate Information Security
icy”, Information Management and Management”, New Library World, Vol.
Computer Security, Vol. 14, n° 16, p. 24- 100, n° 1150, p. 213-227.
36.
Monnoyer, M.C. (2003), « Le dirigeant
Knapp, K.J., Morris, R.F., Marshall, T.E. & confronté à la decision d’investissement
Byrd, T.A. (2009), “Information Security en TIC », in TIC et PME : des usages aux
Policy: An Organizational-Level Process stratégies, M. Boutary (Ed), L’Harmattan,
Model”, Computers & Security, n° 28, p. Paris.
493-508.
Morimune, K. (1979), “Comparisons of
Kotulic, A. & Clark, J.G. (2004), “Why there Normal and Logistic Models in the Bi-
aren’t more Information Security Re- variate Dichitomous Analysis”, Econo-
search Studies”, Information and Man- metrica, Vol. 47, p. 957-975.
agement, Vol. 41, n° 5, p. 597-607.
Moulton, R. & Coles, R.S. (2003), “Applying
Kraemer, S., Carayon, P. & Clem, J. (2009), Information Security Governance”, Com-
“Human and Organizational Factors in puters & Security, Vol. 22, n° 7, p. 580-
Computer and Information Security: 584.
138
Pougnet-Rozan, S. (2005), « Entre mirage Straub, D.W. & Welke, R.J. (1998), “Coping
conceptuel et réalités managériales : with Systems Risk: Security Planning
quand des exigences de performance Models for Management Decision Mak-
économique conduisent à des pratiques ing”, MIS Quarterly, Vol. 22, n° 4, p. 441-
de responsabilité sociale… ou vice 469.
versa ? », 16e Congrès de l’Association
francophone de Gestion des Ressources Teufel, S. (2003), “Information Security
Humaines (AGRH 2005), Paris Dauphi- Management: State of the Art and Future
ne, 15-16 septembre. Trends”, Information Security South
Africa Conference (ISSA 2003), Johan-
Reix, R. (2004), Systèmes d’information et nesburg, South Africa, July.
management des organizations, Vuibert,
Paris, 5e édition. Theys, J. (2003), « La Gouvernance, entre
innovation et impuissance : le cas de
Rockart, J.F. & Crescenzi, A.D. (1984), “En- l’environnement », Développement du-
gaging Top Management in Information rable et territoires, Dossier n° 2 : Gou-
Technology”, Sloan Management Re- vernance locale et développement du-

view, Vol. 25, n° 4, p. 3-16.
rable, http://developpementdurable.
Sapir, J. (2005), Quelle économie pour le revues.org/index1523.html.
XXIe siècle?, Odile Jacob, Paris.
Venkatesh, V., Morris, G.M., Davis, B.G. &
Schou, C. & Schoemaker, D.P. (2006), In- Davis, D.F. (2003), “User Acceptance of
formation Assurance for the Enterprise: A Information Technology: Toward a Uni-
Roadmap to Information Security, Mc- fied View”, MIS Quarterly, Vol. 27, n° 3,
Graw Hill, New York. p. 425-478.
Shi-Ming, H., Chia-Ling, L. & Ai-Chin, K. Waddock, S.A. & Graves, S.B. (1997), “Cor-
(2006), “Balancing Performance Mea- porate Social Performance-Financial Per-
sures for Information Security Manage- formance link”, Strategic Management
ment”, Industrial Management & Data Journal, Vol. 18, n° 4, p. 303-319.
Systems, Vol. 106, n° 2, p. 242-255.
Williams, P. (2001), “Information Security
Siponen, M.T.A., Willison, R. & Baskerville, Governance”, Information Security
R. (2008), Power and Practice in Infor- Technical Report, Vol. 6, n° 3, p. 60-70.
mation Systems Security Research, 29th
International Conference on Informa- Williams, P. (2007), “Executive and Board
tion Systems (ICIS 2008), Paris, p. 13-21. Roles in Information Security”, Network
Security, n° 8, p. 11-14.
Storck, J. & Hill, P.A. (2000), “Knowledge
Diffusion Through ²Strategic Communi- Zhou, T. (2011), “Understanding Mobile In-
ties²”, in Knowledge and Communities, ternet Continuance Usage from the Per-
E.L. Lesser, M.A. Fontaine and J.A. Sulsh- spectives of UTAUT and Flow”, Infor-
er (Eds), Butterworth Heinemann, Ox- mation Development, Vol. 27, n° 3, p.
ford, p. 63-74. 207-218.
139
Annexe A
Tableau A1. Statistique descriptive des informations disponibles (% d’organisations)
140
Annexe B
Tableau B1. Liste des variables introduites dans nos modèles
141
142
Annexe C
Tableau C1. Matrice SWOT des enjeux stratégiques de la gouvernance de la sécurité
Annexe D
Tableau D1. Les déterminants de l’adoption de la gouvernance de la sécurité de l’in-
formation (modèle Logit)
143

Engagement Et Pratiques Des Organisations en Matière de Gouvernance de La Sécurité de L'Information

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Engagement Et Pratiques Des Organisations en Matière de Gouvernance de La Sécurité de L'Information

Transféré par

Droits d'auteur :

Formats disponibles

ENGAGEMENT ET PRATIQUES DES ORGANISATIONS EN MATIÈRE

DE GOUVERNANCE DE LA SÉCURITÉ DE L'INFORMATION

ESKA | « Systèmes d'information & management »

2012/1 Volume 17 | pages 113 à 143

Pour citer cet article :

Distribution électronique Cairn.info pour ESKA.

Powered by TCPDF (www.tcpdf.org)

CAS, EXPÉRIENCES ET PÉDAGOGIE

Cet article aborde le thème de la gouvernance de la sécurité de l’information. Pour pal-

N° 1 – Vol. 17 – 2012 113

SYSTÈMES D’INFORMATION ET MANAGEMENT