Promoting security behaviors in remote work environments: Personal values shaping information security policy compliance.

Posted on by

Référence de l’article

Torres, C. I., & Crossler, R. E. (2025). Promoting security behaviors in remote work environments: Personal values shaping information security policy compliance. Information Systems Research, 36(2), 1183–1195. https://doi.org/10.1287/isre.2021.0563

 

Mots-clés

Contrôle de gestion, gestion des risques, cybersécurité, performance organisationnelle, pilotage comportemental, conformité aux politiques de sécurité (ISP), valeurs personnelles, télétravail.

Introduction synthétique

Cet article traite du rôle des valeurs personnelles comme moteurs de la conformité aux politiques de sécurité de l’information (ISP) dans un contexte de généralisation du travail hybride. Le problème de gestion réside dans le fait que 74 % des violations de données impliquent des éléments humains (erreurs, utilisation abusive), alors que les contrôles traditionnels s’affaiblissent en milieu de télétravail. L’objectif des auteurs est d’étendre le modèle unifié de conformité (UMISPC) en y intégrant la théorie des valeurs universelles de Schwartz pour mieux prédire les intentions de comportement sécuritaire,. Leur question de recherche examine comment ces valeurs expliquent les intentions de protection et comment les motivations diffèrent entre travailleurs sur site et à distance. Ce travail lie la cybersécurité au contrôle de gestion en proposant de passer d’une approche de contrôle uniforme à un pilotage individualisé des comportements, essentiel pour préserver la performance financière face aux coûts croissants des brèches de données,.

Annonce du plan

D’abord nous analyserons les fondements théoriques liant les valeurs personnelles à la conformité aux systèmes d’information. Ensuite nous examinerons l’impact du télétravail comme modérateur du risque cyber et du pilotage de la performance. Enfin nous mettrons en évidence les résultats de l’étude et leurs implications pour la conception de dispositifs de contrôle interne adaptés.

Développement structuré

  1. Définitions et concepts clés
  • Risque cyber : Principalement défini par le manque d’engagement des employés envers la cybersécurité, faisant de l’humain le « maillon faible » de la chaîne de sécurité.
  • Gouvernance des SI : Cadre de conception et de mise en œuvre des politiques de sécurité (ISP) pour prévenir les cybermenaces,.
  • Contrôle interne : Traditionnellement basé sur la surveillance directe, il doit ici s’appuyer sur des leviers intrinsèques (valeurs) lorsque la supervision diminue.
  • Pilotage de la performance : Capacité à maintenir la sécurité des actifs informationnels pour éviter des pertes financières moyennes de 4,45 millions de dollars par incident.
  • Indicateurs : Intentions de conformité mesurées par la variance expliquée (R2) dans le modèle théorique.

 

2. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les coûts des violations augmentent, particulièrement lorsque le travail à distance est impliqué.
  • Impact financier et stratégique : Le travail hybride est devenu la norme (stabilisation à 30 % sous les niveaux pré-pandémie), obligeant les entreprises à adapter leur posture cyber.
  • Responsabilité managériale : Les responsables SI et les directions générales doivent abandonner l’approche « taille unique » au profit de programmes sur mesure.

3. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts liés aux incidents : L’article souligne que l’élément humain est la source de la majorité des pertes financières liées au cyber.
  • Budgets de cybersécurité : Les ressources doivent être allouées à des interventions ciblées (formation, communication) basées sur la compréhension des valeurs des employés,.
  • Tableaux de bord : Intégration des caractéristiques individuelles pour évaluer la vulnérabilité des différents groupes de travailleurs (distanciel vs présentiel),.
  • Aide à la décision : Permet aux gestionnaires d’identifier quels leviers (peur, valeurs de conservation ou d’ouverture) activer pour favoriser la conformité,,.
  • Intégration du risque dans le pilotage stratégique : Faire des employés la première ligne de défense plutôt que le maillon faible en alignant les ISP sur leurs motivations personnelles,.

4. Outils, modèles ou mécanismes évoqués

  • Modèle UMISPC modifié : Inclut des variables comme la menace perçue, la peur, les habitudes et les neutralisations, complétées par les valeurs de Schwartz,.
  • Systèmes d’information : Comparaison des environnements sur site et à distance comme modérateur catégoriel de l’efficacité des contrôles.
  • Méthodes de mesure du risque : Utilisation de la méthode des scénarios pour capturer les intentions de comportement dans des situations réalistes,.
  • Dispositifs de contrôle interne : Recommandation de programmes de cybersécurité personnalisés plutôt que standardisés.

5. Résultats, apports et implications

  • Apports théoriques : Confirmation que les valeurs personnelles sont des prédicteurs significatifs de la conformité. Le modèle explique 54 % de la variance pour les télétravailleurs contre 37 % pour les travailleurs sur site.
  • Apports pratiques : Les valeurs de conservation (respect de l’autorité) et d’ouverture au changement (autonomie) influencent positivement la conformité, tandis que la recherche de succès personnel (affirmation de soi) peut la freiner,,.
  • Impact sur la performance globale : Une meilleure compréhension des motivations individuelles permet de réduire la probabilité de violations coûteuses dans les environnements moins supervisés.

6. Limites de l’étude

  • L’étude mesure les intentions de conformité et non les comportements réels.
  • L’approche est transversale et ne permet pas d’évaluer l’effet du temps ou des interventions sur l’évolution des valeurs.
  • Elle se concentre sur la perspective individuelle plutôt que sur l’équilibre coût-bénéfice au niveau organisationnel.

Conclusion :

Cet article démontre que le pilotage de la performance cyber dépend intrinsèquement de la maîtrise des facteurs humains. Pour le contrôle de gestion, l’apport majeur réside dans la preuve que le risque cyber doit être géré par des systèmes de contrôle comportementaux différenciés : en télétravail, les valeurs personnelles deviennent le levier de pilotage le plus efficace pour assurer la conformité et protéger les actifs de la firme. Cette étude est une ressource précieuse pour un mémoire, car elle fournit un cadre scientifique pour justifier des investissements dans des « soft controls » psychologiques au sein de la gouvernance des SI.

Références citées dans l’article :

  • Boss, S., et al. (2015). What do systems users have to fear? Using fear appeals to engender threats and fear that motivate protective security behaviors. MIS Quarterly.
  • Moody, G. D., et al. (2018). Toward a unified model of information security policy compliance. MIS Quarterly.
  • Schwartz, S. H. (1992). Universals in the content and structure of values: Theoretical advances and empirical tests in 20 countries. Advances in Experimental Social Psychology.
  • Siponen, M., & Vance, A. (2010). Neutralization: New insights into the problem of employee information systems security policy violations. MIS Quarterly.
  • Vance, A., et al. (2015). Increasing accountability through user-interface design artifacts: A new approach to addressing the problem of access-policy violations. MIS Quarterly.