Engagement et pratiques des organisations en matière de gouvernance de la sécurité de l'information

Résumé Fr En

Cet article aborde le thème de la gouvernance de la sécurité de l’information. Pour pallier les faiblesses relevées dans la littérature, il explore (i) le processus d’engagement des organisations dans la gouvernance de la sécurité de l’information et (ii) les pratiques des organisations engagées dans la démarche. L’analyse statistique et économétrique de données issues d’une enquête conduite auprès de cent vingt grandes entreprises luxembourgeoises suggère que la connaissance d’organisations engagées dans la gouvernance de la sécurité de l’information ou promouvant cette approche, la performance espérée et l’effort déployé sont des déterminants de l’engagement des organisations dans la démarche. Ces résultats peuvent être rapprochés du modèle unifié d’adoption des technologies (UTAUT) formulé par Venkatesh et al. (2003). Les données des organisations permettent aussi d’établir un état des pratiques actuelles en matière de gouvernance de la sécurité de l’information. L’originalité majeure de cette recherche réside dans le taux de participation très important (85,71%) des organisations à l’enquête menée, conférant aux résultats une forte validité, qui plus est, dans un domaine extrêmement sensible et confidentiel. Sur le plan théorique, la recherche améliore la connaissance du domaine sur les deux questions abordées. En pratique, elle fournit aux managers un retour sur les pratiques actuelles des organisations en matière de gouvernance de la sécurité de l’information et propose quelques recommandations. Ces contributions peuvent également avoir une incidence sur les politiques publiques et organismes promouvant la gouvernance de la sécurité de l’information.

This article looks at the issue of information security governance. To respond to the shortcomings identified in the literature, it explores (i) the process of organizations’ engagement in the governance of information security, and (ii) the practices of the organizations involved. The statistical and econometric analysis of data from a survey conducted with one hundred and twenty large companies in Luxembourg suggests that the knowledge of organizations involved in the governance of information security or promoting this approach, the expected performance, and the effort undertaken, are potential determinants of the organizations’ engagement in the process. These results may be analyzed under the unified theory of acceptance and use of technology (UTAUT) developed by Venkatesh et al. (2003). The data from organizations also helps to draw a picture of current practices in the matter of information security governance. The major originality of the research lies in the very high participation rate (85.71%) by organizations in the study, which gives the results a strong validity in what is, moreover, an extremely sensitive and confidential field. At the theoretical level, the research improves knowledge of the two issues explored. In practice, it provides managers with feedback on current practices implemented by the organizations in the field of information security governance and draws some recommendations. These contributions may also have an impact on public policies and on institutions promoting information security governance.