Référence de l’article :
Lee, J. S. (2025). Risk of Cyberattacks Arising from Strategic Alliances with Big Tech. Journal of Management Information Systems, 42(3), 859–893. https://doi.org/10.1080/07421222.2025.2520176.


Mots-clés :
• Alliances stratégiques
• Big Tech (Alphabet, Amazon, Apple, Meta, Microsoft)
• Vulnérabilités de sécurité
• Risque cyber et cyberattaques
• Système de systèmes (SoS)
• Intensité des actifs immatériels
• Gouvernance des systèmes d’information


Introduction synthétique :
L’article explore un risque cyber inédit : celui découlant des alliances stratégiques avec les “Big Tech”. Le problème de gestion traité est la vulnérabilité accrue des entreprises lorsqu’elles intègrent les capacités technologiques innovantes de ces géants dans leurs propres opérations ou produits. L’objectif de l’auteur est de démontrer que ce processus d’intégration, théorisé comme un “système de systèmes” (SoS) inter-organisationnel, crée des failles de sécurité imprévues. L’hypothèse centrale postule une relation en U-inversé entre le nombre d’alliances et le risque cyber, tout en examinant le rôle aggravant de l’intensité des actifs immatériels. Le lien avec le contrôle de gestion est établi par la nécessité de piloter les “effets secondaires” des choix stratégiques de numérisation sur la performance sécuritaire globale de la firme.


Annonce du plan :
D’abord nous analyserons la perspective théorique du “Système de Systèmes” (SoS) et les vulnérabilités qu’elle engendre. Ensuite nous examinerons la dynamique de l’apprentissage organisationnel qui explique la forme non linéaire du risque. Enfin nous mettrons en évidence l’impact des actifs immatériels et les implications pour le pilotage stratégique des risques.


Développement structuré :

A. Définitions et concepts clés
• Risque cyber : Défini comme la probabilité de subir une cyberattaque préméditée réussie contre l’infrastructure informatique suite à une alliance.
• Système de systèmes (SoS) : Concept décrivant un système complexe né de l’interaction de systèmes indépendants (ceux de la firme focale et ceux des Big Tech) travaillant vers un but commun.
• Intensité des actifs immatériels : Proportion d’actifs non physiques (brevets, marques) par rapport au total des actifs, reflétant la valeur stratégique à protéger.
• Intégration SoS inter-organisationnelle : Mécanisme par lequel les technologies des Big Tech (Cloud, IA, plateformes) sont fusionnées avec les services ou données de l’entreprise partenaire.

B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : L’intégration de systèmes développés indépendamment crée des comportements émergents imprévisibles et des vulnérabilités au niveau du SoS qui ne peuvent être atténuées par des mesures isolées.
• Impact stratégique : Les alliances avec les Big Tech sont souvent inévitables pour rester compétitif, mais elles entraînent une perte de contrôle sur la sécurité des données et des ressources.
• Responsabilité managériale : Les dirigeants doivent arbitrer entre les bénéfices de l’innovation (Cloud, IA) et les risques de service interrompu ou de violation de données massives.

C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Pilotage par l’expérience : Le contrôle de gestion doit intégrer une courbe d’apprentissage ; le risque cyber est maximal à un niveau modéré d’alliances avant de décroître grâce à l’accumulation de “savoir-faire” en gestion d’interfaces.
• Budgets et ressources : L’étude suggère d’investir dans l’ingénierie SoS et de recruter des spécialistes capables de gérer la conformité sécuritaire dans des environnements interconnectés.
• Suivi des actifs immatériels : Un contrôle plus rigoureux est nécessaire pour les firmes riches en immatériel, car elles sont plus réticentes à partager des informations, ce qui peut nuire à la coordination sécuritaire.
• Mécanismes de confiance : Dans les alliances sans transfert de capital (non-equity), la confiance devient un mécanisme de contrôle essentiel pour assurer la transparence et la sécurité des flux de données.

D. Outils, modèles ou mécanismes évoqués
• Modèle GLMM (Generalized Linear Mixed Models) : Utilisé pour analyser des données de panel longitudinales sur les entreprises du S&P 500.
• Base de données RavenPack : Outil de mesure pour suivre les cyberattaques réussies et les annonces d’alliances stratégiques via l’analyse de flux d’actualités mondiaux.
• Indicateurs d’intensité immatérielle : Calculés à partir des données financières de Compustat pour modérer l’impact du risque.

E. Résultats, apports et implications
• Apports théoriques : Première étude documentant le lien entre alliances stratégiques et vulnérabilité cyber via la théorie SoS.
• Apports pratiques : Identification d’un point de bascule (environ 7 alliances dans l’échantillon) où les capacités d’intégration commencent à compenser la création de nouvelles failles.
• Impact sur la performance : Une gestion proactive du risque durant les premières étapes de partenariat est critique pour éviter des dommages financiers et réputationnels majeurs.

F. Limites de l’étude
L’étude se concentre uniquement sur les alliances contractuelles (non-equity) et ne peut être généralisée aux co-entreprises (joint ventures) où les frontières organisationnelles sont plus floues. Elle ne propose pas non plus de mesures empiriques sur l’efficacité de pratiques de gouvernance spécifiques pour atténuer ces risques.


Conclusion :
Cet article est fondamental pour un mémoire en contrôle de gestion car il met en lumière le “coût caché” sécuritaire de la transformation numérique par partenariat. Il offre un cadre robuste pour démontrer que la gestion du risque cyber ne doit pas être déconnectée de la stratégie globale : le contrôle doit accompagner l’évolution de la firme dans son écosystème technologique pour transformer un risque initial en avantage compétitif maîtrisé.


Références citées dans l’article (Format APA) :
• Ackoff, R. L. (1971). Towards a system of systems concepts. Management Science, 17(11), 661–671.
• Das, T. K., & Teng, B.-S. (2000). A resource-based theory of strategic alliances. Journal of Management, 26(1), 31–61.
• Haans, R. F. J., Pieters, C., & He, Z. L. (2016). Thinking about U: Theorizing and testing U-and inverted U-shaped relationships in strategy research. Strategic Management Journal, 37(7), 1177–1195.
• Nielsen, C. B., Larsen, P. G., Fitzgerald, J., Woodcock, J., & Peleska, J. (2015). Systems of systems engineering: Basic concepts, model-based techniques, and research directions. ACM Computing Surveys, 48(2), 1–41.
• Straub, D. W., & Welke, R. J. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, 22(4), 441–469.
• Wernerfelt, B. (1984). A resource-based view of the firm. Strategic Management Journal, 5(2), 171–180.