Category Archives: cyber security

Is cybersecurity a team sport? A multilevel examination of workgroup information security effectiveness.

Posted on by
  • Référence de l’article

Yoo, C. W., Goo, J., & Rao, H. R. (2020). Is cybersecurity a team sport? A multilevel examination of workgroup information security effectiveness. MIS Quarterly, 44(2), 907-931.,.https://doi.org/10.25300/MISQ/2020/15477

  • Mots-clés

Contrôle de gestion, performance des groupes, efficacité de la sécurité (WISE), efficacité collective, coordination des connaissances sécuritaires, pilotage des risques cyber, systèmes d’information, approche multiniveau.,,,.

  • Introduction synthétique

Cet article explore l’efficacité de la sécurité de l’information au niveau des groupes de travail (WISE), en dépassant l’approche traditionnelle quasi exclusivement centrée sur la conformité individuelle aux politiques,,. Le problème de gestion traité réside dans la difficulté à comprendre comment les efforts sécuritaires individuels se manifestent au niveau collectif pour produire une performance organisationnelle résiliente,. L’objectif des auteurs est de démontrer, à travers le cadre Input-Process-Output (IPO), que les mécanismes de groupe — à savoir l’efficacité collective (WCE) et la coordination des connaissances sécuritaires (SKC) — sont des médiateurs indispensables entre les capacités individuelles et les résultats de sécurité réels,,. Leur question de recherche interroge la nature multiniveau de la sécurité et comment ces dynamiques de groupe influencent les scores d’évaluation objectifs. Pour le contrôle de gestion, ce travail est crucial car il propose de piloter la cybersécurité comme une performance opérationnelle coordonnée plutôt que comme une simple contrainte de conformité RH,,.

  • Annonce du plan

D’abord nous analyserons les fondements de l’efficacité sécuritaire des groupes via le cadre IPO. Ensuite nous examinerons les mécanismes de médiation (efficacité collective et coordination). Enfin nous mettrons en évidence l’intérêt de l’évaluation de la performance cyber par unité pour le pilotage stratégique de l’organisation.

  • Développement structuré
  1. Définitions et concepts clés
  • Risque cyber : Perçu ici comme une menace sur la performance métier du groupe, nécessitant une vigilance et une résilience collectives,.
  • Gouvernance des SI : Transition d’une gestion directive de la conformité individuelle vers une évaluation de la capacité de fonctionnement du groupe,.
  • Contrôle interne : S’appuie sur l’autoefficacité individuelle (ISE) (croyance en ses propres capacités sécuritaires) comme ressource, mais nécessite des processus de groupe pour être efficace au niveau de l’unité,,.
  • Pilotage de la performance (WISE) : L’efficacité sécuritaire du groupe est définie comme la capacité d’une unité à atteindre ses objectifs de sécurité via des efforts combinés et coordonnés,,.
  • Indicateurs (KRI/KPI) : Scores d’évaluation annuels objectifs basés sur 10 indicateurs clés (ex: sécurité physique, contrôle d’accès, formation, audit),,.

      2. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les violations de sécurité ont un impact négatif direct sur les performances opérationnelles et commerciales des groupes de travail.
  • Impact financier et stratégique : La sécurité est le garant de la continuité des missions critiques (ex: protection des données sensibles dans une agence de maintien de l’ordre),.
  • Responsabilité managériale : Les managers ne doivent plus seulement surveiller la conformité, mais favoriser la synergie et la coordination des compétences pour éviter que le “maillon faible” ne compromette l’unité,,.

3. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts et incidents : L’évaluation WISE permet d’identifier et de corriger les faiblesses des unités géographiquement dispersées,.
  • Budgets de cybersécurité : Justification des investissements non seulement techniques mais aussi dans les mécanismes de partage de connaissances et de formation collective,.
  • Tableaux de bord : Utilisation de scores agrégés (échelle de 0 à 100) pour reporter la performance sécuritaire au CISO (Chief Information Security Officer),.
  • Aide à la décision : Permet d’arbitrer entre le renforcement des capacités individuelles et l’amélioration des processus de coordination selon les besoins des branches,,.

     4. Outils, modèles ou mécanismes évoqués

  • Cadre IPO (Input-Process-Output) : Modèle structurant les conditions préalables (Inputs), les mécanismes d’interaction (Process) et les critères d’évaluation (Output),.
  • MSEM (Multilevel Structural Equation Modeling) : Méthode statistique avancée pour tester les relations entre données individuelles et scores de groupe,.
  • Mécanismes de groupe : La coordination des connaissances (SKC) orchestre les savoirs disparates, tandis que l’efficacité collective (WCE) forge la confiance et la résilience du groupe,,,.

5. Résultats, apports et implications

  • Apports théoriques : L’autoefficacité individuelle (ISE) ne prédit pas directement la performance du groupe ; elle doit impérativement transiter par la coordination et l’efficacité collective pour porter ses fruits,,,.
  • Apports pratiques : La cybersécurité est comparée à un sport d’équipe (analogie du soccer) où la coordination prime sur les records individuels,,.
  • Impact sur la performance globale : Les groupes dotés d’une forte coordination des connaissances affichent de meilleurs scores de sécurité objectifs et une plus grande résilience face aux erreurs humaines,,.

6. Limites de l’étude

  • Échantillon spécifique à une agence de maintien de l’ordre en Corée du Sud, ce qui pose la question de la généralisabilité dans d’autres secteurs ou cultures moins “collectivistes”,,.
  • Utilisation d’indicateurs WISE propriétaires à l’organisation étudiée, bien que basés sur des standards nationaux,.
  1. Conclusion

L’apport majeur de cet article pour le contrôle de gestion est de démontrer que le pilotage du risque cyber est indissociable d’une dynamique de performance collective. Il prouve que l’efficacité d’un système de contrôle interne cyber ne repose pas sur la simple accumulation de conformités individuelles, mais sur la capacité du management à transformer l’autoefficacité des agents en une résilience coordonnée. Pour un mémoire, cette étude est une ressource précieuse car elle fournit un cadre rigoureux (IPO) et des indicateurs concrets (WISE) pour intégrer la cybersécurité dans les systèmes de pilotage de la performance par unité opérationnelle,,,.

 

  1. Références citées dans l’article
  • Bandura, A. (1997). Self-efficacy: The exercise of control. Freeman..
  • Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-548..
  • Faraj, S., & Sproull, L. (2000). Coordinating expertise in software development teams. Management Science, 46(12), 1554-1568..
  • Klein, K. J., & Kozlowski, S. W. (2000). Multilevel theory, research, and methods in organizations. Jossey-Bass..
  • Srivastava, A., Bartol, K. M., & Locke, E. A. (2006). Empowering leadership in management teams: Effects on knowledge sharing, efficacy, and performance. Academy of Management Journal, 49(6), 1239-1251.

 

The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures.

Posted on by

Référence de l’article

D’Arcy, J., & Basoglu, K. A. (2022). The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures. Journal of the Association for Information Systems, 23(3), 779-805. https://doi.org/10.17705/1jais.00740

Mots-clés

Cybersécurité, gestion des risques, divulgation d’informations (disclosure), pilotage de la performance, théorie de la légitimité, pression institutionnelle, gouvernance des systèmes d’information, rapports 8-K.

Introduction synthétique

Cet article explore les déterminants des divulgations opportunes d’informations sur la cybersécurité dans les rapports 8-K déposés auprès de la SEC. Le problème central réside dans la gestion de la communication après une violation de données, un événement qui engendre des coûts financiers et réputationnels substantiels menaçant la viabilité de l’entreprise. L’objectif des auteurs est de déterminer si des pressions externes, autres que réglementaires, incitent les entreprises à communiquer sur leurs risques et leur gestion de la sécurité. Ils testent l’hypothèse selon laquelle la pression publique (attention médiatique) et la pression institutionnelle (violations chez les pairs) agissent comme des moteurs de divulgation, modulés par l’origine interne ou externe de la faille. Pour le contrôle de gestion, cette recherche souligne que la cybersécurité n’est pas qu’un défi technique, mais un enjeu de pilotage stratégique de l’information pour maintenir la légitimité auprès des investisseurs.

Annonce du plan

  • D’abord nous analyserons les fondements théoriques de la divulgation comme outil de légitimation et les concepts clés liés à la gouvernance de l’information.
  • Ensuite nous examinerons les enjeux managériaux du risque cyber et comment les pressions de l’environnement influencent la performance perçue.
  • Enfin nous mettrons en évidence les résultats de l’étude concernant le rôle du pilotage de la communication dans la réduction de l’asymétrie d’information et les limites de ces mécanismes.

Développement structuré

A. Définitions et concepts clés

  • Risque cyber : Comprend les violations de données, les attaques par déni de service et les ransomwares, entraînant des coûts financiers et réputationnels majeurs.
  • Gouvernance des SI : Elle se manifeste ici par la gestion stratégique des rapports financiers et réglementaires (10-K, 10-Q, 8-K) visant à informer les parties prenantes sur la viabilité à long terme de l’organisation.
  • Contrôle interne : Mentionné à travers le cadre de la loi Sarbanes-Oxley (SOX), il impose l’identification des faiblesses matérielles des contrôles informatiques liés à l’information financière.
  • Pilotage de la performance : Capacité de l’entreprise à maintenir sa valeur boursière et la confiance des investisseurs face à des événements défavorables.
  • Indicateurs de risque (KRI) et de performance (KPI) : L’étude utilise le volume de recherche Google comme indicateur de pression (KRI) et le nombre de mots liés à la sécurité dans les rapports 8-K (DiscWord) comme mesure de l’effort de transparence (KPI).

B. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les cyberattaques impactent négativement le prix des actions, la qualité de l’information financière et peuvent entraîner le départ de dirigeants (CEO/CFO).
  • Impact financier et stratégique : Une violation peut réduire les dépenses des clients et les pousser vers des canaux concurrents. Les investisseurs utilisent ces divulgations pour ajuster leurs décisions d’investissement.
  • Responsabilité managériale : Les gestionnaires exercent un pouvoir discrétionnaire sur la quantité et la nature des informations divulguées, arbitrant entre transparence et protection contre de futures attaques (ne pas aider les hackers).

C. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts : Le contrôle de gestion doit intégrer les dommages financiers directs et les litiges potentiels liés aux failles.
  • Budgets de cybersécurité : L’article mentionne les dépenses en capital (CapEx) comme un facteur lié à la taille de l’entreprise et à sa probabilité de subir une attaque.
  • Tableaux de bord et aide à la décision : La gestion des rapports 8-K sert d’outil de pilotage proactif pour combler le “fossé de légitimité” créé par une crise.
  • Intégration stratégique : Le contrôle de gestion aide à décider si une information est “matérielle” (significative) pour l’investisseur, influençant ainsi la communication stratégique de l’entreprise.

D. Outils, modèles ou mécanismes évoqués

  • Indicateurs : “DiscWord” (comptage de mots-clés de sécurité) mesure l’étendue de la divulgation.
  • Systèmes d’information : Utilisation de la base de données EDGAR de la SEC et de scripts d’extraction de données pour analyser les rapports financiers.
  • Méthodes de mesure du risque : Études d’événements boursiers et analyses de régression (MCO et binomiale négative) pour lier les pressions aux divulgations.
  • Dispositifs de contrôle interne : Évaluations post-brèche incluant la réinitialisation des mots de passe et les audits médico-légaux par des tiers.

E. Résultats, apports et implications

  • Apports théoriques : L’étude affine la théorie de la légitimité en montrant que les entreprises sont sélectives : elles communiquent davantage après une faille externe (jugée moins blâmable) qu’après une faille interne.
  • Apports pratiques : Les gestionnaires utilisent les violations chez les pairs pour se différencier (en divulguant moins) afin de signaler qu’ils ne partagent pas les mêmes faiblesses sectorielles, sauf s’ils sont eux-mêmes victimes.
  • Impact sur la performance globale : Une communication proactive suite à une pression publique peut aider à restaurer la confiance, tandis que la rétention d’information sur les failles internes peut conduire à une évaluation erronée de la valeur de l’entreprise.

F. Limites de l’étude

  • La mesure de la pression publique par Google Trends ne distingue pas si l’attention est positive ou négative.
  • L’agrégation annuelle des données ne permet pas de mesurer avec précision la “rapidité” de la réponse au jour près.
  • Le focus sur les entreprises cotées américaines limite la généralisation à d’autres contextes réglementaires.

Conclusion

Cet article démontre que la divulgation d’informations cyber est un acte de pilotage stratégique dicté par la gestion de la réputation et de la légitimité. Pour un mémoire en contrôle de gestion, il est crucial car il établit que le reporting cyber n’est pas seulement une réponse à la loi, mais une réaction aux attentes du marché et à la pression publique. L’étude offre un cadre pour comprendre comment les indicateurs de risque externes (attention publique) transforment les politiques de reporting interne et influencent la performance boursière.

Références citées dans l’article

  • Bansal, P., & Clelland, I. (2004). Talking trash: Legitimacy, impression management, and unsystematic risk in the context of the natural environment. Academy of Management Journal, 47(1), 93-103.
  • Gordon, L. A., Loeb, M. P., & Sohail, T. (2010). Market value of voluntary disclosures concerning information security. MIS Quarterly, 34(3), 567-594.
  • Li, H., No, W. G., & Wang, T. (2018). SEC’s cybersecurity disclosure guidance and disclosed cybersecurity risk factors. International Journal of Accounting Information Systems, 30, 40-55.
  • Securities and Exchange Commission (SEC). (2018). Commission statement and guidance on public company cybersecurity disclosures.
  • Zavyalova, A., Pfarrer, M. D., Reger, R. K., & Shapiro, D. L. (2012). Managing the message: The effects of firm actions and industry spillovers on media coverage following wrongdoing. Academy of Management Journal, 55(5), 1079-1101.