Contenu de l'article

Titre Implication et action des dirigeants : quelles pistes pour améliorer la sécurité de l'information en PME ?
Auteur Yves Barlette
Mir@bel Revue Systèmes d'information & management
Numéro vol. 17, no 2, 2012
Rubrique / Thématique
Cas, expériences et pédagogie
Page 115-149
Résumé Cet article traite de la sécurité des systèmes d'information (SSI) des PME, qui ont des problèmes souvent plus importants en matière de SSI que les entreprises de plus grande taille. Il s'intéresse plus particulièrement aux dirigeants de PME, car de nombreux spécialistes et scientifiques s'accordent sur leur rôle majeur. Pourtant certains dirigeants ne s'impliquent pas ou n'agissent pas dans la SSI de leur entreprise, avec des conséquences potentiellement désastreuses pour leur activité. Souvent, implication et action sont confondues, ce qui limite la compréhension de cette problématique.La question de recherche développée dans cette étude exploratoire est : Comment améliorer le rôle du dirigeant dans la SSI de sa PME ? Pour traiter cette question, nous avons étudié (1) les facteurs conditionnant leur implication et leurs actions, (2) les conséquences de leur implication et de leurs actions, (3) comment les rôles sont partagés dans la gestion de la SSI.Une méthodologie qualitative et une approche interprétative ont été adoptées pour mener à bien cette étude empirique. Les résultats complètent et améliorent la compréhension des facteurs conditionnant l'implication et l'action des dirigeants de PME en matière de SSI. Quatre situations-types ont été identifiées, qui ont servi de cadre d'analyse des rôles des divers acteurs impliqués dans la SSI des PME. Les contributions théoriques sont d'une part la mise en évidence de nouveaux facteurs d'implication et d'action des dirigeants et d'autre part, comme la fonction de responsable du SI et a fortiori de responsable de la SSI s'avère très rare dans les plus petites PME, il a été identifié une prise en charge informelle par certains salariés de la SSI de leur PME. Certains facteurs expliquant cette prise en charge, ainsi que les problèmes rencontrés par ces salariés-RSSI ont été identifiés. Les apports managériaux correspondent aux possibilités de mieux impliquer le dirigeant de PME dans la SSI de son entreprise, mais la principale contribution reste la mise en évidence de l'importance capitale d'une meilleure gestion du salarié en charge de la SSI, notamment lorsque cette prise en charge est informelle. L'originalité de ce travail correspond à l'étude de manière dissociée de l'implication et l'action des dirigeants, qui a apporté une meilleure compréhension du partage des rôles en matière de SSI et qui a permis de proposer des recommandations pratiques d'amélioration de la SSI en fonction des situations identifiées.
Source : Éditeur (via Cairn.info)
Résumé anglais This article focuses on the role of SME managers in IS security (ISS), as these companies often suffer from more important ISS problems than larger companies. Although many specialists and scholars agree on the importance of their role, SME managers sometimes show little involvement or little action regarding ISS, leading to potentially disastrous consequences. In the literature, involvement and action are often merged, which limits the exploration of this issue. The research question dealt with in this paper is: How to improve the role of managers in their company's ISS? In order to respond, we examined (1) the barriers and drivers of managers' involvement and action, (2) the consequences of their involvement and actions (3) how the roles in ISS management are shared out. This empirical study uses a qualitative methodology and an interpretive approach. The results extend our understanding of the factors that influence managers' involvement and action in ISS. Four contexts were identified, which were used as a framework for the analysis of the roles of the various people involved in SME ISS. This paper makes a theoretical contribution by shedding light on new factors of managers' involvement and actions. The smallest SMEs seldom have a chief information officer (CIO) or a chief information security officer (CISO). In this case, we found that employees sometimes assume informal responsibility for IS and ISS. We identified various factors to explain this informal position and several related issues. We also contribute to managerial practices by identifying avenues to better involve managers in the ISS of their SMEs. Our major contribution is showing for the first time that when an employee assumes the role of a CISO, whether informally or not, it is of utmost importance to provide top management support. This study is original because managers' involvement and actions are studied separately, which provides more detailed results and allowed us to propose practical recommendations to improve ISS, according to the identified situations.
Source : Éditeur (via Cairn.info)
Article en ligne http://www.cairn.info/article.php?ID_ARTICLE=SIM_122_0115 (accès réservé)