Référence de l’article :
Silic, M., & Lowry, P. B. (2020). Using Design-Science Based Gamification to Improve Organizational Security Training and Compliance. Journal of Management Information Systems, 37(1), 129–161. https://doi.org/10.1080/07421222.2020.1705512


Mots-clés :
• Contrôle de gestion comportemental
• Performance humaine en cybersécurité
• Gamification (Ludification)
• Design Science Research (DSR)
• Programmes SETA (Formation et sensibilisation)
• Auto-efficacité (Self-efficacy)
• Conformité aux politiques de sécurité


Introduction synthétique :
L’article traite de l’échec des méthodes traditionnelles de formation à la cybersécurité, souvent perçues comme ennuyeuses et inefficaces, laissant les employés comme le “maillon faible” de l’organisation. Le problème de gestion réside dans l’incapacité à prévenir les attaques de phishing malgré des investissements dans des formations classiques. L’objectif des auteurs est de concevoir un système de formation ludifié basé sur des principes de Design Science Research pour accroître la motivation intrinsèque et l’apprentissage. Leur question de recherche examine si un tel système peut induire un changement comportemental mesurable et durable. Le lien avec le contrôle de gestion est établi via le pilotage de la performance humaine et le remplacement des contrôles répressifs par des mécanismes d’engagement intrinsèque.


Annonce du plan :
D’abord nous analyserons le cadre théorique de la motivation et les principes de conception du système ludifié. Ensuite nous examinerons l’impact de ce dispositif sur les capacités de réponse aux menaces des employés. Enfin nous mettrons en évidence les résultats de l’étude de terrain et l’amélioration concrète de la performance organisationnelle face au risque cyber.


Développement structuré :

A. Définitions et concepts clés
• Risque cyber : Focalisé ici sur les comportements négligents des employés, particulièrement face au hameçonnage (phishing).
• Gouvernance des SI : Cadre incluant les programmes SETA (Security Education, Training, and Awareness) pour assurer la conformité aux politiques internes.
• Contrôle interne : Processus visant à motiver des comportements pro-sociaux et protecteurs plutôt que de simplement punir l’abus informatique.
• Motivation intrinsèque : Moteur principal du changement comportemental, opposé aux motivations extrinsèques (récompenses/sanctions) qui n’offrent qu’une conformité temporaire.
• Indicateurs (KPI) : Le taux de réponse correcte aux simulations de phishing réelles (réaction auditable).

B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : Le manque de conscience sécuritaire des employés entraîne des échecs de performance et des risques réputationnels majeurs.
• Impact financier et stratégique : Les attaques de phishing réussies sont une porte d’entrée pour des violations de données coûteuses.
• Responsabilité managériale : Il incombe aux gestionnaires de rendre la formation pertinente et non disruptive pour le travail quotidien.

C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Suivi de l’efficacité des formations : L’article démontre que les formations par e-mail (méthode classique) sont futiles et n’améliorent pas la performance par rapport à un groupe sans formation.
• Budgets de cybersécurité : Justification de l’investissement dans des plateformes interactives plutôt que dans des modules de formation passifs.
• Pilotage par l’engagement : Utilisation d’outils comme le HMSAM (Hedonic-Motivation System Adoption Model) pour piloter l’adoption des comportements sécurisés via l’immersion.
• Aide à la décision : Évaluation des niveaux d’auto-efficacité pour déterminer si les employés sont réellement capables de faire face aux menaces.

D. Outils, modèles ou mécanismes évoqués
• Système ludifié : Utilisation d’avatars, de médailles (or, argent, bronze), de tableaux de bord (leaderboards) et d’un “maître du jeu” (gamemaster).
• Méthodes de mesure du risque : Étude de terrain longitudinale de 6 mois avec 420 participants incluant des tests de phishing “aveugles” (natural experiment).
• Modèle théorique : Extension du modèle HMSAM intégrant l’apprentissage et l’efficacité de la réponse.
• Relation de défi approprié : Identification d’une relation en U-inversé entre le défi perçu et l’immersion : un défi trop simple ou trop complexe réduit la performance.

E. Résultats, apports et implications
• Apports théoriques : Première étude longitudinale démontrant que l’immersion ludique mène à un changement de comportement sécuritaire réel.
• Apports pratiques : Le groupe ludifié a montré un taux de réussite face au phishing significativement supérieur (72,7%) par rapport au groupe contrôle (55,3%).
• Impact sur la performance globale : La réduction drastique de la vulnérabilité humaine diminue le risque résiduel de l’organisation.

F. Limites de l’étude
L’étude est limitée à une seule grande entreprise internationale, ce qui peut poser des questions de généralisation culturelle. De plus, elle ne traite pas de la combinaison possible entre motivations intrinsèques et récompenses extrinsèques (primes).


Conclusion :
Cet article est fondamental pour un mémoire en contrôle de gestion car il prouve que le pilotage du risque cyber passe par une transformation radicale de la gestion de l’humain. Il remet en cause l’efficacité des méthodes de contrôle traditionnelles (e-mails, sanctions) au profit d’outils de design comportemental. Pour un mémoire, il fournit une méthodologie rigoureuse pour mesurer le retour sur investissement des programmes de sensibilisation à travers des indicateurs de performance comportementaux concrets.


Références citées dans l’article (Format APA) :
• Agarwal, R., & Karahanna, E. (2000). Time flies when you’re having fun: Cognitive absorption and beliefs about information technology usage. MIS Quarterly, 24(4), 665–694.
• Bandura, A. (1993). Perceived self-efficacy in cognitive development and functioning. Educational Psychologist, 28(2), 117–148.
• Hevner, A. R., March, S. T., Park, J., & Ram, S. (2004). Design science in information systems research. MIS Quarterly, 28(1), 75–105.
• Lowry, P. B., Gaskin, J., Twyman, N., Hammer, B., & Roberts, T. (2013). Taking “fun and games” seriously: Proposing the hedonic-motivation system adoption model (HMSAM). Journal of the Association for Information Systems, 14(11), 617–671.
• Vance, A., Lowry, P. B., & Eggett, D. (2015). Increasing perceptions of accountability through the user interface. MIS Quarterly, 39(2), 345–366.

Référence de l’article :
D’Arcy, J., & Basoglu, K. A. (2022). The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures. Journal of the Association for Information Systems, 23(3), 779-805. https://doi.org/10.17705/1jais.00740


Mots-clés :
• Divulgation (Disclosure)
• Théorie de la légitimité
• Pression publique
• Pression institutionnelle
• Rapports 8-K (SEC)
• Gouvernance de la cybersécurité
• Gestion des risques


Introduction synthétique :
L’article explore les facteurs qui poussent les entreprises à divulguer des informations sur leur cybersécurité de manière opportune, spécifiquement via les rapports 8-K déposés auprès de la SEC. Le problème traité est le manque de transparence et de rapidité dans la communication des risques cyber, ce qui peut nuire aux investisseurs. Les auteurs ont pour objectif de tester si des pressions externes (du public et des pairs de l’industrie) influencent ces décisions de divulgation au-delà des obligations réglementaires. Leur question de recherche examine comment la source d’une violation (interne ou externe) module ces pressions. L’article lie directement la gestion des risques au pilotage de la communication stratégique, montrant que la divulgation est un outil pour combler un “écart de légitimité” après un incident cyber.


Annonce du plan :
D’abord nous analyserons les fondements théoriques de la légitimité liés à la divulgation d’informations cyber. Ensuite nous examinerons comment les pressions du public et de l’industrie dictent la réactivité des entreprises. Enfin nous mettrons en évidence les implications de ces résultats pour le contrôle interne et la gouvernance.


Développement structuré :

A. Définitions et concepts clés
• Risque cyber : Comprend les incidents de sécurité (violations de données, ransomwares) entraînant des coûts financiers et réputationnels substantiels.
• Gouvernance des SI : Implique la gestion stratégique des priorités de l’entreprise en matière de sécurité, poussée par les régulateurs (ex: SEC) et les parties prenantes.
• Contrôle interne : Cadre incluant les faiblesses de contrôle (SOX) qui doivent être signalées si elles affectent les décisions des investisseurs.
• Divulgation cyber (Cybersecurity Disclosure) : Communication proactive sur la prévention, la détection et la correction des violations, ainsi que sur les efforts de gestion des risques.
• Rapport 8-K : Outil de communication “actuelle” (vs trimestrielle) utilisé pour notifier les investisseurs d’événements matériels importants.

B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : Les violations de données affectent la valeur boursière, les dépenses des clients et peuvent entraîner le remplacement de la direction (CEO/CFO).
• Impact financier et stratégique : La divulgation est un choix stratégique : elle peut rassurer les investisseurs mais aussi aider les hackers en révélant des vulnérabilités.
• Responsabilité managériale : Les gestionnaires exercent leur discrétion pour déterminer si une information cyber est “matérielle” et doit être publiée.

C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Suivi des coûts liés aux incidents : L’article mentionne le suivi des coûts financiers, des procédures judiciaires et des efforts de remédiation après une violation.
• Tableaux de bord et reporting : Utilisation des rapports 8-K comme outil de pilotage pour projeter une image de responsabilité et de transparence auprès des marchés.
• Aide à la décision : La direction doit arbitrer entre le coût de la divulgation et le risque de perte de légitimité si elle reste silencieuse.

D. Outils, modèles ou mécanismes évoqués
• Analyse de données de panel : Étude portant sur 678 annonces de violations de données entre 2005 et 2018.
• Indicateurs de pression : Mesure de l’attention publique via le volume de recherches Google (Google Trends) sur l’entreprise après un incident.
• Classification des sources : Distinction entre violations externes (hackers) et internes (erreurs de processus ou employés malveillants).

E. Résultats, apports et implications
• Apports théoriques : Nuance la théorie de la légitimité en montrant que les entreprises sont sélectives : elles réagissent davantage aux pressions publiques pour les violations externes, jugées moins “évitables” que les internes.
• Apports pratiques : Les entreprises ont tendance à utiliser les violations de leurs pairs comme un “bouclier” (effet de sécurité par le nombre) pour divulguer moins d’informations sur leurs propres défaillances internes.
• Impact sur la performance : La pression publique agit comme une “autorité morale” poussant à une plus grande transparence, ce qui influence la valorisation boursière globale.

F. Limites de l’étude
Les auteurs notent que la mesure de l’attention via Google Trends ne précise pas si l’attention est positive ou négative. De plus, l’étude ne permet pas d’évaluer si le contenu des divulgations est purement “opportuniste” (lip service) ou s’il reflète un engagement réel envers la cybersécurité.


Conclusion :
Cet article est essentiel pour un mémoire en contrôle de gestion car il démontre que le reporting cyber n’est pas qu’une question de conformité, mais un levier de gestion de la réputation et de la légitimité. Il souligne que le contrôle de gestion doit intégrer la dimension de l’opinion publique et de l’environnement institutionnel dans ses stratégies de communication financière. Pour un mémoire, il offre une méthodologie pour analyser la réactivité des entreprises face aux risques externes.


Références citées dans l’article :
• Gordon, L. A., Loeb, M. P., & Sohail, T. (2010). Market value of voluntary disclosures concerning information security. MIS Quarterly, 34(3), 567-594.
• He, J., & Plumlee, M. A. (2020). Measuring disclosure using 8-K filings. Review of Accounting Studies, 25(3), 903-962.
• Patten, D. M. (2002). The relation between environmental performance and environmental disclosure: A research note. Accounting, Organizations and Society, 27(8), 763-773.
• Suchman, M. C. (1995). Managing legitimacy: Strategic and institutional approaches. Academy of Management Review, 20(3), 571-610.
• Weber, R. (1999). Information Systems Control and Audit. Prentice-Hall.

Référence de l’article :
Li, H., Kettinger, W. J., & Yoo, S. (2024). Dark Clouds on the Horizon? Effects of Cloud Storage on Security Breaches. Journal of Management Information Systems, 41(1), 206–235. https://doi.org/10.1080/07421222.2023.2301177


Mots-clés :
• Contrôle de gestion et pilotage
• Gestion des risques cyber
• Performance en sécurité informatique
• Attention-Based View (ABV)
• Dynamiques temporelles (court vs long terme)
• Cloud storage
• Gouvernance des données


Introduction synthétique :
L’article étudie l’impact de l’implémentation du stockage cloud sur les différents types de violations de sécurité (externes, internes accidentelles et internes malveillantes) au sein des organisations. Les auteurs traitent le problème de la performance sécuritaire du cloud, souvent débattue mais peu étayée empiriquement. L’objectif est de démontrer que les effets du cloud ne sont pas uniformes et dépendent d’un facteur managérial clé : l’attention organisationnelle. Les auteurs mobilisent la théorie de la vue basée sur l’attention (Attention-Based View) pour expliquer comment les ressources limitées des gestionnaires influent sur le risque. Le lien avec le contrôle de gestion est direct : la cybersécurité est présentée comme une question de pilotage stratégique des ressources attentionnelles plutôt que comme un simple défi technique.


Annonce du plan :
D’abord nous analyserons le cadre théorique de l’attention et la typologie des risques cyber abordée. Ensuite nous examinerons les dynamiques temporelles qui influencent la performance de sécurité. Enfin nous mettrons en évidence les implications pour le pilotage des risques et les limites de l’étude.


Développement structuré :

A. Définitions et concepts clés
• Risque cyber : Catégorisé en trois types : violations externes (hackers), violations internes malveillantes (employés intentionnels) et violations internes accidentelles (négligence).
• Attention-Based View (ABV) : Cadre théorique postulant que les résultats stratégiques d’une firme dépendent de la distribution de son attention limitée vers des “enjeux” spécifiques.
• Mécanismes attentionnels : Incluent l’attention sélective (focus sur un sujet), la vigilance (maintien de l’attention) et la flexibilité (capacité à réallouer l’attention).
• Modèle de responsabilité partagée : Concept de gouvernance où le fournisseur cloud gère l’infrastructure tandis que le client gère la sécurité des données.

B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : À court terme, l’implémentation du cloud augmente paradoxalement le risque de violations externes et accidentelles en raison d’une focalisation excessive sur les fonctionnalités opérationnelles au détriment de la sécurité.
• Diffusion de responsabilité : Risque managérial où l’organisation réduit sa vigilance en supposant (à tort) que le fournisseur cloud prend en charge l’intégralité de la sécurité.
• Impact stratégique : Le risque cyber est un “enjeu” en compétition avec d’autres objectifs commerciaux pour l’obtention de ressources limitées.

C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Arbitrage et allocation de ressources : Le gestionnaire doit décider comment répartir l’attention et les budgets entre les fonctionnalités du cloud et les protocoles de sécurité.
• Pilotage par les processus : Nécessité d’intégrer des mécanismes de flexibilité attentionnelle pour réallouer les ressources vers la sécurité une fois la phase de transition terminée.
• Suivi de la performance : L’article suggère que le contrôle de gestion doit intégrer une dimension temporelle dans ses tableaux de bord de risques, car les bénéfices sécuritaires du cloud (notamment sur les erreurs accidentelles) ne se manifestent qu’à long terme.

D. Outils, modèles ou mécanismes évoqués
• Méthode économétrique : Utilisation du Propensity Score Matching (PSM) et de variables instrumentales sur un échantillon longitudinal d’hôpitaux américains pour isoler l’effet du cloud.
• Mécanisme de traçabilité : Le cloud offre des capacités supérieures de suivi des “empreintes” numériques pour décourager les menaces internes.
• Vigilance attentionnelle : Développement de routines et d’automatisation pour transformer l’attention “contrôlée” en attention “automatique” plus efficace.

E. Résultats, apports et implications
• Apports théoriques : Première étude à théoriser le rôle de l’attention managériale dans la performance cyber et à démontrer les effets asymétriques court/long terme.
• Apports pratiques : Le cloud réduit les violations internes accidentelles à long terme grâce à la centralisation des données et au retrait des dispositifs physiques.
• Implications managériales : Les managers doivent anticiper un pic de vulnérabilité au moment de la migration (risques externes accrus) avant d’atteindre une stabilité sécuritaire.

F. Limites de l’étude
L’étude s’appuie sur le secteur de la santé (hôpitaux), ce qui peut limiter la généralisation à d’autres industries moins régulées. De plus, l’attention managériale est mesurée indirectement via des entretiens et des rapports, faute de mesures directes en temps réel.


Conclusion :
Cet article est crucial pour un mémoire en contrôle de gestion car il désacralise l’idée que le risque cyber est purement technique. Il démontre que la performance en sécurité est le résultat d’un pilotage stratégique de l’attention organisationnelle. Pour un étudiant, il fournit un cadre robuste pour argumenter que le contrôle de gestion doit accompagner les projets de transformation numérique (comme le cloud) par une vigilance accrue durant les phases de transition, tout en valorisant les bénéfices de long terme sur la réduction des erreurs humaines.


Références citées dans l’article :
• Angst, C.M., Block, E.S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? MIS Quarterly, 41(3), 893–916.
• Kwon, J., & Johnson, M.E. (2018). Meaningful healthcare security: Does “meaningful-use” attestation improve information security performance? MIS Quarterly, 42(4), 1043–1067.
• Ocasio, W. (1997). Towards an attention-based view of the firm. Strategic Management Journal, 18(S1), 187–206.
• Ocasio, W. (2011). Attention to attention. Organization Science, 22(5), 1286–1296.
• Straub, D.W., & Welke, R.J. (1998). Coping with Systems Risk: Security Planning Models for Management Decision Making. MIS Quarterly, 22(4), 441–469. (Note : citée via le contexte de la théorie du contrôle).

Référence de l’article :
Ullman, S., Samtani, S., Zhu, H., Lazarine, B., Chen, H., & Nunamaker Jr., J. F. (2024). Enhancing Vulnerability Prioritization in Cloud Computing Using Multi-View Representation Learning. Journal of Management Information Systems, 41(3), 708–743. https://doi.org/10.1080/07421222.2024.2376384.

Mots-clés :
• Gouvernance des systèmes d’information (SI)
• Pilotage de la performance
• Gestion du risque cyber
• Contrôle de gestion et audit informatique
• Priorisation des vulnérabilités
• Cloud Computing
• Aide à la décision managériale


Introduction synthétique :
L’article traite de la priorisation automatisée des vulnérabilités logicielles au sein des machines virtuelles (VM) dans les environnements de cloud computing. Le problème central est le “déluge de données” : la quantité massive et la complexité des vulnérabilités dépassent les capacités cognitives humaines des analystes de sécurité et des auditeurs, rendant la gestion des risques inefficace. L’objectif des auteurs est de concevoir un outil de deep learning, le MV-CAAE, capable de regrouper (closteriser) les actifs vulnérables pour faciliter le développement de stratégies de remédiation ciblées. Les auteurs s’appuient sur la théorie du contrôle et de l’audit ainsi que sur la théorie de la gestion des risques pour démontrer que la cybersécurité est une préoccupation organisationnelle vitale ayant des implications managériales directes sur la protection des actifs et la continuité opérationnelle.


Annonce du plan :
D’abord nous analyserons les fondements théoriques et les concepts clés liant le risque cyber à la gouvernance des SI. Ensuite, nous examinerons les enjeux organisationnels et le rôle pivot du contrôle de gestion dans le pilotage de cette menace. Enfin, nous mettrons en évidence les outils de mesure proposés, les résultats de l’étude et les limites identifiées pour la pratique managériale.


Développement structuré :

A. Définitions et concepts clés
• Risque cyber : Défini comme les faiblesses (vulnérabilités) que les attaquants ciblent pour compromettre l’infrastructure informatique, pouvant mener à des pertes de données et à la rupture des opérations commerciales.
• Gouvernance des SI : S’appuie sur des cadres comme COBIT ou ISO 17799 pour assurer que la gestion de la sécurité répond aux exigences organisationnelles.
• Contrôle interne : Système visant à prévenir, détecter et corriger les événements à risque (vulnérabilités) pour mesurer la performance du contrôle au sein de l’organisation.
• Pilotage de la performance : Nécessité de sécuriser les infrastructures pour protéger les flux de travail critiques et la valeur financière des actifs (marché des VM estimé à 119 milliards de dollars d’ici 2031).
• Indicateurs (KRI/KPI) : L’étude utilise des métriques de qualité de cluster comme le V-measure, l’ARI et l’AMI pour évaluer l’efficacité des dispositifs de détection et de regroupement des risques.

B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : L’installation de logiciels open-source non sécurisés augmente la surface d’attaque, risquant d’interrompre des opérations de recherche ou commerciales à fort impact.
• Impact financier et stratégique : L’exploitation de vulnérabilités peut entraîner une perte de propriété intellectuelle et un mauvais usage des ressources coûteuses du cloud.
• Responsabilité managériale : Les cadres doivent arbitrer entre la flexibilité offerte par le cloud et la nécessité de protéger les actifs critiques par un audit continu.

C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Suivi des coûts : L’automatisation proposée réduit les coûts de main-d’œuvre liés au scan manuel et à l’analyse individuelle de chaque VM.
• Budgets de cybersécurité : Aide à l’allocation optimale des ressources financières et humaines en ciblant les actifs les plus critiques.
• Tableaux de bord : La closterisation fournit une vue d’ensemble des vulnérabilités par groupes, permettant un reporting plus clair pour la direction.
• Aide à la décision : L’outil permet de décider si l’utilisation d’une VM spécifique doit être stoppée ou si des politiques d’utilisation doivent être redéfinies.
• Intégration stratégique : Le risque cyber est intégré dans le pilotage global via l’identification proactive des menaces pesant sur les objectifs stratégiques.

D. Outils, modèles ou mécanismes évoqués
• Modèle MV-CAAE : Un auto-encodeur multi-vue utilisant un mécanisme d’attention pour fusionner les données des paquets logiciels et des systèmes de fichiers.
• Scanners de vulnérabilités : Utilisation d’outils comme Bandit (pour Python) et Flawfinder (pour C) pour l’extraction de données brutes.
• Méthodes de mesure : Évaluation par “gold-standard” (jeu de données de référence) étiqueté par des experts pour valider la précision des indicateurs de risque.

E. Résultats, apports et implications
• Apports théoriques : Contribution à la recherche en design science dans le domaine de la cybersécurité et enrichissement des théories du contrôle et de l’audit.
• Apports pratiques : L’approche permet aux analystes SOC et aux auditeurs informatiques d’automatiser la priorisation, augmentant ainsi l’efficacité opérationnelle.
• Impact sur la performance : Une meilleure visibilité des risques permet une remédiation ciblée, protégeant ainsi la continuité et la performance globale de l’organisation.

F. Limites de l’étude
L’étude souligne que les résultats dépendent de la qualité des scanners de vulnérabilités utilisés. De plus, le modèle ne prend pas en compte les vulnérabilités réseau ou les politiques de sécurité internes spécifiques à chaque organisation, et ne donne pas d’instruction automatique sur quel cluster prioriser, laissant la décision finale à l’humain.


Conclusion :
Cet article est fondamental pour comprendre comment le contrôle de gestion peut s’approprier les outils de l’intelligence artificielle pour piloter le risque cyber de manière proactive. Il démontre que la gestion des vulnérabilités n’est pas qu’un problème technique, mais un enjeu de gouvernance nécessitant des outils d’aide à la décision capables de synthétiser des données complexes en informations actionnables. Pour un mémoire, il offre un modèle de cadre conceptuel reliant les métriques techniques aux objectifs de performance et de contrôle interne de l’entreprise.


Références citées dans l’article (Format APA) :
• Abbasi, A., & Chen, H. (2008). CyberGate: A Design Framework and System for Text Analysis of Computer-Mediated Communication. MIS Quarterly, 32(4), 811–837.
• Hevner, A. R., March, S. T., Park, J., & Ram, S. (2004). Design Science in Information Systems Research. MIS Quarterly, 28(1), 75–105.
• Hong, K., Chi, Y., Chao, L. R., & Tang, J. (2003). An Integrated System Theory of Information Security Management. Information Management & Computer Security, 11(5), 243–248.
• Samtani, S., Chai, Y., & Chen, H. (2022). Linking Exploits from the Dark Web to Known Vulnerabilities for Proactive Cyber Threat Intelligence: An Attention-based Deep Structured Semantic Model. MIS Quarterly, 46(2), 911–946.
• Straub, D. W., & Welke, R. J. (1998). Coping with Systems Risk: Security Planning Models for Management Decision Making. MIS Quarterly, 22(4), 441–469.
• Weber, R. (1999). Information Systems Control and Audit. Prentice-Hall.

Référence de l’article

Torres, C. I., & Crossler, R. E. (2025). Promoting security behaviors in remote work environments: Personal values shaping information security policy compliance. Information Systems Research, 36(2), 1183–1195. https://doi.org/10.1287/isre.2021.0563

Mots-clés

Contrôle de gestion, gestion des risques, cybersécurité, performance organisationnelle, pilotage comportemental, conformité aux politiques de sécurité (ISP), valeurs personnelles, télétravail.

Introduction synthétique

Cet article traite du rôle des valeurs personnelles comme moteurs de la conformité aux politiques de sécurité de l’information (ISP) dans un contexte de généralisation du travail hybride. Le problème de gestion réside dans le fait que 74 % des violations de données impliquent des éléments humains (erreurs, utilisation abusive), alors que les contrôles traditionnels s’affaiblissent en milieu de télétravail. L’objectif des auteurs est d’étendre le modèle unifié de conformité (UMISPC) en y intégrant la théorie des valeurs universelles de Schwartz pour mieux prédire les intentions de comportement sécuritaire,. Leur question de recherche examine comment ces valeurs expliquent les intentions de protection et comment les motivations diffèrent entre travailleurs sur site et à distance. Ce travail lie la cybersécurité au contrôle de gestion en proposant de passer d’une approche de contrôle uniforme à un pilotage individualisé des comportements, essentiel pour préserver la performance financière face aux coûts croissants des brèches de données,.

Annonce du plan

D’abord nous analyserons les fondements théoriques liant les valeurs personnelles à la conformité aux systèmes d’information. Ensuite nous examinerons l’impact du télétravail comme modérateur du risque cyber et du pilotage de la performance. Enfin nous mettrons en évidence les résultats de l’étude et leurs implications pour la conception de dispositifs de contrôle interne adaptés.

Développement structuré

1. Définitions et concepts clés

• Risque cyber : Principalement défini par le manque d’engagement des employés envers la cybersécurité, faisant de l’humain le « maillon faible » de la chaîne de sécurité.
• Gouvernance des SI : Cadre de conception et de mise en œuvre des politiques de sécurité (ISP) pour prévenir les cybermenaces,.
• Contrôle interne : Traditionnellement basé sur la surveillance directe, il doit ici s’appuyer sur des leviers intrinsèques (valeurs) lorsque la supervision diminue.
• Pilotage de la performance : Capacité à maintenir la sécurité des actifs informationnels pour éviter des pertes financières moyennes de 4,45 millions de dollars par incident.
• Indicateurs : Intentions de conformité mesurées par la variance expliquée (R2) dans le modèle théorique.

2. Enjeux organisationnels et managériaux du risque cyber

• Menaces pour la performance : Les coûts des violations augmentent, particulièrement lorsque le travail à distance est impliqué.
• Impact financier et stratégique : Le travail hybride est devenu la norme (stabilisation à 30 % sous les niveaux pré-pandémie), obligeant les entreprises à adapter leur posture cyber.
• Responsabilité managériale : Les responsables SI et les directions générales doivent abandonner l’approche « taille unique » au profit de programmes sur mesure.

3. Rôle du contrôle de gestion dans la gestion du risque cyber

• Suivi des coûts liés aux incidents : L’article souligne que l’élément humain est la source de la majorité des pertes financières liées au cyber.
• Budgets de cybersécurité : Les ressources doivent être allouées à des interventions ciblées (formation, communication) basées sur la compréhension des valeurs des employés,.
• Tableaux de bord : Intégration des caractéristiques individuelles pour évaluer la vulnérabilité des différents groupes de travailleurs (distanciel vs présentiel),.
• Aide à la décision : Permet aux gestionnaires d’identifier quels leviers (peur, valeurs de conservation ou d’ouverture) activer pour favoriser la conformité,,.
• Intégration du risque dans le pilotage stratégique : Faire des employés la première ligne de défense plutôt que le maillon faible en alignant les ISP sur leurs motivations personnelles,.

4. Outils, modèles ou mécanismes évoqués

• Modèle UMISPC modifié : Inclut des variables comme la menace perçue, la peur, les habitudes et les neutralisations, complétées par les valeurs de Schwartz,.
• Systèmes d’information : Comparaison des environnements sur site et à distance comme modérateur catégoriel de l’efficacité des contrôles.
• Méthodes de mesure du risque : Utilisation de la méthode des scénarios pour capturer les intentions de comportement dans des situations réalistes,.
• Dispositifs de contrôle interne : Recommandation de programmes de cybersécurité personnalisés plutôt que standardisés.

5. Résultats, apports et implications

• Apports théoriques : Confirmation que les valeurs personnelles sont des prédicteurs significatifs de la conformité. Le modèle explique 54 % de la variance pour les télétravailleurs contre 37 % pour les travailleurs sur site.
• Apports pratiques : Les valeurs de conservation (respect de l’autorité) et d’ouverture au changement (autonomie) influencent positivement la conformité, tandis que la recherche de succès personnel (affirmation de soi) peut la freiner,,.
• Impact sur la performance globale : Une meilleure compréhension des motivations individuelles permet de réduire la probabilité de violations coûteuses dans les environnements moins supervisés.

6. Limites de l’étude

• L’étude mesure les intentions de conformité et non les comportements réels.
• L’approche est transversale et ne permet pas d’évaluer l’effet du temps ou des interventions sur l’évolution des valeurs.
• Elle se concentre sur la perspective individuelle plutôt que sur l’équilibre coût-bénéfice au niveau organisationnel.

Conclusion :

Cet article démontre que le pilotage de la performance cyber dépend intrinsèquement de la maîtrise des facteurs humains. Pour le contrôle de gestion, l’apport majeur réside dans la preuve que le risque cyber doit être géré par des systèmes de contrôle comportementaux différenciés : en télétravail, les valeurs personnelles deviennent le levier de pilotage le plus efficace pour assurer la conformité et protéger les actifs de la firme. Cette étude est une ressource précieuse pour un mémoire, car elle fournit un cadre scientifique pour justifier des investissements dans des « soft controls » psychologiques au sein de la gouvernance des SI.

Références citées dans l’article :

• Boss, S., et al. (2015). What do systems users have to fear? Using fear appeals to engender threats and fear that motivate protective security behaviors. MIS Quarterly.
• Moody, G. D., et al. (2018). Toward a unified model of information security policy compliance. MIS Quarterly.
• Schwartz, S. H. (1992). Universals in the content and structure of values: Theoretical advances and empirical tests in 20 countries. Advances in Experimental Social Psychology.
• Siponen, M., & Vance, A. (2010). Neutralization: New insights into the problem of employee information systems security policy violations. MIS Quarterly.
• Vance, A., et al. (2015). Increasing accountability through user-interface design artifacts: A new approach to addressing the problem of access-policy violations. MIS Quarterly.

Référence (format APA)

Lewin, K. (1951). Field Theory in Social Science: Selected Theoretical Papers (D. Cartwright, Éd.). Harper & Row.

Mots-clés

Théorie du champ ; changement organisationnel ; dynamique de groupe ; unfreeze-change-refreeze ; résistance au changement ; normes sociales

Synthèse

Lewin, considéré comme le pionnier de la conduite du changement, introduit la théorie du champ et le modèle de changement en trois phases : unfreeze (décristallisation), change (déplacement) et refreeze (recristallisation). Il démontre qu’il est plus facile de modifier les normes d’un groupe que de réduire l’attachement individuel à ces normes. Son approche de la dynamique de groupe constitue le socle théorique sur lequel se sont construits tous les modèles ultérieurs de conduite du changement, de Kotter à Autissier et Moutot.

Développement

1. Cadre théorique et apports fondamentaux

Lewin, psychologue américain d’origine allemande, spécialiste de la psychologie sociale, fonde son approche sur la dynamique des groupes. Sa théorie du champ postule que le comportement d’un individu est fonction de la personne et de son environnement (B = f(P,E)). Il montre que tout système social est en état d’équilibre quasi-stationnaire entre des forces motrices (qui poussent au changement) et des forces de résistance (qui maintiennent le statu quo). Le changement ne peut survenir que si l’équilibre est rompu.

2. Le modèle en trois phases

La phase de décristallisation (unfreeze) consiste à remettre en cause les normes et habitudes existantes pour créer les conditions du changement. Cette phase génère de l’inconfort, de l’insécurité et de l’anxiété. La phase de déplacement (change/moving) fait expérimenter de nouvelles pratiques et normes. La phase de recristallisation (refreeze) ancre les nouveaux comportements dans la durée en les inscrivant dans de nouvelles normes collectives. Sans cette dernière phase, le système revient à son état antérieur.

3. Apports pour le mémoire

Le modèle de Lewin éclaire directement la situation des collaborateurs comptables : la digitalisation agit comme un facteur de décristallisation en remettant en cause les pratiques historiques (saisie, rapprochements manuels). La phase de déplacement correspond à l’apprentissage de nouvelles missions (conseil, accompagnement). La recristallisation nécessite un ancrage identitaire dans le nouveau rôle. Ce modèle sera articulé avec le concept de crise identitaire de Dubar pour montrer que le « unfreeze » est aussi un « unfreeze identitaire ».

Conclusion

L’ouvrage de Lewin pose les fondations théoriques de toute la littérature sur la conduite du changement. Son modèle en trois phases, bien que datant de 1951, reste pertinent pour comprendre les dynamiques de transformation. Sa mise en parallèle avec le concept de crise identitaire de Dubar constitue un apport original du mémoire.

Références bibliographiques

Lewin, K. (1951). Field Theory in Social Science: Selected Theoretical Papers (D. Cartwright, Éd.). Harper & Row.

Référence (format APA)

Institut Sofos. (2021). L’attractivité et l’avenir de la profession comptable à l’horizon 2040. Institut Sofos / Université de Bordeaux.

Mots-clés

Attractivité ; profession comptable ; prospective 2040 ; turnover ; générations ; compétences ; évolution du métier

Synthèse

Cette étude qualitative, réalisée à partir d’entretiens auprès d’experts-comptables de Nouvelle-Aquitaine, explore les contours de la profession à l’horizon 2040. Elle identifie neuf thématiques clés liées à la transformation de la profession et formule des propositions pour renforcer l’attractivité des cabinets. L’étude met en lumière les tensions entre le modèle traditionnel de production comptable et les attentes des nouvelles générations de collaborateurs.

Développement

1. Méthodologie

L’étude repose sur des entretiens semi-directifs réalisés auprès d’experts-comptables de cabinets de toute taille. Elle adopte une démarche qualitative permettant de faire émerger les représentations des professionnels sur l’avenir de leur métier.

2. Résultats principaux

L’étude montre un turnover important dans les cabinets, amplifié par l’arrivée des millennials dont les attentes et valeurs sont moins homogènes que celles des générations précédentes. La féminisation de la profession est identifiée comme un des éléments marquants. L’étude souligne que les experts-comptables exercent encore majoritairement un métier de production comptable et de déclarations fiscales et sociales, malgré le discours ambiant sur le virage vers le conseil.

3. Apports pour le mémoire

Cette étude enrichit le mémoire sur deux plans : elle fournit des données qualitatives issues de la profession elle-même, et elle confirme le décalage entre le discours de transformation et la réalité des pratiques. Elle sera utilisée pour contextualiser le chapitre 3 et nourrir la discussion des résultats en partie 2.

Conclusion

L’étude de l’Institut Sofos complète le cadrage institutionnel du CSOEC en apportant une dimension qualitative et prospective. Elle renforce la légitimité du sujet en montrant que la transformation des métiers comptables est un enjeu stratégique reconnu par la profession.

Références bibliographiques

Institut Sofos. (2021). L’attractivité et l’avenir de la profession comptable à l’horizon 2040. Institut Sofos / Université de Bordeaux.

Référence (format APA)

Conseil Supérieur de l’Ordre des Experts-Comptables / Observatoire de la profession comptable. (2020). Étude prospective sur la profession comptable et les métiers de demain. CSOEC.

Mots-clés

Profession comptable ; prospective ; métiers ; compétences ; transformation numérique ; conseil ; évolution des missions

Synthèse

Cette étude prospective, commandée par le Conseil Supérieur de l’Ordre des Experts-Comptables, analyse les mutations de l’environnement des cabinets et leurs impacts sur les métiers et les compétences. Elle détaille les évolutions attendues des quatre principaux métiers de la filière comptable et identifie les compétences stratégiques à développer. L’étude met en évidence le décalage entre le poids actuel du conseil dans le chiffre d’affaires des cabinets (environ 7 %) et l’ambition de la profession de le porter à 25 %.

Développement

1. Contexte et objectifs

L’étude répond à un besoin d’anticipation de la profession face à la convergence de trois facteurs de transformation : la réglementation (facture électronique, loi PACTE), la technologie (IA, automatisation, dématérialisation) et les attentes clients (évolution vers le conseil et l’accompagnement). Elle s’appuie sur des données quantitatives et qualitatives issues de la profession.

2. Résultats principaux

L’étude montre que les tâches de production comptable représentent encore près de 50 % du chiffre d’affaires des cabinets, tandis que le conseil facturé séparément stagne à 7 % depuis 2002. Elle identifie les compétences à développer : compétences relationnelles, capacité d’analyse, maîtrise des outils numériques, posture de conseil. Elle souligne que cette transformation nécessite un accompagnement spécifique des collaborateurs.

3. Apports pour le mémoire

Cette étude institutionnelle fournit des données chiffrées et un cadrage sectoriel indispensables pour contextualiser le mémoire. Elle légitime la problématique en montrant que la transformation des métiers est une préoccupation majeure de la profession. Elle sera utilisée dans l’introduction et le chapitre 3 (le cabinet en mutation) pour ancrer la réflexion théorique dans la réalité de la profession.

Conclusion

Cette étude prospective constitue une source institutionnelle de premier plan pour le mémoire. Elle établit factuellement le décalage entre l’ambition de transformation de la profession et la réalité du terrain, justifiant ainsi la nécessité d’un accompagnement identitaire des collaborateurs.

Références bibliographiques

CSOEC / Observatoire de la profession comptable. (2020). Étude prospective sur la profession comptable et les métiers de demain. CSOEC.

Référence (format APA)

Autissier, D., & Moutot, J.-M. (2016). Méthode de conduite du changement : diagnostic, accompagnement, performance (4e éd.). Dunod.

Mots-clés

Conduite du changement ; diagnostic ; accompagnement ; pilotage ; communication ; formation ; résistance ; matrice du changement

Synthèse

Autissier et Moutot proposent un modèle opérationnel de conduite du changement structuré en trois cycles : le diagnostic (qualification du changement et de son contexte), l’accompagnement (communication, formation, accompagnement des parties prenantes) et le pilotage (mesure de l’adhésion et suivi des indicateurs). Ils développent également une matrice du changement distinguant les changements imposés/volontaires et brutaux/progressifs, ainsi que des outils concrets d’étude d’impacts, de plans de communication et de tableaux de bord.

Développement

1. Cadre théorique et objectifs

Les auteurs s’inscrivent dans la lignée des travaux de Lewin et Kotter tout en proposant une approche plus opérationnelle, adaptée au contexte français. Leur modèle a été développé à partir d’observations de terrain dans de nombreuses organisations. Ils définissent le changement comme « une rupture entre un existant obsolète et un futur synonyme de progrès », en précisant que la véracité du progrès dépend de la perception de chacun, d’où les résistances potentielles.

2. Les trois cycles de la méthode

Le cycle de diagnostic comprend l’étude d’impacts, la cartographie des acteurs et l’évaluation de l’aptitude au changement. Le cycle d’accompagnement articule trois leviers : la communication (expliquer le pourquoi du changement), la formation (développer les compétences nécessaires) et l’accompagnement de proximité (coaching, réseaux du changement). Le cycle de pilotage met en place des indicateurs de suivi et mesure l’adhésion des parties prenantes.

3. La matrice du changement et les résistances

Autissier et Moutot classifient les changements selon deux axes : imposé/volontaire et brutal/progressif. Ils reprennent également la courbe du deuil (inspirée de Kübler-Ross) pour décrire les phases émotionnelles traversées par les collaborateurs : choc, déni, colère, marchandage, dépression, acceptation, engagement. Cette grille permet de comprendre les résistances comme des réactions normales et prévisibles.

4. Apports pour le mémoire

Cet ouvrage fournit les outils opérationnels pour la partie préconisations du mémoire. La matrice du changement permet de qualifier la transformation du cabinet (changement imposé par la réglementation, progressif dans sa mise en œuvre). Les trois leviers (communication, formation, accompagnement) seront évalués lors de l’enquête empirique pour identifier lesquels sont effectivement activés et lesquels manquent. L’hypothèse H2 du mémoire (insuffisance de la formation technique seule) s’appuie directement sur ce cadre.

Conclusion

L’ouvrage d’Autissier et Moutot constitue le pont entre le cadre sociologique (Dubar, Sainsaulieu) et les préconisations managériales du mémoire. Sa force réside dans sa dimension opérationnelle et la richesse de ses outils, directement transposables au contexte d’un petit cabinet d’expertise comptable en transformation.

Références bibliographiques

Autissier, D., & Moutot, J.-M. (2016). Méthode de conduite du changement : diagnostic, accompagnement, performance (4e éd.). Dunod