Taming Complexity in the Cybersecurity of Multihospital Systems: The Role of Enterprise-Wide Data Analytics Platforms

Posted on by

Référence de l’article

Tanriverdi, H., Kwon, J., & Im, G. (2025). Taming Complexity in the Cybersecurity of Multihospital Systems: The Role of Enterprise-Wide Data Analytics Platforms. MIS Quarterly, 49(1), 243-274.  https://doi.org/10.25300/MISQ/2024/17752.

Mots-clés

Contrôle de gestion, gestion des risques, cybersécurité, pilotage de la performance, gouvernance décentralisée, systèmes d’information complexes, indicateurs de contrôle, plateformes analytiques.

Introduction synthétique

L’article explore l’impact de la configuration organisationnelle et technologique des systèmes multi-unités (ici, les systèmes multi-hospitaliers) sur la fréquence des violations de données. Le problème de gestion traité réside dans la difficulté de maintenir des contrôles de sécurité efficaces face à une « complexité » croissante qui entrave la visibilité et la coordination managériale. L’objectif des auteurs est de démontrer comment les interactions non structurées (ad hoc) augmentent les risques, tandis que les interactions structurées via des plateformes de données (EWDAP) permettent de simplifier le système. Ils postulent que le risque cyber n’est pas seulement un problème technique mais découle de la structure de gouvernance et de la variété des services. Le lien avec le contrôle de gestion est établi par l’étude de la gouvernance et de l’efficacité des dispositifs de contrôle interne (techniques, processus et humains) pour assurer la performance globale et la continuité de service.

Annonce du plan

  • D’abord nous analyserons la distinction conceptuelle entre le « compliqué » et le « complexe » et leur influence respective sur les faiblesses des contrôles internes.
  • Ensuite nous examinerons les trois dimensions de la « complicatedness » (services, IT, gouvernance) et leurs impacts financiers et stratégiques sur l’organisation.
  • Enfin nous mettrons en évidence le rôle des plateformes analytiques d’entreprise comme mécanisme de pilotage permettant de structurer les échanges d’informations et de mitiger les risques cyber.

Développement structuré

  1. Définitions et concepts clés
  • Risque cyber : Événement de compromission des données (disponibilité ou confidentialité) entraînant des pertes financières, réputationnelles et opérationnelles.
  • Gouvernance des SI : Répartition des droits de décision entre un centre corporatif et des unités décentralisées concernant les services médicaux et les accords technologiques.
  • Contrôle interne : Ensemble des contrôles techniques (logiciels, réseaux), de processus (procédures de gestion des changements) et humains (formation, comportements) visant à protéger les actifs informationnels.
  • Pilotage de la performance : Capacité à réduire la probabilité de brèches tout en maintenant une intégration fluide des services au sein du réseau.
  • Indicateurs (KRI/KPI) : Le nombre de violations de données annuelles sert de KRI principal, tandis que le niveau de maturité des plateformes EWDAP agit comme un indicateur de pilotage de la sécurité.
  1. Enjeux organisationnels et managériaux du risque cyber
  • Menaces pour la performance : 77 % des organisations de santé rapportent des effets négatifs sur les soins après une brèche.
  • Impact financier et stratégique : Les coûts incluent les amendes réglementaires, les disruptions opérationnelles, les poursuites judiciaires et l’érosion de la confiance des parties prenantes.
  • Responsabilité managériale : Les dirigeants doivent arbitrer entre l’autonomie des unités (gouvernance décentralisée) et la nécessité d’un cadre de sécurité unifié pour réduire la surface d’attaque.
  1. Rôle du contrôle de gestion dans la gestion du risque cyber
  • Suivi des coûts : Intégration des pertes financières liées aux brèches dans l’évaluation de la performance des unités.
  • Budgets de cybersécurité : L’article suggère que l’investissement dans des plateformes de données communes (EWDAP) est plus efficace que la simple accumulation de composants technologiques isolés.
  • Tableaux de bord : Utilisation de plateformes centralisées pour obtenir une vue unifiée des flux de données et surveiller les comportements anormaux des utilisateurs.
  • Aide à la décision : Analyse de la “matérialité” des faiblesses de contrôle IT liées à la stratégie de l’entreprise.
  • Intégration du risque : Transition d’un pilotage réactif vers une structuration proactive des interactions organisationnelles pour limiter l’émergence de comportements imprévisibles.
  1. Outils, modèles ou mécanismes évoqués
  • Indicateurs : Variables de « complicatedness » (SVC, HIT, Gov) et maturité EWDAP.
  • Systèmes d’information : Plateformes analytiques d’entreprise (EWDAP) qui traduisent des données hétérogènes en formats structurés.
  • Méthodes de mesure du risque : Utilisation de la science de la complexité pour distinguer les interactions linéaires (prévisibles) des interactions non linéaires (ad hoc).
  • Dispositifs de contrôle interne : Codification des faiblesses de contrôle selon les guides GTAG et COBIT.
  1. Résultats, apports et implications
  • Apports théoriques : Distinction majeure entre le « compliqué » (grand nombre de composants structurés) et le « complexe » (interactions ad hoc), montrant que seul le second est réellement incontrôlable.
  • Apports pratiques : Les EWDAP renforcent les contrôles de processus et réduisent les brèches externes, bien qu’elles puissent augmenter légèrement les erreurs internes dues à la manipulation de systèmes plus sophistiqués.
  • Impact sur la performance globale : La structuration des échanges via une plateforme commune réduit significativement le risque global de l’organisation multi-unités.
  1. Limites de l’étude L’étude se concentre sur un seul secteur (santé), utilise des données pré-pandémiques (avant l’explosion du télétravail) et ne prend pas en compte d’autres acteurs comme les maisons de retraite ou les réseaux de soins à domicile.

Conclusion

Cet article apporte une contribution essentielle au contrôle de gestion en démontrant que le risque cyber est intrinsèquement lié à la structure organisationnelle et au mode de partage de l’information. Pour un mémoire, il est particulièrement utile car il fournit un cadre théorique (science de la complexité) et empirique pour justifier le passage d’un contrôle technique isolé vers un pilotage stratégique par les plateformes de données, capable de “simplifier” les organisations multi-unités et de protéger leur performance boursière et opérationnelle.

Références citées dans l’article

  • Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916.
  • Bazzoli, G. J., Shortell, S. M., Dubbs, N., Chan, C., & Kralovec, P. (1999). A taxonomy of health networks and systems: Bringing order out of chaos. Health Services Research, 33(6), 1683-1717
  • Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 38(2), 451-472.
  • Li, C., Peters, G. F., Richardson, V. J., & Watson, M. W. (2