Management de la sécurité de l'information : mise en oeuvre, évaluation et pilotage de la sécurité de l'information dans les organisations
Auteur / Autrice : | Nathalie Dagorn |
Direction : | Jacques Thévenot |
Type : | Thèse de doctorat |
Discipline(s) : | Sciences de gestion |
Date : | Soutenance le 30/09/2011 |
Etablissement(s) : | Nancy 2 |
Ecole(s) doctorale(s) : | École doctorale SJPEG - Sciences Juridiques, Politiques, Economiques et de Gestion (Lorraine) |
Partenaire(s) de recherche : | Laboratoire : CEREFIGE - Centre Européen de Recherche en Economie Financière et Gestion des Entreprises - EA 3942 |
Jury : | Président / Présidente : Alain Cucchi |
Examinateurs / Examinatrices : Marc Bidan, Yves Pigneur | |
Rapporteurs / Rapporteuses : Hélène Delerue, Michel Kalika |
Mots clés
Résumé
Cette thèse aborde la problématique du management de la sécurité de l'information dans les organisations. Au travers d'un ensemble d'analyses théoriques et empiriques, elle propose (i) un modèle exploratoire de l'engagement des organisations dans la gouvernance de la sécurité de l'information fondé sur la théorie unifiée d'adoption des technologies de Venkatesh et al. (2003), (ii) un modèle de décision quantitatif pour l'évaluation et la prévision de la sécurité de l'information basé sur la théorie des jeux de Von Neumann et Morgenstern (1944) sous sa forme stochastique formalisée par Shapley (1953), et (iii) un modèle de tableau de bord équilibré utilisant la méthode originale de Kaplan et Norton (1992) pour la mesure de la performance et le pilotage de la sécurité de l'information. Diverses approches méthodologiques ont été appliquées pour éprouver ces propositions, comprenant une étude par questionnaire (120 répondants), un brainstorming avec votes (68 participants), une étude de cas en profondeur, deux analyses ex post de quinze projets de sécurité, une modération Métaplan (32 participants), et une étude de cas longitudinale. Notre recherche se traduit par une évolution indéniable des modèles de gestion traditionnels de la sécurité de l'information, permise par des ancrages théoriques et méthodologiques interdisciplinaires. Dans la pratique, la recherche fournit au décideur un cadre complet pour le management de la sécurité de l'information, lui permettant d'engager l'organisation en connaissance de cause dans la démarche, d'évaluer son niveau de sécurité et d'établir des prévisions ou des comparaisons, de piloter et d'améliorer de façon continue le management de la sécurité de l'information au sein de l'organisation, et au final de contribuer à la performance globale et à la compétitivité de l'organisation.