Académique Documents
Professionnel Documents
Culture Documents
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
ISSN 1260-4984
ISBN 9782747219051
Article disponible en ligne à l'adresse :
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-systemes-d-information-et-
management-2012-1-page-113.htm
--------------------------------------------------------------------------------------------------------------------
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.
Engagement et pratiques
des organisations en matière
de gouvernance de la sécurité
de l’information
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
Nathalie DAGORN* & Nicolas POUSSING**
* ICN Business School Nancy-Metz, Laboratoire CEREFIGE
** CEPS/INSTEAD Esch-sur-Alzette (Luxembourg), Laboratoire CREM Rennes
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
RÉSUMÉ
ABSTRACT
This article looks at the issue of information security governance. To respond to the short-
comings identified in the literature, it explores (i) the process of organizations’ engagement
in the governance of information security, and (ii) the practices of the organizations in-
volved. The statistical and econometric analysis of data from a survey conducted with one
hundred and twenty large companies in Luxembourg suggests that the knowledge of orga-
nizations involved in the governance of information security or promoting this approach,
the expected performance, and the effort undertaken, are potential determinants of the or-
ganizations’ engagement in the process. These results may be analyzed under the unified
theory of acceptance and use of technology (UTAUT) developed by Venkatesh et al. (2003).
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
The data from organizations also helps to draw a picture of current practices in the mat-
ter of information security governance. The major originality of the research lies in the very
high participation rate (85.71%) by organizations in the study, which gives the results a
strong validity in what is, moreover, an extremely sensitive and confidential field. At the
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
theoretical level, the research improves knowledge of the two issues explored. In practice, it
provides managers with feedback on current practices implemented by the organizations
in the field of information security governance and draws some recommendations. These
contributions may also have an impact on public policies and on institutions promoting
information security governance.
Keywords: Engagement, Governance, Practices, Information security, UTAUT.
114
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page115
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
ment protégées : elle implique une impose une gestion des risques et une
vision holistique du management de la prise en compte des questions de sé-
sécurité de l’information, comprenant curité de l’information au plus haut ni-
des enjeux, des décisions, une straté- veau de l’organisation. Dans ce
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
1
Sapir (2005, p. 159) définit un actif informationnel comme « une information considérée comme si-
multanément pertinente et utilisable pour une décision donnée ».
115
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page116
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
problématique de l’engagement des de la sécurité de l’information
organisations dans cette démarche de dans la littérature
gouvernance de la sécurité de l’infor-
mation n’a pas encore été étudiée. De En sciences de gestion, les responsa-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
116
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page117
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
formation, Brotby (2009) consacre
constatent que, pour procurer un plusieurs chapitres aux rôles et res-
avantage plus important à l’organisa- ponsabilités des managers, aux me-
tion, la gouvernance de la sécurité de sures stratégiques et avantages de la
l’information peut éventuellement
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
démarche, au développement et à la
être coordonnée avec des démarches mise en œuvre d’une stratégie de
stratégiques d’intelligence écono- gouvernance de la sécurité de l’infor-
mique, de responsabilité sociétale ou mation et de gestion des incidents.
de communication. Shi-Ming et al. Klai (2010) discute la nécessité de dé-
(2006) s’appuient sur un tableau de finir un niveau de gouvernance dans
bord équilibré pour mettre en place l’organisation et clarifie le lien exis-
dans les organisations des indicateurs tant entre ce niveau et les pro-
de performance pour le management grammes de sécurité.
de la sécurité de l’information, et ren-
forcer le lien entre ces indicateurs et
la stratégie institutionnelle. Kraemer 1.2. Motivations
et al. (2009) montrent que les facteurs de notre recherche
humains et organisationnels jouent un
rôle significatif dans le développe- Notre revue de littérature suggère
ment des vulnérabilités liées au SI et que la sécurité de l’information est
suggèrent une approche multiniveau passée progressivement d’une dimen-
pour améliorer la performance de la sion opérationnelle à une dimension
sécurité du SI. Johnston et Hale stratégique. Les contributions anté-
(2009) examinent les aspects straté- rieures ont proposé divers modèles
giques de la sécurité de l’information pour la gouvernance de la sécurité de
et essaient d’évaluer la valeur ajoutée l’information, discuté le rôle du ma-
apportée à l’organisation par la dé- nagement et la valeur ajoutée de
marche de gouvernance de la sécuri- cette démarche. Mais il apparaît que
té ; les auteurs proposent un plan de la question de l’engagement des or-
ganisations dans le processus de gou-
sécurité de l’information fondé sur
vernance de la sécurité de l’informa-
une enquête menée auprès de profes-
tion n’a pas encore été étudiée.
sionnels de la sécurité, ainsi que des
programmes pour sa mise en œuvre. Par ailleurs, au sein de la commu-
Pour Krjukovs et Strauss (2009), la va- nauté académique, des difficultés
leur ajoutée et la performance sont sont régulièrement rapportées par les
117
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page118
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
entreprises (Pougnet-Rozan, 2005 ; IT
sations en matière de gouvernance Governance Institute, 2006). Dans le
de la sécurité de l’information sont même ordre d’idée, Waddock et
rares. Il nous semble qu’un état des Graves (1997) démontrent que les or-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
118
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page119
majorité des PME n’a aucune obliga- utilisée dans la cadre des enquêtes
tion légale en matière de sécurité à ce communautaires.
jour (Barlette, 2011). La sécurisation
Le questionnaire véhiculé a été réali-
des PME accuse donc toujours un re- sé en plusieurs étapes. Une première
tard sur les grandes entreprises (Clusif, version a été élaborée afin de prendre
2010). Enfin, nous avons interrogé des en considération nos hypothèses théo-
organisations implantées au Luxem- riques. Cette première version a été
bourg car des travaux récents mettent testée auprès de deux responsables de
en avant la disposition favorable des la sécurité. Ce prétest a permis de re-
grandes entreprises envers les TI et la
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
formuler certaines questions afin
sécurité au Grand-duché, particulière- d’améliorer la compréhension du
ment dans le secteur financier (Martin questionnaire et par là-même d’amé-
& Poussing, 2007, 2008a, 2008b). liorer la qualité des réponses données
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
2
http://www.statistiques.public.lu/fr/acteurs/statec/index.html.
3
Les organisations du secteur informatique sont éliminées des échantillons lorsqu’elles sont suscep-
tibles de biaiser les résultats concernant des comportements ou des connaissances « techniques » ;
nous ne les avons pas soustraites de notre échantillon car, justement, il ne s’agit pas de tester ici des
hypothèses techniques mais managériales.
119
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page120
soins. Puis il nous a été restitué par les général, responsable qualité/conformi-
organisations à l’occasion d’un rendez- té, RSSI ou security officer. L’âge des
vous qui a permis de vérifier que le ré- répondants varie entre 22 et 62 ans
pondant avait bien répondu à toutes (avec une moyenne de 42 ans). Le ni-
les questions et, dans la négative, de veau d’études des répondants varie du
lui donner les explications permettant Bac au Bac+8 ; 37% ont un niveau
de compléter ses réponses. Nous d’études supérieur ou égal à Bac+5.
avons ainsi obtenu cent vingt réponses
exploitables, soit un taux de réponse
de 85,71%. Vingt organisations n’ont 2.1.3. Le modèle mis en œuvre
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
pas donné suite à notre demande, Dans un premier temps, des
principalement pour des raisons de statistiques descriptives permettent de
confidentialité des informations de sé- présenter les pratiques détaillées des
curité4. organisations interrogées.
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
4
Problème de confidentialité (65%), organisation peu informatisée ou externalisation (20%), contact
non intéressé (15%).
120
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page121
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
d’un événement yi où :
Les résultats obtenus à partir des mo-
yi = 1 si l’organisation i s’engage dèles Probit et Logit sont relativement
dans une démarche de gouvernance similaires (Morimune, 1979 ; Davidson
de la sécurité de l’information, & MacKinnon, 1984). Pour nos estima-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
5
Compte tenu de l’importance du secteur de la finance au Luxembourg, l’appartenance à tel ou tel
secteur d’activité a aussi été prise en compte à l’aide de trois modalités : appartenir à l’industrie, ap-
partenir au secteur de la finance, appartenir à un autre secteur. Les résultats obtenus avec cette spé-
cification montrent que l’appartenance au secteur de la finance est sans effet sur la probabilité de
s’engager dans une gouvernance de la sécurité de l’information. Réduire l’appartenance sectorielle à
deux secteurs (industrie versus service) est donc sans impact sur nos résultats.
121
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page122
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
de la sécurité est prise en compte al- prioritaire. Nous avons également
ternativement de quatre façons : construit trois variables qui prennent
en compte le nombre de bénéfices re-
• à l’aide du nombre de structures en-
tirés d’une démarche de gouvernance
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
122
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page123
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
de l’information, dont 34% parmi leurs
clients, 59% parmi leurs fournisseurs et
41% parmi leurs concurrents (Figure
2). Soixante-dix-sept de ces organisa-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
7
CLUb de la Sécurité de l'Information Luxembourg, http://www.clusil.lu/; http://www.tudor.lu/;
Commission de Surveillance du Secteur Financier, http://www.cssf.lu/.
8
Bundesamt für Sicherheit in der Informationstechnik, https://www.bsi.bund.de/.
123
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page124
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
vernance de la sécurité de l’informa- terne (20%), le coût de la mise en
tion sont synthétisés dans une matrice œuvre (17%) et le manque d’intérêt de
SWOT (Annexe C), qui fournit une la Direction (17%) ; ces résultats sont
analyse stratégique des forces illustrés par la Figure 4. Dans les orga-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
124
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page125
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
pour 12% et à un RSSI (ou security of- en œuvre de la gouvernance de la sé-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
ficer) dans seulement 8% des cas. curité de l’information est décrite et va-
lorisée par 27% des organisations dans
leur rapport d’activités, par 16% sur
2.2.3. Conditions de mise leur site Web, par 45% dans leurs do-
en œuvre de la gouvernance cuments internes (intranet, charte in-
de la sécurité de l’information formatique), nulle part pour 29%
Avant d’engager une démarche de d’entre elles. De même 63% des orga-
gouvernance de la sécurité de l’infor- nisations ont établi des plans de com-
mation, les organisations pratiquantes munication de leurs engagements en
ont fait l’inventaire des actions déjà interne, 17% vers l’extérieur et 34%
menées en interne (83%) ainsi que des n’ont pas du tout communiqué sur ces
actions envisageables (83%), pris engagements.
connaissance des normes et certifica-
tions existantes (81%), collecté des in- 2.2.4. Organisation
formations auprès d’organismes spé- de la gouvernance de la sécurité
cialisés (71%), évalué les coûts de mise de l’information
en œuvre de la démarche (71%) et
examiné les actions menées par Selon les organisations répondantes,
d’autres organisations (35%) ; ces ré- les domaines prioritaires (ou valeurs)
sultats sont illustrés par la Figure 5. En d’une démarche de gouvernance de la
moyenne 6 personnes par organisation sécurité de l’information sont le mana-
sont affectées à la démarche de gou- gement du risque et la réduction des
vernance de la sécurité de l’informa- impacts potentiels à un niveau accep-
tion dont 2 responsables, 3 membres table (87%), l’alignement de la sécurité
de l’équipe SI/TI, 1 consultant externe de l’information sur la stratégie institu-
ou autre (par exemple, un salarié de la tionnelle (83%), les choix technolo-
maison-mère ou un correspondant mé- giques liés à la sécurité (78%), l’éva-
tiers). Presque une organisation sur luation de la performance par le suivi
deux (45%) dispose d’un budget dédié d’indicateurs de sécurité (65%), le ma-
à la sécurité de l’information. La mise nagement des ressources information-
125
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page126
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
126
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page127
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
gouvernance de la sécurité de l’infor- • pour 9% les procédures sont
mation comme une valeur importante contrôlées et mesurées. La fonc-
pour l’organisation ; 79% de ces orga- tion sécurité est assurée par un
nisations sont engagées dans une dé- manager senior. Les responsabili-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
127
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page128
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
9
Lors de l’introduction dans nos modèles des variables prenant en compte les différents obstacles,
bénéfices et valeurs, les tableaux de résultats ne mentionnent que les effets significatifs.
128
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page129
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
L’ensemble des modèles (modèles 1 clients et les fournisseurs d’un côté et
à 7) montre que le nombre de valeurs les concurrents de l’autre (modèle 6),
partagées par l’organisation relevant on constate que connaître des clients
de la démarche de gouvernance de la ou des fournisseurs est sans effet ;
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
129
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page130
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
de la sécurité de l’information
10
Ces variables n’ayant pas un effet significatif sur la probabilité d’adopter une démarche de gou-
vernance de la sécurité de l’information, nous n’avons pas reporté les résultats correspondants dans
le Tableau D1 de l’Annexe D.
130
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page131
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
ve des technologies de l’information »,
Bidan et Trinquecoste (2010) mettent
3.1.1. Processus d’engagement en exergue l’intérêt du tryptique « gou-
vernance – innovation – TI » pour les
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
131
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page132
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
dèle, n’ont pas été prises en compte.
quasi-confondus. Ces observations
Conscients de cette limite, nous pou-
vont dans le sens de Bennasar et al.
vons conclure avec prudence sur la
(2007), mais doivent être relativisées
base de l’enquête menée que la théo-
car elles dépendent fortement des
rie unifiée d’adoption de Venkatesh et
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
132
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page133
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
gouvernance de la sécurité de l’infor-
• le niveau 1 regroupe les organisa-
mation était la même ou non, pour les
tions qui ne pratiquent pas la gou-
organisations effectivement engagées
vernance de la sécurité de l’infor-
dans la démarche et pour celles n’en
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
133
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page134
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
sept organisations (14%) se situent vernance mises en œuvre par les orga-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
11
Kotulic et Clark (2004) constatent que, dans un domaine aussi sensible, des études à grande échel-
le ne sont pas adaptées car les organisations craignent de divulguer à une personne « extérieure »
des informations relatives à la sécurité de leur SI. Ils conseillent de pratiquer plutôt des entretiens en
face à face ou des études de cas, comme déjà mis en évidence par Eisenhardt (1989).
134
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page135
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
professionnelles pour mériter la vation) en focalisant une prochaine
confiance des responsables interrogés enquête par questionnaire sur ces dé-
dans un domaine où les recherches ap- terminants précis et tous leurs facteurs
profondies, les témoignages et les constitutifs.
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
135
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page136
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
désireux de mieux connaître ou de ment (AIM 2009), Marrakech, Maroc, 10-
mettre en place une démarche de 12 juin.
gouvernance de la sécurité de l’infor- Barlette, Y. (2011), « L’implication et l’ac-
mation au sein de leur organisation, tion des dirigeants de PME dans la sécu-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
les résultats mis en avant par cette re- rité de leur Système d’Information », 16e
cherche peuvent également avoir une Congrès de l’Association Information et
incidence sur les politiques publiques Management (AIM 2011), La Réunion,
et institutions visant à faciliter la mise 25-27 mai.
en œuvre de la gouvernance de la sé- Bartlett, C.A. & Ghoshal, S. (1991), Le Ma-
curité de l’information : en effet, au nagement sans frontières, Editions d’Or-
vu des faiblesses identifiées, cette der- ganisation, Paris.
nière devrait passer par une promo- Bennasar, M., Champenois, A., Arnould, P.,
tion de la démarche en priorité auprès Rivat, T. & Ballenghien, Y. (2007), Ma-
des grandes entreprises dont l’effectif nager la sécurité du SI: Planifier, dé-
est inférieur à mille salariés, et des ployer, contrôler, améliorer, Dunod,
grandes entreprises appartenant aux Paris.
secteurs les moins favorables à la Bidan, M. & Trinquecoste, J.-F. (2010),
gouvernance de la sécurité de l’infor- « Gouvernance et innovation à l’épreuve
mation (transports et télécommunica- des technologies de l’information », Ma-
tions). Cette promotion pourrait être nagement & Avenir, Vol. 4, n° 34, p. 125-
réalisée via des réseaux communau- 127.
taires au sein desquels les organisa- Bodet, C. & Lamarche, T. (2007), « La res-
tions engagées dans la gouvernance ponsabilité sociale des entreprises
exposeraient les grandes lignes de comme innovation institutionnelle. Une
leur démarche et surtout des projets lecture régulationniste », Revue de la ré-
gulation, n° 1, juin.
concrets mis en œuvre. Ces commu-
nautés de pratiques présenteraient Boulet, P. (2007), Management de la sécu-
l’intérêt de partager des connais- rité du SI, Hermès Science Publications,
sances (Hildreth & Kimble, 2002) ; Cachan.
idéalement, elles pourraient même se Brotby, K. (2009), Information Security
fixer des objectifs spécifiques à at- Governance, Wiley-Blackwell, Hoboken,
teindre et ainsi prendre la forme de New Jersey.
communautés stratégiques (Storck & Carpentier, J.-F. (2009), La sécurité infor-
Hill, 2000). matique dans la petite entreprise – Etat
136
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page137
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
of Biometrics in Information Systems”, ing Target”, Computers & Security, n° 28,
Communications of the ACM, Vol. 48, n° p. 189-198.
12, p. 101-106.
Eisenhardt, K.M. (1989), “Building Theo-
Clusif (2010), « Menaces Informatiques et ries from Case Study Research”, Acade-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
137
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page138
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
Cambridgeshire, 2e édition. Martin, L. & Poussing, N. (2007), « Adop-
Johnston, A.C. & Hale, R. (2009), “Im- tion et usages des Technologies de l’In-
proved Security through Information Se- formation et de la Communication dans
les entreprises de la branche des activi-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
138
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page139
Pougnet-Rozan, S. (2005), « Entre mirage Straub, D.W. & Welke, R.J. (1998), “Coping
conceptuel et réalités managériales : with Systems Risk: Security Planning
quand des exigences de performance Models for Management Decision Mak-
économique conduisent à des pratiques ing”, MIS Quarterly, Vol. 22, n° 4, p. 441-
de responsabilité sociale… ou vice 469.
versa ? », 16e Congrès de l’Association
francophone de Gestion des Ressources Teufel, S. (2003), “Information Security
Humaines (AGRH 2005), Paris Dauphi- Management: State of the Art and Future
ne, 15-16 septembre. Trends”, Information Security South
Africa Conference (ISSA 2003), Johan-
Reix, R. (2004), Systèmes d’information et nesburg, South Africa, July.
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
management des organizations, Vuibert,
Paris, 5e édition. Theys, J. (2003), « La Gouvernance, entre
innovation et impuissance : le cas de
Rockart, J.F. & Crescenzi, A.D. (1984), “En- l’environnement », Développement du-
gaging Top Management in Information rable et territoires, Dossier n° 2 : Gou-
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
139
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page140
Annexe A
Tableau A1. Statistique descriptive des informations disponibles (% d’organisations)
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
140
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page141
Annexe B
Tableau B1. Liste des variables introduites dans nos modèles
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
141
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
142
Annexe C
Tableau C1. Matrice SWOT des enjeux stratégiques de la gouvernance de la sécurité
SYSTÈMES D’INFORMATION ET MANAGEMENT
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page142
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
113-143 ARTICLE DAGORN_9-36 Haon 13/04/12 11:25 Page143
Annexe D
Tableau D1. Les déterminants de l’adoption de la gouvernance de la sécurité de l’in-
formation (modèle Logit)
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
Document téléchargé depuis www.cairn.info - University of Western Ontario - - 129.100.58.76 - 23/10/2018 02h04. © ESKA
143