Embed Size (px)
Citation preview
UNIVERSITÉ CATHOLIQUE D’AFRIQUE CENTRALE INSTITUT CATHOLIQUE DE YAOUNDÉ
FACULTÉ DES SCIENCES SOCIALES ET DE GESTION MASTER MANAGEMENT ET SYSTÈMES D’INFORMATION
Mémoire présenté et soutenu en vue de l’obtention du Master en Management et Systèmes d’Information
Par NGUEGANG TEWAMBA Harold Junior DIPES I - Mathématiques
Sous la Direction de
Dr BELL BITJOKA Georges Enseignant
Expert en sécurité des SI Dr FOSSO WAMBA Samuel
Enseignant
Année académique : 2014 – 2015
EFFET DU SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION SUR LA
PERFORMANCE D’UNE ENTREPRISE : CAS DU CAMEROUN
&
i
SOMMAIRE SOMMAIRE ............................................................................................................................... i DÉDICACE ................................................................................................................................ ii REMERCIEMENTS ................................................................................................................. iii SIGLES ET ABRÉVIATIONS ................................................................................................. iv LISTE DES TABLEAUX .......................................................................................................... v LISTE DES FIGURES .............................................................................................................. vi RÉSUMÉ .................................................................................................................................. vii ABSTRACT ............................................................................................................................ viii INTRODUCTION GÉNÉRALE ................................................................................................ 1 PARTIE 1 : CADRE THÉORIQUE DU SYSTÈME DE MANAGEMENT DE LA
SÉCURITÉ DE L’INFORMATION ET MESURE DE LA PERFORMANCE ... 9 CHAPITRE 1 : GÉNÉRALITÉS ET PLACE DE LA SÉCURITÉ DANS LA
GOUVERNANCE DES SYSTÈMES D’INFORMATION AU CAMEROUN 10 Section 1 : Généralités Sur Le Système De Management De La Sécurité De
L’information ................................................................................................. 10 Section 2 : Sécurité Des Systèmes D’information Au Cameroun .................................... 23
CHAPITRE 2 : RELATION THÉORIQUE ENTRE LE SMSI ET LA PERFORMANCE ... 28 Section 1 : Généralités Sur Les Approches Théoriques ................................................... 28 Section 2 : Modèle Conceptuel De Recherche ................................................................. 34
PARTIE 2 : SMSI ET PERFORMANCE ............................................................................... 40 CHAPITRE 3 : MÉTHODOLOGIE & RÉSULTATS ............................................................ 41
Section 1 : Méthodologie De Vérification Des Hypothèses De Recherche ..................... 41 Section 2 : Résultats Et Commentaires ............................................................................ 49
CHAPITRE 4. DISCUSSIONS & RECOMMANDATIONS ................................................. 65 Section 1 : Discussions ..................................................................................................... 65 Section 2 : Recommandations .......................................................................................... 71
CONCLUSION GÉNÉRALE .................................................................................................. 74 RÉFÉRENCES BIBLIOGRAPHIQUES ................................................................................. 76 ANNEXES ............................................................................................................................... 78 TABLE DES MATIÈRES ....................................................................................................... 88
ii
DÉDICACE
À
Ma mère, madame Nicole TEWAMBA pour la force et la sagesse de ses mains ;
et à Mon père, monsieur Jules TEWAMBA
pour la finesse et l’intelligence.
iii
REMERCIEMENTS Ce travail de mémoire est le fruit de plusieurs volontés à qui nous adressons des
remerciements les plus profonds. Nous remercions le Pr Jean-Robert KALA KAMDJOUG pour ses conseils, ses
enseignements et son encadrement académique. Il nous a particulièrement guidé dans le choix de la filière, le choix de la professionnalisation et dans l’esprit du travail rigoureux et soigné.
Nous remercions notre enseignant, guide et encadreur le Dr Georges BELL BITJOKA pour ses conseils et sa rigueur au travail. Le choix du sujet a été une phase marquante et déterminante pour une vision claire des enjeux d’un bon travail. Nous le remercions également pour la confiance quant à la réalisation des travaux sensibles (audit de sécurité et analyse des risques de sécurité) dans son cabinet d’expertise.
Nous remercions également notre enseignant et encadreur le Dr Samuel FOSSO WAMBA pour son expertise dans la compréhension et l’analyse des modèles de recherche grâce à de nombreux outils qui font la bonne image des travaux de recherche en sciences sociales.
Nous remercions ensuite pour leur diligence et leur accompagnement, nos enseignants Mme Patricia PEDHOM, Messieurs Robert SIM KONE et Roland MISSE.
Nos remerciements au cabinet ITS Group pour son accueil pendant la période de stage et d’imprégnation professionnelle. Les conseils de mon parrain monsieur Boris KEGNE et de monsieur Emmanuelle KALDJOB ont été précieusement utilisés.
Parce que ça vient du cœur, une pensée très positive pour toute ma famille qui me soutient et me conseille depuis toujours. Nous pensons à notre chère sœur Sandra MAKENGVEU, à Claude TADJOUMESSI, Hervé FONO, Aubin NGUEGANG, Baudelaire KOUEMINI, Martial FONGANG, Nadège MEIVEU, Pierre-Maurice DJOUGANG, Ninon FAM.
Nous remercions les camarades de la classe préparation de l’UCAC (CPEG 2012-2013) pour l’intégration des principes managériaux. Bravo à AUCTO INNOVATIO (5ème promotion de la filière MSI), le levier qui nous a permis d’atteindre cet objectif. Merci.
Nous attachons du prix à l’attention et la motivation de nos amis Aimé NOUTSA et Marius KEMAYOU.
iv
SIGLES ET ABRÉVIATIONS ANTIC : Agence Nationale des Technologies de l’Information et de la Communication. CLUSIF : Club de la Sécurité de l’information Français. COBIT : Control Objectives for Information and Technology. DSI : Directeur des systèmes d’information. FSSG : Faculté des sciences sociales et de gestion. ITGI : Information Technology Governance Institute. ITIL : Information Technology Infrastucture Library. J3SI : Journée de sensibilisation sur les systèmes d’information. MÉHARI : Méthode harmonisée d’analyse des risques. MINDAF : Ministère des domaines et des affaires foncières. MSI : Management & systèmes d’information. NIST : National Institute of Standards and Technology. PCI DSS : Payment Card Industry Data Security Standard. PLS : Partial Least Square RSSI : Responsable de la sécurité des systèmes d’information. SI : Systèmes d’information. SMSI : Système de management de la sécurité de l’information. SSI : Sécurité des systèmes d’information. TI : Technologies de l’information. UCAC : Université catholique d’Afrique centrale.
v
LISTE DES TABLEAUX Tableau 1 : Intitulés de quelques normes de la famille ISO 2700x .......................................... 18 Tableau 2: Exemples de risque de sécurité de l'information. ................................................... 19 Tableau 3 : Alignement des processus de SMSI et de gestion des risques de sécurité de
l'information. ...................................................................................................... 19 Tableau 4 : Acteurs principaux d'un SMSI .............................................................................. 22 Tableau 5 : Exemples de dommage causé dans un SI en l'absence de SMSI. ......................... 22 Tableau 6: Objectifs de contrôle des processus de gestion des risques ................................... 34 Tableau 7 : Seuils pour le test de la qualité des construits et du modèle global. ..................... 45 Tableau 8: Seuils pour le test de significativité des hypothèses............................................... 46 Tableau 9 : Caractéristiques descriptifs des construits. ............................................................ 52 Tableau 10 : Indicateurs de fiabilité des construits. ................................................................. 53 Tableau 11 : Contribution des indicateurs du construit SMSI. ................................................ 53 Tableau 12 : Contribution des indicateurs du construit CAPACITE INFORMATIQUE. ....... 54 Tableau 13 ¨Contribution des indicateurs du construit PERFORMANCE. ............................. 54 Tableau 14 : Valeurs des R² des variables dépendantes. .......................................................... 55 Tableau 15 : Paramètres de validation des principales hypothèses de recherche. ................... 56 Tableau 16 : Caractéristiques descriptives des sous-construits. ............................................... 60 Tableau 17 : Paramètres de validation des hypothèses supplémentaires de recherche. ........... 62 Tableau 18 : Résultats sur les hypothèses de recherche. .......................................................... 65
vi
LISTE DES FIGURES Figure 1: Modèle de recherche ................................................................................................... 6 Figure 2 : Cycle de vie d'un SMSI ........................................................................................... 16 Figure 3 : Relations des normes de la famille ISO 2700x ........................................................ 17 Figure 4: Principe de MEHARI. .............................................................................................. 20 Figure 5 : Base de connaissances de MÉHARI. ....................................................................... 21 Figure 6: Modèle de succès de Delone & McLean mis-à-jour, 2003....................................... 29 Figure 7 : Processus de gestion des risques de la norme ISO 27005. ...................................... 33 Figure 8: Modèle théorique de recherche. ................................................................................ 36 Figure 9: Modèle de recherche des hypothèses supplémentaires. ............................................ 38 Figure 10 : Processus simplifié de la méthodologie de vérification des hypothèses. .............. 41 Figure 11 : Calcul de la taille minimale de l’échantillon avec GPower 3. ............................... 43 Figure 12 : Test de sélection du Outer loadings. ...................................................................... 46 Figure 13 : Situation de l'effet médiateur. ................................................................................ 47 Figure 14 : Procédure d’analyse de l’effet médiateur en PLS. ................................................. 47 Figure 15 : Procédure de régression multiple de BARON et KENNY. ................................... 48 Figure 16 : Outil de calcul pour le test de SOBEL. .................................................................. 48 Figure 17 : Proportion des secteurs d'activités dans le jeu de données. ................................... 49 Figure 18 : Proportion des types d'entreprise dans le jeu de données. ..................................... 50 Figure 19 : Proportion des tranches d'âge des répondants dans le jeu de données. ................. 50 Figure 20 : Proportion des femmes et hommes le jeu de données. .......................................... 50 Figure 21 : Proportion des niveaux de formation académique des répondants. ....................... 51 Figure 22 : Proportion des profils des répondants. ................................................................... 51 Figure 23 : Proportion des anciennetés des répondants. .......................................................... 51 Figure 24 : Proportion des répondants formés en sécurité. ...................................................... 52 Figure 25 : Les indicateurs du critère HTMT. ......................................................................... 55 Figure 26 Les indicateurs de significativité des principales hypothèses de recherche ........... 56 Figure 27 : Relation entre les construits. .................................................................................. 56 Figure 28 : Analyse de l'effet médiateur – Étape 1 – Significativité de l’effet indirect. .......... 57 Figure 29 : Analyse de l'effet médiateur – Étape 2 – Significativité de l’effet direct. ............. 57 Figure 30 : Test de BARON & KENNY - Significativité de l'effet total « c = 0,805 ». .......... 58 Figure 31 : Test de BARON & KENNY - Significativité de « a » et « b ». ............................ 58 Figure 32 : Test de SOBEL - Significativité de l'effet médiateur. ........................................... 59 Figure 33 : Relation entre les sous-construits. ......................................................................... 61 Figure 34 : Les indicateurs de significativité des hypothèses supplémentaires de recherche. . 61 Figure 35 : Test de SOBEL - Significativité de l'effet total « c = 0,574 ». .............................. 62 Figure 36 : Test de SOBEL - Significativité de « a » et « b » pour le SYSQUAL. ................. 63 Figure 37 : Test de SOBEL - Significativité de « c’ ». ............................................................ 63 Figure 38 : Test de SOBEL - Significativité de l'effet médiateur de SYSQUAL. ................... 63 Figure 39 : Test de SOBEL - Significativité de « a » et « b » pour le SERVQUAL. .............. 64 Figure 40 : Test de SOBEL - Significativité de l'effet médiateur du SERVQUAL. ................ 64
vii
RÉSUMÉ Les entreprises dépendent de plus en plus de leur système d’information (SI). Ainsi, il
faut une certaine attention de la part de la direction générale pour améliorer continuellement la qualité de son management par l’utilisation de nombreux outils et référentiels. En particulier, les actifs informationnels, noyau de tout SI, demandent à être pris très au sérieux par une sécurisation sur mesure. Il n’est plus à démontrer que l’amélioration de la qualité est l’objectif de tout bon système de management et de ses acteurs. Étant donné que la qualité d’un système à plusieurs indicateurs, il est important de déterminer les aspects du système de management de la sécurité de l’information (SMSI) sur lesquels les décideurs doivent agir afin d’atteindre les objectifs de performance. Dans cette recherche, nous avons supposé que le SMSI (qualité du système, de service, de l’information, et le niveau de maturité des processus de gestion des risques de sécurité de l’information) et la performance sont directement liés d’une part, et d’autre part indirectement liés par la capacité informatique de l’entreprise. Les hypothèses ont été vérifiées à l’aide du logiciel SmartPLS 3 en utilisant des données de l’enquête réalisée auprès de 136 professionnels du domaine des SI, des Technologies de l’Information (TI) et de la sécurité. Les résultats ont confirmé nos hypothèses de recherche. Ceci traduit que la maitrise des processus de gestion des risques de sécurité de l’information est essentielle pour une entreprise, car elle contribue fortement à la performance organisationnelle, à l’amélioration du support des SI de cette dernière, tels le management, le personnel et l’infrastructure des TI. Ce travail a permis d’explorer la faisabilité d’utilisation du modèle de succès des SI de Delone et McLean (1992) sur le SMSI, qui est d’un grand enjeu dans ce monde, où l’Afrique est à la fois, la cible de la mobilité informationnelle, des pirates informatiques et surtout de l’économie mondiale.
Mots clés : SMSI, performance, capacité informatique, qualité du système, qualité de
service, qualité de l’information, MMGRseg.
viii
ABSTRACT Companies depend more and more on their information systems (IS). In this case, it
takes some attention from senior management to continuously improve its management’s quality by using many tools and standards. Information assets, while core IS, in particular, are demanding to be taken seriously by a custom security. It is well established that improving quality is the goal of any good management system and its actors. As the system quality has several indicators, it is important to determine aspects of information security management system (ISMS) on which executives must act to achieve performance objectives. In this research, we assumed that the ISMS (system, service, information qualities, and maturity level of information security risk management process) and the firm performance are directly related, and indirectly by firm’s IT capabilities. Hypothesis have been verified with SmartPLS 3 software using survey data conducted among 136 professionals in the field of IS, IT and security. Our hypothesis were confirmed by results showing that information security risk management process’s mastering is important for a company because it greatly contributes to organizational performance and improved IS support, as IT management, IT personal skills and IT infrastructure. This work allows to explore possibility of using IS success model of Delone & McLean (1992) on ISMS, which is a major issue in this world where Africa is the new target of informational mobility, hackers and especially World business.
Keywords: ISMS, firm performance, IT capabilities, system quality, service quality,
information quality, MMGRseg.
1
INTRODUCTION GÉNÉRALE 1. Contexte
L’Afrique dans son processus d’intégration au sein d’une communauté mondiale qui respire le numérique se doit de relever de nombreux défis en matière de gouvernance dans chacune de ses organisations et dans ses projets. À l’ère de l’information, les systèmes d’information (SI) sont coutumiers et permettent une meilleure organisation afin d’être plus performant car aujourd’hui toute fonction est liée au SI. Les technologies de l’information (TI), offrant de multiples possibilités pour gagner en communication, traitement de données, mobilité, etc., sont le support incontournable des SI. Ces TI permettent aujourd’hui à toute organisation de répondre en temps réel aux besoins de ses clients, aux employés de s’épanouir davantage en intervenant en tout lieu et par divers moyens, aux responsables de raconter la vie de l’organisation en se basant sur des informations fiables.
L’information est l’oxygène des temps modernes, c’est elle qui permet à toute organisation de prendre des décisions afin de s’adapter continuellement à son environnement et d’atteindre ses objectifs. Ceci grâce à des processus de gestion qui sont mis en place, exécutés et contrôlés. Tout au long de ces processus, les informations de toutes formes, de toute nature et de toute origine transitent et sont plus ou moins nécessaires pour la bonne continuation des processus. Il est donc important que ces informations soient confidentielles, intègres et disponibles.
Pour atteindre ces buts, il est utile qu’un organe de l’entreprise prenne cette responsabilité. Cet organe est le système de management de la sécurité de l’information (SMSI). Il est destiné à toute organisation sérieuse et soucieuse de son patrimoine informationnel.
En adoptant les TI pour l’accomplissement de leur opération, les organisations s’exposent à de nombreux risques dont la non prise en compte dans la gestion quotidienne peut entraîner des conséquences qui peuvent aller jusqu’à une crise d’entreprise souvent grave pour l’image de l’organisation et la performance opérationnelle. Notons également que les organisations dans leur métier (banque, e-commerce, télécommunication, etc.) s’exposent de façon naturelle à des risques qui leur sont propres. Prenant de nombreuses formes (physique, logique) et provenant de sources diverses (humaine, juridique, technique), ces risques informatiques sont la combinaison d’une menace, d’un actif, d’une vulnérabilité, d’un impact et d’une conséquence qui doivent être maitrisés dans leur ensemble. « Alors que
2
l’informatique est devenue centrale dans les activités des entreprises, la gestion du risque informatique n’a pas pour autant acquis une importance dans la même proportion. » (IBM Global Business Services, 2010).
Au Cameroun par exemple, beaucoup d’entreprises n’ont pas encore pris conscience du fait qu’il faille sécuriser leurs actifs informationnels en investissant sur la sécurité de l’information. De nombreux experts (DSI, Auditeur, Consultant) affirment que les décideurs et les chefs d’entreprise ne sont pas assez avisés sur le sujet et préfèrent donc attendre qu’il y ait des incidents avant de réagir ; étant donné qu’ils croient ne pas passer pour des cibles potentielles face aux différentes menaces relevées dans notre pays. 2. Problématique
Les bienfaits des SI et des TI ne se comptent plus, mais force est de souligner le revers de la médaille qui demande une sécurisation continuelle et sur mesure des actifs informationnels dans toute entreprise. C’est dans ce sens que REFALO, directeur de cabinet en SSI, pose la question suivante : « La dépendance de la Société à l’informatique et à Internet ne doit-elle pas aussi s’accompagner d’une véritable culture des risques informatiques et informationnels ? » (REFALO, 2009).
Selon la norme ISO 27001, le SMSI est la partie du système de management d’une organisation qui est chargée de s’appuyer sur les risques business afin d’établir, implémenter, exécuter, contrôler, réviser, maintenir et améliorer la sécurité de l’information (ISO/IEC, 2005). Ce dispositif compte pour beaucoup dans les entreprises de nos jours car c’est elle qui protège les actifs informationnels contre toutes attaques et menaces pouvant porter atteinte à son bon fonctionnement.
L’une des composantes d’un risque informatique est la vulnérabilité du système informatique que tout pirate cherche à trouver afin de nuire. C’est comme cela par exemple qu’un hacker a pu pirater le site web du ministère des domaines et des affaires foncières (MINDAF) du Cameroun. Alors que la conséquence la plus redoutée de cette attaque fut la modification des listes électorales, le conseiller technique de ce département ministériel affirme : "nous sommes bien au courant du piratage de notre site. Seulement, nous sommes incapables de faire quoi que ce soit en vue de résorber ce problème malheureux. Cela parce que l'administration du site nous échappe puisqu'elle est effectuée par des agents installés
3
dans les services du Premier ministre". Ce qui traduit l’absence d’un SMSI adéquat pour la sécurité des actifs informationnels disponible à travers le site web du MINDAF.
Au Cameroun, le décret N° 2012/1643/PM du 14 juin 2012 fixant les conditions et les modalités d'audit de sécurité obligatoire des réseaux de communications électroniques et des systèmes d'information exige, aux entreprises disposant d’un SI et d’un réseau de communication électronique, le maintien à un bon niveau de sécurité en faisant appel à des experts auditeurs externes de sécurité des SI (SSI). Ce qui donne un avis professionnel et une vue extérieur de la SSI et du SMSI des entreprises auditées. Les recommandations qui en découlent permettent l’amélioration du SMSI de l’entreprise audité. Ce qui est un bénéfice.
L’environnement étant en perpétuel changement, il est nécessaire qu’un SMSI puisse être réactif et ait la capacité à adapter de façon rapide. Il s’agit pour le SMSI d’assurer une continuité de service pour l’entreprise. C’est dans ce sens que la norme ISO 27001 adopte le modèle PDCA1 pour tous les processus du SMSI.
Chaque entreprise se voulant toujours plus performante, la préoccupation est donc de tirer parti de son SI, donc de ses TI, en pratiquant chaque jour la sécurité de l’information afin que toutes menaces ne viennent jamais porter atteinte aux objectifs de l’entreprise. Ainsi comment l’amélioration du système de management de la sécurité de l’information entraine-t-elle une amélioration de la performance dans une entreprise ? 3. Propositions de recherche
La présence d’un SMSI dans une organisation, selon la norme ISO 27001, demande de faire de la gestion des risques des TI en temps réel afin de mesurer l’état de la sécurité de l’information sur la base des actifs à protéger, des mesures de sécurité mise en place, des menaces potentielles et des critères de sécurité que sont : la disponibilité, la confidentialité, l’intégrité et plus loin la traçabilité.
Par soucis de disponibilité de leurs services, les sociétés de télécommunications par exemple, se dotent d’une liaison secondaire (moins robuste dans la plupart des cas) appelée « backup » pour assurer l’interconnexion de leurs infrastructures en cas de défaillance de la liaison principale afin de permettre la disponibilité 24h/24 7/7 de leur réseau. Ce qui permet plus loin de maintenir le niveau de satisfaction de ses clients au plus haut.
1 PDCA = Plan, Do, Check, Act
4
Dans un processus de gestion des risques des TI, on procède à une analyse des risques dont le but est de maintenir ces risques à un niveau acceptable par l’entreprise grâce à des recommandations. Ces recommandations sont des choix qui s’opèrent sur la gestion quotidienne et l’utilisation des actifs informationnels de l’entreprise.
Dans la base de connaissance MÉHARI2 (outil gratuit et très pratique de gestion des risques), au niveau de la sélection de plans de réduction des risques, on note la présence des options telles que le contrôle des configurations matérielles et logicielles, la sécurité de l’architecture du réseau local, la sécurité de la climatisation, sensibilisation et formation à la sécurité, etc. Ce qui nous amène à poser la première hypothèse suivante : Hypothèse 1 : Le SMSI à un effet positif sur la capacité informatique d’une entreprise.
La gouvernance du système d’information contribue à la fois à garantir la gouvernance des conformités et à optimiser la gouvernance de performance au profit de la gouvernance d’entreprise (LEIGNEL, 2006). Dans les sociétés de télécommunication, après l’adoption d’un « backup », il s’agira alors de faire des choix sur la qualité de celui-ci afin que des indicateurs de performance tels que la satisfaction clients, la capacité du réseau et la disponibilité de l’information restent à des seuils de satisfaction fixés par l’organisation.
Dans sa publication sur la gouvernance des TI et la performance, Miroslav LAZIC dit : ”With yearly IT costs exceeding $1 billion in large multi-national corporations, the impact of the governance of this asset on business performance is undisputable. IT governance is a key enabler and success factor for business performance itself. Weill even argues that ITG can account for a 20% increase in profits” (LAZIC, 2011). Il nous fait comprendre que l’impact de la gouvernance des TI sur la performance business est indiscutable et qu’elle peut augmenter jusqu’à vingt pourcent (20%) le profit réaliser par une entreprise.
Nous pouvons donc alors émettre la deuxième hypothèse suivante : Hypothèse 2 : La capacité informatique a un effet positif sur la performance administrative et marketing d’une entreprise.
2 MÉHARI : Méthode harmonisée d’analyse des risques.
5
De plus en plus aujourd’hui, les entreprises adoptent l’externalisation de toute ou partie de certains de leurs services. Notamment pour la fourniture de matériel, la maintenance et l’entretien de divers actifs de l’entreprise. Pour ce faire, elle a besoin d’établir des partenariats avec d’autres entreprises par l’intermédiaire d’un contrat dont le contenu est crucial pour le bon fonctionnement de l’actif et plus loin pour la vie de l’entreprise. Il en va de même des contrats d’assurance.
Une observation faite sur le département de l’approvisionnement d’une grande entreprise de travaux publics de la place nous a permis de relever un nombre important d’incidents dû à une mauvaise ordonnance des produits à fournir. Les produits commandés ne correspondaient pas aux références techniques inscrites sur le bon de commande ou exigées par le technicien demandeur des produits. Ce qui augmentait les coûts de livraison du côté du fournisseur, retardait la livraison et l’exécution des travaux du côté de la grande entreprise. L’une des causes de cet incident assez régulier est l’intégrité des informations fournis par la grande entreprise à ses fournisseurs. Si la sécurité garantie l’intégrité de l’information, alors elle devrait pouvoir apporter une solution au problème de cette grande entreprise.
Au Cameroun encore, le 11 Mars 2015, le site web de la présidence de la république a été piraté « sans doute mû par la volonté de porter atteinte à l'honneur et à la dignité du Chef de l'État, de nos forces de défense et de sécurité et de la nation camerounaise tout entière » comme le dit le ministre de la communication. En effet, une image y montre le chef de l’État en train de rendre hommage aux soldats tombés sur le champ de bataille lors d’une cérémonie de levée de corps à Yaoundé alors que celui-ci était en Europe dans le cadre d’un séjour privé à la même date du 06 Mars 2015. Cet acte qui a mis en mal l’image du Cameroun en général, n’aurait pas eu lieu si le niveau de sécurité de ce site web respectait les standards internationaux en matière de sécurité. Ceci est une situation qui peut arriver à n’importe qu’elle entreprise de la place qui présente les défauts au niveau de la sécurité de son site web.
Nous pouvons donc annoncer la troisième hypothèse de notre recherche : Hypothèse 3 : Le SMSI a un effet positif sur la performance administrative et marketing d’une entreprise.
Le modèle de recherche est donc le suivant :
6
Figure 1: Modèle de recherche
Source : Auteur
4. Méthodologie de vérification des hypothèses Pour vérifier nos hypothèses de recherche, nous allons procéder comme suit :
Procéder à une analyse de données statistiques collectées sur la base d’un questionnaire adressé particulièrement aux Responsables de la Sécurité des SI (RSSI) et de façon généralement aux professionnels du domaine des TI et des SI qui sont les acteurs principaux de la sécurité de l’information dans notre environnement. Les questions posées permettront d’avoir une perception sur ce qui est fait dans leur organisation ou par leur service, sur la base de notation d’une échelle de Likert. Ces réponses nous permettront de tester notre modèle de recherche en utilisant le logiciel « SmartPLS 3.2.4 » pour confirmer ou infirmer chaque hypothèse en modélisant les relations entre différentes variables de notre modèle ;
Passer en interview semi-structurée un responsable du domaine de la SSI de l’ANTIC et quelques DSI et experts auditeurs de SSI. Cette interview portera sur les effets d’un SMSI sur les différents choix informatiques et sur la performance d’une entreprise dans notre environnement ;
7
Une recherche documentaire sur les méthodes de gestion des risques des TI telles que MEHARI et sur les méthodes de gouvernance des TI telles que COBIT5 et ITIL afin de relever les effets, au niveau de la capacité informatique et au niveau de l’application de ces méthodes au sein d’une organisation.
5. Objectifs de l’étude L’objectif de notre étude est de démontrer que le management de la sécurité de
l’information est un facteur de performance au sein d’une entreprise et qu’elle doit maintenant être vue comme une source de création de valeur.
6. Intérêt de la recherche
Le bien-fondé de cette recherche est de souligner l’importance du management de la sécurité de l’information dans la gouvernance des SI et dans les entreprises. Ce qui permettra l’adoption d’un système sérieux et rigoureux de management des SI par toute entreprise dans notre environnement.
La gouvernance des SI et particulièrement la SSI n’apparaitront plus seulement comme des centres de coût mais aussi comme des facteurs de performance, car les organisations pourront maintenant investir dans la sécurité de leur SI afin de créer également plus de valeur.
Cette recherche permettra d’interpeller les chefs d’entreprises à la mise sur pied d’un département de SSI et à la création des postes de RSSI, de Manager de la sécurité de l’information et de Manager des risques de sécurité de l’information au sein de leur entreprise. Ce qui va augmenter des possibilités d’emploi pour les étudiants de la filière MSI de l’UCAC.
Cette recherche apportera également une innovation scientifique sur les débats et publications autour de la SSI, la performance et l’utilisation du modèle de succès des SI de Delone et McLean (1992) pour la mesure d’une partie du système de management du SI. 7. Plan de rédaction Notre travail de recherche s’articulera autour de deux parties reparties constituées chacune de deux chapitres :
8
La première partie concerne le cadre théorique du système de management de la sécurité de l’information et la mesure de la performance Dans son chapitre premier, nous présentons quelques les généralités sur les SMSI en particulier SMSI ISO 27001 à cause de sa gratuité. Le chapitre deuxième quant à lui traite du cadre théorique. Il s’articule autour de deux sections. La première section est consacrée à une étude empirique. Ici, nous présentons de façon succincte quelques modèles et théories qui ont retenu notre attention et qui traitent du succès des systèmes, des TI et du niveau de maturité des processus de gestion de risque de la sécurité de l’information. Tous ces modèles ont pour finalité la mesure de la performance. A la lumière de ces différents modèles, la deuxième section se contentera de proposer un modèle théorique de recherche. La deuxième partie concerne les effets du système de management de la sécurité de l’information sur la performance Dans chapitre troisième, nous nous consacrons à la méthodologie utilisée et la présentation des résultats issus de la collecte des données. Pour ce faire, nous présenterons la méthodologie de recherche retenue pour la vérification des hypothèses (section 1) et les principaux résultats obtenus à la suite du traitement et de l’analyse des données issues (section 2) et les commentaires qui en découlent. Enfin, le dernier chapitre présentera dans sa première section les discussions ayant trait aux précédents résultats présentés, aux difficultés rencontrées ainsi que les limites et généralisations, puis nous formulerons dans la seconde section quelques recommandations. Ces deux parties seront encadrées par une introduction générale et une conclusion générale.
9
PARTIE 1 : CADRE THÉORIQUE DU SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION ET MESURE DE LA PERFORMANCE
Cette première partie se propose de faire une présentation de la partie du système de
management des systèmes d’information chargé de gérer la sécurité de l’information. Cette partie est également un système. En tant que tel, nous allons le décrire pour ensuite définir notre modèle de recherche sur la base de théorie traitant des systèmes. Ainsi sera définit un cadre de vérification de nos hypothèses de recherche.
10
CHAPITRE 1 : GÉNÉRALITÉS ET PLACE DE LA SÉCURITÉ DANS LA GOUVERNANCE DES SYSTÈMES D’INFORMATION AU CAMEROUN Il n’est plus à rappeler que toutes les entreprises doivent s’adapter à leur
environnement afin d’atteindre leurs différents objectifs. La sécurité de l’information devient donc primordiale avec la montée des technologies de l’information et l’interconnexion mondiale pour l’échange des données. Il s’agit donc dans ce chapitre de faire une présentation générale des systèmes de management de la sécurité de l’information, en particulier celui de la norme ISO27001 qui est gratuit. Et dans un second temps, nous parlerons de la sécurité de l’information au Cameroun. SECTION 1 : GÉNÉRALITÉS SUR LE SYSTÈME DE MANAGEMENT DE LA
SÉCURITÉ DE L’INFORMATION Le système de management de la sécurité de l’information (SMSI) fait partie du
système global de management des systèmes d’information que nous allons présenter d’une part. D’autre part, nous présenterons le SMSI de la norme ISO 27001 et les outils populaires pour sa mise en œuvre et le suivi quotidien de ses activités. Ainsi que son apport dans une entreprise. 1. La gouvernance des systèmes d’information 1.1. Définition
Un système d’information (SI) est la combinaison des activités stratégiques, managériales et opérationnelles impliquées dans la collecte, le traitement, le stockage, la distribution et l’utilisation de l’information et sa technologie associée (ISACA, 2015). C’est l’ensemble complexe des ressources humaines (personnes et connaissances) et des ressources technologiques (software et hardware) qui opère sur les actifs informationnels dans une entreprise. Cet ensemble complexe doit être bien géré pour assurer l’atteinte des objectifs informationnels et business.
Le concept de gouvernance est très présent dans le monde aujourd’hui ; gouvernance onusienne, gouvernance nationale, gouvernance d’entreprise ou gouvernance informatique. Il s’agit de bien gouverner, de bien gérer. C’est dans ce sens qu’on emploi ce terme dans le
11
cadre des SI. La gouvernance du SI renvoie donc aux moyens de gestion, de régulation et d’optimisation du SI mis en place dans une entreprise en vue d'atteindre des objectifs. C’est aussi une partie de la gouvernance d’entreprise chargé de répondre aux questions que se posent les dirigeants par rapport à l’informatique. 1.2. Objectifs de la gouvernance des systèmes d’information
La Gouvernance du SI répond avant tout à des objectifs de management, qui doivent prendre en compte la culture de l’entreprise et d’autres environnements pour aligner les technologies sur la stratégie. Comme autres environnement, on peut noter l’environnement naturel avec les changements climatiques de nos jours et l’environnement digital avec la mobilité et la cybercriminalité.
La Gouvernance du SI, selon l’IGSI (Institut de la gouvernance des systèmes d’information, 2005), est un processus de management, fondé sur des bonnes pratiques, qui permet à l’entreprise d’optimiser ses investissements informatiques en toute transparence dans le but de :
Contribuer à ses objectifs de création de valeur ; Accroître la performance des processus informatiques et leur orientation clients ; Maîtriser les aspects financiers du SI ; Développer les solutions et les compétences en SI dont l’entreprise aura besoin dans le
futur ; Garantir que les risques liés au SI sont sous contrôle.
1.3. Les parties de la gouvernance des systèmes d’information
Dans le système anglo-saxon, la gouvernance des SI se confond avec la gouvernance des TI. Ainsi, pour l'ITGI3, les cinq piliers de la gouvernance informatique sont : l’alignement stratégique, la fourniture de valeur, la gestion des risques informatiques, la gestion des ressources informatiques et la mesure des performances.
La gouvernance des SI demande de mettre sur pied un certain nombre de système de management pour maitriser ses composants et contribuer de manière efficiente à l’atteinte des objectifs business. Nous pouvons donc distinguer entre autres : 3 ITGI : Information Technology Governance Institute.
12
Le système décisionnel : c’est la partie de la gouvernance du SI chargée de produire des informations pertinentes et utiles à la prise de décision, à partir des données collectés ou produites par l’entreprise. Les expressions communément utilisées aujourd’hui pour parler de ce domaine sont Business Intelligence (BI) et Busines Analytics (BA) ;
Le système de management des TI : c’est la partie de la gouvernance du SI chargée de gérer les TI, ses services et ses processus ;
Le système de management de la qualité : c’est la partie de la gouvernance du SI qui traite des problèmes d’urbanisation, d’architecture d’entreprise, des processus et de leur amélioration continue ;
Le système de management de la sécurité de l’information : c’est la partie de la gouvernance du SI chargée de gérer la sécurité des SI et ses risques. Le système de management de la sécurité de l’information est le système qui retient
notre attention dans ce travail de mémoire. 1.4. Les référentiels de la gouvernance des systèmes d’information
Un référentiel est une exigence obligatoire, un code de pratique ou un cahier des charges approuvé par un organisme reconnu de normes externes, telles que l'Organisation Internationale de Normalisation (ISACA, 2015). Un référentiel est un document de travail, internationalement reconnu ou propriétaire, concernant un domaine précis qui permet à une entreprise de mieux organiser ses activités dans ce domaine.
Dans la gouvernance des SI, on distingue plusieurs référentiels pour les différents systèmes de management cité ci-dessus. Les plus connus sont définit dans les paragraphes suivants. 1.4.1. COBIT
Le COBIT (Control objectives for information and technology) a été conçu par l'ISACA (Information Systems Audit and Control Association) il y a une dizaine d'années. COBIT 5 est la dernière version. Il permet aux entreprises de créer un maximum de valeur via l'utilisation de l'informatique, tout en maintenant un bon équilibre entre la réalisation de bénéfices et l'optimisation du niveau de risques et de l'utilisation des ressources. Il repose sur cinq (05) principes : Répondre aux besoins des parties prenantes, Couvrir l'intégralité des
13
besoins de l'entreprise, Appliquer un unique référentiel intégré, Permettre une approche heuristique, Séparer gouvernance et management. 1.4.2. ITIL
ITIL (Information Technology Infrastructure Library) propose une collection structurée de bonnes pratiques pour le management du SI et des TI. Il est né au sein de l'Office public du Commerce britannique suite à une étude empirique sur les meilleures pratiques de management des TI. ITIL permet de créer et bien manager les services de TI au sein d’une entreprise. C’est le référentiel utilisé par les opérateurs de téléphonie mobile au Cameroun. 1.4.3. CMMI
Le CMMI (Capability Maturity Model Intégration) est un modèle d'évaluation des processus de gestion. Il se base sur un référentiel de bonnes pratiques d’un domaine pour déterminer le niveau de maturité des processus de ce domaine dans l'entreprise sur une échelle de 1 à 5. 1.4.4. Normes ISO4
Les normes ISO sont un ensemble de référentiels qui relèvent les meilleurs pratiques dans plusieurs domaines de l’entreprise, de la qualité du produit à la qualité du management. On en compte plus de 19500 aujourd’hui5.
La norme ISO 9001 définit des exigences pour la mise en place d'un système de management de la qualité pour les entreprises souhaitant améliorer en permanence la satisfaction de leur client et fournir des produits et services conformes à leurs attentes.
La norme ISO 20000 traite du management des TI au même titre que le référentiel ITIL.
La norme ISO 27001 traite du système de management de la sécurité de l’information, sa définition, son implémentation, ses opérations, son contrôle, sa révision, son maintien et son amélioration. 4 ISO: International Organization for Standardization. 5 https://fr.wikipedia.org/wiki/Liste_de_normes_ISO consultée le 30 Juin 2016.
14
2. Le Système de management de la sécurité de l’information (SMSI) 2.1. Définitions
Le SMSI est la partie du système de gestion globale, basée sur une approche du risque d'entreprise, pour établir, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer la sécurité de l'information (ISO/IEC, 2005).
La sécurité de l’information est la préservation de la confidentialité (C), de l'intégrité (I) et de la disponibilité (D) de l’information ; en outre, d'autres propriétés telles que l'authenticité, la responsabilité, la non-répudiation et la fiabilité peuvent également être impliquées. Ces éléments sont les critères de sécurité et ils forment la triade C-I-D.
L’information est un bien comme d'autres actifs importants d’une entreprise. Elle est essentielle à son activité. Elle peut exister sous de nombreuses formes. Elle peut être imprimée ou écrite sur support papier, stockée électroniquement, transmise par voie postale ou en utilisant des moyens électroniques, affichée sur des films, parlée dans des conversations, ou faire partir de des connaissances d’une personne.
La confidentialité est le maintien du secret des informations et des transactions afin de prévenir la divulgation non autorisée d’informations aux non destinataires permettant la lecture, l’écoute, la copie illicite d’origine intentionnelle ou accidentelle durant leur stockage, leur traitement ou leur transfert.
L’intégrité définie l’état d’un actif informationnel qui est demeuré intact et permet de s’assurer qu’il n’a pas été altéré (modifié ou détruit) d’une façon tant intentionnelle qu’accidentelle, de manière à assurer son exactitude, sa fiabilité et sa pérennité.
La disponibilité est le critère de sécurité permettant que les actifs informationnels soient accessibles et utilisables selon les besoins (le facteur temps). 2.2. Apports du système de management de la sécurité de l’information
Le SMSI est un système permettant, de façon cyclique, d’établir une politique de sécurité, de fixer des objectifs de sécurité et d’atteindre ces objectifs. Sa mise en place n’est pas une chose facile encore moins son exécution au quotidien car il faut formaliser toutes les processus nécessaires, exécuter ces processus, mettre en place des tableaux de bord de gestion et mesurer l’activité par des audits réguliers. Ces activités sont effectuées par le personnel du SMSI, chacun dans son domaine d’expertise et à l’aide des outils, de la connaissance et du
15
matériel. On peut alors se demander quels sont les apports d’un SMSI quant à son coût élevé de mise en place et de suivi. Nous pouvons en donner trois.
Le premier apport que nous soulignons est celui de la conformité (FERNANDEZ-TORO, 2012). Il s’agit de l’adoption de bonnes pratiques référencées à l’exemple de la norme ISO 27002 (Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information). Ainsi, un SMSI permettra d’adopter des mesures de sécurité appropriées aux besoins de l’entreprise, en posant les bonnes questions. Quels sont les éléments les plus sensibles de l’entreprise ? Où déployer en priorité les mesures de sécurité ? Comment détecter les incidents ? Comment réagir rapidement aux intrusions ? Comment améliorer les processus ? etc.
Le deuxième apport est l’augmentation de la fiabilité (FERNANDEZ-TORO, 2012). L’effet direct de l’adoption de bonnes pratiques est l’augmentation de la fiabilité ceci grâce au mécanisme d’amélioration continue en capitalisant par exemple sur le retour d’expérience. En effet, après un coup ou une tentative d’intrusion dans une entreprise, le personnel du SMSI analyse l’attaque et met sur pied des actions préventives pour éviter la reproduction d’une telle attaque. À long terme, l’entreprise est de moins en moins vulnérable et par conséquent de plus en plus fiable sur le plan de la sécurité de l’information.
Le troisième apport est la confiance (FERNANDEZ-TORO, 2012). La mise en place d’un SMSI ne confère pas directement un avantage. À partir du moment où un organisme externe tel que les cabinets de certifications valide la qualité du SMSI d’une entreprise par un certificat ISO 27001, il nait une confiance de la part des parties prenantes de cette entreprise (actionnaires, clients, fournisseurs, personnel, partenaires, etc.). Cette confiance favorise le bon fonctionnement des processus et l’évolution de l’entreprise. 2.3. Les référentiels de système de management de la sécurité de
l’information Dans le SMSI, il existe plusieurs référentiels et outils pour accompagner les
entreprises dans l’atteinte de leurs objectifs de sécurité. Un référentiel ou standard est une exigence obligatoire, un code de pratique ou un
cahier des charges approuvé par un organisme reconnu de normes externes tels que
16
l'Organisation internationale de normalisation (ISO) ou le NIST6. Ces référentiels sont soit privés (le référentiel du département de la défense des États-Unis, de la Corée, de l’Allemagne, etc.), soit public (ISO 2700x). 2.3.1. La norme ISO 27001
ISO 27001 (intitulée Technologies de l'information — Techniques de sécurité — Systèmes de gestion de sécurité de l'information — Exigences) est le plus connu des SMSI à ce jour. Il définit un cadre d’amélioration de la sécurité de l’information en se basant sur une approche de gestion des risques et une approche processus du modèle PDCA.
Cette approche processus donne au SMSI la propriété cyclique. Ainsi, le cycle de vie du SMSI est donné par le schéma suivant où SGSI = SMSI :
Figure 2 : Cycle de vie d'un SMSI Source : ITS Group & CIFOPE, 2010
La norme ISO 27001 aborde les points suivants :
Mise en place et gestion du SMSI ; 6 NIST : National Institute of Standards and Technology. Agence du département du commerce des États-Unis dont le but est de promouvoir l'économie en développant des technologies, la métrologie et des standards de concert avec l'industrie.
17
Documentation requise ; Gestion des responsabilités ; Audit interne du SMSI ; Révision du SMSI ; Amélioration du SMSI.
Pour exécuter convenablement son modèle PDCA et atteindre ses objectifs de SMSI, la norme ISO 27001 s’entoure d’autres normes de la famille ISO 2700x, chacun pour un rôle bien précis. Ces normes sont représentées dans le schéma suivant :
Figure 3 : Relations des normes de la famille ISO 2700x Source : ISO/IEC 27000
Nous donnons ici l’intitulé de quelques normes ci-dessus représentées.
18
Tableau 1 : Intitulés de quelques normes de la famille ISO 2700x Normes Intitulés ISO 27000 Vue d’ensemble et vocabulaire ISO 27002 Code de bonne pratique pour le management de la sécurité de l’information ISO 27003 Guide d’implémentation du SMSI ISO 27004 Mesures ISO 27005 Management des risques de sécurité de l’information ISO 27006 Exigences pour les organismes procédant à l'audit et la certification des SMSI ISO 27007 Lignes directrices pour l’audit des SMSI ISO 27010 Directives de management de la sécurité de l'information pour le secteur et les
communications inter-organisationnelles ISO 27011 Directives de mangement de la sécurité de l’information pour les organismes de
télécommunications basés sur la norme ISO 27002 ISO 27015 Directives de mangement de la sécurité de l’information pour les services financiers
Source : Auteur Nous remarquons que la gestion des risques de sécurité de l’information est essentielle
dans un SMSI. La présence et la position de la norme ISO 27005 dans la figure 2 en est l’une des preuves. On peut alors se demander ce qu’est la gestion des risques de sécurité de l’information.
2.3.2. La norme ISO 27005 et la gestion des risques de sécurité de
l’information La gestion des risques de sécurité de l’information est l’ensemble des activités
coordonnées permettant d'orienter et de contrôler un organisme en matière de risque de sécurité de l’information (ISO/IEC, 2012).
Un risque de sécurité de l’information est la possibilité qu’une menace exploite une vulnérabilité d’un actif ou d’un groupe d’actif informationnel d’une organisation et cause ainsi un dommage (ISO/IEC, 2008). Nous comprenons qu’un risque est mesuré en termes d'une combinaison de la probabilité d'un événement et ses conséquences.
Concernant particulièrement les TI, on peut convenir avec ERNEST JORDAN qu’un risque informatique est toute chose qui peut endommager les TI et avoir un impact négatif sur le business. Il dit : “An IT risk is something that can go wrong with IT and cause a negative impact on the business” (JORDAN, 2005).
Dans le tableau suivant, nous donnons quelques exemples de risques.
19
Tableau 2: Exemples de risque de sécurité de l'information. Risques Menaces Vulnérabilités
Divulgation d'informations, par perte accidentelle, de media support de fichiers bureautiques personnels, en dehors de l'entreprise
Erreur de comportement du personnel Disparition de média
Arrêt de fonctionnement de services du réseau étendu, dû à une absence durable du personnel nécessaire
Absence de personnel interne ou du prestataire
Indisponibilité des équipements réseaux
Indisponibilité temporaire accidentelle de système hôte de services applicatifs, due à un arrêt de la climatisation
Absence de service (climatisation)
Indisponibilité des moyens de servitude
Arrêt de fonctionnement de services de publication d'informations sur un site web, dû à une incapacité de la maintenance système (panne non réparable ou défaillance du partenaire)
Absence de service de maintenance ou maintenance système impossible
Indisponibilité des serveurs
Non-conformité à la législation ou aux règlements relatifs à la vérification de la comptabilité informatisée due à la non application de procédures, par méconnaissance
Procédures inappliquées par méconnaissance
Application non conforme des processus
Source : Auteur. La gestion des risques de sécurité de l’information dans un SMSI permet donc de :
Identifier les actifs informationnels (information, données, ordinateurs, applications, services, personnes, image de l’entreprise) ;
Identifier les besoins de sécurité ces actifs (niveau d’importance selon la triade C-I-D) ;
Identifier et évaluer les risques pesant sur ces actifs ; Maitriser ces risques (traitement, planification, priorisation).
De cette façon, les processus de gestion des risques de sécurité de l’information, qui sont données dans le tableau suivant tiré de la norme ISO 27005, s’alignent sur le modèle PDCA du SMSI ISO 27001 :
Tableau 3 : Alignement des processus de SMSI et de gestion des risques de sécurité de l'information.
Processus du SMSI Processus du système de gestion des risques de sécurité de l’information
Plan Définition du contexte
Examen des risques Développement d’un plan de traitement des risques
Acceptation des risques Do Implémentation du plan de traitement des risques
Check Contrôle et révision continue des risques Act Maintien et amélioration des processus de gestion des risques de
sécurité de l’information Source : Auteur.
20
La norme qui traite de la gestion risques de sécurité de l’information est ISO 27005.
Pour la mettre en œuvre, nous pouvons utiliser des outils de gestion de risques dotés de base de connaissances alignées sur la norme ISO 27002 qui comprend entre autres un répertoire de menaces et de vulnérabilités.
L’un de ces outils est MÉHARI (Méthode harmonisée d’analyse des risques) qui a été développé par le CLUSIF7 en 2010. Cette méthode a pour but de minimiser les risques afin qu’ils soient acceptables car « la sécurité est l’absence de risque inacceptable » (PAPET, 2008). MÉHARI utilise les bonnes pratiques de la norme ISO 27002 et respecte le processus de gestion des risques de sécurité de l’information de la norme ISO 27005. En particulier, son processus est donné dans son principe dont le schéma est le suivant :
Figure 4: Principe de MEHARI.
Source : (CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS, 2012). Les éléments de la base de connaissance de MÉHARI sont décrits dans la figure suivante :
7 CLUSIF : Club de la Sécurité de l’Information Français
21
Figure 5 : Base de connaissances de MÉHARI. Source : (CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS, 2012).
2.4. Les acteurs d’un SMSI
Nous avons pu voir que le SMSI comprend plusieurs activités à travers son processus et celui de gestion des risques. Ces activités, pour être menées à bien, ont besoin d’être effectuées, contrôlées, validées et d’être sous la responsabilité de certains membres du personnel de l’entreprise. Le premier principe dans un SMSI est le fait que les hommes sont au premier plan et les technologies au second plan.
Dans une entreprise, tous les membres du personnel et les membres du conseil d’administration sont les acteurs du SMSI. Chacun d’eux a un impact plus ou moins important dans le cycle de vie du SMSI étant donné qu’ils sont des détenteurs et utilisateurs des actifs informationnels.
Dans le tableau suivant, nous décrivons le rôle des acteurs principaux d’un SMSI.
22
Tableau 4 : Acteurs principaux d'un SMSI Acteurs Rôles Conseil d’administration (Président du conseil d’administration)
Discuter des aspects stratégiques de la sécurité Faciliter l’intégration des solutions de sécurité
Direction générale (Directeur) Faciliter l’intégration des solutions de sécurité Faciliter la communication et l’acceptation des recommandations de sécurité
Responsable de la sécurité des SI (RSSI)
Gérer le SMSI Organiser la sécurité de l’information Répondre de la sécurité de l’information Communiquer sur la sécurité de l’information Calculer le retour sur investissement de la sécurité de l’information
Manager des risques de sécurité de l’information
Organiser la gestion des risques de sécurité de l’information Communiquer sur les risques
Auditeur interne de sécurité des SI Auditer le SMSI Faire des recommandations pour l’amélioration du SMSI
Source : Auteur. 2.5. Les dommages dans un SI
En l’absence ou en cas de dysfonctionnement du SMSI, il peut arriver que le SI subissent des dommages souvent graves pouvant aller jusqu’à la faillite de l’entreprise. Le tableau suivant présente quelques dommages que peut subir un SI.
Tableau 5 : Exemples de dommage causé dans un SI en l'absence de SMSI. Types de dommages Exemples Dommages financiers Dédommagement des victimes d'un piratage (clients de banque)
Dommages fonctionnels
Perte d’une base de données Perte des codes source d’une application Erreur de manipulation/programmation Perte des configurations des postes de travail Incendie Vol d'un secret de fabrication
Perte de l’image de marque Publicité négative faite autour d'une sécurité insuffisante Baisse de confiance du public dans une société Vol et diffusion des informations confidentielles des clients
Dommages réglementaires L'indisponibilité d'un SI peut mettre en défaut l'entité devant ses obligations légales et juridiques
Source : Auteur.
23
SECTION 2 : SÉCURITÉ DES SYSTÈMES D’INFORMATION AU CAMEROUN La multitude d’activités produisant des informations permet l’exigence de la mise en
place d’un bon cadre de management des SI par les entreprises du Cameroun. Ainsi, nous parlerons de l’état des lieux des SI au Cameroun dans une premier point et de la sécurité des SI dans un second point. 1. Les Systèmes d’information au Cameroun
Les SI s’intègrent de plus en plus au Cameroun avec notamment des évènements à caractère sensibilisant comme la J3SI8 organisé chaque année par les étudiants de la filière MSI de la FSSG de l’UCAC et le « IT FORUM » organisé chaque année par le Club DSI9 du Cameroun.
Les secteurs d’activité où les SI sont les plus intégrés au Cameroun sont le secteur bancaire, le secteur de l’assurance, le secteur des télécommunications et le secteur de la logistique et du transport. Nous pouvons à priori penser que cela est le cas à cause de la quantité des informations qu’ils manipulent par jour. Cependant, elles sont des entreprises régis par des standards internationaux (norme BALE 210, Loi SOX11, l’UIT12) ou détenues par des organismes étrangers. Ces organismes étrangers exigent que toutes leurs entreprises ou filiales disposent d’un SI conforme à certains standards afin qu’une visibilité soit bien faite sur leur business et que les exigences réglementaires soient respectées.
Ainsi, plusieurs domaines des SI sont bien adoptés au Cameroun et permettent une gestion quotidienne des activités de l’entreprise. 8 J3SI : Journée de sensibilisation sur les systèmes d’information. 9 Club DSI : Association des Directeurs des Systèmes d’Informations et Responsables Informatiques du Cameroun ayant pour objet la promotion de l’usage des systèmes d’information comme facteur de création de valeur dans les organisations. 10 Norme BALE2 : Dispositif prudentiel destiné à mieux appréhender les risques bancaires et principalement le risque de crédit ou de contrepartie et les exigences, pour garantir un niveau minimum de capitaux propres, afin d'assurer la solidité financière. 11 Loi SOX : Loi visant à protéger les investisseurs en améliorant l'exactitude et la fiabilité des publications des entreprises conformément aux lois sur les valeurs mobilières, ainsi qu'à d'autres fins apparentées. 12 UIT : Union internationale des télécommunications. L’agence des Nations unies pour le développement spécialisé dans les technologies de l'information et de la communication, basée à Genève (Suisse). Elle établit les normes de ce secteur et diffuse toutes les informations techniques nécessaires pour permettre l'exploitation des services mondiaux de télécommunications.
24
1.1. Les domaines des SI au Cameroun La pratique des SI au Cameroun n’est pas négligeable. Plusieurs domaines sont
maitrisés par les professionnels des SI qui exercent dans les entreprises et dans les cabinets d’expertises. Ces domaines sont maitrisés grâce aux opportunités de formation et d’obtention de certification qu’offre les moyens de télécommunication (internet) et les partenariats.
Le domaine du business intelligence (BI) dans les SI permet d’analyser des données afin maitriser l’activité de l’entreprise. Dans le secteur bancaire et des télécommunications particulièrement, c’est le cas par exemple de l’analyse du comportement des clients afin de toujours les satisfaire et de créer des produits taillés sur mesure.
Le service des TI est le moteur du service offert par l’entreprise13. En effet, le service des TI est un moteur pour une meilleure diffusion des produits (catalogue électronique, site web), pour l’aide au développement de l’usage des fonctions et des produits, pour un meilleur suivi du service après-vente, etc. Ceci à travers le management des infrastructures et des applications alignées à la stratégie de l’entreprise. Au Cameroun, le référentiel ITIL est le plus utilisé. L’un de ses modules est la gestion des incidents dans laquelle les entreprises de télécom de la place excellent avec la supervision de leur réseau d’antennes réparties sur l’étendue du territoire. C’est également la certification la plus demandée pour tout profil de manager de service des TI dans notre environnement.
Le domaine du management de la qualité est nécessaire à la maîtrise et à l'amélioration des divers processus d'une organisation, qui génère l'amélioration continue de ses résultats et de ses performances dans une entreprise. La qualité est une aptitude d'un ensemble de caractéristiques intrinsèques à satisfaire des exigences14. Plusieurs entreprises au Cameroun pour dorer leur image mettent à disposition leur certificat de qualité (ISO 9001) ou la cartographie de leur processus sur internet comme la SCDP15 (Société Camerounaise de Dépôt Pétrolier).
Le domaine de la conception et du développement des applications est vieux au Cameroun. Les grandes et sérieuses entreprises ne cessent de débaucher du personnel pour développer en interne leur propre solution de gestion.
13http://www.numeraladvance.com/Services_IT/Principes_du_service_IT/Finalite_du_service/Perimetre_et_contenu.htm consultée le 10 juin 2016. 14 http://www.numeraladvance.com/Accueil/Glossaire/index.htm# consultée le 10 Juin 2016. 15 http://www.scdp.cm/download/manuel_qse.pdf consultée le 11 Juin 2016.
25
Le domaine de la SSI est assez nouveau. Seules quelques grandes entreprises réussissent à s’offrir les services de véritables cadres formés dans le domaine de la sécurité des SI. La SSI se résume pour la plupart à la sécurisation du réseau informatique, aux antivirus et au gardiennage.
1.2. Les outils et référentiels des SI au Cameroun
Le référentiel le plus utilisé et le plus répandu au Cameroun est ITIL, pour le management des services des TI. Il permet, grâce à une approche par processus clairement définie et contrôlée, d'améliorer la qualité des SI et de l'assistance aux utilisateurs. ITIL est une sorte de « règlement intérieur » du département informatique des entreprises qui l'adoptent et le bénéfice est une meilleure traçabilité de l'ensemble des actions du département informatique.
La dernière version d’ITIL, ITIL V3 ou ITIL 2011, est constituée de 5 livres principaux décrits ci-après :
Stratégie des services (Management stratégique, Gestion du portefeuille des services, Gestion financière, Gestion de la demande, Gestion des relations business) ;
Conception des services (Coordination & conception, Gestion du catalogue, Gestion du niveau de service, Gestion de la capacité, Gestion de la disponibilité, Gestion de la continuité, Gestion de la sécurité, Gestion des fournisseurs.) ;
Transition des services (Planification et support, Gestion du changement, Gestion de la configuration, Gestion des mises en production, Gestion des tests et validation, Gestion de l'évaluation, Gestion des connaissances) ;
Exploitation des services (Gestion des événements, Gestion des incidents, Gestion des demandes, Gestion des problèmes, Gestion des accès) ;
Amélioration continue des services (Le reporting du service, Les mesures de suivis, Le retour sur investissement, Le benchmarking, Le cycle de Deming). Les sociétés de télécommunication au Cameroun utilisent le Framework eTOM
(Enhanced Telecom Operations Map) pour élaborer leur processus. Ce référentiel créé en 1998 par le TeleManagement Forum (organisme de normalisation spécialisé dans la gestion de réseaux informatiques/télécoms) est aligné sur le référentiel ITIL et couvre trois grands domaines :
Stratégie, infrastructure et produits ;
26
Opérations ; Management de l’entreprise.
2. La sécurité des systèmes d’information au Cameroun
Le rapport du cabinet Check Point16 qui fait état de la vulnérabilité de l’Afrique en matière de sécurité positionne le Cameroun comme la troisième proie facile des cybers terroristes dissimulés dans le monde. Le manager de Check Point Afrique du sud signale que ces cibles sont les pays dont les systèmes de sécurité sont les plus faibles17
La sécurité des SI est nouvelle et pas encore très évoluée malgré le nombre d’attaques informatiques subit chaque jour par les banques, les sociétés de télécommunication, les sites internet et les usagers, et malgré les efforts fait par l’organisme chargé de l’organisation globale de la sécurité informatique au Cameroun.
Pour beaucoup encore, la sécurité des SI se limite à l’utilisation des antivirus mis à jour quotidiennement alors que la sécurité des SI est tout d’abord un problème de management (méthodes) et de technique (moyens, informatique) en dernier ressort. 2.1. L’adoption de la sécurité des SI au Cameroun
Beaucoup d’entreprise ne se sont pas encore investie dans la protection de leur SI. Seuls les secteurs bancaires et de télécommunication sont soucieux de leur sécurité car semble-t-il, ils détiennent les données personnelles et les finances de leurs clients.
Dans plusieurs entreprises, la curation est préférée à la prévention car c’est lorsqu’on est victime d’un problème de sécurité des SI qu’on prend conscience de la réalité. Malgré cela, l’investissement dans le domaine ne suit pas. Cette non implication de la direction générale fait en sorte que les usagers ne prennent pas conscience des menaces et risques qui pèsent sur leurs activités. Ainsi, « l’adoption d’une culture sécurité des SI n’est pas encore effective au Cameroun car la direction générale ne comprend pas encore bien les enjeux », déclare le directeur des SI d’une grande entreprise de la place. 16 Check Point : Leader mondial des marchés de pare-feu d’entreprise, des solutions de sécurité des données et des TI. 17 http://www.camerpresse.com/?pg=actu&ppg=4&pp=4&id=2382 consultée le 20 Juin 2016.
27
2.2. Les problèmes de sécurité des SI Au Cameroun, plusieurs entreprises subissent des attaques chaque jour. D’autres
rencontrent des difficultés dans leur métier à cause des problèmes de sécurité. Une des sociétés de télécommunications du Cameroun est victime de plus de cinq
mille (5000) attaques informatiques chaque jour. Parmi ces attaques, on note environ 5% d’attaques capables de causer de dommages graves telles que l’indisponibilité du réseau dans certaines zones.
Les sociétés bancaires sont aussi les cibles montantes au Cameroun. On note une perte de plusieurs millions de francs CFA et l’indisponibilité de certains services à cause des cyber-attaques. On note aussi le vol de giga de données que les banques Camerounaises cachent bien pour préserver leur image et leur clientèle. Plusieurs clients des banques Camerounaises ont subi des vols de sommes d’argent variant entre cinq mille francs CFA (5000FCFA) et trois cent cinquante mille francs CFA (350000FCFA) car la banque ne répondait pas aux exigences de la PCI-DSS18.
2.3. Les acteurs de la sécurité des SI au Cameroun
Suite à la promulgation de la Loi N°2010/012 du 21 décembre 2010 relative à la cyber-sécurité et à la cybercriminalité et de la Loi N°2010/013 du 21 décembre 2010 régissant les communications électroniques au Cameroun, l'ANTIC19 s’est vu assigner les missions, entre autres, de régulation des activités de sécurité électronique et de régulation de l'internet au Cameroun. L’ANTIC est placée sous la tutelle technique du Ministère des Postes et Télécommunications.
Les autres acteurs de la sécurité des SI au Cameroun sont les cabinets d’expertise. Ils sont généralement spécialisés dans l’audit de sécurité des SI, l’implémentation des solutions de sécurité et la formation.
18 PCI DSS : Payment Card Industry Data Security Standard, est un standard de sécurité des données pour les industries de carte de paiement comme les banques. 19 ANTIC : Agence Nationale des Technologies de l’Information et de la Communication.
28
CHAPITRE 2 : RELATION THÉORIQUE ENTRE LE SMSI ET LA PERFORMANCE Parce que la performance est l’objectif de toute entreprise, de nombreuses théories en
ont fait l’objet de leur étude. Nous verrons en section 1 certaines de ces théories. En section 2, nous mettrons en avant notre modèle et nos hypothèses de recherche. Notons que l’utilisation de ces modèles théoriques nous permettra d’émettre des hypothèses supplémentaires pour l’analyse en détails de la relation entre le SMSI et la performance. SECTION 1 : GÉNÉRALITÉS SUR LES APPROCHES THÉORIQUES
Cette section présente les modèles et théories sur lesquels nous nous sommes appuyés pour construire notre modèle de recherche. 1. Modèle de succès des SI de Delone et McLean
En développant leur modèle de mesure du succès des SI pour la première fois, William Delone et Ephraim McLean (1992) avaient pour objectif de fournir une définition générale et un modèle global de succès des SI. Dix ans après une révision de leur modèle suite aux différentes critiques de plusieurs autres chercheurs du même domaine, ils proposent un modèle amélioré qui est un Framework pour la mesure de variables dépendantes qui donnent des résultats concernant le succès et la qualité d’un SI. Ces variables, au nombre de six (06), sont les suivantes :
La qualité du système : il s’agit des caractéristiques techniques du système dont les indicateurs sont la flexibilité, la qualité des données, la fiabilité, l’intégration, la facilité d’utilisation et les fonctionnalités ;
La qualité de l’information : il s’agit de la qualité de l’information produite ou délivrée par le SI, qui sont sous la forme de document physique ou affiché sur ordinateur. Les indicateurs sont l’exactitude, la disponibilité, la complétude, la pertinence et la cohérence ;
La qualité de service : il s’agit de la qualité des services délivrés par le SI. C’est l’écart qui existe entre les attentes d’un client pour un service donnée et sa perception du service reçu. Elle se mesure en termes de tangibilité, de fiabilité, de serviabilité, d’assurance et d’empathie des services délivrés. Cet indicateur de qualité d’un SI se
29
mesure aujourd’hui en utilisant la théorie SERVQUAL (Service Quality) qui est un instrument très populaire, surtout dans le domaine du marketing.
L’utilisation du système / intention d’utilisation : il s’agit de la façon dont les utilisateurs se mettent en œuvre pour utiliser les capacités du SI dans le remplissage de leurs différentes tâches.
La satisfaction de l’utilisateur : elle se réfère à la façon dont un utilisateur est heureux ou satisfait du SI.
Le bénéfice net : il s’agit de l’ampleur avec laquelle le SI contribue au succès dans une organisation ; au niveau individuel (travailleur) et au niveau global (l’entreprise). Ce modèle est soutenu par le fait qu’un système peut être évalué sur la base de la
qualité des informations délivrées, de la qualité des services délivrés et des caractéristiques du système lui-même. Ces facteurs affectent les utilisateurs du système, leur intention d’utiliser le système et leur satisfaction. À la suite de l’utilisation du système, il va découler des bénéfices pour l’utilisateur et par conséquent pour l’organisation toute entière. Ces bénéfices en retour motivent davantage l’utilisateur.
Le modèle de Delone et McLean est schématisé comme suit :
Figure 6: Modèle de succès de Delone & McLean mis-à-jour, 2003.
Source : (IS Theory, 2016a) 2. Le modèle SERVQUAL de mesure la qualité d’un service de
PARASURAMAN, ZEITHAML et BERRY Le modèle SERVQUAL est un instrument beaucoup utilisé lorsqu’il s’agit de mesurer
la qualité de service d’une entreprise. Selon les auteurs, la qualité de service se mesure en observant la différence qui existe entre la qualité de service perçue et la qualité de service
QUALITÉ DE L’INFORMATION
QUALITÉ DU SYSTÈME
QUALITÉ DU SERVICE
INTENTION D’UTILISER UTILISATION
SATISFACTION DES UTILISATEURS
BÉNÉFICES NETS
30
attendue par le client. Si cette différence est positive, alors on déduit que la qualité de service est bonne et que le service n’a pas besoin d’amélioration ; et inversement.
Ce modèle décompose la notion de qualité de services en cinq (05) grands indicateurs : Tangibilité : installations physiques, équipements, apparence du personnel, etc. ; Fiabilité : la capacité à effectuer un service fiable et précis ; Serviabilité : la volonté d’aider et de répondre aux besoins des clients ; Assurance : la capacité du personnel à inspirer de la confiance ; Empathie : la mesure dans laquelle un service personnalisé attentionné est donné.
Aujourd’hui, le SERVQUAL utilise un questionnaire avec vingt-deux (22) questions sur l’échelle de Likert pour collecter les réponses auprès des individus (clients).
Étant donné que le modèle SERVQUAL est un Framework pour toute entreprise, il est possible non plus de mesurer les qualités de services perçues et attendues, mais de faire une autoévaluation du service rendu. Ce qui permet aussi en interne une amélioration continue de la qualité des services. 3. La théorie des ressources (Ressources-Based View) de WADE et
HULLAND La théorie des ressources (Ressources-Based View) a été développée pour défendre le
fait qu’une entreprise qui possède des ressources est capable de posséder un avantage concurrentiel qui peut être maintenu à long terme afin d’être performant. L’un des auteurs de cette théorie soutien que les ressources en TI sont une condition nécessaire mais pas suffisante pour une bonne performance de l’entreprise (WADE & HULLAND, 2004). De même, seulement acquérir des ressources en TI n’assure pas une bonne performance de l’entreprise (WADE & HULLAND, 2004).
Les ressources sont précieuses et rares, et peuvent conduire à un avantage concurrentiel temporaire. Cet avantage peut être maintenu pendant une très longue période car toute entreprise est capable de se protéger contre le transfert de compétences, le transfert de technologies ou l’imitation.
Les ressources peuvent être entendues par les compétences et aptitudes, les biens stratégiques et les actifs. Les auteurs définissent précisément les ressources comme tout actif ou toute capacité disponibles et utilisés pour répondre aux opportunités et menaces du
31
marché (WADE & HULLAND, 2004). Les actifs sont de type tangible (infrastructures réseaux, poste de travail, etc.) et intangibles (logiciel, relation avec les parties prenantes, etc.). La capacité est l’ensemble des moyens qui permet d’utiliser ces actifs pour atteindre des objectifs ; c’est par exemple les habiletés techniques et managériales.
La théorie des ressources nous permet de spécifier facilement les ressources d’une entreprise, de faire une comparaison entre entreprise et d’établir facilement le lien entre les ressources et l’avantage concurrentiel, donc de mesurer la plus-value des ressources. 4. La théorie de la capacité dynamique (Dynamic capabilities) de Jay
BARNEY, Kathleen EISENHARDT et David TEECE À l’analyse de la théorie des ressources (Ressources-Based View), il apparait que les
ressources semblent statiques alors que notre environnement est dynamique. Parce qu’une entreprise doit toujours s’adapter, il nait la théorie de la capacité dynamique qui soutient le fait que les ressources doivent être développées et intégrées au sein d’une entreprise. Les auteurs, Jay BARNEY, Kathleen EISENHARDT et David TEECE, définissent la capacité dynamique comme « la capacité à intégrer, construire et reconfigurer les compétences internes et externes pour s’adapter aux changements rapides de l’environnement » (IS Theory, 2016b).
La théorie de la capacité dynamique vient donc tenter de combler le vide par une approche processus entre les ressources et l’environnement, et de façon dynamique. En comblant ce vide, les ressources sont ajustées et taillées sur mesure afin de maintenir cet avantage compétitif à long terme telle que dit dans la théorie des ressources.
Nous pouvons dire que la théorie des ressources fait le choix des ressources et la capacité dynamique permet le développement des dites ressources. 5. Le modèle de mesure de la maturité des processus de gestion des
risques en sécurité de l’information (MMGRseg) Dans le management de nos jours, l’approche processus est beaucoup préconisée car
elle permet de mieux prendre en main les activités de tout système, de mieux contrôler les coûts de production et de facilement mesurer l’efficacité. Plusieurs soulignent d’ailleurs que « la qualité d'un système est fortement influencée par la qualité du processus utilisé pour
32
l’acquérir, le développer et le maintenir » (Carnegie Mellon University & Software Engineering Institute, 2005).
La qualité d’un processus se mesure en termes de maturité (niveau de maturité). On définit la maturité d’un processus comme le degré auquel il est déployé explicitement et de façon cohérente, documenté, géré, mesuré, contrôlé et continuellement amélioré. Pour mesurer cette maturité, on s’appuie sur un modèle de maturité qui est un référentiel de bonnes pratiques d’un domaine bien précis utilisé pour apprécier et améliorer la capacité des processus de ce domaine. Le MMGRseg est un modèle qui respecte cette condition en matière de gestion des risques de sécurité de l’information.
Pour évaluer le niveau de maturité du système de gestion des risques de sécurité de l’information, le MMGRseg s’appuie sur la norme ISO 27005 (intitulé Technologies de l'information – Techniques de sécurité – Gestion du risque en sécurité de l'information) pour déterminer les processus à évaluer et sur le CMMI20 pour définir les différents niveaux de maturité des processus (MAYER & LEMES, 2009).
Selon le CMMI, les cinq (05) niveaux de maturité sont : Initial, niveau 1 : Le processus n’est pas défini. Le résultat du processus dépend du
savoir-faire de quelques personnes clés dans l’organisation. Ce savoir-faire n’est ni formalisé ni partagé ; rien n’est fait (documentation, évaluation, communication, surveillance) ;
Connu, niveau 2 : Les entrées et les sorties des différentes activités sont gérées et contrôlées. Les règles sont connues et appliquées par les intervenants concernés. Le processus est planifié et suivi, mais n’est pas formalisé ;
Standardisé, niveau 3 : Le processus est formalisé. Des pratiques d’assurance de la qualité sont en place. L’efficacité de chacun des processus est mesurée et renforcée. Les risques sont identifiés et gérés. L’accent est mis sur l’efficacité ;
Managé, niveau 4 : Chaque processus est systématiquement mesuré. Les données sont consolidées et exploitées pour la prise de décision et la prévision des risques. L’accent est mis sur l’optimisation des ressources (efficience) et sur la valeur ajoutée des processus ;
20 Capability Maturity Model Integration (CMMI), développé par le Software Engineering Institute de l'Université Carnegie-Mellon, initialement pour appréhender et mesurer la qualité des services rendus par les fournisseurs de logiciels informatiques du département de la Défense des États-Unis
33
Optimisé, niveau 5 : Le processus est totalement maîtrisé et optimisé en permanence. On a des indicateurs sur l’amélioration du processus. Selon la norme ISO 27005, les six (06) processus de gestion des risques sont :
Définition du contexte ; Examen des risques ; Traitement des risques ; Acceptation des risques ; Communication des risques ; Contrôle et analyse des risques critiques.
Figure 7 : Processus de gestion des risques de la norme ISO 27005.
Source : ISO/IEC 27005. Le MMGRseg est composé de :
Cinq (05) niveaux de maturité telle que décrit dans le CMMI ;
34
Quarante-trois (43) objectifs de contrôles répartis dans les six (06) processus de gestion des risques ;
Tableau 6: Objectifs de contrôle des processus de gestion des risques
Processus Niveau de maturité Total des objectifs de contrôles 1 2 3 4 5
Définition du contexte 0 3 4 1 1 9 Examen des risques 0 2 3 1 2 8 Traitement des risques 0 1 5 1 1 8 Acceptation des risques 0 2 3 1 1 7 Communication des risques 0 1 2 2 1 6 Contrôle et analyse des risques critiques 0 1 2 1 1 5
TOTAL 0 10 19 7 7 43 Source : (MAYER & LEMES, 2009)
Un instrument d’évaluation de la maturité des processus de gestion des risques qui se
base sur l’évaluation de la maturité pour chaque objectif de contrôle ; Une matrice de responsabilité des activités de chaque processus ; Un tableau de bord des risques.
SECTION 2 : MODÈLE CONCEPTUEL DE RECHERCHE
Une entreprise existe pour atteindre chaque jour ses objectifs. Ce qui démontre sa performance. Plusieurs éléments aujourd’hui sont des facteurs de performance dans une entreprise comme nous avons pu le constater à travers ces théories qui sont utilisées par des entreprises de renom pour mesurer à chaque fois l’effectivité de leur statut d’entreprise performante.
Une entreprise performante est à la fois efficace et efficiente. Elle est efficace lorsqu’elle atteint ses objectifs. Elle est efficiente lorsqu’elle minimise les moyens mis en œuvre pour atteindre les objectifs fixés. La performance d’une entreprise peut se mesurer à plusieurs niveaux : financier, social, administratif et organisationnel, marketing, etc.
Au niveau financier, on mesure la performance à l’aide des indicateurs comme le retour sur investissement (ROI : Return On Investment) ou la valeur économique ajoutée.
35
Au niveau social, on mesure la performance à l’aide des indicateurs tels que le montant des rémunérations, le nombre d’accidents de travail, etc.
Au niveau administratif, on mesure la performance à l’aide des indicateurs tels que le respect des délais, la conformité des produits, l’efficacité des processus, la flexibilité, etc.
Au niveau marketing, la performance se mesure à l’aide des indicateurs tels que la satisfaction des clients, le taux de fidélité, la qualité de l’image de l’entreprise, etc.
Dans notre environnement, à cette ère du numérique où la sécurité de l’information s’impose comme activité à part entière, beaucoup d’entreprises n’ont pas encore pris conscience de la valeur de leurs informations alors que ces informations, en tant qu’actif de l’entreprise, leur permettent chaque jour d’exercer, d’atteindre leurs objectifs et d’être plus performante. C’est ainsi que nous nous proposons d’utiliser le modèle de succès des systèmes de Delone et McLean pour vérifier si le SMSI permet à une entreprise d’être performante.
Cette performance dans notre cas de recherche va se concentrer sur deux domaines, administratif et marketing. Administratif parce que la gestion par les processus métiers ne cessent de faire ces preuves, parce que la relation avec les fournisseurs n’est pas toujours prise très au sérieux alors que ceux-ci participent à l’atteinte des objectifs de l’entreprise. Marketing parce que le client devrait toujours être satisfait et aussi parce que l’une des forces d’une entreprise est son image.
La norme ISO 27001 définit le SMSI comme la partie de tout système de management d’une organisation, basé sur l’approche des risques, pour établir, implémenter, faire fonctionner, contrôler, réviser, maintenir et améliorer la sécurité de l’information (ISO/IEC, 2005). Ce qui démontre l’importance de la gestion des risques dans un SMSI. La première étape d’implémentation d’un SMSI (étape « Plan » du modèle PDCA21) demande d’établir la politique, les objectifs, les processus et les procédures de SMSI relatifs à la gestion des risques et à l'amélioration de la sécurité de l'information pour fournir des résultats en conformité avec les politiques et les objectifs globaux de l'organisation.
Étant donné que la gestion des risques est une activité majeure et inéluctable de tout SMSI, nous nous proposons d’évaluer en plus la maturité des processus de gestion des risques en s’appuyant sur le MMGRseg. Pour cela, nous allons mesurer la maturité des six (06) processus, chacun dans sa globalité et non dans les détails ; car le modèle original comprend 21 PDCA = Plan, Do, Check, Act. Le modèle adopté par les standards internationaux qui est appliqué pour structurer tous les processus d’un SMSI.
36
trente-cinq (35) questions, ce qui alourdira notre questionnaire de recherche. Cette méthode nous donnera des résultats fidèles et acceptables concernant le niveau de maturité des processus de gestion des risques.
BHARADWAJ fait une précision sur l’utilisation de la théorie des ressources (Resources-Based View). Il distingue les ressources en TI tangibles (Infrastructures et Ressources humaines) et TI intangibles (BHARADWAJ, 2000). Notre travail s’est concentré sur les TI tangibles pour éviter d’évoquer des éléments assez abstraits comme l’habileté du personnel, les atouts en connaissances qui sont intangibles.
De ce corpus découle notre modèle de recherche :
Figure 8: Modèle théorique de recherche.
Source : Auteur.
Nos hypothèses de recherche sont les suivantes : Les effets positifs d’un SMSI : il s’agit des répercussions positives de l’utilisation
normée par ISO 27001 d’un SMSI sur une entreprise. L’amélioration de ses processus, de sa relation avec ses fournisseurs et sur son image d’une part, et l’amélioration de ses infrastructures, la qualité du personnel et du management des TI d’autre part. H1 : Le SMSI a un effet positif sur la performance d’une entreprise. H2 : Le SMSI a un effet positif sur la capacité informatique d’une entreprise.
37
Les effets positifs de la capacité informatique : il s’agit des bénéfices de l’adoption et de l’utilisation des TI sous les actions du personnel et du management de ses TI. H3 : La capacité informatique a un effet positif sur la performance d’une
entreprise. L’utilisation des différentes théories citées nous offrent des possibilités de
vérifications précises et détaillées de nos différentes hypothèses et de certaines relations de dépendances entre quelques sous construits de notre modèle de recherche. Dans leur article qui parlent de l’impact sur l’organisation de la qualité de service, de la qualité du système et de la qualité des informations, les auteurs affirment en perspective que la recherche sur ce thème peut être continuer en explorant les effets entre la qualité du système, la qualité de service et la qualité de l’information (GORLA, SOMERS, & WONG, 2010). Ce qui nous pousse à se pencher sur quatre (04) hypothèses supplémentaires. De plus, en procédant à une gestion des risques de sécurité de l’information par ses processus, lors d’un audit ou d’un contrôle par exemple, on est amené à traiter les risques en donnant des recommandations. Ces recommandations sont des solutions qui viennent modifier l’infrastructure, les méthodes, les processus et même la qualité du personnel (recrutement, formation).
Les hypothèses de recherche supplémentaires sont donc les suivantes : H4a : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la qualité du système. H4b : le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la qualité de service. H5 : La qualité de service a un effet positif sur la Qualité de l’information. H6 : La qualité du système a un effet positif sur la Qualité de l’information.
La performance administrative dans notre cas de recherche est l’ensemble des bénéfices perçus au niveau de la gestion des fournisseurs, l’amélioration des services de l’entreprise et de l’efficacité de l’organisation interne : H7 : La Qualité du système a un effet positif sur la Performance administrative. H8 : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la Performance administrative. H9 : La Qualité de service a un effet positif sur la Performance administrative.
La performance marketing est celle du marché. Il s’agit du niveau de la satisfaction des clients et la qualité de l’image de l’entreprise.
38
H10 : La Qualité de service a un effet positif sur la Performance marketing. Les infrastructures TI sont l’ensemble des ressources matériels et logiciels de
l’entreprise : H11 : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la Capacité des infrastructures TI. La qualité du personnel TI représente sa capacité à créer des solutions adaptées aux
besoins de l’entreprise en utilisant les méthodes actualisées. H12 : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la Qualité du personnel TI. Le management IT donne des informations sur la qualité des méthodes de gestion des
TI utilisée pour gouverner. H13 : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la Capacité du management des TI.
Figure 9: Modèle de recherche des hypothèses supplémentaires.
Source : Auteur.
39
Conclusion Nous avons pu dessiner notre modèle de recherche à partir de plusieurs théories,
principalement celle du succès de Delone et McLean qui permet de mesurer l’effet d’un système sur la performance dans une entreprise. Ce qui nous a conduit à la formulation de quatorze (14) hypothèses de recherche. Il est maintenant question de décrire le processus qui va nous permettre de confirmer ou infirmer les hypothèses citées. Ce processus va être exécuté. Ce qui nous permettra de présenter des résultats.
40
PARTIE 2 : SMSI ET PERFORMANCE
La seconde partie de notre travail de recherche présente la méthodologie adoptée pour
vérifier nos différentes hypothèses, suivie d’une présentation de nos différents résultats. Enfin, nous apporterons des remarques à ces résultats. Ce qui nous permettra d’émettre des recommandations pour la mise en place et le suivi d’un SMSI dans une entreprise.
41
CHAPITRE 3 : MÉTHODOLOGIE & RÉSULTATS Pour la vérification de nos différentes hypothèses, nous emploierons une démarche
hypothético-déductive en utilisant les données quantitatives collectées à partir d’un questionnaire. La démarche hypothético-déductive a fait ses preuves dans le domaine des sciences sociales à travers la méthode des équations structurelles et la méthode PLS (Partial least square). La méthode PLS a traité avec succès les modèles et théories sur lesquels nous nous appuyés pour élaborer notre modèle de recherche. Ainsi, nous nous proposons dans ce chapitre de présenter explicitement la méthodologie utilisée en section 1 et de présenter les résultats et commentaires en section 2. SECTION 1 : MÉTHODOLOGIE DE VÉRIFICATION DES HYPOTHÈSES DE
RECHERCHE
Le modèle de recherche étant définit et les hypothèses de recherche posées, il s’agit maintenant de procéder à leur vérification. Pour ce faire, nous avons appliqué le processus donné par la figure suivante qui comporte six (06) grandes activités que nous allons décrire.
Figure 10 : Processus simplifié de la méthodologie de vérification des hypothèses. Source: Auteur.
1. Élaborer le questionnaire
La première réalisation dans cette activité est le choix de la cible du questionnaire. Ici, nous avons préféré se concentrer sur les acteurs du domaine des TI et des SI et de leur sécurité. À savoir les agents, les managers et les directeurs qui opèrent dans une entreprise ou au titre de consultant. Dans notre environnement, ils sont ceux qui maitrisent bien les questions de SMSI et la pratique de la sécurité de l’information.
42
La deuxième réalisation est le choix des questions à faire administrer. Les questions ont été tirées directement des questionnaires des modèles théoriques. Il a fallu faire une sélection des dites questions en fonction de leur pertinence dans notre environnement et des relations de notre modèle de recherche. Ce qui nous a permis dans un premier temps d’arrêter trente-trois (33) questions sur une échelle de Likert à sept (07) niveaux et six (06) questions de mesure du niveau de maturité sur une échelle de 1 à 5 ; soit au total trente-neuf (39) questions.
La troisième réalisation est le test de notre questionnaire auprès de vingt et cinq (25) individus. L’objectif de ce test est de déterminer la facilité de compréhension des questions et la qualité de la liaison des variables latentes (construits) à leurs variables manifestes (indicateurs ou items). Ce qui nous permet d’augmenter ou supprimer des indicateurs dans des construits indiqués afin qu’ils gardent une très bonne qualité et que notre modèle ait des résultats fiables.
La dernière réalisation est la finalisation du questionnaire. Il s’agit d’ajouter aux questions du modèle des questions qui renseignent sur la qualité du répondant. Ce sont les questions qui nous permettent de donner un premier crédit aux réponses collectées. À savoir, l’âge, les années d’expérience, formation en sécurité ou pas, etc. 2. Choisir la taille de l’échantillon
Cette partie consiste à déterminer le nombre minimum de réponses à collecter (observations) afin de pouvoir prétendre à des résultats acceptables auprès de la communauté scientifique.
Selon (HAIR, HULT, RINGLE, & SARSTEDT, 2014) une puissance22 de 0,80 et un f²23 égale à 0,15 sont recommandés pour la validation des résultats de recherche avec la méthode PLS. De cette façon, un calcul de la taille de l’échantillon à partir du logiciel « GPower 3.0.10 » avec les paramètres f² = 0,15, p = 0,05, puissance = 0,80 et nombre de prédicateurs = 2 nous donne comme résultat soixante-huit (68) comme taille minimum de l’échantillon pour la vérification de nos hypothèses.
22 Puissance d’un test : Probabilité de rejeter l’hypothèse nulle. 23 f² : Mesure de la force de l'effet observé d'une variable sur une autre.
43
Figure 11 : Calcul de la taille minimale de l’échantillon avec GPower 3.
Source: Auteur.
D’autres auteurs affirment que la taille minimale de l’échantillon est fonction du modèle de recherche. On considère le sous construit qui dispose du plus grand nombre de variables manifestes. La taille minimale de l’échantillon pour la vérification des hypothèses s’obtient en multipliant le nombre de variables manifestes le plus élevées par dix (10) (HAIR, HULT, RINGLE, & SARSTEDT, 2014). Dans notre modèle de recherche, la variable latente qui a le plus de variable manifestes est la variable de mesure de la performance administrative (P-ADMIN). Elle présente neuf (09) indicateurs. Par conséquent, la taille minimale de notre échantillon est de quatre-vingt-dix (90) observations.
Nous concluons donc qu’il nous au minimum quatre-vingt-dix (90) observations pour mener notre étude et tester notre modèle de recherche.
44
3. Administrer le questionnaire Nous avons commencé par mettre en forme le questionnaire. Et pour cela, nous avons
opté pour trois formes du questionnaire : formulaire en ligne sur le site de Google, formulaire en fichier PDF (cf. annexe 2) et formulaire sur papier.
Nous avons ensuite procédé à la rédaction d’une lettre de recherche (cf. annexe 1) signée du Coordonnateur de la filière MSI24 de la FSSG25 de l’UCAC26.
Nous avons enfin distribué quatre cent quatre-vingt (485) questionnaires en utilisant une demande d’administration de questionnaire par mail et par lettre administrative. Les destinataires étaient les partenaires de la filière MSI, les entreprises et cabinets d’expertises de la place. Nous sommes également entrés en contact avec de nombreux possibles répondants exerçant uniquement au Cameroun par les réseaux sociaux professionnels (Twitter et LinkedIn).
4. Collecter les données Le mode de collecte de données est très aisé. Ce qui est tout le contraire de
l’administration du questionnaire. Pour le remplissage du formulaire en ligne, les réponses sont automatiquement
reportées dans un tableau Excel où nous avons en colonne les réponses à chaque question posée et en ligne les réponses de chacun des répondants. La majorité des répondants préfèrent le formulaire en ligne car ils sont habitués au numérique et sont mobiles. Nous le suggérons en premier lieu à tout répondant car il garantit l’absence de données manquantes.
Pour le formulaire en fichier PDF, les réponses sont automatiquement exportées grâce à l’outil de gestion des formulaires de « Adobe Acrobat Reader DC » que nous avons utilisés. De même, les réponses sont également reportées automatiquement dans un tableau Excel.
Pour le formulaire sur papier, les réponses ont été reportées manuellement dans un tableau Excel.
Nous avons enfin défini une codification pour chaque question car elle nous permettra un travail aisé et un affichage convivial dans les outils d’analyse. Et nous avons uni les données dans un seul tableau Excel qui est enregistré au format CSV (DOS) pour son exploitation par les outils. Ainsi, cent trente-six observations (136) ont pu être collectées. 24 MSI : Management & Systèmes d’information. 25 FSSG : Faculté des sciences sociales et de gestion. 26 UCAC : Université catholique d’Afrique centrale.
45
5. Traiter les données Le traitement de données a consisté à épurer les données en gérant le problème de
données manquantes et celui des réponses atypiques. Nous avons relevé deux (02) données manquantes et seulement dans les réponses
collectées à partir du formulaire en papier. Ces données manquantes ont été traité en remplaçant automatiquement les non réponses par le mode de la série (question posée) lors des analyses sur le logiciel SmartPLS qui permet cela.
Les réponses atypiques sont les réponses d’un individu dont l’écart-type est nul ; c’est-à-dire que le répondant à eu la même réponse à toute les questions posées. Nous n’avons pas relevé de réponses atypiques dans nos données.
6. Analyser les données L’analyse des données se fait exclusivement sur le logiciel SmartPLS 3.2.4 qui est un
outil très approprié pour la méthode des équations structurelles avec un petit jeu de données. Nous allons premièrement procéder à l’analyse de la qualité des différents construits.
Nous allons appliquer l’algorithme PLS de SmartPLS pour observer cela. Les indicateurs à observer dans SmartPLS sont : Outer loadings, Discrimant validity, AVE, Alpha de Cronbach et le HTMT tels que décris dans le tableau suivant :
Tableau 7 : Seuils pour le test de la qualité des construits et du modèle global. Indicateurs Seuils Sources Outer loadings > 0,7 (HAIR et al., 2014)
0,4 < … < 0,7 (HAIR et al., 2014) (cf. Figure 12) Fiabilité composite (CR) > 0,7 (NUNNALLY & BERNSTEIN, 1994) Variance moyenne partagée/extraite (AVE) > 0,5 (HAIR et al., 2014) Alpha de Cronbach > 0,7 (NUNNALLY & BERNSTEIN, 1994)
HTMT < 0,85 (KLINE, 2011)
(HENSELER, RINGLE, & SARSTEDT, 2014) < 0,90 (TEO, SRIVASTAVA, & JIANG, 2008)
(HENSELER et al., 2014) HTMT inference (significativité du HTMT) t > 1,96 (MILLER, 1981)
(HENSELER et al., 2014) Source: Auteur.
46
Figure 12 : Test de sélection du Outer loadings.
Source: (HAIR et al., 2014):
Deuxièmement, nous allons tester la significativité de chacune des relations de notre modèle de recherche. Ce qui nous permettra d’infirmer ou confirmer les différentes hypothèses. Pour cela, nous appliquerons la méthode du Bootstraping de SmartPLS avec 5000 échantillons bootstrap comme recommandés (HAIR et al., 2014). L’indicateur de significativité est la statistique de Student (t-statistics) telle que décrit dans le tableau suivant (HAIR et al., 2014):
Tableau 8: Seuils pour le test de significativité des hypothèses.
Probabilité d’erreur (α) Niveau de significativité t > 1,65 10% 90% t > 1,96 5% 95% t > 2,57 1% 99% t > 3,29 0,1% 99,9%
Source : Auteur.
Une fois les différentes hypothèses testées, nous allons analyser l’effet médiateur entre des sous-construits. Il s’agira de savoir si un sous construit X a un effet positif sur un sous
Outer loading relevance testing
Analyze the impact of indicator deletion on AVE and composite reliability
Outer loading is ˂
0.40
Outer loading is ≥ 0.40 but ˂
0.70
Outer loading is ≥ 0.70
Deletion does not increase measure(s) above threshold
Deletion increases measure(s) above threshold
Retain the reflective indicator
Delete the reflective indicator
47
construit Y par l’intermédiaire (partiel ou complet) d’un effet positif sur un sous construit M. la figure suivante nous montre la situation de l’effet médiateur.
Figure 13 : Situation de l'effet médiateur.
Source : http://www.nrhpsych.com/mediation/logmed.html. Pour vérifier l’effet médiateur, nous utiliserons l’une des trois approches suivantes :
La procédure d’analyse de l’effet médiateur en PLS (NITZL, ROLDAN, & CARRION, 2016) :
Figure 14 : Procédure d’analyse de l’effet médiateur en PLS.
Source : (NITZL et al., 2016).
48
La procédure de régression multiple de BARON et KENNY (ANAND, 2013) :
Figure 15 : Procédure de régression multiple de BARON et KENNY.
Source : (ANAND, 2013) & Auteur.
Une fois le type d’effet connu, il est recommandé de déterminer sa significativité en comparant la valeur « z » à calculer au seuil 1,96 selon le test de Student.
= × ; avec SE le terme d’erreur standard, = ² + ² + .
Le test de SOBEL : il applique la même procédure comme dans le test de BARON et KENNY précédent. À la seule différence que la significativité de l’effet se teste avec une valeur de « z » où on a plutôt = ² + ² . La valeur de « z » est automatiquement calculée avec l’outil suivant :
Figure 16 : Outil de calcul pour le test de SOBEL.
Source : http://quantpsy.org/sobel/sobel.htm.
49
SECTION 2 : RÉSULTATS ET COMMENTAIRES Dans cette partie, il est question de présenter le jeu de données et les différentes
informations qui en découlent. Ces informations sont les résultats sur lesquels nous allons faire des commentaires. L’analyse des données s’est faite sur Microsoft Excel pour ce qui est de la présentation du jeu de données et sur SmartPLS 3 pour ce qui est de la vérification des construits et des hypothèses. 1. Analyse descriptive
Notre jeu de données est composé de cent trente-six (136) observations. Ces observations sont les réponses à nos questions issues de la théorie et adaptées d’une part, et des questions qui caractérisent chaque répondant d’autre part.
Pour les questions qui caractérisent les répondants, les proportions des différents types de caractérisation sont les suivants :
Secteur d’activité de l’entreprise où il exerce
Figure 17 : Proportion des secteurs d'activités dans le jeu de données.
Source : Auteur.
4% 3%10%
5%2%
18%
1%32%
21%
4% AssuranceAutreBanqueCommerceConstruction – BTPConsultantIndustrieServicesTélécommunicationTransport et logistique
50
Type d’entreprise en fonction de la taille de l’entreprise (Afriland First Bank, 2015) où il exerce
Figure 18 : Proportion des types d'entreprise dans le jeu de données.
Source : Auteur. Tranche d’âge des répondants
Figure 19 : Proportion des tranches d'âge des répondants dans le jeu de données.
Source : Auteur. Sexe
Figure 20 : Proportion des femmes et hommes le jeu de données. Source : Auteur.
15%
20%
16%
49%<5 (Très petite entreprise)6-20 (Petite entreprise)21-100 (Moyenne entreprise)>100 (Grande entreprise)
44%
43%
8% 5% 0%<3030-4041-5051-60>60
16%
84%
FemmeHomme
51
Niveau de formation académique ;
Figure 21 : Proportion des niveaux de formation académique des répondants. Source : Auteur.
Fonction dans l’entreprise (Agent, Manager ou Top manager)
Figure 22 : Proportion des profils des répondants. Source : Auteur.
Ancienneté
Figure 23 : Proportion des anciennetés des répondants. Source : Auteur.
2%
63%
35% 1er Cycle Universitaire2e Cycle Universitaire3e Cycle Universitaire
22%
60%
18%AgentManagerTop Manager
19%
18%
13%12%6%
32%1an2ans3ans4ans5ans+5ans
52
Formation sur le domaine de la sécurité (certification, séminaire)
Figure 24 : Proportion des répondants formés en sécurité. Source : Auteur.
Pour ce qui est des questions issues de la théorie, elles ont permis de constituer nos
construits de recherche. Le tableau suivant présente le nombre d’indicateurs, la moyenne et l’écart-type de chacun des trois construits principaux de notre recherche.
Tableau 9 : Caractéristiques descriptifs des construits. Construits Nombres
d’indicateurs Moyennes Écart-types SMSI 20 4,452 1,573 CAPACITE INFORMATIQUE 10 5,375 1,570 PERFORMANCE 11 4,810 1,583
Source : Auteur.
2. Analyse du modèle de recherche Il s’agit de présenter les résultats qui renseignent sur la fiabilité des construits (modèle
externe) et sur la qualité des hypothèses de recherche (modèle interne).
2.1. Analyse du modèle externe de recherche Les indicateurs de mesure de la fiabilité de nos construits, calculés dans SmartPLS,
sont donnés dans le tableau suivant :
45%55%
NonOui
53
Tableau 10 : Indicateurs de fiabilité des construits. Construits Alpha de
Cronbach Fiabilité composite
(CR) Variance moyenne
partagée (AVE) SMSI 0,962 0,966 0,586 CAPACITE INFORMATIQUE 0,932 0,943 0,625 PERFORMANCE 0,960 0,965 0,715
Source : Auteur. Les valeurs de Alpha de Cronbach et de Fiabilité composite (CR) sont supérieures
au seuil 0,7. Ceci indique que nos construits sont fiables et ont une bonne consistance interne. La Variance moyenne partagée (AVE) est supérieure au seuil 0,5. Ceci indique une
validité convergente de la part des indicateurs de mesure de chacun des construits. En plus des indicateurs de fiabilité, nous devons observer la contribution de chaque
variable manifeste (indicateur) à la construction de sa variable latente (construit). Cette contribution est donnée par la valeur du « Outer loadings » de l’indicateur pour le construit.
Tableau 11 : Contribution des indicateurs du construit SMSI. Indicateurs Outer loadings
RM1 0,766 RM2 0,756 RM3 0,723 RM4 0,578 RM5 0,655 RM6 0,788 INQ1 0,782 INQ2 0,767 INQ3 0,617 SEQ1 0,785 SEQ2 0,780 SEQ3 0,827 SEQ4 0,792 SEQ5 0,852 SYQ1 0,804 SYQ2 0,838 SYQ3 0,886 SYQ4 0,709 SYQ5 0,734 SYQ6 0,802
Source : Auteur.
54
Tableau 12 : Contribution des indicateurs du construit CAPACITE INFORMATIQUE. Indicateurs Outer loadings
IIT1 0,611 IIT2 0,668 IIT3 0,737 IIT4 0,813 PIT1 0,839 PIT2 0,758 MIT1 0,879 MIT2 0,899 MIT3 0,861 MIT4 0,787
Source : Auteur.
Tableau 13 ¨Contribution des indicateurs du construit PERFORMANCE. Indicateurs Outer loadings
PAD1 0,897 PAD2 0,917 PAD3 0,894 PAD4 0,907 PAD5 0,790 PAD6 0,827 PAD7 0,812 PAD8 0,892 PAD9 0,789 PMA1 0,842 PMA2 0,712
Source : Auteur. L’observation de ces contributions montre que les indicateurs contribuent bien à la
construction de chacun de nos construits. Nous notons la présente de cinq (05) indicateurs qui ont une valeur contributive en dessous de 0,7. Néanmoins, ces valeurs sont entre 0,578 et 0,668 et sont supérieures à 0,4. De plus, elles ont réussi au test de sélection du « Outer loadings » donné dans la Figure 12. Nous conservons donc ces indicateurs.
55
2.2. Analyse du modèle interne de recherche 2.2.1. Analyse des hypothèses
La qualité de notre modèle de recherche est testée à partie du critère HTMT. Il mesure la validité discriminant des construits, c’est-à-dire si les construits sont vraiment distincts l’un de l’autre (HAIR et al., 2014).
Figure 25 : Les indicateurs du critère HTMT. Source : SmartPLS 3.
Les valeurs des critères HTMT de notre modèle sont en dessous du seuil 0,85. Ceci traduit une bonne validité discriminante de nos construits.
Le pouvoir prédictif du modèle est donné par la valeur du R². Cette valeur est la proportion de la variabilité de la variable dépendante expliquée par ses variables indépendantes. Le R² ajusté prend en compte le nombre de variable utilisé dans le modèle. Pour un R² assez grand (supérieur à 0,25), on conclut que le modèle est assez bon ou intéressant (HAIR et al., 2014). Ce qui est le cas ici à l’observation du tableau suivant.
Tableau 14 : Valeurs des R² des variables dépendantes.
R Square R Square ajusté CAPACITE INFORMATIQUE 0.391 0.387
PERFORMANCE 0.702 .0697 Source : SmartPLS 3.
0,697 0,633 0,825
56
Nous pouvons maintenant tester nos principales hypothèses de recherche à l’aide du Bootstrapping dans SmartPLS 3.
Figure 26 Les indicateurs de significativité des principales hypothèses de recherche
Source : SmartPLS 3.
La valeur du t (T Statistics) de chacune de nos principales hypothèses de recherche est largement supérieure à la valeur 3,291. Ce qui traduit une bonne significativité de nos hypothèses de recherche.
Tableau 15 : Paramètres de validation des principales hypothèses de recherche.
Hypothèses Coefficient de régression t Degré de
significativité Conclusion H1
SMSI > PERFORMANCE 0,621 11,972 99,9% Hypothèse acceptée
H2 SMSI > CAPACITE INFORMATIQUE 0,625 7,665 99,9% Hypothèse
acceptée H3
CAPACITE INFORMATIQUE > PERFORMANCE
0,295 5,389 99,9% Hypothèse acceptée
Source : Auteur. Le résultat de l’algorithme PLS est présenté dans la figure suivante :
Figure 27 : Relation entre les construits.
Source : SmartPLS 3.
57
2.2.2. Analyse de l’effet médiateur À l’observation du modèle comme sur la Figure 27, nous sommes amenés à nous
demander si la CAPACITE INFORMATIQUE a un effet médiateur sur la relation entre le SMSI et la PERFORMANCE. Ici, a = 0,625 ; b = 0,295 et c’ = 0,621.
L’application de la procédure d’analyse de l’effet médiateur en PLS de (NITZL et al., 2016) nous donne les résultats suivants.
Figure 28 : Analyse de l'effet médiateur – Étape 1 – Significativité de l’effet indirect.
Source : SmartPLS 3. La statistique de Student de l’effet indirect du SMSI sur la PERFORMANCE a une
valeur de 4,076. De plus 4,076 > 1,96. Donc l’effet indirect est significatif. Nous passons à l’étape 2 de la procédure.
Figure 29 : Analyse de l'effet médiateur – Étape 2 – Significativité de l’effet direct.
Source : SmartPLS 3.
La statistique de Student de l’effet direct du SMSI sur la PERFORMANCE a une valeur de 12,056. Ce qui est largement supérieur à 1,96. Donc l’effet direct est significatif. De plus, a*b*c’ = 0,625*0,295*0,621 = 0,113. Ce résultat est un nombre positif.
Nous concluons donc que la CAPACITE INFORMATIQUE a un effet médiateur partiel (complémentaire) entre le SMSI et la PERFORMANCE.
58
L’application du test de BARON & KENNY nous donne les résultats suivants.
Figure 30 : Test de BARON & KENNY - Significativité de l'effet total « c = 0,805 ».
Source : SmartPLS 3.
Figure 31 : Test de BARON & KENNY - Significativité de « a » et « b ».
Source : SmartPLS 3. Nous constatons que le coefficient « c’ » est légèrement inférieur au coefficient « c ».
De plus le coefficient « c’ » est significatif. Donc la CAPACITE INFORMATIQUE a un effet médiateur partiel entre le SMSI et la PERFORMANCE. Calculons la valeur « z » pour tester la significativité de cet effet.
Les paramètres sont : a = 0,625 ; b = 0,295 ; Sa = 0,081 et Sb = 0,054. = × = ,
, = , > 1,96 Nous concluons que cet effet est significatif selon BARON & KENNY.
L’application du test de SOBEL nous donne le résultat suivant :
59
Figure 32 : Test de SOBEL - Significativité de l'effet médiateur. Source : http://quantpsy.org/sobel/sobel.htm.
On a bien 4,458 > 1,96. Nous concluons que cet effet est significatif selon SOBEL. En définitive, la CAPACITE INFORMATIQUE a un effet médiateur partiel
significatif entre le SMSI et la PERFORMANCE. 2.3. Test des hypothèses supplémentaires 2.3.1. Analyse des hypothèses supplémentaires
Le modèle de recherche avec les sous-construits est détaillé et nous permet de tester les hypothèses supplémentaires. Les caractéristiques de ces sous-construits sont données dans le tableau suivant :
60
Tableau 16 : Caractéristiques descriptives des sous-construits. Construits Sous-construits Indicateurs Moyennes Écart-types
SMSI
RM-CMM
RM1 3,324 1,194 RM2 3,434 1,168 RM3 3,5 1,05 RM4 3,382 1,118 RM5 3,522 1,157 RM6 3,324 1,212
SYSQUAL
SYQ1 5,625 1,323 SYQ2 5,147 1,348 SYQ3 4,676 1,46 SYQ4 4,471 1,317 SYQ5 4,632 1,366 SYQ6 4,375 1,548
INFOQUAL INQ1 5,309 1,303 INQ2 5,353 1,24 INQ3 4,779 1,012
SERVQUAL SEQ1 5,206 1,301 SEQ2 4,551 1,599 SEQ3 4,868 1,519 SEQ4 5,007 1,417 SEQ5 5,11 1,464
CAPACITE INFORMATIQUE
IT-INFRASTRUCTURE
IIT1 5,713 1,266 IIT2 5,456 1,339 IIT3 5,831 1,252 IIT4 5,301 1,804
IT-PERSONNEL PIT1 5,037 1,602 PIT2 5,618 1,231
IT-MANAGEMENT MIT1 5,015 1,671 MIT2 5,037 1,521 MIT3 5,088 1,792 MIT4 5,426 1,603
PERFORMANCE
P-MARKETING PMA1 5,118 1,306 PMA2 5,397 1,196
P-ADMIN
PAD1 4,478 1,766 PAD2 4,559 1,63 PAD3 4,515 1,59 PAD4 4,507 1,539 PAD5 4,735 1,426 PAD6 4,985 1,254 PAD7 5,228 1,323 PAD8 5 1,419 PAD9 4,897 1,53
Source : Auteur.
61
L’algorithme PLS appliqué à ce modèle de recherche donne les résultats tels que présentés par la figure suivante.
Figure 33 : Relation entre les sous-construits.
Source : SmartPLS 3. Le test de significativité des hypothèses supplémentaires se fait à l’aide du
Bootstrapping de SmartPLS dont les résultats sont présentés sur la Figure 34.
Figure 34 : Les indicateurs de significativité des hypothèses supplémentaires de recherche.
Source : SmartPLS 3.
62
Tableau 17 : Paramètres de validation des hypothèses supplémentaires de recherche. Hypothèses Coefficients de
régression t Degré de significativité Conclusion
H4a RM-CMM > SYSQUAL 0,707 18,969 99,9% Hypothèse
acceptée H4b
RM-CMM > SERVQUAL 0,641 13,079 99,9% Hypothèse acceptée
H5 SERVQUAL > INFOQUAL 0,574 5,826 99,9% Hypothèse
acceptée H6
SYSQUAL > INFOQUAL 0,271 2,608 99% Hypothèse acceptée
H7 SYSQUAL > P-ADMIN 0,600 3,869 99,9% Hypothèse
acceptée H8
RM-CMM > P-ADMIN -0,015 0,195 - Hypothèse rejetée
H9 SERVQUAL > P-ADMIN 0,258 1,855 - Hypothèse
rejetée H10
SERVQUAL > P-MARKETING 0,622 12,674 99,9% Hypothèse acceptée
H11 RM-CMM > IT-INFRASTRUCTURE 0,346 5,423 99,9% Hypothèse
acceptée H12
RM-CMM > IT-PERSONNEL 0,363 4,765 99,9% Hypothèse acceptée
H13 RM-CMM > IT-MANAGEMENT 0,594 9,723 99,9% Hypothèse
acceptée Source : Auteur.
2.3.2. Analyse de l’effet médiateur
Le modèle de recherche avec les sous-construits (cf. Figure 33) nous donne la possibilité de tester deux effets médiateurs. Celui du SYSQUAL entre le RM-CMM et la P-ADMIN, et celui du SERVQUAL entre le RM-CMM et la P-ADMIN.
L’application du test de SOBEL nous donne les résultats suivants :
Figure 35 : Test de SOBEL - Significativité de l'effet total « c = 0,574 ».
Source : SmartPLS 3.
63
Figure 36 : Test de SOBEL - Significativité de « a » et « b » pour le SYSQUAL.
Source : SmartPLS 3.
Figure 37 : Test de SOBEL - Significativité de « c’ ».
Source : SmartPLS 3. Conformément à la procédure de BARON & KENNY, il ressort que le SYSQUAL à
un effet médiateur complet entre le RM-CMM et le P-ADMIN car l’effet total du RM-CMM sur le P-ADMIN est significatif, « a » et « b » sont significatifs et « c’ » n’est pas significatif. De plus, nous avons le test statistique de SOBEL suivant :
Figure 38 : Test de SOBEL - Significativité de l'effet médiateur de SYSQUAL.
Source : http://quantpsy.org/sobel/sobel.htm. Nous concluons donc que le SYSQUAL a un effet médiateur complet significatif
entre le RM-CMM et le P-ADMIN.
64
Pour l’effet médiateur du SERVQUAL, nous avons les résultats suivants.
Figure 39 : Test de SOBEL - Significativité de « a » et « b » pour le SERVQUAL.
Source : SmartPLS 3.
Nous remarquons que le coefficient « b » entre le SERVQUAL et le P-ADMIN n’est pas significatif. Alors nous concluons qu’il n’y a pas d’effet médiateur du SERVQUAL entre le RM-CMM et le P-ADMIN. Ceci se confirme encore plus avec le test statistique de SOBEL.
Figure 40 : Test de SOBEL - Significativité de l'effet médiateur du SERVQUAL.
Source : http://quantpsy.org/sobel/sobel.htm.
65
CHAPITRE 4. DISCUSSIONS & RECOMMANDATIONS Rendu à cette étape, nous avons pris en main tous les résultats. Il est maintenant
question pour nous de donner une appréciation de ceux-ci par des commentaires en les comparant à d’autres résultats et en prenant en compte notre environnement. Nous donnerons également les limites de notre recherche pour enfin délivrer des recommandations suivant plusieurs axes. SECTION 1 : DISCUSSIONS
Cette section nous permet de donner les apports des résultats et les limites de notre
recherche. Ce qui constitue nos commentaires.
1. Discussion des résultats Les résultats de notre recherche se récapitulent dans le tableau suivant :
Tableau 18 : Résultats sur les hypothèses de recherche. Hypothèses Conclusion Interprétations
H1 SMSI > PERFORMANCE
Hypothèse acceptée
Le SMSI a un effet positif sur la performance dans une entreprise
H2 SMSI > CAPACITE INFORMATIQUE
Hypothèse acceptée
Le SMSI a un effet positif sur la capacité informatique dans une entreprise
H3 CAPACITE INFORMATIQUE
> PERFORMANCE Hypothèse acceptée
La capacité informatique a un effet positif sur la performance dans une entreprise
H4a RM-CMM > SYSQUAL
Hypothèse acceptée
Le niveau de maturité du système de gestion des risques de sécurité de l’information a un effet positif sur la qualité du SMSI
H4b RM-CMM > SERVQUAL
Hypothèse acceptée
Le niveau de maturité du système de gestion des risques de sécurité de l’information a un effet positif sur la qualité de service d’un SMSI
H5 SERVQUAL > INFOQUAL
Hypothèse acceptée
La qualité de service d’un SMSI a un effet positif sur la qualité des informations du SMSI
H6 SYSQUAL > INFOQUAL
Hypothèse acceptée
La qualité du SMSI a un effet positif sur la qualité des informations du SMSI
66
Hypothèses Conclusion Interprétations H7
SYSQUAL > P-ADMIN Hypothèse acceptée
La qualité d’un SMSI a un effet positif sur la performance administrative dans une entreprise
H8 RM-CMM > P-ADMIN
Hypothèse rejetée
Le niveau de maturité du système de gestion des risques de sécurité de l’information n’a pas d’effet positif sur la performance administrative dans une entreprise
H9 SERVQUAL > P-ADMIN
Hypothèse rejetée
La qualité de service d’un SMSI n’a pas un effet positif sur la performance administrative dans une entreprise
H10 SERVQUAL > P-MARKETING
Hypothèse acceptée
La qualité de service d’un SMSI a un effet positif sur la performance marketing dans une entreprise
H11 RM-CMM > IT-
INFRASTRUCTURE Hypothèse acceptée
Le niveau de maturité du système de gestion des risques de sécurité de l’information a un effet positif sur l’infrastructure des TI dans une entreprise
H12 RM-CMM > IT-PERSONNEL
Hypothèse acceptée
Le niveau de maturité du système de gestion des risques de sécurité de l’information a un effet positif sur la qualité du personnel des TI dans une entreprise
H13 RM-CMM > IT-MANAGEMENT
Hypothèse acceptée
Le niveau de maturité du système de gestion des risques de sécurité de l’information a un effet positif sur la qualité du management des TI dans une entreprise
Source : Auteur.
Notre travail de mémoire s’est inspiré de l’utilisation du modèle de succès de Delone & McLean dans plusieurs travaux de recherches. Jusqu’ici, ce modèle était utilisé pour mesurer les effets d’un SI sur la performance dans la littérature que nous avons pu observer dans les journaux de référence en matière de management des SI. Néanmoins, des chercheurs affirment que ce modèle peut être utilisé pour mesurer plusieurs types de systèmes faisant partie d’un SI (GORLA et al., 2010). C’est dans ce sens que nous nous sommes permis de l’utiliser pour le SMSI et son impact sur l’entreprise.
L’utilisation du modèle de succès de Delone & McLean dans l’environnement Camerounais, auprès des professionnels du domaines des SI, des TI et de leur sécurité, nous a permis de produire des résultats qui ont des implications tant sur le plan de la recherche en sciences sociales que sur le plan du management des SI.
67
1.1. Apports des résultats Ce travail de recherche nous a permis de savoir que le SMSI à des effets positifs dans
une entreprise sur la capacité informatique (les infrastructures, la qualité du personnel et la qualité du management) et sur la performance (marketing et administrative).
50% des répondants sont du secteur bancaire, du secteur des télécommunications et des consultants en matière des SI, des TI et de sécurité. Les secteurs bancaires et des télécommunications sont ceux où les SI sont déjà très développés dans notre environnement. Leur vision de l’importance du SMSI dans une entreprise apparait clairement dans les résultats.
C’est dire que toute entreprise devrait maintenant investir sur la sécurité de l’information car celle-ci contribue à leur performance. En particulier, les résultats permettent de faire les remarques suivantes :
L’amélioration du niveau de maturité du système de gestion des risques de sécurité de l’information permet d’améliorer la qualité du SMSI et la qualité des services du SMSI. En effet, améliorer le niveau de maturité du système de gestion des risques de sécurité de l’information demande d’améliorer continuellement celui des processus de gestion des risques comme ceux de la norme ISO 27005. Cette amélioration suggère la maitrise des outils de gestion de risques telle que MÉHARI. Dans un processus de gestion des risques de sécurité de l’information, une fois que les risques sont identifiés, il s’agira de les traiter. Pour un risque d’indisponibilité du réseau de télécommunication par exemple, une entreprise de télécom peut prendre les décisions de traitement suivantes : Organisation de la maintenance, Continuité de la fourniture d’électricité (groupe électrogène), Plan de continuité des activités. Ce qui rend fiable le SMSI et accroît sa qualité et celle de ses services.
L’amélioration du niveau de maturité du système de gestion des risques de sécurité de l’information permet d’améliorer la capacité informatique d’une entreprise. Ce résultat n’est pas surprenant. Le changement et ou l’amélioration de la capacité informatique est le plus perceptible dans une entreprise pendant un processus de gestion des risques de sécurité de l’information. En effet, dans un processus de gestion des risques selon MÉHARI, le SMSI va se concentrer sur l’audit des services de sécurité de l’entreprise pour déterminer ses vulnérabilités. Comme services de sécurité, on note le réseau local, le réseau étendu, la sécurité applicative, l’exploitation des télécommunications,
68
le management de la sécurité de l’information. Dans ce cas particulier, les recommandations pourraient être l’acquisition de matériel de dernière génération, la reconfiguration des infrastructures, la prescription dans le développement et l’acquisition des applications, le recrutement du personnel. Dans le cadre d’une mission d’audit de sécurité que nous avons réalisée dans une entreprise sensible de la place, nous avons recommandé la formation (certification ISO 27001 Lead Implementer27) du responsable de la sécurité car l’entreprise avait pour objectif d’être certifiée ISO 27001 pour rassurer ses clients en termes de sécurité de leurs informations.
Il est évident que l’amélioration de la qualité du SMSI a un effet positif sur l’amélioration de la performance administrative. Le contraire nous aurait très surpris. En effet, le fait que le SMSI soit fiable et délivre ses activités dans les délais est un bénéfice pour le cœur de métier de l’entreprise qui par conséquent sera aussi exécuté dans les délais. De même le fait que le SMSI soit flexible permet la flexibilité du système de management globale.
L’amélioration du niveau de maturité du système de gestion des risques de sécurité de l’information permet d’améliorer la performance administrative mais pas de façon directe. En effet, nous avons remarqué que la qualité du SMSI (SYSQUAL) avait un effet médiateur complet sur la relation entre le RM-CMM et le P-ADMIN. Ce qui veut dire que faire de la gestion des risques de sécurité de l’information sans se concentrer sur les aspects de la qualité du SMSI ne permettront par une performance administrative. Il sera important d’insister sur la fiabilité, la flexibilité, la facilité d’utilisation et les fonctionnalités du système qui sont des indicateurs de qualité de tout système. Ce résultat est un peu surprenant. Parmi les éléments de la performance administrative dans notre travail de recherche, nous avons la gestion des fournisseurs. En effet, faire de la gestion des risques de sécurité de l’information demande aussi de mettre un accent sur la gestion des fournisseurs concernant le contrat et les services (fond et forme, délais, désignation et référence des produits). Ce qui accroit la performance de l’entreprise. Dans ce sens, on avait pensé que l’amélioration du niveau de maturité du système de gestion des risques de sécurité de l’information améliorerait directement la performance administrative.
27 ISO 27001 Lead Implementer : Certification pour la maitrise de la mise en place d’un SMSI selon ISO 27001.
69
Les informations délivrées par un SMSI sont des actifs dans une entreprise. Il est important que leur qualité soit très bonne. Cette qualité est garantie par la qualité du SMSI et la qualité des services délivrés par le SMSI. En effet, un SMSI de bonne qualité garantie la conformité ; ce qui permet que la forme des informations soit bonne. Une bonne qualité des services du SMSI permet aux employés de se sentir en sécurité et d’utiliser des moyens à jour ; ce qui permet que les informations soient fiables.
Lorsqu’un SMSI délivre des services de bonne qualité, ils sont fiables. Ils permettent de répondre aux besoins des clients et de satisfaire les parties prenantes. Le bénéfice est directement l’amélioration de la satisfaction des clients. En effet, le SMSI conçoit ses services en prenant en compte les besoins des parties prenantes. Par exemple, les clients désirent que leurs données soient sécurisées. Alors les services du SMSI se chargeront de les crypter lors de toute transaction. Ils se chargeront encore de recommander une certaine attitude sécuritaire comme le changement périodique des mots de passe. Tout ceci contribue à satisfaire le client. Les commentaires sur ces hypothèses supplémentaires de recherche nous permettent
de comprendre les principales hypothèses de recherche.
1.2. Difficultés rencontrées Tout au long de notre travail, nous avons rencontré des difficultés qui ont ralenties
notre travail. Ces difficultés sont : La résistance des potentiels répondants qui disent ne pas être disposés à répondre ou
ne pas avoir l’autorisation de répondre car les informations de l’entreprise sont confidentielles. Ils ont surtout stoppé le débat quant aux possibilités d’obtenir ce droit ;
Beaucoup de répondants rencontrés ne maitrisaient pas les domaines du management de la sécurité. Ce qui rendait difficile la compréhension de certaines questions et la collecte des données ;
Certains potentiels répondants n’étaient pas accessibles et refusaient catégoriquement de remplir un questionnaire en ligne disponible sur un site web autre que celui de l’UCAC, de la FSSG ou de la filière MSI.
70
2. Limites et généralisations Notre étude était centrée sur les effets d’un SMSI. Ce qui nous a demandé de nous
limiter sur un certain champ. La première limite de notre travail est au niveau de la mesure de la performance. En
effet, nous nous sommes concentrés sur la performance administrative et la performance marketing qui sont des aspects de la performance pas assez mis en avant dans les entreprises. Ce qui n’est pas le cas de la performance financière qui est la principale façon de mesurer la performance dans les entreprises. On pourrait alors se demander si la sécurité permet également à une entreprise d’être performante sur le plan financier.
Deuxièmement, notre travail s’est limité à l’environnement Camerounais et particulièrement aux professionnels du domaine des TI, des SI et de leur sécurité. Pourtant la sécurité des SI concerne tous les membres d’une entreprise qui participent chaque jour plus ou moins à la sécurisation des actifs informationnels.
Une troisième limite est la faible taille de notre échantillon d’étude bien qu’elle ait été suffisante pour effectuer des analyses. Cette faible taille ne nous a pas permis de faire des analyses par catégorie de répondant afin de présenter des résultats par groupe. Il aurait été intéressant de savoir si nos hypothèses ont la même significativité lorsqu’il s’agit du secteur bancaire, du secteur de télécommunication, lorsqu’il s’agit des agents ou des managers, lorsqu’il s’agit des personnes formées en sécurité de l’information ou non, ou lorsqu’il s’agit d’une petite ou d’une grande entreprise. Ceci nous aurait permis de faire des recommandations précises suivant chaque groupe d’échantillon.
Une autre limite est le fait que notre travail ne soit pas entré dans les détails quant à la significativité des relations qui peuvent exister entre les sous construits de la capacité informatique et ceux de la performance. En effet, il aurait été possible d’analyser la relation entre le management des TI, le personnel des TI et la performance administrative et marketing. De plus, une précision de l’analyse des relations entre le niveau de maturité des risques de sécurité de l’information et la gestion des fournisseurs serait beaucoup parlant.
Ces limites sont des éléments sur lesquels il est possible de s’appuyer pour améliorer ce travail de recherche. L’une des premières choses à faire serait d’augmenter la taille de l’échantillon pour refaire une analyse et observer les variations des résultats. Il sera également possible dans ce cas de faire des analyses suivant un groupe d’observations bien précis.
71
Notre recherche cependant permet d’attirer l’attention de tous les acteurs d’une entreprise quant à la mesure de la performance. En effet, la performance d’une entreprise ne sera plus vue seulement sur le plan financier, mais aussi sur le plan administratif, marketing. Cette remarque permet d’attirer l’attention sur le fait qu’on puisse mesurer la performance des entreprises à but non lucratif.
SECTION 2 : RECOMMANDATIONS
Cette dernière section nous permet de proposer des solutions pour que le SMSI puisse contribuer à la performance d’une entreprise.
1. Recommandations : éléments de la pratique et du management.
Suite à notre étude et aux différents résultats fournis. Nous pouvons faire des recommandations qui vont s’appliquer dans une entreprise afin que la performance soit toujours au rendez-vous grâce au SMSI.
Avant tout, nous pouvons déjà recommander la mise à disposition d’une interface sur le site web de l’UCAC pour la collecte de données à travers des formulaires en ligne. Ceci permettra de donner confiance aux répondants des différents questionnaires de recherche. Ce qui facilitera les travaux de recherche des étudiants de l’UCAC.
La principale recommandation que nous donnons est la mise en place d’un SMSI ou la mise en conformité d’un SMSI existant, basé sur la norme ISO 27001. Les résultats ont prouvé qu’il faut se concentrer sur l’amélioration continue du niveau de maturité des processus de gestion des risques de sécurité de l’information. Cet amélioration permettra d’avoir un SMSI de bonne qualité, ce qui permet d’être performant.
Ces actions vont nécessiter d’autres exigences à plusieurs niveaux de l’entreprise. 1.1. Au niveau de la direction générale
À ce niveau, il sera surtout question de gérer les problèmes de politique et de facilitation de la mise en place du SMSI. Il s’agira de :
Poser les fondements de la gestion du changement dans le projet d’intégration d’un SMSI ;
72
Communiquer fortement sur les apports d’un SMSI dans l’entreprise ; Donner une certaine marge de manœuvre au responsable de la sécurité qui pourrait
être rattaché au conseil d’administration de l’entreprise plutôt qu’au directeur général ou au DSI. Ceci facilitera la collecte de données pour les besoins de sécurité et la mise en œuvre des différentes solutions ;
Permettre au manager de la sécurité de l’information d’intervenir dans le choix et les exigences relatifs aux services des fournisseurs ;
Permettre au manager de la sécurité de l’information de proposer les éléments de contenus à destination des assureurs de l’entreprise.
1.2. Au niveau de la DSI
À ce niveau, il sera question pour les acteurs de gérer et maitriser les processus du SMSI et particulièrement celui de gestion des risques selon la norme ISO 27005. Nous recommandons donc :
La création des postes clés pour le SMSI s’ils n’existent pas, à savoir le poste de manager de la sécurité de l’information, le poste de manager des risques de sécurité de l’information et le poste d’auditeur de SMSI ;
Le manager de la sécurité de l’information devra être CISM28 et ISO 27001 Lead Implementer29, il devra en plus être capable de déterminer le retour sur investissement de la sécurité et de données des informations sur la contribution de la sécurité à la performance de l’entreprise ;
Le manager des risques de sécurité de l’information devra être certifié ISO 27005 Risk Manager30 et maitriser les outils de gestion des risques telles que MÉHARI ou EBIOS31 ;
L’auditeur de SMSI devra être CISA32 ou certifié ISO 27001 Lead Auditor33 ; La formation continuelle des responsables de ces postes clés. Il est important que ces
acteurs mettent quotidiennement à jour leurs connaissances pour adapter la sécurité à l’environnement ;
28 CISM : Certified Information Security Manager, certification délivrée par l’ISACA. 29 ISO 27001 Lead Implementer : Certification pour la maitrise de la mise en place d’un SMSI selon ISO 27001. 30 ISO 27005 Risk Manager : Certification pour la maitrise de la gestion des risques selon ISO 27005. 31 EBIOS : Expression des besoins et identification des objectifs de sécurité, développé par l’Agence nationale de sécurité des SI en France. 32 CISA : Certified Information Systems Auditor, certification délivrée par l’ISACA. 33 ISO 27001 Lead Auditor : Certification pour la maitrise de l’audit d’un SMSI selon ISO 27001.
73
La DSI devra formaliser les processus du SMSI et disposer d’un tableau de bord de la sécurité afin de bien mesurer leur activité et l’atteinte des objectifs ;
Un plan de communication devra être mis sur pied pour faciliter l’acceptation et l’application des mesures de sécurité.
1.3. Au niveau du manager de la sécurité de l’information
Il est surtout question pour le manager de la sécurité de l’information de mener à bien ses activités au quotidien et de justifier les dépenses qui sont allouées pour les besoins de sécurité. De façon générale, il assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte. Il peut intervenir directement sur tout ou partie du SI de l’entreprise. En effet, il lui faut :
Maitriser le(s) métier(s) de l’entreprise ; Maitriser la conduite du changement ; Manager les risques de sécurité de l’information ; Développer les solutions pour les problèmes de sécurité de l’information ; Mettre en œuvre ou suivre la mise en œuvre de ces solutions ; Mettre en œuvre le plan de continuité d’activité ; Mettre en œuvre un tableau de bord de la sécurité de l’information ; Calculer le ROI de la sécurité de l’information.
74
CONCLUSION GÉNÉRALE Les entreprises investissent de plus en plus dans le domaine des TI et des SI et
génèrent chaque jour des tonnes d’information qui leurs sont utiles dans l’exécution de leur activité. Dans l’environnement actuel qui ne favorise pas la négligence, des actifs informationnels peuvent être perdues par manque de moyens et de méthodes. Ce qui a pour conséquence des pertes financières, des pertes organisationnelles, des pertes sur le plan social, etc. par manque d’acception d’une part et d’intégration continuelle d’autre part du SMSI au sein de l’entreprise. Pourtant, le SMSI, qui englobe les personnes, les processus et les systèmes de TI, est l'approche systémique par laquelle une organisation veille à la sécurité de ces informations sensibles par un processus de management des risques.
Le véritable souci au Cameroun est celui de la prise de conscience quant à la mise en œuvre d’une solution de gestion de la sécurité des actifs informationnels de l’entreprise car les pertes sont réelles même si leur fréquence est négligeable pour certains dirigeants qui préfèrent jusqu’ici des méthodes curatives. Qu’en est-il, par exemple, lorsque les pertes annuelles dans une banque camerounaises s’élèvent à plusieurs millions par an ?
C’est ainsi que nous avons justifié le fait que l’amélioration du SMSI permet l’amélioration de la performance dans une entreprise. Et puisqu’il s’agit de la protection des actifs informationnels qui sont pour la plupart sous forme informatisée de nos jours, le SMSI garanti également l’amélioration de la capacité informatique de l’entreprise. De cette façon, la performance est une fois de plus garantie car on ne cesse de démontrer que les TI améliore la performance.
La mesure de la performance est critique pour une entreprise et pour chacun de ses départements. Il est donc important de déterminer les aspects qui permettent la mesure de la performance du département de la sécurité de l’information et sa contribution à la performance globale de l’entreprise. Ce travail a été fait grâce au modèle de succès de Delone & McLean qui nous a permis de définir un cadre de vérification des hypothèses que nous avons fixées. L’application de ce modèle dans le cadre de la sécurité a permis de déterminer des facteurs clés de succès d’un SMSI au sein d’une entreprise et des indicateurs pour la perception du succès du SMSI dans une entreprise sur la base des appréciations des acteurs qui sont les professionnels de notre environnement.
75
Notre travail a donc consisté à tester notre questionnaire dans un premier temps pour valider sa qualité et celle de nos variables, puis à tester les hypothèses sur le logiciel d’analyse SmartPLS 3 pour enfin conclure par des résultats affirmatifs et très significatifs.
Cependant, la résistance des répondants ne nous a pas facilité le travail. Ce qui aurait pu améliorer notre modèle. Mise à part le nombre de réponses collectées qui était assez petit, nous aurions pu mieux définir les expressions performance administrative et performance marketing en accord avec les entreprises camerounaises. Ceci devait permettre d’utiliser des variables manifestes plus parlantes pour les décideurs afin qu’ils s’engagent plus rapidement dans la sécurité effective de leurs actifs informationnels. Notons que seulement la mise à disposition des questionnaires dans des entreprises de la place à attirer l’attention de certains responsables quant à l’importance d’un SMSI et le fait qu’il faille y jeter un grand coup d’œil.
Dans la mesure où la sécurité de l’information permet d’être performante sur le plan administratif et particulièrement en matière de gestion des fournisseurs, on peut convenir que l’entreprise pourrait mieux négocier ses services d’approvisionnement. Concernant la performance marketing, on peut convenir que l’image de l’entreprise sera préservée. Ce qui aura pour effet d’accroitre la fidélité des clients (BENDER, 2008). Et par conséquent, l’entreprise va gagner financièrement. On pourrait alors se demander si le SMSI n’aurait pas un effet direct significatif sur la performance financière d’une entreprise ?
76
RÉFÉRENCES BIBLIOGRAPHIQUES Afriland First Bank. (2015). LE DEFIS DU FINANCEMENT DES PME. ANAND, A. (2013). The effect of IT Capabilities on firm performance - Evidence from
healtcare industry (Master of Information Systems and Technology - Research thesis). School of Information Systems & Technology, University of Wollongong.
BENDER, O. (2008). Introduction à la fidélisation en entreprise. BHARADWAJ, A. (2000). A Resource-Based Perspective on Information Technology
Capability and Firm Performance: An Empirical Investigation. CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS. (2012). Manuel de référence
de la base de connaissances MEHARI 2010. FERNANDEZ-TORO, A. (2012). Management de la sécurité de l’information :
Implémentation ISO 27001 et ISO 27002. Eyrolles. GORLA, N., SOMERS, T. M., & WONG, B. (2010). Organizational impact of system
quality, information quality, and service quality. Journal of Strategic Information Systems. Consulté à l’adresse www.elsevier .com/ locate/ jsis
HAIR, joseph, HULT, T., RINGLE, C., & SARSTEDT, M. (2014). A primer on partial least squares structural equation modeling (pls-sem).
HENSELER, J., RINGLE, C., & SARSTEDT, M. (2014). A new criterion for assessing discriminant validity in variance-based structural equation modeling. Springerlink.com.
IBM Global Business Services. (2010). Le nouveau rôle des responsables informatiques et des directeurs des systèmes d’information. Enseignements de l’étude IBM Global IT Risk Study 2010. Consulté à l’adresse ibm.com/iibv
ISACA. (2015). ISACA® Glossary of Terms. IS Theory. (2016a). Delone and McLean IS success model. Consulté 20 avril 2016, à
l’adresse http://is.theorizeit.org/wiki/Delone_and_McLean_IS_success_model IS Theory. (2016b). Dynamic capabilities. Consulté 20 avril 2016, à l’adresse
http://is.theorizeit.org/wiki/Dynamic_capabilities ISO/IEC. (2005). ISO 27001 Information technology — Security techniques — Information
security management systems — Requirements. ISO/IEC. (2008). ISO 27005 Information technology — Security techniques — Information
security risk management.
77
ISO/IEC. (2012). ISO 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
JORDAN, E. (2005). An integreted IT Risk model. PACIS 2005 Proceedings, Paper 52. KLINE. (2011). Principles and practice of structural equation modeling. New York: Guilford
Press. LAZIC, M. (2011). IT Governance And Business Performance - A Resource Based Analysis.
PACIS 2011 Proceedings. Paper 103. Consulté à l’adresse http://aisel.aisnet.org/pacis2011/103
LEIGNEL, J.-L. (2006). Gouvernance du Système d’Information, Équilibrer Performance et Conformité. Nice, France.
MAYER, J., & LEMES, L. (2009). A Model to Assess the Maturity Level of the Risk Management Process in Information Security.
MILLER. (1981). Simultaneous statistical inference. NewYork: Wiley. NITZL, C., ROLDAN, J., & CARRION, G. C. (2016, juin 3). Mediation Analysis in Partial
Least Squares Path Modeling: Helping Researchers Discuss More Sophisticated Models. Social Science Research Network. Consulté à l’adresse http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2789370
NUNNALLY, & BERNSTEIN. (1994). Psychometric Theory, 3th edition. McGraw-Hil, New York.
PAPET, E. (2008). ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI. REFALO, P. L. (2009). Développer la culture risques informatiques et informationnels (Vol.
1–Tome IV). TEO, SRIVASTAVA, & JIANG. (2008). Trust and electronic government success: An
empirical study. Journal of Management Information Systems. WADE, M., & HULLAND, J. (2004). REVIEW: THE RESOURCE-BASED VIEW AND
INFORMATION SYSTEMS RESEARCH: REVIEW, EXTENSION, AND SUGGESTIONS FOR FUTURE RESEARCH. MIS Quarterly Vol. 28.
78
ANNEXES Annexe 1 : Lettre de recherche
Page 1 sur 9
Le présent questionnaire soumis à votre attention est celui d’une étude menée dans
le cadre de la rédaction de mon mémoire de master et d’un article scientifique. Il s’agit
d’évaluer la qualité de l’influence du système de management de la sécurité de l’information (SMSI) sur la performance et la capacité informatique d’une entreprise.
Veuillez cocher vos réponses aux questions III à VI.
Pour les questions du IV au VI, veuillez donner une appréciation, sur l’échelle de
Likert donnée, sur ce que vous percevez de ce qui est mis en place dans votre entreprise
suivant l’affirmation donnée.
Merci pour votre aimable attention.
* = Question obligatoire
cocher la case correspondante
Assurance
Banque
Commerce
Construction – BTP
Consultant
Finance
Hôtellerie
Industrie
Information (média)
Santé
Services
Télécommunication
Transport et logistique
Autre : ________________________
FSSG
Aucto Innovatio
79
Annexe 2 : Questionnaire de recherche
Page
2 sur
9
selo
n IS
O 2
7005
Initi
al(B
asic
) C
onnu
(Intu
itif)
Stan
dard
isé
(util
isat
ion
de
mét
hodo
logi
e)
Man
agé
(con
trôle
des
pr
oces
sus)
Opt
imis
é(a
mél
iora
tion
cont
inue
)cr
itère
s de
mes
ures
, ét
endu
e et
lim
ites
de l’
anal
yse,
org
anis
atio
n du
tra
vail
iden
tific
atio
n, e
stim
atio
n,
exam
en e
t cla
ssifi
catio
n de
s ris
ques
rédu
ire, r
eten
ir, é
vite
r ou
trans
fére
r cha
que
risqu
eac
cept
er o
u no
n le
s ris
ques
ré
sidu
els
parta
ger l
es in
fos
avec
les
déci
deur
s et
les
parti
es p
rena
ntes
cont
rôle
r les
fact
eurs
qui
m
aint
ienn
ent à
un
nive
au d
e sé
curit
é de
bon
ne
qual
ité
80
Page
3 sur
9
léga
l,co
nfor
mité
, ado
ptio
n, fu
sion
, …
81
Page
4 sur
9
réfé
rent
iels
, out
ils,
tabl
eau
de b
ord,
éq
uipe
men
ts
82
Page
5 sur
9
83
Page
6 sur
9
sauv
egar
de/re
stau
ratio
n
84
Page
7 sur
9
Ges
tion
des
four
niss
eurs
85
Page
8 sur
9
Am
élio
ratio
n de
s se
rvic
es
Effic
acité
de
l’org
anis
atio
n in
tern
e
86
Page 9 sur 9
BTS, Licence
chef de service/direction
top management
1an
1an
87
88
TABLE DES MATIÈRES SOMMAIRE ............................................................................................................................... i DÉDICACE ................................................................................................................................ ii REMERCIEMENTS ................................................................................................................. iii SIGLES ET ABRÉVIATIONS ................................................................................................. iv LISTE DES TABLEAUX .......................................................................................................... v LISTE DES FIGURES .............................................................................................................. vi RÉSUMÉ .............................................................................................................................. vii ABSTRACT ............................................................................................................................ viii INTRODUCTION GÉNÉRALE ................................................................................................ 1
1. Contexte ..................................................................................................................... 1 2. Problématique ............................................................................................................. 2 3. Propositions de recherche ........................................................................................... 3 4. Méthodologie de vérification des hypothèses ............................................................ 6 5. Objectifs de l’étude .................................................................................................... 7 6. Intérêt de la recherche ................................................................................................ 7 7. Plan de rédaction ........................................................................................................ 7
PARTIE 1 : CADRE THÉORIQUE DU SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION ET MESURE DE LA PERFORMANCE ....................... 9 CHAPITRE 1 : GÉNÉRALITÉS ET PLACE DE LA SÉCURITÉ DANS LA
GOUVERNANCE DES SYSTÈMES D’INFORMATION AU CAMEROUN .. 10 Section 1 : Généralités Sur Le Système De Management De La Sécurité De
L’information ................................................................................................. 10 1. La gouvernance des systèmes d’information ........................................................... 10
1.1. Définition .......................................................................................................... 10 1.2. Objectifs de la gouvernance des systèmes d’information ................................. 11 1.3. Les parties de la gouvernance des systèmes d’information .............................. 11 1.4. Les référentiels de la gouvernance des systèmes d’information ....................... 12
1.4.1. COBIT ........................................................................................................ 12 1.4.2. ITIL ............................................................................................................ 13 1.4.3. CMMI ......................................................................................................... 13 1.4.4. Normes ISO ................................................................................................ 13
2. Le Système de management de la sécurité de l’information (SMSI) ....................... 14 2.1. Définitions ......................................................................................................... 14 2.2. Apports du système de management de la sécurité de l’information ................ 14 2.3. Les référentiels de système de management de la sécurité de l’information .... 15
89
2.3.1. La norme ISO 27001 .................................................................................. 16 2.3.2. La norme ISO 27005 et la gestion des risques de sécurité de l’information .............................................................................................................................. 18
2.4. Les acteurs d’un SMSI ...................................................................................... 21 Section 2 : Sécurité Des Systèmes D’information Au Cameroun .................................... 23
1. Les Systèmes d’information au Cameroun .............................................................. 23 1.1. Les domaines des SI au Cameroun ................................................................... 24 1.2. Les outils et référentiels des SI au Cameroun ................................................... 25
2. La sécurité des systèmes d’information au Cameroun ............................................. 26 2.1. L’adoption de la sécurité des SI au Cameroun .................................................. 26 2.2. Les problèmes de sécurité des SI ...................................................................... 27 2.3. Les acteurs de la sécurité des SI au Cameroun ................................................. 27
CHAPITRE 2 : RELATION THÉORIQUE ENTRE LE SMSI ET LA PERFORMANCE ... 28 Section 1 : Généralités Sur Les Approches Théoriques ................................................... 28
1. Modèle de succès des SI de Delone et McLean ....................................................... 28 2. Le modèle SERVQUAL de mesure la qualité d’un service de PARASURAMAN, ZEITHAML et BERRY ............................................................................................... 29 3. La théorie des ressources (Ressources-Based View) de WADE et HULLAND ..... 30 4. La théorie de la capacité dynamique (Dynamic capabilities) de Jay BARNEY, Kathleen EISENHARDT et David TEECE ................................................................. 31 5. Le modèle de mesure de la maturité des processus de gestion des risques en sécurité de l’information (MMGRseg) ...................................................................................... 31
Section 2 : Modèle Conceptuel De Recherche ................................................................. 34 PARTIE 2 : SMSI ET PERFORMANCE ................................................................................ 40 CHAPITRE 3 : MÉTHODOLOGIE & RÉSULTATS ............................................................ 41
Section 1 : Méthodologie De Vérification Des Hypothèses De Recherche ..................... 41 1. Élaborer le questionnaire .......................................................................................... 41 2. Choisir la taille de l’échantillon ............................................................................... 42 3. Administrer le questionnaire .................................................................................... 44 4. Collecter les données ................................................................................................ 44 5. Traiter les données ................................................................................................... 45 6. Analyser les données ................................................................................................ 45
Section 2 : Résultats Et Commentaires ............................................................................ 49 1. Analyse descriptive .................................................................................................. 49 2. Analyse du modèle de recherche .............................................................................. 52
2.1. Analyse du modèle externe de recherche .......................................................... 52 2.2.2. Analyse de l’effet médiateur ...................................................................... 57
2.3. Test des hypothèses supplémentaires ................................................................ 59
90
2.3.1. Analyse des hypothèses supplémentaires ................................................... 59 2.3.2. Analyse de l’effet médiateur ...................................................................... 62
CHAPITRE 4. DISCUSSIONS & RECOMMANDATIONS ................................................. 65 Section 1 : Discussions ..................................................................................................... 65
1. Discussion des résultats ............................................................................................ 65 1.1. Apports des résultats ......................................................................................... 67 1.2. Difficultés rencontrées ...................................................................................... 69
2. Limites et généralisations ......................................................................................... 70 Section 2 : Recommandations .......................................................................................... 71
1. Recommandations : éléments de la pratique et du management. ............................. 71 1.1. Au niveau de la direction générale .................................................................... 71 1.2. Au niveau de la DSI .......................................................................................... 72 1.3. Au niveau du manager de la sécurité de l’information ..................................... 73
CONCLUSION GÉNÉRALE .................................................................................................. 74 RÉFÉRENCES BIBLIOGRAPHIQUES ................................................................................. 76 ANNEXES .............................................................................................................................. 78 TABLE DES MATIÈRES ....................................................................................................... 88
