Where is IT in Information Security? The Interrelationship Among IT Investment, Security Awareness, and Data Breaches

Posted on by

Référence de l’article

Li, W. W., Leung, A. C. M., & Yue, W. T. (2023). Where is IT in Information Security? The Interrelationship Among IT Investment, Security Awareness, and Data Breaches. MIS Quarterly, 47(1), 317-342.https://doi.org/10.25300/MISQ/2022/15713

Mots-clés

Contrôle de gestion, gestion des risques cyber, investissement IT, performance sécuritaire, sensibilisation à la sécurité (security awareness), gouvernance des SI, causes profondes (root causes), budgets de sécurité..

Introduction synthétique

L’article explore la relation dynamique entre les investissements en technologies de l’information (IT), les investissements spécifiques à la sécurité et la survenance de violations de données. Le problème central réside dans l’inefficacité constatée des augmentations budgétaires massives dédiées uniquement à la sécurité, qui ne parviennent pas à freiner la prolifération des cyberattaques. L’objectif des auteurs est de démontrer que l’investissement IT général, lorsqu’il est modéré par une forte sensibilisation à la sécurité au niveau de la direction, est plus efficace pour réduire les risques que l’investissement de sécurité isolé,. Les auteurs testent l’hypothèse selon laquelle la sensibilisation aux menaces et aux contre-mesures permet d’identifier et de traiter les causes profondes des failles logées dans l’infrastructure IT sous-jacente,. Pour le contrôle de gestion, cela souligne la nécessité d’intégrer la cybersécurité dans le pilotage global des ressources technologiques plutôt que de la traiter comme un centre de coût isolé,.

Annonce du plan

  • D’abord nous analyserons les concepts de sensibilisation aux menaces et aux contre-mesures comme leviers de la performance.
  • Ensuite nous examinerons l’inefficacité des investissements de sécurité réactifs face à la robustesse des investissements IT structurels.
  • Enfin nous mettrons en évidence les implications pour la gouvernance et le pilotage stratégique de la performance globale.

Développement structuré

A. Définitions et concepts clés

  • Risque cyber : Mesuré ici par la fréquence et l’ampleur des violations de données (data breaches) qui nuisent à la réputation et à la confiance des clients,.
  • Gouvernance des SI : Processus de décision concernant l’allocation des ressources IT et la collaboration entre les fonctions d’audit interne et les unités d’affaires,.
  • Contrôle interne : Intégration de politiques de sécurité et de pratiques d’audit au sein des routines opérationnelles pour prévenir les erreurs humaines ou les failles de configuration.
  • Pilotage de la performance : Capacité à réduire les incidents cyber (résultat de sécurité) par une gestion optimale du mix d’investissement IT/Sécurité,.
  • Indicateurs : L’étude utilise les budgets IT/sécurité (KPI de moyens) et le nombre de violations ou enregistrements piratés (KPI de résultat),.

B. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les violations de données impactent négativement la valeur de l’entreprise et la confiance des parties prenantes,.
  • Impact financier et stratégique : L’inefficacité des dépenses de sécurité actuelles crée un “piège mental” consistant à traiter les symptômes (patches) plutôt que les causes fondamentales (systèmes obsolètes),.
  • Responsabilité managériale : Nécessité pour les cadres dirigeants d’adopter une vision holistique (“Security by design”) où la sécurité est un facteur de chaque décision IT,.

C. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts liés aux incidents : Utilisation des violations passées comme déclencheurs d’investissements stratégiques.
  • Budgets de cybersécurité : Arbitrage entre les solutions de sécurité “symboliques” (purement conformes) et les investissements IT substantiels (modernisation),.
  • Tableaux de bord : Intégration de la sensibilisation (mesurée par les divulgations volontaires) comme indicateur de la maturité du risque,.
  • Aide à la décision : Orientation des fonds vers la modernisation des systèmes hérités (legacy systems) pour éliminer les vulnérabilités structurelles,.
  • Intégration du risque dans le pilotage stratégique : Aligner les stratégies IT globales avec les objectifs de sécurité pour éviter le gaspillage budgétaire,.

D. Outils, modèles ou mécanismes évoqués

  • Indicateurs : Analyse des rapports annuels 10-K pour quantifier la sensibilisation aux menaces (TA) et aux contre-mesures (CA),.
  • Systèmes d’information : Utilisation de bases de données comme CiTDB (Harte-Hanks) pour suivre les budgets IT réels au niveau des sites.
  • Méthodes de mesure du risque : Modèle Panel Vector Autoregression (PVAR) pour capturer les relations bidirectionnelles et l’endogénéité entre investissement et performance,,.
  • Dispositifs de contrôle interne : Renforcement de la collaboration entre les fonctions d’audit interne et les autres unités via la sensibilisation à la sécurité,.

E. Résultats, apports et implications

  • Apports théoriques : Décomposition de la sensibilisation en deux dimensions (Menaces et Contre-mesures) et démonstration de leur rôle modérateur sur la performance IT,.
  • Apports pratiques : Les entreprises sensibilisées investissent davantage dans l’IT après une attaque, reconnaissant que les failles proviennent souvent de systèmes mal conçus,.
  • Impact sur la performance globale : L’investissement IT réduit plus efficacement les violations que l’investissement de sécurité seul, à condition qu’il y ait une forte sensibilisation aux contre-mesures,.

F. Limites de l’étude

  • Échantillon restreint aux entreprises américaines cotées en bourse entre 2010 et 2017,.
  • Difficulté à collecter des données sur les violations non découvertes ou non signalées.
  • La mesure de la sensibilisation basée sur les divulgations publiques peut être imparfaite par rapport à la réalité interne.

Conclusion

L’apport majeur de cet article pour le contrôle de gestion est de démontrer que la cybersécurité ne doit pas être pilotée de manière isolée. L’étude prouve que la performance sécuritaire est une conséquence de la qualité de l’infrastructure IT globale et de la maturité culturelle de la direction (sensibilisation),. Pour un mémoire, cet article est un support précieux pour justifier que le contrôle des risques cyber passe par une modernisation des systèmes d’information plutôt que par une simple accumulation de logiciels de protection,.

Références citées dans l’article

  • Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916..
  • Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457..
  • Hsu, C., Lee, J.-N., & Straub, D. W. (2012). Institutional influences on information systems security innovations. Information Systems Research, 23(3), 918-939..
  • Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 38(2), 451-471..
  • Straub, D., & Welke, R. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, 22(4), 441-469..