Référence de l’article :
Schneier, B., & Vance, A. (2025). “Complexity Is the Worst Enemy of Security”: Studying Cybersecurity Through the Lens of Organizational Complexity. MIS Quarterly, 49(1), 205–210. https://doi.org/10.25300/MISQ/2025/49.1.01


Mots-clés :
• Théorie de la complexité
• Surface d’attaque
• Gouvernance organisationnelle
• Gestion du risque cyber
• Pilotage de la performance
• Fusions et acquisitions (M&A)
• Contrôle interne et accountability
• Systèmes d’information (SI)


Introduction synthétique :
L’article propose une perspective théorique généralisant le principe de Schneier : « la complexité est le pire ennemi de la sécurité ». Le problème de risque traité est l’augmentation de la surface d’attaque générée par la complexité croissante des structures organisationnelles (fusions, IA, cloud). L’objectif des auteurs est de démontrer que la complexité organisationnelle, au même titre que la complexité logicielle, rend les systèmes plus difficiles à sécuriser et plus faciles à attaquer. Leur hypothèse centrale est que la complexité augmente les coûts de coordination et dilue l’accountability, augmentant ainsi le risque de violations de données. L’article lie directement la cybersécurité au contrôle de gestion en suggérant que le pilotage doit désormais inclure la mesure et la réduction de la complexité pour protéger la performance globale.


Annonce du plan :
D’abord nous analyserons le concept de complexité comme multiplicateur de la surface d’attaque. Ensuite nous examinerons comment cette complexité se manifeste concrètement dans les organisations, notamment lors des fusions-acquisitions. Enfin nous mettrons en évidence les implications pour le pilotage stratégique et les limites actuelles de la recherche.


Développement structuré :

A. Définitions et concepts clés
• Surface d’attaque : Ensemble de tous les points vulnérables qu’un attaquant peut cibler ; elle s’étend à mesure que la complexité augmente.
• Principe de complexité : Plus un système comporte d’éléments, d’interactions et de personnes, plus il est propice aux erreurs de conception et aux insécurités cachées.
• Course de la Reine Rouge (Red Queen’s Race) : Phénomène où les entreprises perdent du terrain face aux menaces même en s’améliorant, car la complexité technologique croît plus vite que les défenses.
• Système de systèmes (SoS) : Vision de l’organisation comme un ensemble hiérarchique complexe de coordination humaine et technique.

B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : La complexité rend les systèmes intrinsèquement moins sûrs en raison de couplages étroits et de comportements non linéaires.
• Impact financier et stratégique : L’article cite la brèche de Change Healthcare (2024), causée par une faille lors d’une intégration technologique post-acquisition, impactant 190 millions de personnes et paralysant des paiements d’assurance.
• Responsabilité managériale (Accountability) : À mesure que les organisations se complexifient, il devient plus difficile d’identifier et de tenir pour responsables les personnes en charge de la sécurité.

C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Suivi des coûts de coordination : La complexité augmente les coûts internes de gestion des actifs et de mise en conformité.
• Aide à la décision : Le contrôle de gestion doit aider à trouver un niveau optimal de complexité, équilibrant les bénéfices de l’innovation et les risques sécuritaires.
• Pilotage stratégique : Intégration du concept de Secure by Design dès la conception des structures organisationnelles pour éviter de traiter la sécurité comme une variable d’ajustement de “dernière minute”.
• Indicateurs de complexité : Utilisation de proxys comme le nombre d’unités d’affaires ou les interconnexions IT pour anticiper les risques de brèches.

D. Outils, modèles ou mécanismes évoqués
• Théorie des activités routinières : Appliquée pour montrer que la visibilité (ex: publicité d’un M&A) attire les attaquants qui exploitent les vulnérabilités nées de la complexité de l’intégration.
• Plateformes d’analyse (EWDAP) : Citées comme un mécanisme de contrôle centralisé capable de réduire le risque externe en standardisant les échanges, même si elles créent parfois de nouvelles vulnérabilités internes.
• Propriété de non-linéarité : Principe selon lequel de petites erreurs dans un système complexe peuvent provoquer des conséquences catastrophiques inattendues.

E. Résultats, apports et implications
• Apports théoriques : Première tentative de théorisation de la cybersécurité via la complexité organisationnelle dans la revue MIS Quarterly.
• Apports pratiques : Souligne le danger des “monocultures” IT tout en prévenant que la diversité excessive rend la sécurisation ingérable.
• Impact sur la performance : La gestion proactive de la complexité protège la continuité opérationnelle et la valeur actionnariale en période de transformation numérique.

F. Limites de l’étude
Les auteurs notent que la recherche actuelle s’appuie trop sur des proxys de complexité (ex: nombre de fusions) plutôt que sur une mesure directe de la complexité au sein des processus de l’entreprise. Le rôle du comportement humain (Shadow IT, contournements) reste également difficile à quantifier.


Conclusion :
Cet article est un pilier pour un mémoire en contrôle de gestion car il déplace l’enjeu cyber du département informatique vers la direction stratégique. Il démontre que la structure même de l’entreprise (complexité) est un indicateur de risque. Pour un mémoire, il permet de justifier l’utilisation de méthodes de simplification organisationnelle comme outils de contrôle interne pour réduire l’exposition au risque cyber et améliorer la performance.


Références citées dans l’article (Format APA) :
• Anderson, P. (1999). Perspective: Complexity theory and organization science. Organization Science, 10(3), 216–232.
• CISA. (2023). Secure-by-design. https://www.cisa.gov/resources-tools/resources/secure-by-design
• Hevner, A., March, S., Park, J., & Ram, S. (2004). Design science in information systems research. MIS Quarterly, 28(1), 75–105.
• Schneier, B. (1999). A plea for simplicity. Schneier on Security.
• Schneier, B. (2018). Click here to kill everybody: Security and survival in a hyper-connected world. W.W. Norton & Company.
• Simon, H. A. (1962). The architecture of complexity. Proceedings of the American Philosophical Society, 106(6), 467–482.