Nantes les 3, 4 et 5 juin 2019
L’AIM traite l’ensemble des thèmes « systèmes d’information », dont celui de la sécurité pour lequel Benoît Fantino (Sarapis) a animé une session « poster » instaurant le débat et les échanges autour d’une problématique centrale en sécurité des SI : la décision pour le risque SI
Perception des risques SI et décision pour la sécurité
Dans la recherche académique, la sécurité des systèmes d’information est particulièrement étudiée sous l’angle de la gestion des utilisateurs et la capacité de ces derniers à s’approprier et respecter les comportements définis par leur organisation. Malgré la richesse de ces études, les incidents de sécurité et leurs coûts pour les organisations ne cessent de croitre. Nous proposons alors d’étudier différemment la SSI, soit l’approche même des dirigeants pour la sécurité et pour le risque SI. Parce qu’ils ont la capacité à définir les comportements adéquats dans leur organisation pour la SSI et davantage pour leur regard sur les risques considérer pour décider de s’en prémunir, il nous apparait pertinent d’étudier comment ils appréhendent les conséquences, l’expositions et les menaces pesant sur leur SI, selon un point de vue strictement SSI et selon un point de vue de la perception des risques.
Le contexte de la recherche et la problématique sont ainsi développés :
Nos résultats montrent que la SSI est abordée selon une approche de décision pour le risque SI, conformément à la théorie psychologique du risque et à travers d’un triptyque menace, exposition, conséquence. Ces résultats mettent aussi en évidence des facteurs idiosyncrasiques, dont nous relevons notamment l’expérience, la formation et les compétences, qui conditionnent la décision pour les mesures de sécurité. Enfin, ils révèlent que les conséquences d’un risque déjà vécu, dès lors qu’elles sont peu ou pas considérées comme impactantes, ne représentent pas une influence majeure à la décision de mettre en œuvre les mesures de sécurité.
Les apports théoriques de ces travaux démontrent que le risque, et ainsi la décision pour la SSI, est considéré selon la menace perçue, l’exposition perçue et les conséquences redoutées. Cependant, l’accent est mis sur la considération des menaces, davantage que l’exposition. Ce point peut alors expliquer la faiblesse de certains dispositifs de SSI, les décideurs pouvant être conscients d’une menace et des conséquences possibles, mais n’engagent pas les mesures de sécurité SI, considérant qu’ils n’y sont pas exposés. Ainsi, les conséquences de risque vécues ne semblent pas renforcer l’exposition perçue au risque, ce qui n’est pas constaté dans le champ de la psychologie du risque. En ce sens, les menaces internes ne sont que peu prises en compte, les dirigeants mettent l’emphase sur les menaces externes, même si les conséquences internes ont déjà été vécues, renforçant alors le propos précédent.
Les apports managériaux mettent en perspective les besoins des dirigeants de disposer d’une vision holistique des risques et des réponses adéquates. Une communication spécifique et ciblée à l’endroit des décideurs de TPE/PME, par secteur d’activité, permettrait de développer leurs connaissances sur l’exposition au risque et sur la mise en œuvre de solutions techniques, et ainsi procéder à une décision objectivée quant à la couverture du risque.
Billet rédigé par Benoît Fantino