Author Archives: KNajat

WHERE IS IT IN INFORMATION SECURITY? THE INTERRELATIONSHIP AMONG IT INVESTMENT, SECURITY AWARENESS, AND DATA BREACHES

Posted on by

Référence de l’article :

Li, W. W., Leung, A. C. M., & Yue, W. T. (2023). Where is IT in information security? The interrelationship among IT investment, security awareness, and data breaches. MIS Quarterly, 47(1), 317–342.

https://doi.org/10.25300/MISQ/2022/15713

 

Mots-clés :

Contrôle de gestion, investissement IT, gestion des risques cyber, performance sécuritaire, gouvernance des systèmes d’information, sensibilisation à la sécurité (security awareness), pilotage des ressources, violations de données (data breaches)

 

Introduction synthétique :

Cet article examine la relation dynamique et bidirectionnelle entre les investissements dans les technologies de l’information (IT), les investissements spécifiques en cybersécurité et la survenue de violations de données. Le problème central réside dans le fait que, malgré l’augmentation des budgets de sécurité, les incidents prolifèrent, remettant en cause l’efficacité des approches réactives. L’objectif des auteurs est de démontrer que la sensibilisation à la sécurité (déclinée en conscience des menaces et des contre-mesures) est le “maillon manquant” qui permet d’intégrer efficacement les ressources IT pour améliorer la performance sécuritaire. Leur question de recherche interroge comment ces deux types de conscience modèrent l’impact des investissements sur la réduction des risques. Pour le contrôle de gestion, l’étude souligne que la cybersécurité ne doit pas être traitée comme un coût isolé, mais comme une composante intrinsèque du pilotage de la performance globale et de l’allocation des ressources technologiques.

 

Annonce du plan :

D’abord nous analyserons les définitions et concepts clés mobilisés par les auteurs. Ensuite nous examinerons les enjeux organisationnels ainsi que le rôle pivot du contrôle de gestion dans le pilotage du risque cyber. Enfin nous mettrons en évidence les outils méthodologiques, les résultats de l’étude et les implications pour la performance.

 

Développement structuré :

     A. Définitions et concepts clés:

  • Risque cyber : Défini ici principalement par les violations de données (data breaches), qui impactent la réputation et la confiance des clients.
  • Gouvernance des SI : Elle concerne l’alignement des objectifs de sécurité avec les processus métier et l’architecture d’entreprise.
  • Contrôle interne : Les auteurs lient la sensibilisation à la sécurité à l’amélioration de la fonction d’audit interne (IAF) et à l’intégration de politiques de sécurité dans les routines quotidiennes.
  • Pilotage de la performance : Mesuré par la capacité d’une firme à réduire la fréquence et l’ampleur (nombre de dossiers compromis) des violations de données au fil du temps.
  • Indicateurs : L’étude utilise les budgets IT et de sécurité comme indicateurs de ressources, et les divulgations volontaires dans les rapports 10-K pour mesurer le niveau de conscience (SA).

  B. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les violations de données entraînent des pertes financières directes et une dégradation durable de la valeur de l’entreprise sur le marché.
  • Impact financier et stratégique : Les auteurs rejettent la vision myope consistant à traiter uniquement les symptômes (approches réactives) au profit d’une vision stratégique traitant les causes profondes dans les systèmes IT.
  • Responsabilité managériale : La sensibilisation doit émaner du niveau de la direction générale pour favoriser la collaboration entre les fonctions sécurité et business.

   C. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts liés aux incidents : L’article suggère de scruter les investissements IT après un incident pour corriger les inefficacités de conception.
  • Budgets de cybersécurité : Les auteurs démontrent qu’un budget de sécurité isolé est souvent moins efficace qu’un investissement IT global “sécurisé par conception” (security by design).
  • Aide à la décision : Le contrôle de gestion joue un rôle dans l’arbitrage entre la maintenance des systèmes hérités (legacy systems) et la modernisation IT, cette dernière étant plus efficace pour réduire les risques.
  • Intégration du risque dans le pilotage stratégique : L’étude montre que les firmes ayant une forte conscience des menaces allouent plus de ressources à l’IT général pour traiter les vulnérabilités structurelles.

 

   D. Outils, modèles ou mécanismes évoqués

  • Modèle PVAR (Panel Vector Autoregression) : Utilisé pour analyser les relations bidirectionnelles et dynamiques sur un panel de 311 entreprises américaines.
  • Indicateurs de divulgation : Analyse textuelle des rapports annuels (10-K) pour quantifier la conscience des menaces (TA) et des contre-mesures (CA).
  • Systèmes d’information : L’infrastructure IT elle-même est présentée comme l’outil principal de défense lorsqu’elle est correctement configurée.

 

   E. Résultats, apports et implications

  • Apports théoriques : L’étude prouve que la performance de sécurité est complexe et dépend de l’investissement IT général, et non seulement des outils de sécurité. Elle décompose la sensibilisation à la sécurité en deux dimensions distinctes : menaces et contre-mesures.
  • Apports pratiques : Les gestionnaires doivent intégrer la sécurité dans toutes les décisions IT plutôt que de la traiter de manière isolée.
  • Impact sur la performance globale : Les entreprises ayant une forte conscience des contre-mesures utilisent leurs investissements IT pour réduire plus efficacement les violations que celles misant uniquement sur des “patchs” de sécurité.

 

  F. Limites de l’étude

  • Échantillon : Données restreintes aux entreprises américaines cotées, ce qui peut limiter la généralisation aux PME ou à d’autres contextes géographiques.
  • Nature des données : Dépendance aux violations déclarées (biais possible si certaines ne sont pas découvertes) et à la divulgation volontaire dans les rapports financiers comme proxy de la conscience

 

Conclusion :

Cet article est fondamental pour comprendre que le risque cyber n’est pas un problème purement technique, mais un défi de pilotage des ressources. Il démontre que l’efficacité du contrôle de gestion dans ce domaine repose sur la capacité à orienter les budgets vers une modernisation des infrastructures IT plutôt que vers une accumulation de solutions de sécurité réactives. Pour un mémoire, il offre une base quantitative solide pour justifier l’alignement stratégique entre IT, sécurité et performance organisationnelle, tout en proposant des indicateurs innovants basés sur la communication financière des entreprises.

 

Références citées dans l’article :

  • Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916.
  • Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457.
  • Straub, D., & Welke, R. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, 22(4), 441-469.
  • Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 38(2), 451-471