Management de la sécurité de l'information : mise en oeuvre, évaluation et pilotage de la sécurité de l'information dans les organisations

par Nathalie Dagorn (Schaeffer)

Thèse de doctorat en Sciences de gestion

Sous la direction de Jacques Thévenot.

Soutenue le 30-09-2011

à Nancy 2 , dans le cadre de École doctorale SJPEG - Sciences Juridiques, Politiques, Economiques et de Gestion (Lorraine) , en partenariat avec CEREFIGE - Centre Européen de Recherche en Economie Financière et Gestion des Entreprises - EA 3942 (laboratoire) .

Le président du jury était Alain Cucchi.

Le jury était composé de Marc Bidan, Yves Pigneur.

Les rapporteurs étaient Hélène Delerue, Michel Kalika.


  • Résumé

    Cette thèse aborde la problématique du management de la sécurité de l'information dans les organisations. Au travers d'un ensemble d'analyses théoriques et empiriques, elle propose (i) un modèle exploratoire de l'engagement des organisations dans la gouvernance de la sécurité de l'information fondé sur la théorie unifiée d'adoption des technologies de Venkatesh et al. (2003), (ii) un modèle de décision quantitatif pour l'évaluation et la prévision de la sécurité de l'information basé sur la théorie des jeux de Von Neumann et Morgenstern (1944) sous sa forme stochastique formalisée par Shapley (1953), et (iii) un modèle de tableau de bord équilibré utilisant la méthode originale de Kaplan et Norton (1992) pour la mesure de la performance et le pilotage de la sécurité de l'information. Diverses approches méthodologiques ont été appliquées pour éprouver ces propositions, comprenant une étude par questionnaire (120 répondants), un brainstorming avec votes (68 participants), une étude de cas en profondeur, deux analyses ex post de quinze projets de sécurité, une modération Métaplan (32 participants), et une étude de cas longitudinale. Notre recherche se traduit par une évolution indéniable des modèles de gestion traditionnels de la sécurité de l'information, permise par des ancrages théoriques et méthodologiques interdisciplinaires. Dans la pratique, la recherche fournit au décideur un cadre complet pour le management de la sécurité de l'information, lui permettant d'engager l'organisation en connaissance de cause dans la démarche, d'évaluer son niveau de sécurité et d'établir des prévisions ou des comparaisons, de piloter et d'améliorer de façon continue le management de la sécurité de l'information au sein de l'organisation, et au final de contribuer à la performance globale et à la compétitivité de l'organisation.

  • Titre traduit

    Management of Information Security : Implementation, Evaluation and Control of Information Security within Organizations


  • Résumé

    This thesis addresses the problem of information security management within organizations. Through a series of theoretical and empirical analyses, it proposes (i) an exploratory model of the engagement of organizations in the governance of information security based on the Unified Theory of Acceptance and Use of Technology by Venkatesh et al. (2003), (ii) a quantitative decision model for evaluation and forecasting of information security based on game theory by Von Neumann and Morgenstern (1944) in its stochastic version formalized by Shapley (1953), and (iii) a model of balanced scorecard using the original method of Kaplan and Norton (1992) for performance measurement and management of information security. Various methodological approaches have been applied to test these proposals, including a questionnaire survey (120 respondents), a brainstorming with votes (68 participants), an in-depth case study, two ex post analyses of fifteen security projects, a Metaplan session (32 participants), and a longitudinal case study. Our research results in an undeniable advance in traditional management models for information security, made possible by the use of interdisciplinary theoretical and methodological bases. In practice, the research provides the decision maker with a comprehensive framework for the management of information security, enabling him to engage the organization knowingly in the process, to evaluate its security status and establish forecasts or comparisons, to control and continuously improve the management of information security within the organization, and ultimately to contribute to the organization's overall performance and competitiveness.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse ?

  • Bibliothèque : Université de Lorraine. Direction de la documentation et de l'édition. BU Ingénieurs.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.