Is cybersecurity a team sport? A multilevel examination of workgroup information security effectiveness.

Posted on by
  • Référence de l’article

Yoo, C. W., Goo, J., & Rao, H. R. (2020). Is cybersecurity a team sport? A multilevel examination of workgroup information security effectiveness. MIS Quarterly, 44(2), 907-931.,.https://doi.org/10.25300/MISQ/2020/15477

  • Mots-clés

Contrôle de gestion, performance des groupes, efficacité de la sécurité (WISE), efficacité collective, coordination des connaissances sécuritaires, pilotage des risques cyber, systèmes d’information, approche multiniveau.,,,.

  • Introduction synthétique

Cet article explore l’efficacité de la sécurité de l’information au niveau des groupes de travail (WISE), en dépassant l’approche traditionnelle quasi exclusivement centrée sur la conformité individuelle aux politiques,,. Le problème de gestion traité réside dans la difficulté à comprendre comment les efforts sécuritaires individuels se manifestent au niveau collectif pour produire une performance organisationnelle résiliente,. L’objectif des auteurs est de démontrer, à travers le cadre Input-Process-Output (IPO), que les mécanismes de groupe — à savoir l’efficacité collective (WCE) et la coordination des connaissances sécuritaires (SKC) — sont des médiateurs indispensables entre les capacités individuelles et les résultats de sécurité réels,,. Leur question de recherche interroge la nature multiniveau de la sécurité et comment ces dynamiques de groupe influencent les scores d’évaluation objectifs. Pour le contrôle de gestion, ce travail est crucial car il propose de piloter la cybersécurité comme une performance opérationnelle coordonnée plutôt que comme une simple contrainte de conformité RH,,.

  • Annonce du plan

D’abord nous analyserons les fondements de l’efficacité sécuritaire des groupes via le cadre IPO. Ensuite nous examinerons les mécanismes de médiation (efficacité collective et coordination). Enfin nous mettrons en évidence l’intérêt de l’évaluation de la performance cyber par unité pour le pilotage stratégique de l’organisation.

  • Développement structuré
  1. Définitions et concepts clés
  • Risque cyber : Perçu ici comme une menace sur la performance métier du groupe, nécessitant une vigilance et une résilience collectives,.
  • Gouvernance des SI : Transition d’une gestion directive de la conformité individuelle vers une évaluation de la capacité de fonctionnement du groupe,.
  • Contrôle interne : S’appuie sur l’autoefficacité individuelle (ISE) (croyance en ses propres capacités sécuritaires) comme ressource, mais nécessite des processus de groupe pour être efficace au niveau de l’unité,,.
  • Pilotage de la performance (WISE) : L’efficacité sécuritaire du groupe est définie comme la capacité d’une unité à atteindre ses objectifs de sécurité via des efforts combinés et coordonnés,,.
  • Indicateurs (KRI/KPI) : Scores d’évaluation annuels objectifs basés sur 10 indicateurs clés (ex: sécurité physique, contrôle d’accès, formation, audit),,.

      2. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les violations de sécurité ont un impact négatif direct sur les performances opérationnelles et commerciales des groupes de travail.
  • Impact financier et stratégique : La sécurité est le garant de la continuité des missions critiques (ex: protection des données sensibles dans une agence de maintien de l’ordre),.
  • Responsabilité managériale : Les managers ne doivent plus seulement surveiller la conformité, mais favoriser la synergie et la coordination des compétences pour éviter que le “maillon faible” ne compromette l’unité,,.

3. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts et incidents : L’évaluation WISE permet d’identifier et de corriger les faiblesses des unités géographiquement dispersées,.
  • Budgets de cybersécurité : Justification des investissements non seulement techniques mais aussi dans les mécanismes de partage de connaissances et de formation collective,.
  • Tableaux de bord : Utilisation de scores agrégés (échelle de 0 à 100) pour reporter la performance sécuritaire au CISO (Chief Information Security Officer),.
  • Aide à la décision : Permet d’arbitrer entre le renforcement des capacités individuelles et l’amélioration des processus de coordination selon les besoins des branches,,.

     4. Outils, modèles ou mécanismes évoqués

  • Cadre IPO (Input-Process-Output) : Modèle structurant les conditions préalables (Inputs), les mécanismes d’interaction (Process) et les critères d’évaluation (Output),.
  • MSEM (Multilevel Structural Equation Modeling) : Méthode statistique avancée pour tester les relations entre données individuelles et scores de groupe,.
  • Mécanismes de groupe : La coordination des connaissances (SKC) orchestre les savoirs disparates, tandis que l’efficacité collective (WCE) forge la confiance et la résilience du groupe,,,.

5. Résultats, apports et implications

  • Apports théoriques : L’autoefficacité individuelle (ISE) ne prédit pas directement la performance du groupe ; elle doit impérativement transiter par la coordination et l’efficacité collective pour porter ses fruits,,,.
  • Apports pratiques : La cybersécurité est comparée à un sport d’équipe (analogie du soccer) où la coordination prime sur les records individuels,,.
  • Impact sur la performance globale : Les groupes dotés d’une forte coordination des connaissances affichent de meilleurs scores de sécurité objectifs et une plus grande résilience face aux erreurs humaines,,.

6. Limites de l’étude

  • Échantillon spécifique à une agence de maintien de l’ordre en Corée du Sud, ce qui pose la question de la généralisabilité dans d’autres secteurs ou cultures moins “collectivistes”,,.
  • Utilisation d’indicateurs WISE propriétaires à l’organisation étudiée, bien que basés sur des standards nationaux,.
  1. Conclusion

L’apport majeur de cet article pour le contrôle de gestion est de démontrer que le pilotage du risque cyber est indissociable d’une dynamique de performance collective. Il prouve que l’efficacité d’un système de contrôle interne cyber ne repose pas sur la simple accumulation de conformités individuelles, mais sur la capacité du management à transformer l’autoefficacité des agents en une résilience coordonnée. Pour un mémoire, cette étude est une ressource précieuse car elle fournit un cadre rigoureux (IPO) et des indicateurs concrets (WISE) pour intégrer la cybersécurité dans les systèmes de pilotage de la performance par unité opérationnelle,,,.

 

  1. Références citées dans l’article
  • Bandura, A. (1997). Self-efficacy: The exercise of control. Freeman..
  • Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-548..
  • Faraj, S., & Sproull, L. (2000). Coordinating expertise in software development teams. Management Science, 46(12), 1554-1568..
  • Klein, K. J., & Kozlowski, S. W. (2000). Multilevel theory, research, and methods in organizations. Jossey-Bass..
  • Srivastava, A., Bartol, K. M., & Locke, E. A. (2006). Empowering leadership in management teams: Effects on knowledge sharing, efficacy, and performance. Academy of Management Journal, 49(6), 1239-1251.