Author Archives: wiam

Is cybersecurity a team sport? A multilevel examination of workgroup information security effectiveness.

Posted on by
  • Référence de l’article

Yoo, C. W., Goo, J., & Rao, H. R. (2020). Is cybersecurity a team sport? A multilevel examination of workgroup information security effectiveness. MIS Quarterly, 44(2), 907-931.,.https://doi.org/10.25300/MISQ/2020/15477

  • Mots-clés

Contrôle de gestion, performance des groupes, efficacité de la sécurité (WISE), efficacité collective, coordination des connaissances sécuritaires, pilotage des risques cyber, systèmes d’information, approche multiniveau.,,,.

  • Introduction synthétique

Cet article explore l’efficacité de la sécurité de l’information au niveau des groupes de travail (WISE), en dépassant l’approche traditionnelle quasi exclusivement centrée sur la conformité individuelle aux politiques,,. Le problème de gestion traité réside dans la difficulté à comprendre comment les efforts sécuritaires individuels se manifestent au niveau collectif pour produire une performance organisationnelle résiliente,. L’objectif des auteurs est de démontrer, à travers le cadre Input-Process-Output (IPO), que les mécanismes de groupe — à savoir l’efficacité collective (WCE) et la coordination des connaissances sécuritaires (SKC) — sont des médiateurs indispensables entre les capacités individuelles et les résultats de sécurité réels,,. Leur question de recherche interroge la nature multiniveau de la sécurité et comment ces dynamiques de groupe influencent les scores d’évaluation objectifs. Pour le contrôle de gestion, ce travail est crucial car il propose de piloter la cybersécurité comme une performance opérationnelle coordonnée plutôt que comme une simple contrainte de conformité RH,,.

  • Annonce du plan

D’abord nous analyserons les fondements de l’efficacité sécuritaire des groupes via le cadre IPO. Ensuite nous examinerons les mécanismes de médiation (efficacité collective et coordination). Enfin nous mettrons en évidence l’intérêt de l’évaluation de la performance cyber par unité pour le pilotage stratégique de l’organisation.

  • Développement structuré
  1. Définitions et concepts clés
  • Risque cyber : Perçu ici comme une menace sur la performance métier du groupe, nécessitant une vigilance et une résilience collectives,.
  • Gouvernance des SI : Transition d’une gestion directive de la conformité individuelle vers une évaluation de la capacité de fonctionnement du groupe,.
  • Contrôle interne : S’appuie sur l’autoefficacité individuelle (ISE) (croyance en ses propres capacités sécuritaires) comme ressource, mais nécessite des processus de groupe pour être efficace au niveau de l’unité,,.
  • Pilotage de la performance (WISE) : L’efficacité sécuritaire du groupe est définie comme la capacité d’une unité à atteindre ses objectifs de sécurité via des efforts combinés et coordonnés,,.
  • Indicateurs (KRI/KPI) : Scores d’évaluation annuels objectifs basés sur 10 indicateurs clés (ex: sécurité physique, contrôle d’accès, formation, audit),,.

      2. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les violations de sécurité ont un impact négatif direct sur les performances opérationnelles et commerciales des groupes de travail.
  • Impact financier et stratégique : La sécurité est le garant de la continuité des missions critiques (ex: protection des données sensibles dans une agence de maintien de l’ordre),.
  • Responsabilité managériale : Les managers ne doivent plus seulement surveiller la conformité, mais favoriser la synergie et la coordination des compétences pour éviter que le “maillon faible” ne compromette l’unité,,.

3. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts et incidents : L’évaluation WISE permet d’identifier et de corriger les faiblesses des unités géographiquement dispersées,.
  • Budgets de cybersécurité : Justification des investissements non seulement techniques mais aussi dans les mécanismes de partage de connaissances et de formation collective,.
  • Tableaux de bord : Utilisation de scores agrégés (échelle de 0 à 100) pour reporter la performance sécuritaire au CISO (Chief Information Security Officer),.
  • Aide à la décision : Permet d’arbitrer entre le renforcement des capacités individuelles et l’amélioration des processus de coordination selon les besoins des branches,,.

     4. Outils, modèles ou mécanismes évoqués

  • Cadre IPO (Input-Process-Output) : Modèle structurant les conditions préalables (Inputs), les mécanismes d’interaction (Process) et les critères d’évaluation (Output),.
  • MSEM (Multilevel Structural Equation Modeling) : Méthode statistique avancée pour tester les relations entre données individuelles et scores de groupe,.
  • Mécanismes de groupe : La coordination des connaissances (SKC) orchestre les savoirs disparates, tandis que l’efficacité collective (WCE) forge la confiance et la résilience du groupe,,,.

5. Résultats, apports et implications

  • Apports théoriques : L’autoefficacité individuelle (ISE) ne prédit pas directement la performance du groupe ; elle doit impérativement transiter par la coordination et l’efficacité collective pour porter ses fruits,,,.
  • Apports pratiques : La cybersécurité est comparée à un sport d’équipe (analogie du soccer) où la coordination prime sur les records individuels,,.
  • Impact sur la performance globale : Les groupes dotés d’une forte coordination des connaissances affichent de meilleurs scores de sécurité objectifs et une plus grande résilience face aux erreurs humaines,,.

6. Limites de l’étude

  • Échantillon spécifique à une agence de maintien de l’ordre en Corée du Sud, ce qui pose la question de la généralisabilité dans d’autres secteurs ou cultures moins “collectivistes”,,.
  • Utilisation d’indicateurs WISE propriétaires à l’organisation étudiée, bien que basés sur des standards nationaux,.
  1. Conclusion

L’apport majeur de cet article pour le contrôle de gestion est de démontrer que le pilotage du risque cyber est indissociable d’une dynamique de performance collective. Il prouve que l’efficacité d’un système de contrôle interne cyber ne repose pas sur la simple accumulation de conformités individuelles, mais sur la capacité du management à transformer l’autoefficacité des agents en une résilience coordonnée. Pour un mémoire, cette étude est une ressource précieuse car elle fournit un cadre rigoureux (IPO) et des indicateurs concrets (WISE) pour intégrer la cybersécurité dans les systèmes de pilotage de la performance par unité opérationnelle,,,.

 

  1. Références citées dans l’article
  • Bandura, A. (1997). Self-efficacy: The exercise of control. Freeman..
  • Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-548..
  • Faraj, S., & Sproull, L. (2000). Coordinating expertise in software development teams. Management Science, 46(12), 1554-1568..
  • Klein, K. J., & Kozlowski, S. W. (2000). Multilevel theory, research, and methods in organizations. Jossey-Bass..
  • Srivastava, A., Bartol, K. M., & Locke, E. A. (2006). Empowering leadership in management teams: Effects on knowledge sharing, efficacy, and performance. Academy of Management Journal, 49(6), 1239-1251.

 

Promoting security behaviors in remote work environments: Personal values shaping information security policy compliance.

Posted on by

Référence de l’article

Torres, C. I., & Crossler, R. E. (2025). Promoting security behaviors in remote work environments: Personal values shaping information security policy compliance. Information Systems Research, 36(2), 1183–1195. https://doi.org/10.1287/isre.2021.0563

 

Mots-clés

Contrôle de gestion, gestion des risques, cybersécurité, performance organisationnelle, pilotage comportemental, conformité aux politiques de sécurité (ISP), valeurs personnelles, télétravail.

Introduction synthétique

Cet article traite du rôle des valeurs personnelles comme moteurs de la conformité aux politiques de sécurité de l’information (ISP) dans un contexte de généralisation du travail hybride. Le problème de gestion réside dans le fait que 74 % des violations de données impliquent des éléments humains (erreurs, utilisation abusive), alors que les contrôles traditionnels s’affaiblissent en milieu de télétravail. L’objectif des auteurs est d’étendre le modèle unifié de conformité (UMISPC) en y intégrant la théorie des valeurs universelles de Schwartz pour mieux prédire les intentions de comportement sécuritaire,. Leur question de recherche examine comment ces valeurs expliquent les intentions de protection et comment les motivations diffèrent entre travailleurs sur site et à distance. Ce travail lie la cybersécurité au contrôle de gestion en proposant de passer d’une approche de contrôle uniforme à un pilotage individualisé des comportements, essentiel pour préserver la performance financière face aux coûts croissants des brèches de données,.

Annonce du plan

D’abord nous analyserons les fondements théoriques liant les valeurs personnelles à la conformité aux systèmes d’information. Ensuite nous examinerons l’impact du télétravail comme modérateur du risque cyber et du pilotage de la performance. Enfin nous mettrons en évidence les résultats de l’étude et leurs implications pour la conception de dispositifs de contrôle interne adaptés.

Développement structuré

  1. Définitions et concepts clés
  • Risque cyber : Principalement défini par le manque d’engagement des employés envers la cybersécurité, faisant de l’humain le « maillon faible » de la chaîne de sécurité.
  • Gouvernance des SI : Cadre de conception et de mise en œuvre des politiques de sécurité (ISP) pour prévenir les cybermenaces,.
  • Contrôle interne : Traditionnellement basé sur la surveillance directe, il doit ici s’appuyer sur des leviers intrinsèques (valeurs) lorsque la supervision diminue.
  • Pilotage de la performance : Capacité à maintenir la sécurité des actifs informationnels pour éviter des pertes financières moyennes de 4,45 millions de dollars par incident.
  • Indicateurs : Intentions de conformité mesurées par la variance expliquée (R2) dans le modèle théorique.

 

2. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les coûts des violations augmentent, particulièrement lorsque le travail à distance est impliqué.
  • Impact financier et stratégique : Le travail hybride est devenu la norme (stabilisation à 30 % sous les niveaux pré-pandémie), obligeant les entreprises à adapter leur posture cyber.
  • Responsabilité managériale : Les responsables SI et les directions générales doivent abandonner l’approche « taille unique » au profit de programmes sur mesure.

3. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts liés aux incidents : L’article souligne que l’élément humain est la source de la majorité des pertes financières liées au cyber.
  • Budgets de cybersécurité : Les ressources doivent être allouées à des interventions ciblées (formation, communication) basées sur la compréhension des valeurs des employés,.
  • Tableaux de bord : Intégration des caractéristiques individuelles pour évaluer la vulnérabilité des différents groupes de travailleurs (distanciel vs présentiel),.
  • Aide à la décision : Permet aux gestionnaires d’identifier quels leviers (peur, valeurs de conservation ou d’ouverture) activer pour favoriser la conformité,,.
  • Intégration du risque dans le pilotage stratégique : Faire des employés la première ligne de défense plutôt que le maillon faible en alignant les ISP sur leurs motivations personnelles,.

4. Outils, modèles ou mécanismes évoqués

  • Modèle UMISPC modifié : Inclut des variables comme la menace perçue, la peur, les habitudes et les neutralisations, complétées par les valeurs de Schwartz,.
  • Systèmes d’information : Comparaison des environnements sur site et à distance comme modérateur catégoriel de l’efficacité des contrôles.
  • Méthodes de mesure du risque : Utilisation de la méthode des scénarios pour capturer les intentions de comportement dans des situations réalistes,.
  • Dispositifs de contrôle interne : Recommandation de programmes de cybersécurité personnalisés plutôt que standardisés.

5. Résultats, apports et implications

  • Apports théoriques : Confirmation que les valeurs personnelles sont des prédicteurs significatifs de la conformité. Le modèle explique 54 % de la variance pour les télétravailleurs contre 37 % pour les travailleurs sur site.
  • Apports pratiques : Les valeurs de conservation (respect de l’autorité) et d’ouverture au changement (autonomie) influencent positivement la conformité, tandis que la recherche de succès personnel (affirmation de soi) peut la freiner,,.
  • Impact sur la performance globale : Une meilleure compréhension des motivations individuelles permet de réduire la probabilité de violations coûteuses dans les environnements moins supervisés.

6. Limites de l’étude

  • L’étude mesure les intentions de conformité et non les comportements réels.
  • L’approche est transversale et ne permet pas d’évaluer l’effet du temps ou des interventions sur l’évolution des valeurs.
  • Elle se concentre sur la perspective individuelle plutôt que sur l’équilibre coût-bénéfice au niveau organisationnel.

Conclusion :

Cet article démontre que le pilotage de la performance cyber dépend intrinsèquement de la maîtrise des facteurs humains. Pour le contrôle de gestion, l’apport majeur réside dans la preuve que le risque cyber doit être géré par des systèmes de contrôle comportementaux différenciés : en télétravail, les valeurs personnelles deviennent le levier de pilotage le plus efficace pour assurer la conformité et protéger les actifs de la firme. Cette étude est une ressource précieuse pour un mémoire, car elle fournit un cadre scientifique pour justifier des investissements dans des « soft controls » psychologiques au sein de la gouvernance des SI.

Références citées dans l’article :

  • Boss, S., et al. (2015). What do systems users have to fear? Using fear appeals to engender threats and fear that motivate protective security behaviors. MIS Quarterly.
  • Moody, G. D., et al. (2018). Toward a unified model of information security policy compliance. MIS Quarterly.
  • Schwartz, S. H. (1992). Universals in the content and structure of values: Theoretical advances and empirical tests in 20 countries. Advances in Experimental Social Psychology.
  • Siponen, M., & Vance, A. (2010). Neutralization: New insights into the problem of employee information systems security policy violations. MIS Quarterly.
  • Vance, A., et al. (2015). Increasing accountability through user-interface design artifacts: A new approach to addressing the problem of access-policy violations. MIS Quarterly.

 

Taming Complexity in the Cybersecurity of Multihospital Systems: The Role of Enterprise-Wide Data Analytics Platforms

Posted on by

Référence de l’article

Tanriverdi, H., Kwon, J., & Im, G. (2025). Taming Complexity in the Cybersecurity of Multihospital Systems: The Role of Enterprise-Wide Data Analytics Platforms. MIS Quarterly, 49(1), 243-274.  https://doi.org/10.25300/MISQ/2024/17752.

Mots-clés

Contrôle de gestion, gestion des risques, cybersécurité, pilotage de la performance, gouvernance décentralisée, systèmes d’information complexes, indicateurs de contrôle, plateformes analytiques.

Introduction synthétique

L’article explore l’impact de la configuration organisationnelle et technologique des systèmes multi-unités (ici, les systèmes multi-hospitaliers) sur la fréquence des violations de données. Le problème de gestion traité réside dans la difficulté de maintenir des contrôles de sécurité efficaces face à une « complexité » croissante qui entrave la visibilité et la coordination managériale. L’objectif des auteurs est de démontrer comment les interactions non structurées (ad hoc) augmentent les risques, tandis que les interactions structurées via des plateformes de données (EWDAP) permettent de simplifier le système. Ils postulent que le risque cyber n’est pas seulement un problème technique mais découle de la structure de gouvernance et de la variété des services. Le lien avec le contrôle de gestion est établi par l’étude de la gouvernance et de l’efficacité des dispositifs de contrôle interne (techniques, processus et humains) pour assurer la performance globale et la continuité de service.

Annonce du plan

  • D’abord nous analyserons la distinction conceptuelle entre le « compliqué » et le « complexe » et leur influence respective sur les faiblesses des contrôles internes.
  • Ensuite nous examinerons les trois dimensions de la « complicatedness » (services, IT, gouvernance) et leurs impacts financiers et stratégiques sur l’organisation.
  • Enfin nous mettrons en évidence le rôle des plateformes analytiques d’entreprise comme mécanisme de pilotage permettant de structurer les échanges d’informations et de mitiger les risques cyber.

Développement structuré

  1. Définitions et concepts clés
  • Risque cyber : Événement de compromission des données (disponibilité ou confidentialité) entraînant des pertes financières, réputationnelles et opérationnelles.
  • Gouvernance des SI : Répartition des droits de décision entre un centre corporatif et des unités décentralisées concernant les services médicaux et les accords technologiques.
  • Contrôle interne : Ensemble des contrôles techniques (logiciels, réseaux), de processus (procédures de gestion des changements) et humains (formation, comportements) visant à protéger les actifs informationnels.
  • Pilotage de la performance : Capacité à réduire la probabilité de brèches tout en maintenant une intégration fluide des services au sein du réseau.
  • Indicateurs (KRI/KPI) : Le nombre de violations de données annuelles sert de KRI principal, tandis que le niveau de maturité des plateformes EWDAP agit comme un indicateur de pilotage de la sécurité.
  1. Enjeux organisationnels et managériaux du risque cyber
  • Menaces pour la performance : 77 % des organisations de santé rapportent des effets négatifs sur les soins après une brèche.
  • Impact financier et stratégique : Les coûts incluent les amendes réglementaires, les disruptions opérationnelles, les poursuites judiciaires et l’érosion de la confiance des parties prenantes.
  • Responsabilité managériale : Les dirigeants doivent arbitrer entre l’autonomie des unités (gouvernance décentralisée) et la nécessité d’un cadre de sécurité unifié pour réduire la surface d’attaque.
  1. Rôle du contrôle de gestion dans la gestion du risque cyber
  • Suivi des coûts : Intégration des pertes financières liées aux brèches dans l’évaluation de la performance des unités.
  • Budgets de cybersécurité : L’article suggère que l’investissement dans des plateformes de données communes (EWDAP) est plus efficace que la simple accumulation de composants technologiques isolés.
  • Tableaux de bord : Utilisation de plateformes centralisées pour obtenir une vue unifiée des flux de données et surveiller les comportements anormaux des utilisateurs.
  • Aide à la décision : Analyse de la “matérialité” des faiblesses de contrôle IT liées à la stratégie de l’entreprise.
  • Intégration du risque : Transition d’un pilotage réactif vers une structuration proactive des interactions organisationnelles pour limiter l’émergence de comportements imprévisibles.
  1. Outils, modèles ou mécanismes évoqués
  • Indicateurs : Variables de « complicatedness » (SVC, HIT, Gov) et maturité EWDAP.
  • Systèmes d’information : Plateformes analytiques d’entreprise (EWDAP) qui traduisent des données hétérogènes en formats structurés.
  • Méthodes de mesure du risque : Utilisation de la science de la complexité pour distinguer les interactions linéaires (prévisibles) des interactions non linéaires (ad hoc).
  • Dispositifs de contrôle interne : Codification des faiblesses de contrôle selon les guides GTAG et COBIT.
  1. Résultats, apports et implications
  • Apports théoriques : Distinction majeure entre le « compliqué » (grand nombre de composants structurés) et le « complexe » (interactions ad hoc), montrant que seul le second est réellement incontrôlable.
  • Apports pratiques : Les EWDAP renforcent les contrôles de processus et réduisent les brèches externes, bien qu’elles puissent augmenter légèrement les erreurs internes dues à la manipulation de systèmes plus sophistiqués.
  • Impact sur la performance globale : La structuration des échanges via une plateforme commune réduit significativement le risque global de l’organisation multi-unités.
  1. Limites de l’étude L’étude se concentre sur un seul secteur (santé), utilise des données pré-pandémiques (avant l’explosion du télétravail) et ne prend pas en compte d’autres acteurs comme les maisons de retraite ou les réseaux de soins à domicile.

Conclusion

Cet article apporte une contribution essentielle au contrôle de gestion en démontrant que le risque cyber est intrinsèquement lié à la structure organisationnelle et au mode de partage de l’information. Pour un mémoire, il est particulièrement utile car il fournit un cadre théorique (science de la complexité) et empirique pour justifier le passage d’un contrôle technique isolé vers un pilotage stratégique par les plateformes de données, capable de “simplifier” les organisations multi-unités et de protéger leur performance boursière et opérationnelle.

Références citées dans l’article

  • Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916.
  • Bazzoli, G. J., Shortell, S. M., Dubbs, N., Chan, C., & Kralovec, P. (1999). A taxonomy of health networks and systems: Bringing order out of chaos. Health Services Research, 33(6), 1683-1717
  • Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 38(2), 451-472.
  • Li, C., Peters, G. F., Richardson, V. J., & Watson, M. W. (2

 

Where is IT in Information Security? The Interrelationship Among IT Investment, Security Awareness, and Data Breaches

Posted on by

Référence de l’article

Li, W. W., Leung, A. C. M., & Yue, W. T. (2023). Where is IT in Information Security? The Interrelationship Among IT Investment, Security Awareness, and Data Breaches. MIS Quarterly, 47(1), 317-342.https://doi.org/10.25300/MISQ/2022/15713

Mots-clés

Contrôle de gestion, gestion des risques cyber, investissement IT, performance sécuritaire, sensibilisation à la sécurité (security awareness), gouvernance des SI, causes profondes (root causes), budgets de sécurité..

Introduction synthétique

L’article explore la relation dynamique entre les investissements en technologies de l’information (IT), les investissements spécifiques à la sécurité et la survenance de violations de données. Le problème central réside dans l’inefficacité constatée des augmentations budgétaires massives dédiées uniquement à la sécurité, qui ne parviennent pas à freiner la prolifération des cyberattaques. L’objectif des auteurs est de démontrer que l’investissement IT général, lorsqu’il est modéré par une forte sensibilisation à la sécurité au niveau de la direction, est plus efficace pour réduire les risques que l’investissement de sécurité isolé,. Les auteurs testent l’hypothèse selon laquelle la sensibilisation aux menaces et aux contre-mesures permet d’identifier et de traiter les causes profondes des failles logées dans l’infrastructure IT sous-jacente,. Pour le contrôle de gestion, cela souligne la nécessité d’intégrer la cybersécurité dans le pilotage global des ressources technologiques plutôt que de la traiter comme un centre de coût isolé,.

Annonce du plan

  • D’abord nous analyserons les concepts de sensibilisation aux menaces et aux contre-mesures comme leviers de la performance.
  • Ensuite nous examinerons l’inefficacité des investissements de sécurité réactifs face à la robustesse des investissements IT structurels.
  • Enfin nous mettrons en évidence les implications pour la gouvernance et le pilotage stratégique de la performance globale.

Développement structuré

A. Définitions et concepts clés

  • Risque cyber : Mesuré ici par la fréquence et l’ampleur des violations de données (data breaches) qui nuisent à la réputation et à la confiance des clients,.
  • Gouvernance des SI : Processus de décision concernant l’allocation des ressources IT et la collaboration entre les fonctions d’audit interne et les unités d’affaires,.
  • Contrôle interne : Intégration de politiques de sécurité et de pratiques d’audit au sein des routines opérationnelles pour prévenir les erreurs humaines ou les failles de configuration.
  • Pilotage de la performance : Capacité à réduire les incidents cyber (résultat de sécurité) par une gestion optimale du mix d’investissement IT/Sécurité,.
  • Indicateurs : L’étude utilise les budgets IT/sécurité (KPI de moyens) et le nombre de violations ou enregistrements piratés (KPI de résultat),.

B. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les violations de données impactent négativement la valeur de l’entreprise et la confiance des parties prenantes,.
  • Impact financier et stratégique : L’inefficacité des dépenses de sécurité actuelles crée un “piège mental” consistant à traiter les symptômes (patches) plutôt que les causes fondamentales (systèmes obsolètes),.
  • Responsabilité managériale : Nécessité pour les cadres dirigeants d’adopter une vision holistique (“Security by design”) où la sécurité est un facteur de chaque décision IT,.

C. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts liés aux incidents : Utilisation des violations passées comme déclencheurs d’investissements stratégiques.
  • Budgets de cybersécurité : Arbitrage entre les solutions de sécurité “symboliques” (purement conformes) et les investissements IT substantiels (modernisation),.
  • Tableaux de bord : Intégration de la sensibilisation (mesurée par les divulgations volontaires) comme indicateur de la maturité du risque,.
  • Aide à la décision : Orientation des fonds vers la modernisation des systèmes hérités (legacy systems) pour éliminer les vulnérabilités structurelles,.
  • Intégration du risque dans le pilotage stratégique : Aligner les stratégies IT globales avec les objectifs de sécurité pour éviter le gaspillage budgétaire,.

D. Outils, modèles ou mécanismes évoqués

  • Indicateurs : Analyse des rapports annuels 10-K pour quantifier la sensibilisation aux menaces (TA) et aux contre-mesures (CA),.
  • Systèmes d’information : Utilisation de bases de données comme CiTDB (Harte-Hanks) pour suivre les budgets IT réels au niveau des sites.
  • Méthodes de mesure du risque : Modèle Panel Vector Autoregression (PVAR) pour capturer les relations bidirectionnelles et l’endogénéité entre investissement et performance,,.
  • Dispositifs de contrôle interne : Renforcement de la collaboration entre les fonctions d’audit interne et les autres unités via la sensibilisation à la sécurité,.

E. Résultats, apports et implications

  • Apports théoriques : Décomposition de la sensibilisation en deux dimensions (Menaces et Contre-mesures) et démonstration de leur rôle modérateur sur la performance IT,.
  • Apports pratiques : Les entreprises sensibilisées investissent davantage dans l’IT après une attaque, reconnaissant que les failles proviennent souvent de systèmes mal conçus,.
  • Impact sur la performance globale : L’investissement IT réduit plus efficacement les violations que l’investissement de sécurité seul, à condition qu’il y ait une forte sensibilisation aux contre-mesures,.

F. Limites de l’étude

  • Échantillon restreint aux entreprises américaines cotées en bourse entre 2010 et 2017,.
  • Difficulté à collecter des données sur les violations non découvertes ou non signalées.
  • La mesure de la sensibilisation basée sur les divulgations publiques peut être imparfaite par rapport à la réalité interne.

Conclusion

L’apport majeur de cet article pour le contrôle de gestion est de démontrer que la cybersécurité ne doit pas être pilotée de manière isolée. L’étude prouve que la performance sécuritaire est une conséquence de la qualité de l’infrastructure IT globale et de la maturité culturelle de la direction (sensibilisation),. Pour un mémoire, cet article est un support précieux pour justifier que le contrôle des risques cyber passe par une modernisation des systèmes d’information plutôt que par une simple accumulation de logiciels de protection,.

Références citées dans l’article

  • Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916..
  • Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457..
  • Hsu, C., Lee, J.-N., & Straub, D. W. (2012). Institutional influences on information systems security innovations. Information Systems Research, 23(3), 918-939..
  • Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 38(2), 451-471..
  • Straub, D., & Welke, R. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, 22(4), 441-469..

 

The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures.

Posted on by

Référence de l’article

D’Arcy, J., & Basoglu, K. A. (2022). The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures. Journal of the Association for Information Systems, 23(3), 779-805. https://doi.org/10.17705/1jais.00740

Mots-clés

Cybersécurité, gestion des risques, divulgation d’informations (disclosure), pilotage de la performance, théorie de la légitimité, pression institutionnelle, gouvernance des systèmes d’information, rapports 8-K.

Introduction synthétique

Cet article explore les déterminants des divulgations opportunes d’informations sur la cybersécurité dans les rapports 8-K déposés auprès de la SEC. Le problème central réside dans la gestion de la communication après une violation de données, un événement qui engendre des coûts financiers et réputationnels substantiels menaçant la viabilité de l’entreprise. L’objectif des auteurs est de déterminer si des pressions externes, autres que réglementaires, incitent les entreprises à communiquer sur leurs risques et leur gestion de la sécurité. Ils testent l’hypothèse selon laquelle la pression publique (attention médiatique) et la pression institutionnelle (violations chez les pairs) agissent comme des moteurs de divulgation, modulés par l’origine interne ou externe de la faille. Pour le contrôle de gestion, cette recherche souligne que la cybersécurité n’est pas qu’un défi technique, mais un enjeu de pilotage stratégique de l’information pour maintenir la légitimité auprès des investisseurs.

Annonce du plan

  • D’abord nous analyserons les fondements théoriques de la divulgation comme outil de légitimation et les concepts clés liés à la gouvernance de l’information.
  • Ensuite nous examinerons les enjeux managériaux du risque cyber et comment les pressions de l’environnement influencent la performance perçue.
  • Enfin nous mettrons en évidence les résultats de l’étude concernant le rôle du pilotage de la communication dans la réduction de l’asymétrie d’information et les limites de ces mécanismes.

Développement structuré

A. Définitions et concepts clés

  • Risque cyber : Comprend les violations de données, les attaques par déni de service et les ransomwares, entraînant des coûts financiers et réputationnels majeurs.
  • Gouvernance des SI : Elle se manifeste ici par la gestion stratégique des rapports financiers et réglementaires (10-K, 10-Q, 8-K) visant à informer les parties prenantes sur la viabilité à long terme de l’organisation.
  • Contrôle interne : Mentionné à travers le cadre de la loi Sarbanes-Oxley (SOX), il impose l’identification des faiblesses matérielles des contrôles informatiques liés à l’information financière.
  • Pilotage de la performance : Capacité de l’entreprise à maintenir sa valeur boursière et la confiance des investisseurs face à des événements défavorables.
  • Indicateurs de risque (KRI) et de performance (KPI) : L’étude utilise le volume de recherche Google comme indicateur de pression (KRI) et le nombre de mots liés à la sécurité dans les rapports 8-K (DiscWord) comme mesure de l’effort de transparence (KPI).

B. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les cyberattaques impactent négativement le prix des actions, la qualité de l’information financière et peuvent entraîner le départ de dirigeants (CEO/CFO).
  • Impact financier et stratégique : Une violation peut réduire les dépenses des clients et les pousser vers des canaux concurrents. Les investisseurs utilisent ces divulgations pour ajuster leurs décisions d’investissement.
  • Responsabilité managériale : Les gestionnaires exercent un pouvoir discrétionnaire sur la quantité et la nature des informations divulguées, arbitrant entre transparence et protection contre de futures attaques (ne pas aider les hackers).

C. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts : Le contrôle de gestion doit intégrer les dommages financiers directs et les litiges potentiels liés aux failles.
  • Budgets de cybersécurité : L’article mentionne les dépenses en capital (CapEx) comme un facteur lié à la taille de l’entreprise et à sa probabilité de subir une attaque.
  • Tableaux de bord et aide à la décision : La gestion des rapports 8-K sert d’outil de pilotage proactif pour combler le “fossé de légitimité” créé par une crise.
  • Intégration stratégique : Le contrôle de gestion aide à décider si une information est “matérielle” (significative) pour l’investisseur, influençant ainsi la communication stratégique de l’entreprise.

D. Outils, modèles ou mécanismes évoqués

  • Indicateurs : “DiscWord” (comptage de mots-clés de sécurité) mesure l’étendue de la divulgation.
  • Systèmes d’information : Utilisation de la base de données EDGAR de la SEC et de scripts d’extraction de données pour analyser les rapports financiers.
  • Méthodes de mesure du risque : Études d’événements boursiers et analyses de régression (MCO et binomiale négative) pour lier les pressions aux divulgations.
  • Dispositifs de contrôle interne : Évaluations post-brèche incluant la réinitialisation des mots de passe et les audits médico-légaux par des tiers.

E. Résultats, apports et implications

  • Apports théoriques : L’étude affine la théorie de la légitimité en montrant que les entreprises sont sélectives : elles communiquent davantage après une faille externe (jugée moins blâmable) qu’après une faille interne.
  • Apports pratiques : Les gestionnaires utilisent les violations chez les pairs pour se différencier (en divulguant moins) afin de signaler qu’ils ne partagent pas les mêmes faiblesses sectorielles, sauf s’ils sont eux-mêmes victimes.
  • Impact sur la performance globale : Une communication proactive suite à une pression publique peut aider à restaurer la confiance, tandis que la rétention d’information sur les failles internes peut conduire à une évaluation erronée de la valeur de l’entreprise.

F. Limites de l’étude

  • La mesure de la pression publique par Google Trends ne distingue pas si l’attention est positive ou négative.
  • L’agrégation annuelle des données ne permet pas de mesurer avec précision la “rapidité” de la réponse au jour près.
  • Le focus sur les entreprises cotées américaines limite la généralisation à d’autres contextes réglementaires.

Conclusion

Cet article démontre que la divulgation d’informations cyber est un acte de pilotage stratégique dicté par la gestion de la réputation et de la légitimité. Pour un mémoire en contrôle de gestion, il est crucial car il établit que le reporting cyber n’est pas seulement une réponse à la loi, mais une réaction aux attentes du marché et à la pression publique. L’étude offre un cadre pour comprendre comment les indicateurs de risque externes (attention publique) transforment les politiques de reporting interne et influencent la performance boursière.

Références citées dans l’article

  • Bansal, P., & Clelland, I. (2004). Talking trash: Legitimacy, impression management, and unsystematic risk in the context of the natural environment. Academy of Management Journal, 47(1), 93-103.
  • Gordon, L. A., Loeb, M. P., & Sohail, T. (2010). Market value of voluntary disclosures concerning information security. MIS Quarterly, 34(3), 567-594.
  • Li, H., No, W. G., & Wang, T. (2018). SEC’s cybersecurity disclosure guidance and disclosed cybersecurity risk factors. International Journal of Accounting Information Systems, 30, 40-55.
  • Securities and Exchange Commission (SEC). (2018). Commission statement and guidance on public company cybersecurity disclosures.
  • Zavyalova, A., Pfarrer, M. D., Reger, R. K., & Shapiro, D. L. (2012). Managing the message: The effects of firm actions and industry spillovers on media coverage following wrongdoing. Academy of Management Journal, 55(5), 1079-1101.

 

An empirical investigation of company response to data breaches

Posted on by

Référence de l’article
Nikkhah, H. R., & Grover, V. (2022). An empirical investigation of company response to data breaches. MIS Quarterly, 46(4), 2163–2196. https://doi.org/10.25300/MISQ/2022/16609

Mots-clés
Cybersécurité, gestion des risques, violation de données, pilotage de la performance, parties prenantes, gouvernance de l’information, stratégie de réponse, valeur boursière.

Introduction synthétique

L’article traite de l’impact des stratégies de réponse des entreprises suite à une violation de données (« data breach ») sur leurs parties prenantes clés : les clients et les investisseurs. Face à l’augmentation des cyberattaques et au coût moyen élevé d’une brèche, le problème de gestion réside dans la difficulté des organisations à atténuer efficacement les dommages réputationnels et financiers via leur communication post-crise. L’objectif des auteurs est d’analyser comment la nature de la réponse (excuses, compensation, actions correctives) et son délai de diffusion influencent les comportements punitifs des clients et la réaction du marché boursier. La recherche montre que la cybersécurité constitue un enjeu de contrôle de gestion, car une gestion de crise défaillante impacte directement la performance globale à court et moyen terme.

Annonce du plan

D’abord nous analyserons les fondements théoriques de la violation des attentes et les typologies de réponses adoptées par les entreprises.
Ensuite nous examinerons les impacts différenciés du risque cyber sur la performance commerciale et financière.
Enfin nous mettrons en évidence le rôle crucial du pilotage de la réponse pour minimiser la dégradation de la valeur organisationnelle.

Développement structuré

A. Définitions et concepts clés

Le risque cyber est défini comme un accès non autorisé à l’information résultant d’un compromis de sécurité, perçu comme une défaillance de service majeure menaçant la survie de l’organisation.

La gouvernance des systèmes d’information inclut les lois de notification et les politiques de protection des données privées.

Le contrôle interne regroupe les dispositifs techniques et organisationnels (formation, audits de sécurité) visant à prévenir les violations et à assurer la continuité du service.

Le pilotage de la performance correspond à la capacité de l’entreprise à maintenir sa légitimité, sa rentabilité et ses relations avec les parties prenantes après un choc cyber.

Les indicateurs utilisés incluent la « Perceived Expectancy Violation » comme indicateur de risque et la performance mesurée par le « Cumulative Abnormal Return » pour les investisseurs ainsi que l’intention de départ des clients.

B. Enjeux organisationnels et managériaux du risque cyber

Les brèches provoquent une insatisfaction forte chez les clients et une incertitude financière chez les investisseurs. Elles génèrent une perte de valeur boursière et un bouche-à-oreille négatif. Les dirigeants doivent arbitrer entre l’inaction, coûteuse à long terme, et des stratégies accommodantes exigeant des ressources importantes.

C. Rôle du contrôle de gestion dans la gestion du risque cyber

Le contrôle de gestion doit intégrer les coûts de compensation et les pertes de revenus potentielles liées au départ des clients. L’étude suggère que l’allocation de ressources visant à réduire le temps de réponse est plus efficiente qu’une augmentation des compensations tardives. Les tableaux de bord doivent inclure la rapidité de réponse comme indicateur clé. L’article montre également que les excuses peuvent être aussi efficaces que la compensation financière tout en étant moins coûteuses.

D. Outils, modèles ou mécanismes évoqués

L’étude mobilise des indicateurs de satisfaction post-incident et de rétention client. Elle utilise la méthode d’Event Study pour mesurer l’impact boursier et des Factorial Surveys pour analyser les réactions des clients. Les dispositifs de contrôle interne recommandés incluent des mesures correctives telles que la réinitialisation des mots de passe et le recours à des firmes expertes en sécurité.

E. Résultats, apports et implications

Les résultats valident la théorie de la violation des attentes : la brèche rompt le contrat implicite de protection des données. Les stratégies d’inaction ou d’action corrective seule sont inefficaces. L’ajout d’excuses ou de compensation est indispensable pour protéger la performance. La rapidité de réponse est déterminante : une réponse immédiate atténue les pertes, alors qu’une réponse tardive perd son efficacité. Les effets négatifs tendent à s’estomper après plusieurs mois.

F. Limites de l’étude

L’échantillon est limité aux entreprises américaines cotées. L’étude se concentre sur les données de cartes de crédit. Le comportement mesuré chez les clients correspond à une intention et non à un comportement réel observé.

 

Conclusion

L’apport majeur de cet article pour le contrôle de gestion réside dans la démonstration que la performance post-incident cyber dépend fortement du pilotage de la communication vers les parties prenantes. Il fournit une base empirique justifiant des investissements non seulement dans la prévention, mais aussi dans la capacité de réponse rapide, levier stratégique pour préserver la valeur actionnariale et la base client.

Références citées dans l’article

Afifi, W. A., & Metts, S. (1998). Characteristics and consequences of expectation violations in close relationships. Journal of Social and Personal Relationships, 15(3), 365-392.

Coombs, W. T. (1998). An analytic framework for crisis situations. Journal of Public Relations Research, 10(3), 177-191.

Fama, E. F. (1998). Market efficiency and long-term returns. Journal of Financial Economics, 49(3), 283-306.

Malhotra, A., & Malhotra, C. K. (2011). Evaluating customer information breaches as service failures. Journal of Service Research, 14(1), 44-59.

Yayla, A. A., & Hu, Q. (2011). The impact of information security events on stock value. Journal of Information Technology, 26(1), 60-77.