SlideShare une entreprise Scribd logo
1  sur  99
Télécharger pour lire hors ligne
UNIVERSITÉ CATHOLIQUE D’AFRIQUE CENTRALE
INSTITUT CATHOLIQUE DE YAOUNDÉ
FACULTÉ DES SCIENCES SOCIALES ET DE GESTION
MASTER MANAGEMENT ET SYSTÈMES D’INFORMATION
Mémoire présenté et soutenu en vue de l’obtention du
Master en Management et Systèmes d’Information
Par
NGUEGANG TEWAMBA Harold Junior
DIPES I - Mathématiques
Sous la Direction de
Dr BELL BITJOKA Georges
Enseignant
Expert en sécurité des SI
Dr FOSSO WAMBA Samuel
Enseignant
Année académique : 2014 – 2015
EFFET DU SYSTÈME DE MANAGEMENT DE LA
SÉCURITÉ DE L’INFORMATION SUR LA
PERFORMANCE D’UNE ENTREPRISE : CAS DU
CAMEROUN
&
i
SOMMAIRE
SOMMAIRE ...............................................................................................................................i
DÉDICACE................................................................................................................................ii
REMERCIEMENTS .................................................................................................................iii
SIGLES ET ABRÉVIATIONS.................................................................................................iv
LISTE DES TABLEAUX.......................................................................................................... v
LISTE DES FIGURES..............................................................................................................vi
RÉSUMÉ..................................................................................................................................vii
ABSTRACT............................................................................................................................viii
INTRODUCTION GÉNÉRALE................................................................................................ 1
PARTIE 1 : CADRE THÉORIQUE DU SYSTÈME DE MANAGEMENT DE LA
SÉCURITÉ DE L’INFORMATION ET MESURE DE LA PERFORMANCE ... 9
CHAPITRE 1 : GÉNÉRALITÉS ET PLACE DE LA SÉCURITÉ DANS LA
GOUVERNANCE DES SYSTÈMES D’INFORMATION AU CAMEROUN10
Section 1 : Généralités Sur Le Système De Management De La Sécurité De
L’information................................................................................................. 10
Section 2 : Sécurité Des Systèmes D’information Au Cameroun.................................... 23
CHAPITRE 2 : RELATION THÉORIQUE ENTRE LE SMSI ET LA PERFORMANCE ... 28
Section 1 : Généralités Sur Les Approches Théoriques................................................... 28
Section 2 : Modèle Conceptuel De Recherche................................................................. 34
PARTIE 2 : SMSI ET PERFORMANCE ............................................................................... 40
CHAPITRE 3 : MÉTHODOLOGIE & RÉSULTATS ............................................................ 41
Section 1 : Méthodologie De Vérification Des Hypothèses De Recherche..................... 41
Section 2 : Résultats Et Commentaires ............................................................................ 49
CHAPITRE 4. DISCUSSIONS & RECOMMANDATIONS ................................................. 65
Section 1 : Discussions..................................................................................................... 65
Section 2 : Recommandations.......................................................................................... 71
CONCLUSION GÉNÉRALE.................................................................................................. 74
RÉFÉRENCES BIBLIOGRAPHIQUES ................................................................................. 76
ANNEXES ............................................................................................................................... 78
TABLE DES MATIÈRES ....................................................................................................... 88
ii
DÉDICACE
À
Ma mère, madame Nicole TEWAMBA
pour la force et la sagesse de ses mains ;
et à
Mon père, monsieur Jules TEWAMBA
pour la finesse et l’intelligence.
iii
REMERCIEMENTS
Ce travail de mémoire est le fruit de plusieurs volontés à qui nous adressons des
remerciements les plus profonds.
Nous remercions le Pr Jean-Robert KALA KAMDJOUG pour ses conseils, ses
enseignements et son encadrement académique. Il nous a particulièrement guidé dans le choix
de la filière, le choix de la professionnalisation et dans l’esprit du travail rigoureux et soigné.
Nous remercions notre enseignant, guide et encadreur le Dr Georges BELL
BITJOKA pour ses conseils et sa rigueur au travail. Le choix du sujet a été une phase
marquante et déterminante pour une vision claire des enjeux d’un bon travail. Nous le
remercions également pour la confiance quant à la réalisation des travaux sensibles (audit de
sécurité et analyse des risques de sécurité) dans son cabinet d’expertise.
Nous remercions également notre enseignant et encadreur le Dr Samuel FOSSO
WAMBA pour son expertise dans la compréhension et l’analyse des modèles de recherche
grâce à de nombreux outils qui font la bonne image des travaux de recherche en sciences
sociales.
Nous remercions ensuite pour leur diligence et leur accompagnement, nos enseignants
Mme Patricia PEDHOM, Messieurs Robert SIM KONE et Roland MISSE.
Nos remerciements au cabinet ITS Group pour son accueil pendant la période de
stage et d’imprégnation professionnelle. Les conseils de mon parrain monsieur Boris
KEGNE et de monsieur Emmanuelle KALDJOB ont été précieusement utilisés.
Parce que ça vient du cœur, une pensée très positive pour toute ma famille qui me
soutient et me conseille depuis toujours. Nous pensons à notre chère sœur Sandra
MAKENGVEU, à Claude TADJOUMESSI, Hervé FONO, Aubin NGUEGANG,
Baudelaire KOUEMINI, Martial FONGANG, Nadège MEIVEU, Pierre-Maurice
DJOUGANG, Ninon FAM.
Nous remercions les camarades de la classe préparation de l’UCAC (CPEG 2012-
2013) pour l’intégration des principes managériaux. Bravo à AUCTO INNOVATIO (5ème
promotion de la filière MSI), le levier qui nous a permis d’atteindre cet objectif. Merci.
Nous attachons du prix à l’attention et la motivation de nos amis Aimé NOUTSA et
Marius KEMAYOU.
iv
SIGLES ET ABRÉVIATIONS
ANTIC : Agence Nationale des Technologies de l’Information et de la Communication.
CLUSIF : Club de la Sécurité de l’information Français.
COBIT : Control Objectives for Information and Technology.
DSI : Directeur des systèmes d’information.
FSSG : Faculté des sciences sociales et de gestion.
ITGI : Information Technology Governance Institute.
ITIL : Information Technology Infrastucture Library.
J3SI : Journée de sensibilisation sur les systèmes d’information.
MÉHARI : Méthode harmonisée d’analyse des risques.
MINDAF : Ministère des domaines et des affaires foncières.
MSI : Management & systèmes d’information.
NIST : National Institute of Standards and Technology.
PCI DSS : Payment Card Industry Data Security Standard.
PLS : Partial Least Square
RSSI : Responsable de la sécurité des systèmes d’information.
SI : Systèmes d’information.
SMSI : Système de management de la sécurité de l’information.
SSI : Sécurité des systèmes d’information.
TI : Technologies de l’information.
UCAC : Université catholique d’Afrique centrale.
v
LISTE DES TABLEAUX
Tableau 1 : Intitulés de quelques normes de la famille ISO 2700x.......................................... 18
Tableau 2: Exemples de risque de sécurité de l'information.................................................... 19
Tableau 3 : Alignement des processus de SMSI et de gestion des risques de sécurité de
l'information. ...................................................................................................... 19
Tableau 4 : Acteurs principaux d'un SMSI .............................................................................. 22
Tableau 5 : Exemples de dommage causé dans un SI en l'absence de SMSI. ......................... 22
Tableau 6: Objectifs de contrôle des processus de gestion des risques ................................... 34
Tableau 7 : Seuils pour le test de la qualité des construits et du modèle global...................... 45
Tableau 8: Seuils pour le test de significativité des hypothèses............................................... 46
Tableau 9 : Caractéristiques descriptifs des construits............................................................. 52
Tableau 10 : Indicateurs de fiabilité des construits.................................................................. 53
Tableau 11 : Contribution des indicateurs du construit SMSI. ................................................ 53
Tableau 12 : Contribution des indicateurs du construit CAPACITE INFORMATIQUE........ 54
Tableau 13 ¨Contribution des indicateurs du construit PERFORMANCE.............................. 54
Tableau 14 : Valeurs des R² des variables dépendantes........................................................... 55
Tableau 15 : Paramètres de validation des principales hypothèses de recherche. ................... 56
Tableau 16 : Caractéristiques descriptives des sous-construits................................................ 60
Tableau 17 : Paramètres de validation des hypothèses supplémentaires de recherche............ 62
Tableau 18 : Résultats sur les hypothèses de recherche........................................................... 65
vi
LISTE DES FIGURES
Figure 1: Modèle de recherche................................................................................................... 6
Figure 2 : Cycle de vie d'un SMSI ........................................................................................... 16
Figure 3 : Relations des normes de la famille ISO 2700x........................................................ 17
Figure 4: Principe de MEHARI. .............................................................................................. 20
Figure 5 : Base de connaissances de MÉHARI........................................................................ 21
Figure 6: Modèle de succès de Delone & McLean mis-à-jour, 2003....................................... 29
Figure 7 : Processus de gestion des risques de la norme ISO 27005. ...................................... 33
Figure 8: Modèle théorique de recherche................................................................................. 36
Figure 9: Modèle de recherche des hypothèses supplémentaires............................................. 38
Figure 10 : Processus simplifié de la méthodologie de vérification des hypothèses. .............. 41
Figure 11 : Calcul de la taille minimale de l’échantillon avec GPower 3................................ 43
Figure 12 : Test de sélection du Outer loadings....................................................................... 46
Figure 13 : Situation de l'effet médiateur................................................................................. 47
Figure 14 : Procédure d’analyse de l’effet médiateur en PLS.................................................. 47
Figure 15 : Procédure de régression multiple de BARON et KENNY.................................... 48
Figure 16 : Outil de calcul pour le test de SOBEL................................................................... 48
Figure 17 : Proportion des secteurs d'activités dans le jeu de données.................................... 49
Figure 18 : Proportion des types d'entreprise dans le jeu de données...................................... 50
Figure 19 : Proportion des tranches d'âge des répondants dans le jeu de données. ................. 50
Figure 20 : Proportion des femmes et hommes le jeu de données. .......................................... 50
Figure 21 : Proportion des niveaux de formation académique des répondants........................ 51
Figure 22 : Proportion des profils des répondants.................................................................... 51
Figure 23 : Proportion des anciennetés des répondants. .......................................................... 51
Figure 24 : Proportion des répondants formés en sécurité....................................................... 52
Figure 25 : Les indicateurs du critère HTMT. ......................................................................... 55
Figure 26 Les indicateurs de significativité des principales hypothèses de recherche ........... 56
Figure 27 : Relation entre les construits................................................................................... 56
Figure 28 : Analyse de l'effet médiateur – Étape 1 – Significativité de l’effet indirect........... 57
Figure 29 : Analyse de l'effet médiateur – Étape 2 – Significativité de l’effet direct.............. 57
Figure 30 : Test de BARON & KENNY - Significativité de l'effet total « c = 0,805 »........... 58
Figure 31 : Test de BARON & KENNY - Significativité de « a » et « b ». ............................ 58
Figure 32 : Test de SOBEL - Significativité de l'effet médiateur............................................ 59
Figure 33 : Relation entre les sous-construits. ......................................................................... 61
Figure 34 : Les indicateurs de significativité des hypothèses supplémentaires de recherche.. 61
Figure 35 : Test de SOBEL - Significativité de l'effet total « c = 0,574 »............................... 62
Figure 36 : Test de SOBEL - Significativité de « a » et « b » pour le SYSQUAL.................. 63
Figure 37 : Test de SOBEL - Significativité de « c’ ». ............................................................ 63
Figure 38 : Test de SOBEL - Significativité de l'effet médiateur de SYSQUAL.................... 63
Figure 39 : Test de SOBEL - Significativité de « a » et « b » pour le SERVQUAL............... 64
Figure 40 : Test de SOBEL - Significativité de l'effet médiateur du SERVQUAL................. 64
vii
RÉSUMÉ
Les entreprises dépendent de plus en plus de leur système d’information (SI). Ainsi, il
faut une certaine attention de la part de la direction générale pour améliorer continuellement
la qualité de son management par l’utilisation de nombreux outils et référentiels. En
particulier, les actifs informationnels, noyau de tout SI, demandent à être pris très au sérieux
par une sécurisation sur mesure. Il n’est plus à démontrer que l’amélioration de la qualité est
l’objectif de tout bon système de management et de ses acteurs. Étant donné que la qualité
d’un système à plusieurs indicateurs, il est important de déterminer les aspects du système de
management de la sécurité de l’information (SMSI) sur lesquels les décideurs doivent agir
afin d’atteindre les objectifs de performance. Dans cette recherche, nous avons supposé que le
SMSI (qualité du système, de service, de l’information, et le niveau de maturité des processus
de gestion des risques de sécurité de l’information) et la performance sont directement liés
d’une part, et d’autre part indirectement liés par la capacité informatique de l’entreprise. Les
hypothèses ont été vérifiées à l’aide du logiciel SmartPLS 3 en utilisant des données de
l’enquête réalisée auprès de 136 professionnels du domaine des SI, des Technologies de
l’Information (TI) et de la sécurité. Les résultats ont confirmé nos hypothèses de recherche.
Ceci traduit que la maitrise des processus de gestion des risques de sécurité de l’information
est essentielle pour une entreprise, car elle contribue fortement à la performance
organisationnelle, à l’amélioration du support des SI de cette dernière, tels le management, le
personnel et l’infrastructure des TI. Ce travail a permis d’explorer la faisabilité d’utilisation
du modèle de succès des SI de Delone et McLean (1992) sur le SMSI, qui est d’un grand
enjeu dans ce monde, où l’Afrique est à la fois, la cible de la mobilité informationnelle, des
pirates informatiques et surtout de l’économie mondiale.
Mots clés : SMSI, performance, capacité informatique, qualité du système, qualité de
service, qualité de l’information, MMGRseg.
viii
ABSTRACT
Companies depend more and more on their information systems (IS). In this case, it
takes some attention from senior management to continuously improve its management’s
quality by using many tools and standards. Information assets, while core IS, in particular, are
demanding to be taken seriously by a custom security. It is well established that improving
quality is the goal of any good management system and its actors. As the system quality has
several indicators, it is important to determine aspects of information security management
system (ISMS) on which executives must act to achieve performance objectives. In this
research, we assumed that the ISMS (system, service, information qualities, and maturity level
of information security risk management process) and the firm performance are directly
related, and indirectly by firm’s IT capabilities. Hypothesis have been verified with SmartPLS
3 software using survey data conducted among 136 professionals in the field of IS, IT and
security. Our hypothesis were confirmed by results showing that information security risk
management process’s mastering is important for a company because it greatly contributes to
organizational performance and improved IS support, as IT management, IT personal skills
and IT infrastructure. This work allows to explore possibility of using IS success model of
Delone & McLean (1992) on ISMS, which is a major issue in this world where Africa is the
new target of informational mobility, hackers and especially World business.
Keywords: ISMS, firm performance, IT capabilities, system quality, service quality,
information quality, MMGRseg.
1
INTRODUCTION GÉNÉRALE
1. Contexte
L’Afrique dans son processus d’intégration au sein d’une communauté mondiale qui
respire le numérique se doit de relever de nombreux défis en matière de gouvernance dans
chacune de ses organisations et dans ses projets. À l’ère de l’information, les systèmes
d’information (SI) sont coutumiers et permettent une meilleure organisation afin d’être plus
performant car aujourd’hui toute fonction est liée au SI. Les technologies de l’information
(TI), offrant de multiples possibilités pour gagner en communication, traitement de données,
mobilité, etc., sont le support incontournable des SI. Ces TI permettent aujourd’hui à toute
organisation de répondre en temps réel aux besoins de ses clients, aux employés de s’épanouir
davantage en intervenant en tout lieu et par divers moyens, aux responsables de raconter la vie
de l’organisation en se basant sur des informations fiables.
L’information est l’oxygène des temps modernes, c’est elle qui permet à toute
organisation de prendre des décisions afin de s’adapter continuellement à son environnement
et d’atteindre ses objectifs. Ceci grâce à des processus de gestion qui sont mis en place,
exécutés et contrôlés. Tout au long de ces processus, les informations de toutes formes, de
toute nature et de toute origine transitent et sont plus ou moins nécessaires pour la bonne
continuation des processus. Il est donc important que ces informations soient confidentielles,
intègres et disponibles.
Pour atteindre ces buts, il est utile qu’un organe de l’entreprise prenne cette
responsabilité. Cet organe est le système de management de la sécurité de l’information
(SMSI). Il est destiné à toute organisation sérieuse et soucieuse de son patrimoine
informationnel.
En adoptant les TI pour l’accomplissement de leur opération, les organisations
s’exposent à de nombreux risques dont la non prise en compte dans la gestion quotidienne
peut entraîner des conséquences qui peuvent aller jusqu’à une crise d’entreprise souvent grave
pour l’image de l’organisation et la performance opérationnelle. Notons également que les
organisations dans leur métier (banque, e-commerce, télécommunication, etc.) s’exposent de
façon naturelle à des risques qui leur sont propres. Prenant de nombreuses formes (physique,
logique) et provenant de sources diverses (humaine, juridique, technique), ces risques
informatiques sont la combinaison d’une menace, d’un actif, d’une vulnérabilité, d’un impact
et d’une conséquence qui doivent être maitrisés dans leur ensemble. « Alors que
2
l’informatique est devenue centrale dans les activités des entreprises, la gestion du risque
informatique n’a pas pour autant acquis une importance dans la même proportion. » (IBM
Global Business Services, 2010).
Au Cameroun par exemple, beaucoup d’entreprises n’ont pas encore pris conscience
du fait qu’il faille sécuriser leurs actifs informationnels en investissant sur la sécurité de
l’information. De nombreux experts (DSI, Auditeur, Consultant) affirment que les décideurs
et les chefs d’entreprise ne sont pas assez avisés sur le sujet et préfèrent donc attendre qu’il y
ait des incidents avant de réagir ; étant donné qu’ils croient ne pas passer pour des cibles
potentielles face aux différentes menaces relevées dans notre pays.
2. Problématique
Les bienfaits des SI et des TI ne se comptent plus, mais force est de souligner le revers
de la médaille qui demande une sécurisation continuelle et sur mesure des actifs
informationnels dans toute entreprise. C’est dans ce sens que REFALO, directeur de cabinet
en SSI, pose la question suivante : « La dépendance de la Société à l’informatique et à
Internet ne doit-elle pas aussi s’accompagner d’une véritable culture des risques
informatiques et informationnels ? » (REFALO, 2009).
Selon la norme ISO 27001, le SMSI est la partie du système de management d’une
organisation qui est chargée de s’appuyer sur les risques business afin d’établir, implémenter,
exécuter, contrôler, réviser, maintenir et améliorer la sécurité de l’information (ISO/IEC,
2005). Ce dispositif compte pour beaucoup dans les entreprises de nos jours car c’est elle qui
protège les actifs informationnels contre toutes attaques et menaces pouvant porter atteinte à
son bon fonctionnement.
L’une des composantes d’un risque informatique est la vulnérabilité du système
informatique que tout pirate cherche à trouver afin de nuire. C’est comme cela par exemple
qu’un hacker a pu pirater le site web du ministère des domaines et des affaires foncières
(MINDAF) du Cameroun. Alors que la conséquence la plus redoutée de cette attaque fut la
modification des listes électorales, le conseiller technique de ce département ministériel
affirme : "nous sommes bien au courant du piratage de notre site. Seulement, nous sommes
incapables de faire quoi que ce soit en vue de résorber ce problème malheureux. Cela parce
que l'administration du site nous échappe puisqu'elle est effectuée par des agents installés
3
dans les services du Premier ministre". Ce qui traduit l’absence d’un SMSI adéquat pour la
sécurité des actifs informationnels disponible à travers le site web du MINDAF.
Au Cameroun, le décret N° 2012/1643/PM du 14 juin 2012 fixant les conditions et les
modalités d'audit de sécurité obligatoire des réseaux de communications électroniques et des
systèmes d'information exige, aux entreprises disposant d’un SI et d’un réseau de
communication électronique, le maintien à un bon niveau de sécurité en faisant appel à des
experts auditeurs externes de sécurité des SI (SSI). Ce qui donne un avis professionnel et une
vue extérieur de la SSI et du SMSI des entreprises auditées. Les recommandations qui en
découlent permettent l’amélioration du SMSI de l’entreprise audité. Ce qui est un bénéfice.
L’environnement étant en perpétuel changement, il est nécessaire qu’un SMSI puisse
être réactif et ait la capacité à adapter de façon rapide. Il s’agit pour le SMSI d’assurer une
continuité de service pour l’entreprise. C’est dans ce sens que la norme ISO 27001 adopte le
modèle PDCA1
pour tous les processus du SMSI.
Chaque entreprise se voulant toujours plus performante, la préoccupation est donc de
tirer parti de son SI, donc de ses TI, en pratiquant chaque jour la sécurité de l’information afin
que toutes menaces ne viennent jamais porter atteinte aux objectifs de l’entreprise. Ainsi
comment l’amélioration du système de management de la sécurité de l’information
entraine-t-elle une amélioration de la performance dans une entreprise ?
3. Propositions de recherche
La présence d’un SMSI dans une organisation, selon la norme ISO 27001, demande de
faire de la gestion des risques des TI en temps réel afin de mesurer l’état de la sécurité de
l’information sur la base des actifs à protéger, des mesures de sécurité mise en place, des
menaces potentielles et des critères de sécurité que sont : la disponibilité, la confidentialité,
l’intégrité et plus loin la traçabilité.
Par soucis de disponibilité de leurs services, les sociétés de télécommunications par
exemple, se dotent d’une liaison secondaire (moins robuste dans la plupart des cas) appelée
« backup » pour assurer l’interconnexion de leurs infrastructures en cas de défaillance de la
liaison principale afin de permettre la disponibilité 24h/24 7/7 de leur réseau. Ce qui permet
plus loin de maintenir le niveau de satisfaction de ses clients au plus haut.
1
PDCA = Plan, Do, Check, Act
4
Dans un processus de gestion des risques des TI, on procède à une analyse des risques
dont le but est de maintenir ces risques à un niveau acceptable par l’entreprise grâce à des
recommandations. Ces recommandations sont des choix qui s’opèrent sur la gestion
quotidienne et l’utilisation des actifs informationnels de l’entreprise.
Dans la base de connaissance MÉHARI2
(outil gratuit et très pratique de gestion des
risques), au niveau de la sélection de plans de réduction des risques, on note la présence des
options telles que le contrôle des configurations matérielles et logicielles, la sécurité de
l’architecture du réseau local, la sécurité de la climatisation, sensibilisation et formation à la
sécurité, etc. Ce qui nous amène à poser la première hypothèse suivante :
Hypothèse 1 : Le SMSI à un effet positif sur la capacité informatique d’une entreprise.
La gouvernance du système d’information contribue à la fois à garantir la
gouvernance des conformités et à optimiser la gouvernance de performance au profit de la
gouvernance d’entreprise (LEIGNEL, 2006). Dans les sociétés de télécommunication, après
l’adoption d’un « backup », il s’agira alors de faire des choix sur la qualité de celui-ci afin
que des indicateurs de performance tels que la satisfaction clients, la capacité du réseau et la
disponibilité de l’information restent à des seuils de satisfaction fixés par l’organisation.
Dans sa publication sur la gouvernance des TI et la performance, Miroslav LAZIC
dit : ”With yearly IT costs exceeding $1 billion in large multi-national corporations, the
impact of the governance of this asset on business performance is undisputable. IT
governance is a key enabler and success factor for business performance itself. Weill even
argues that ITG can account for a 20% increase in profits” (LAZIC, 2011). Il nous fait
comprendre que l’impact de la gouvernance des TI sur la performance business est
indiscutable et qu’elle peut augmenter jusqu’à vingt pourcent (20%) le profit réaliser par une
entreprise.
Nous pouvons donc alors émettre la deuxième hypothèse suivante :
Hypothèse 2 : La capacité informatique a un effet positif sur la performance
administrative et marketing d’une entreprise.
2
MÉHARI : Méthode harmonisée d’analyse des risques.
5
De plus en plus aujourd’hui, les entreprises adoptent l’externalisation de toute ou
partie de certains de leurs services. Notamment pour la fourniture de matériel, la maintenance
et l’entretien de divers actifs de l’entreprise. Pour ce faire, elle a besoin d’établir des
partenariats avec d’autres entreprises par l’intermédiaire d’un contrat dont le contenu est
crucial pour le bon fonctionnement de l’actif et plus loin pour la vie de l’entreprise. Il en va de
même des contrats d’assurance.
Une observation faite sur le département de l’approvisionnement d’une grande
entreprise de travaux publics de la place nous a permis de relever un nombre important
d’incidents dû à une mauvaise ordonnance des produits à fournir. Les produits commandés ne
correspondaient pas aux références techniques inscrites sur le bon de commande ou exigées
par le technicien demandeur des produits. Ce qui augmentait les coûts de livraison du côté du
fournisseur, retardait la livraison et l’exécution des travaux du côté de la grande entreprise.
L’une des causes de cet incident assez régulier est l’intégrité des informations fournis par la
grande entreprise à ses fournisseurs. Si la sécurité garantie l’intégrité de l’information, alors
elle devrait pouvoir apporter une solution au problème de cette grande entreprise.
Au Cameroun encore, le 11 Mars 2015, le site web de la présidence de la république a
été piraté « sans doute mû par la volonté de porter atteinte à l'honneur et à la dignité du Chef
de l'État, de nos forces de défense et de sécurité et de la nation camerounaise tout entière »
comme le dit le ministre de la communication. En effet, une image y montre le chef de l’État
en train de rendre hommage aux soldats tombés sur le champ de bataille lors d’une cérémonie
de levée de corps à Yaoundé alors que celui-ci était en Europe dans le cadre d’un séjour privé
à la même date du 06 Mars 2015. Cet acte qui a mis en mal l’image du Cameroun en général,
n’aurait pas eu lieu si le niveau de sécurité de ce site web respectait les standards
internationaux en matière de sécurité. Ceci est une situation qui peut arriver à n’importe
qu’elle entreprise de la place qui présente les défauts au niveau de la sécurité de son site web.
Nous pouvons donc annoncer la troisième hypothèse de notre recherche :
Hypothèse 3 : Le SMSI a un effet positif sur la performance administrative et marketing
d’une entreprise.
Le modèle de recherche est donc le suivant :
6
Figure 1: Modèle de recherche
Source : Auteur
4. Méthodologie de vérification des hypothèses
Pour vérifier nos hypothèses de recherche, nous allons procéder comme suit :
 Procéder à une analyse de données statistiques collectées sur la base d’un
questionnaire adressé particulièrement aux Responsables de la Sécurité des SI (RSSI)
et de façon généralement aux professionnels du domaine des TI et des SI qui sont les
acteurs principaux de la sécurité de l’information dans notre environnement. Les
questions posées permettront d’avoir une perception sur ce qui est fait dans leur
organisation ou par leur service, sur la base de notation d’une échelle de Likert. Ces
réponses nous permettront de tester notre modèle de recherche en utilisant le logiciel
« SmartPLS 3.2.4 » pour confirmer ou infirmer chaque hypothèse en modélisant les
relations entre différentes variables de notre modèle ;
 Passer en interview semi-structurée un responsable du domaine de la SSI de l’ANTIC
et quelques DSI et experts auditeurs de SSI. Cette interview portera sur les effets d’un
SMSI sur les différents choix informatiques et sur la performance d’une entreprise
dans notre environnement ;
7
 Une recherche documentaire sur les méthodes de gestion des risques des TI telles que
MEHARI et sur les méthodes de gouvernance des TI telles que COBIT5 et ITIL afin
de relever les effets, au niveau de la capacité informatique et au niveau de
l’application de ces méthodes au sein d’une organisation.
5. Objectifs de l’étude
L’objectif de notre étude est de démontrer que le management de la sécurité de
l’information est un facteur de performance au sein d’une entreprise et qu’elle doit maintenant
être vue comme une source de création de valeur.
6. Intérêt de la recherche
Le bien-fondé de cette recherche est de souligner l’importance du management de la
sécurité de l’information dans la gouvernance des SI et dans les entreprises. Ce qui permettra
l’adoption d’un système sérieux et rigoureux de management des SI par toute entreprise dans
notre environnement.
La gouvernance des SI et particulièrement la SSI n’apparaitront plus seulement
comme des centres de coût mais aussi comme des facteurs de performance, car les
organisations pourront maintenant investir dans la sécurité de leur SI afin de créer également
plus de valeur.
Cette recherche permettra d’interpeller les chefs d’entreprises à la mise sur pied d’un
département de SSI et à la création des postes de RSSI, de Manager de la sécurité de
l’information et de Manager des risques de sécurité de l’information au sein de leur entreprise.
Ce qui va augmenter des possibilités d’emploi pour les étudiants de la filière MSI de l’UCAC.
Cette recherche apportera également une innovation scientifique sur les débats et
publications autour de la SSI, la performance et l’utilisation du modèle de succès des SI de
Delone et McLean (1992) pour la mesure d’une partie du système de management du SI.
7. Plan de rédaction
Notre travail de recherche s’articulera autour de deux parties reparties constituées chacune de
deux chapitres :
8
La première partie concerne le cadre théorique du système de management de la sécurité de
l’information et la mesure de la performance
Dans son chapitre premier, nous présentons quelques les généralités sur les SMSI en
particulier SMSI ISO 27001 à cause de sa gratuité.
Le chapitre deuxième quant à lui traite du cadre théorique. Il s’articule autour de deux
sections. La première section est consacrée à une étude empirique. Ici, nous présentons de
façon succincte quelques modèles et théories qui ont retenu notre attention et qui traitent du
succès des systèmes, des TI et du niveau de maturité des processus de gestion de risque de la
sécurité de l’information. Tous ces modèles ont pour finalité la mesure de la performance. A
la lumière de ces différents modèles, la deuxième section se contentera de proposer un modèle
théorique de recherche.
La deuxième partie concerne les effets du système de management de la sécurité de
l’information sur la performance
Dans chapitre troisième, nous nous consacrons à la méthodologie utilisée et la présentation
des résultats issus de la collecte des données. Pour ce faire, nous présenterons la méthodologie
de recherche retenue pour la vérification des hypothèses (section 1) et les principaux résultats
obtenus à la suite du traitement et de l’analyse des données issues (section 2) et les
commentaires qui en découlent.
Enfin, le dernier chapitre présentera dans sa première section les discussions ayant trait aux
précédents résultats présentés, aux difficultés rencontrées ainsi que les limites et
généralisations, puis nous formulerons dans la seconde section quelques recommandations.
Ces deux parties seront encadrées par une introduction générale et une conclusion générale.
9
PARTIE 1 :
CADRE THÉORIQUE DU SYSTÈME DE
MANAGEMENT DE LA SÉCURITÉ DE
L’INFORMATION ET MESURE DE LA
PERFORMANCE
Cette première partie se propose de faire une présentation de la partie du système de
management des systèmes d’information chargé de gérer la sécurité de l’information. Cette
partie est également un système. En tant que tel, nous allons le décrire pour ensuite définir
notre modèle de recherche sur la base de théorie traitant des systèmes. Ainsi sera définit un
cadre de vérification de nos hypothèses de recherche.
10
CHAPITRE 1 : GÉNÉRALITÉS ET PLACE DE LA
SÉCURITÉ DANS LA GOUVERNANCE DES SYSTÈMES
D’INFORMATION AU CAMEROUN
Il n’est plus à rappeler que toutes les entreprises doivent s’adapter à leur
environnement afin d’atteindre leurs différents objectifs. La sécurité de l’information devient
donc primordiale avec la montée des technologies de l’information et l’interconnexion
mondiale pour l’échange des données. Il s’agit donc dans ce chapitre de faire une présentation
générale des systèmes de management de la sécurité de l’information, en particulier celui de
la norme ISO27001 qui est gratuit. Et dans un second temps, nous parlerons de la sécurité de
l’information au Cameroun.
SECTION 1 : GÉNÉRALITÉS SUR LE SYSTÈME DE MANAGEMENT DE LA
SÉCURITÉ DE L’INFORMATION
Le système de management de la sécurité de l’information (SMSI) fait partie du
système global de management des systèmes d’information que nous allons présenter d’une
part. D’autre part, nous présenterons le SMSI de la norme ISO 27001 et les outils populaires
pour sa mise en œuvre et le suivi quotidien de ses activités. Ainsi que son apport dans une
entreprise.
1. La gouvernance des systèmes d’information
1.1. Définition
Un système d’information (SI) est la combinaison des activités stratégiques,
managériales et opérationnelles impliquées dans la collecte, le traitement, le stockage, la
distribution et l’utilisation de l’information et sa technologie associée (ISACA, 2015). C’est
l’ensemble complexe des ressources humaines (personnes et connaissances) et des ressources
technologiques (software et hardware) qui opère sur les actifs informationnels dans une
entreprise. Cet ensemble complexe doit être bien géré pour assurer l’atteinte des objectifs
informationnels et business.
Le concept de gouvernance est très présent dans le monde aujourd’hui ; gouvernance
onusienne, gouvernance nationale, gouvernance d’entreprise ou gouvernance informatique. Il
s’agit de bien gouverner, de bien gérer. C’est dans ce sens qu’on emploi ce terme dans le
11
cadre des SI. La gouvernance du SI renvoie donc aux moyens de gestion, de régulation et
d’optimisation du SI mis en place dans une entreprise en vue d'atteindre des objectifs. C’est
aussi une partie de la gouvernance d’entreprise chargé de répondre aux questions que se
posent les dirigeants par rapport à l’informatique.
1.2. Objectifs de la gouvernance des systèmes d’information
La Gouvernance du SI répond avant tout à des objectifs de management, qui doivent
prendre en compte la culture de l’entreprise et d’autres environnements pour aligner les
technologies sur la stratégie. Comme autres environnement, on peut noter l’environnement
naturel avec les changements climatiques de nos jours et l’environnement digital avec la
mobilité et la cybercriminalité.
La Gouvernance du SI, selon l’IGSI (Institut de la gouvernance des systèmes
d’information, 2005), est un processus de management, fondé sur des bonnes pratiques, qui
permet à l’entreprise d’optimiser ses investissements informatiques en toute transparence dans
le but de :
 Contribuer à ses objectifs de création de valeur ;
 Accroître la performance des processus informatiques et leur orientation clients ;
 Maîtriser les aspects financiers du SI ;
 Développer les solutions et les compétences en SI dont l’entreprise aura besoin dans le
futur ;
 Garantir que les risques liés au SI sont sous contrôle.
1.3. Les parties de la gouvernance des systèmes d’information
Dans le système anglo-saxon, la gouvernance des SI se confond avec la gouvernance
des TI. Ainsi, pour l'ITGI3
, les cinq piliers de la gouvernance informatique sont : l’alignement
stratégique, la fourniture de valeur, la gestion des risques informatiques, la gestion des
ressources informatiques et la mesure des performances.
La gouvernance des SI demande de mettre sur pied un certain nombre de système de
management pour maitriser ses composants et contribuer de manière efficiente à l’atteinte des
objectifs business. Nous pouvons donc distinguer entre autres :
3
ITGI : Information Technology Governance Institute.
12
 Le système décisionnel : c’est la partie de la gouvernance du SI chargée de produire
des informations pertinentes et utiles à la prise de décision, à partir des données
collectés ou produites par l’entreprise. Les expressions communément utilisées
aujourd’hui pour parler de ce domaine sont Business Intelligence (BI) et Busines
Analytics (BA) ;
 Le système de management des TI : c’est la partie de la gouvernance du SI chargée
de gérer les TI, ses services et ses processus ;
 Le système de management de la qualité : c’est la partie de la gouvernance du SI qui
traite des problèmes d’urbanisation, d’architecture d’entreprise, des processus et de
leur amélioration continue ;
 Le système de management de la sécurité de l’information : c’est la partie de la
gouvernance du SI chargée de gérer la sécurité des SI et ses risques.
Le système de management de la sécurité de l’information est le système qui retient
notre attention dans ce travail de mémoire.
1.4. Les référentiels de la gouvernance des systèmes d’information
Un référentiel est une exigence obligatoire, un code de pratique ou un cahier des
charges approuvé par un organisme reconnu de normes externes, telles que l'Organisation
Internationale de Normalisation (ISACA, 2015). Un référentiel est un document de travail,
internationalement reconnu ou propriétaire, concernant un domaine précis qui permet à une
entreprise de mieux organiser ses activités dans ce domaine.
Dans la gouvernance des SI, on distingue plusieurs référentiels pour les différents
systèmes de management cité ci-dessus. Les plus connus sont définit dans les paragraphes
suivants.
1.4.1. COBIT
Le COBIT (Control objectives for information and technology) a été conçu par
l'ISACA (Information Systems Audit and Control Association) il y a une dizaine d'années.
COBIT 5 est la dernière version. Il permet aux entreprises de créer un maximum de valeur via
l'utilisation de l'informatique, tout en maintenant un bon équilibre entre la réalisation de
bénéfices et l'optimisation du niveau de risques et de l'utilisation des ressources. Il repose sur
cinq (05) principes : Répondre aux besoins des parties prenantes, Couvrir l'intégralité des
13
besoins de l'entreprise, Appliquer un unique référentiel intégré, Permettre une approche
heuristique, Séparer gouvernance et management.
1.4.2. ITIL
ITIL (Information Technology Infrastructure Library) propose une collection
structurée de bonnes pratiques pour le management du SI et des TI. Il est né au sein de
l'Office public du Commerce britannique suite à une étude empirique sur les meilleures
pratiques de management des TI. ITIL permet de créer et bien manager les services de TI au
sein d’une entreprise. C’est le référentiel utilisé par les opérateurs de téléphonie mobile au
Cameroun.
1.4.3. CMMI
Le CMMI (Capability Maturity Model Intégration) est un modèle d'évaluation des
processus de gestion. Il se base sur un référentiel de bonnes pratiques d’un domaine pour
déterminer le niveau de maturité des processus de ce domaine dans l'entreprise sur une échelle
de 1 à 5.
1.4.4. Normes ISO4
Les normes ISO sont un ensemble de référentiels qui relèvent les meilleurs pratiques
dans plusieurs domaines de l’entreprise, de la qualité du produit à la qualité du management.
On en compte plus de 19500 aujourd’hui5
.
La norme ISO 9001 définit des exigences pour la mise en place d'un système de
management de la qualité pour les entreprises souhaitant améliorer en permanence la
satisfaction de leur client et fournir des produits et services conformes à leurs attentes.
La norme ISO 20000 traite du management des TI au même titre que le référentiel
ITIL.
La norme ISO 27001 traite du système de management de la sécurité de l’information,
sa définition, son implémentation, ses opérations, son contrôle, sa révision, son maintien et
son amélioration.
4
ISO: International Organization for Standardization.
5
https://fr.wikipedia.org/wiki/Liste_de_normes_ISO consultée le 30 Juin 2016.
14
2. Le Système de management de la sécurité de l’information (SMSI)
2.1. Définitions
Le SMSI est la partie du système de gestion globale, basée sur une approche du risque
d'entreprise, pour établir, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer
la sécurité de l'information (ISO/IEC, 2005).
La sécurité de l’information est la préservation de la confidentialité (C), de l'intégrité
(I) et de la disponibilité (D) de l’information ; en outre, d'autres propriétés telles que
l'authenticité, la responsabilité, la non-répudiation et la fiabilité peuvent également être
impliquées. Ces éléments sont les critères de sécurité et ils forment la triade C-I-D.
L’information est un bien comme d'autres actifs importants d’une entreprise. Elle est
essentielle à son activité. Elle peut exister sous de nombreuses formes. Elle peut être
imprimée ou écrite sur support papier, stockée électroniquement, transmise par voie postale
ou en utilisant des moyens électroniques, affichée sur des films, parlée dans des
conversations, ou faire partir de des connaissances d’une personne.
La confidentialité est le maintien du secret des informations et des transactions afin de
prévenir la divulgation non autorisée d’informations aux non destinataires permettant la
lecture, l’écoute, la copie illicite d’origine intentionnelle ou accidentelle durant leur stockage,
leur traitement ou leur transfert.
L’intégrité définie l’état d’un actif informationnel qui est demeuré intact et permet de
s’assurer qu’il n’a pas été altéré (modifié ou détruit) d’une façon tant intentionnelle
qu’accidentelle, de manière à assurer son exactitude, sa fiabilité et sa pérennité.
La disponibilité est le critère de sécurité permettant que les actifs informationnels
soient accessibles et utilisables selon les besoins (le facteur temps).
2.2. Apports du système de management de la sécurité de l’information
Le SMSI est un système permettant, de façon cyclique, d’établir une politique de
sécurité, de fixer des objectifs de sécurité et d’atteindre ces objectifs. Sa mise en place n’est
pas une chose facile encore moins son exécution au quotidien car il faut formaliser toutes les
processus nécessaires, exécuter ces processus, mettre en place des tableaux de bord de gestion
et mesurer l’activité par des audits réguliers. Ces activités sont effectuées par le personnel du
SMSI, chacun dans son domaine d’expertise et à l’aide des outils, de la connaissance et du
15
matériel. On peut alors se demander quels sont les apports d’un SMSI quant à son coût élevé
de mise en place et de suivi. Nous pouvons en donner trois.
Le premier apport que nous soulignons est celui de la conformité (FERNANDEZ-
TORO, 2012). Il s’agit de l’adoption de bonnes pratiques référencées à l’exemple de la norme
ISO 27002 (Technologies de l’information — Techniques de sécurité — Code de bonne
pratique pour le management de la sécurité de l’information). Ainsi, un SMSI permettra
d’adopter des mesures de sécurité appropriées aux besoins de l’entreprise, en posant les
bonnes questions. Quels sont les éléments les plus sensibles de l’entreprise ? Où déployer en
priorité les mesures de sécurité ? Comment détecter les incidents ? Comment réagir
rapidement aux intrusions ? Comment améliorer les processus ? etc.
Le deuxième apport est l’augmentation de la fiabilité (FERNANDEZ-TORO, 2012).
L’effet direct de l’adoption de bonnes pratiques est l’augmentation de la fiabilité ceci grâce au
mécanisme d’amélioration continue en capitalisant par exemple sur le retour d’expérience. En
effet, après un coup ou une tentative d’intrusion dans une entreprise, le personnel du SMSI
analyse l’attaque et met sur pied des actions préventives pour éviter la reproduction d’une
telle attaque. À long terme, l’entreprise est de moins en moins vulnérable et par conséquent de
plus en plus fiable sur le plan de la sécurité de l’information.
Le troisième apport est la confiance (FERNANDEZ-TORO, 2012). La mise en place
d’un SMSI ne confère pas directement un avantage. À partir du moment où un organisme
externe tel que les cabinets de certifications valide la qualité du SMSI d’une entreprise par un
certificat ISO 27001, il nait une confiance de la part des parties prenantes de cette entreprise
(actionnaires, clients, fournisseurs, personnel, partenaires, etc.). Cette confiance favorise le
bon fonctionnement des processus et l’évolution de l’entreprise.
2.3. Les référentiels de système de management de la sécurité de
l’information
Dans le SMSI, il existe plusieurs référentiels et outils pour accompagner les
entreprises dans l’atteinte de leurs objectifs de sécurité.
Un référentiel ou standard est une exigence obligatoire, un code de pratique ou un
cahier des charges approuvé par un organisme reconnu de normes externes tels que
16
l'Organisation internationale de normalisation (ISO) ou le NIST6
. Ces référentiels sont soit
privés (le référentiel du département de la défense des États-Unis, de la Corée, de
l’Allemagne, etc.), soit public (ISO 2700x).
2.3.1. La norme ISO 27001
ISO 27001 (intitulée Technologies de l'information — Techniques de sécurité —
Systèmes de gestion de sécurité de l'information — Exigences) est le plus connu des SMSI à
ce jour. Il définit un cadre d’amélioration de la sécurité de l’information en se basant sur une
approche de gestion des risques et une approche processus du modèle PDCA.
Cette approche processus donne au SMSI la propriété cyclique. Ainsi, le cycle de vie
du SMSI est donné par le schéma suivant où SGSI = SMSI :
Figure 2 : Cycle de vie d'un SMSI
Source : ITS Group & CIFOPE, 2010
La norme ISO 27001 aborde les points suivants :
 Mise en place et gestion du SMSI ;
6
NIST : National Institute of Standards and Technology. Agence du département du commerce des États-Unis
dont le but est de promouvoir l'économie en développant des technologies, la métrologie et des standards de
concert avec l'industrie.
17
 Documentation requise ;
 Gestion des responsabilités ;
 Audit interne du SMSI ;
 Révision du SMSI ;
 Amélioration du SMSI.
Pour exécuter convenablement son modèle PDCA et atteindre ses objectifs de SMSI,
la norme ISO 27001 s’entoure d’autres normes de la famille ISO 2700x, chacun pour un rôle
bien précis. Ces normes sont représentées dans le schéma suivant :
Figure 3 : Relations des normes de la famille ISO 2700x
Source : ISO/IEC 27000
Nous donnons ici l’intitulé de quelques normes ci-dessus représentées.
18
Tableau 1 : Intitulés de quelques normes de la famille ISO 2700x
Normes Intitulés
ISO 27000 Vue d’ensemble et vocabulaire
ISO 27002 Code de bonne pratique pour le management de la sécurité de l’information
ISO 27003 Guide d’implémentation du SMSI
ISO 27004 Mesures
ISO 27005 Management des risques de sécurité de l’information
ISO 27006 Exigences pour les organismes procédant à l'audit et la certification des SMSI
ISO 27007 Lignes directrices pour l’audit des SMSI
ISO 27010
Directives de management de la sécurité de l'information pour le secteur et les
communications inter-organisationnelles
ISO 27011
Directives de mangement de la sécurité de l’information pour les organismes de
télécommunications basés sur la norme ISO 27002
ISO 27015 Directives de mangement de la sécurité de l’information pour les services financiers
Source : Auteur
Nous remarquons que la gestion des risques de sécurité de l’information est essentielle
dans un SMSI. La présence et la position de la norme ISO 27005 dans la figure 2 en est l’une
des preuves. On peut alors se demander ce qu’est la gestion des risques de sécurité de
l’information.
2.3.2. La norme ISO 27005 et la gestion des risques de sécurité de
l’information
La gestion des risques de sécurité de l’information est l’ensemble des activités
coordonnées permettant d'orienter et de contrôler un organisme en matière de risque de
sécurité de l’information (ISO/IEC, 2012).
Un risque de sécurité de l’information est la possibilité qu’une menace exploite une
vulnérabilité d’un actif ou d’un groupe d’actif informationnel d’une organisation et cause
ainsi un dommage (ISO/IEC, 2008). Nous comprenons qu’un risque est mesuré en termes
d'une combinaison de la probabilité d'un événement et ses conséquences.
Concernant particulièrement les TI, on peut convenir avec ERNEST JORDAN qu’un
risque informatique est toute chose qui peut endommager les TI et avoir un impact négatif sur
le business. Il dit : “An IT risk is something that can go wrong with IT and cause a negative
impact on the business” (JORDAN, 2005).
Dans le tableau suivant, nous donnons quelques exemples de risques.
19
Tableau 2: Exemples de risque de sécurité de l'information.
Risques Menaces Vulnérabilités
Divulgation d'informations, par perte accidentelle, de
media support de fichiers bureautiques personnels, en
dehors de l'entreprise
Erreur de comportement
du personnel
Disparition de média
Arrêt de fonctionnement de services du réseau étendu,
dû à une absence durable du personnel nécessaire
Absence de personnel
interne ou du prestataire
Indisponibilité des
équipements réseaux
Indisponibilité temporaire accidentelle de système
hôte de services applicatifs, due à un arrêt de la
climatisation
Absence de service
(climatisation)
Indisponibilité des
moyens de servitude
Arrêt de fonctionnement de services de publication
d'informations sur un site web, dû à une incapacité de
la maintenance système (panne non réparable ou
défaillance du partenaire)
Absence de service de
maintenance ou
maintenance système
impossible
Indisponibilité des
serveurs
Non-conformité à la législation ou aux règlements
relatifs à la vérification de la comptabilité
informatisée due à la non application de procédures,
par méconnaissance
Procédures inappliquées
par méconnaissance
Application non
conforme des
processus
Source : Auteur.
La gestion des risques de sécurité de l’information dans un SMSI permet donc de :
 Identifier les actifs informationnels (information, données, ordinateurs, applications,
services, personnes, image de l’entreprise) ;
 Identifier les besoins de sécurité ces actifs (niveau d’importance selon la triade C-I-
D) ;
 Identifier et évaluer les risques pesant sur ces actifs ;
 Maitriser ces risques (traitement, planification, priorisation).
De cette façon, les processus de gestion des risques de sécurité de l’information, qui
sont données dans le tableau suivant tiré de la norme ISO 27005, s’alignent sur le modèle
PDCA du SMSI ISO 27001 :
Tableau 3 : Alignement des processus de SMSI et de gestion des risques de sécurité de
l'information.
Processus du SMSI
Processus du système de gestion des risques de sécurité de
l’information
Plan
Définition du contexte
Examen des risques
Développement d’un plan de traitement des risques
Acceptation des risques
Do Implémentation du plan de traitement des risques
Check Contrôle et révision continue des risques
Act
Maintien et amélioration des processus de gestion des risques de
sécurité de l’information
Source : Auteur.
20
La norme qui traite de la gestion risques de sécurité de l’information est ISO 27005.
Pour la mettre en œuvre, nous pouvons utiliser des outils de gestion de risques dotés de base
de connaissances alignées sur la norme ISO 27002 qui comprend entre autres un répertoire de
menaces et de vulnérabilités.
L’un de ces outils est MÉHARI (Méthode harmonisée d’analyse des risques) qui a été
développé par le CLUSIF7
en 2010. Cette méthode a pour but de minimiser les risques afin
qu’ils soient acceptables car « la sécurité est l’absence de risque inacceptable » (PAPET,
2008). MÉHARI utilise les bonnes pratiques de la norme ISO 27002 et respecte le processus
de gestion des risques de sécurité de l’information de la norme ISO 27005. En particulier, son
processus est donné dans son principe dont le schéma est le suivant :
Figure 4: Principe de MEHARI.
Source : (CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS, 2012).
Les éléments de la base de connaissance de MÉHARI sont décrits dans la figure suivante :
7
CLUSIF : Club de la Sécurité de l’Information Français
21
Figure 5 : Base de connaissances de MÉHARI.
Source : (CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS, 2012).
2.4. Les acteurs d’un SMSI
Nous avons pu voir que le SMSI comprend plusieurs activités à travers son processus
et celui de gestion des risques. Ces activités, pour être menées à bien, ont besoin d’être
effectuées, contrôlées, validées et d’être sous la responsabilité de certains membres du
personnel de l’entreprise. Le premier principe dans un SMSI est le fait que les hommes sont
au premier plan et les technologies au second plan.
Dans une entreprise, tous les membres du personnel et les membres du conseil
d’administration sont les acteurs du SMSI. Chacun d’eux a un impact plus ou moins
important dans le cycle de vie du SMSI étant donné qu’ils sont des détenteurs et utilisateurs
des actifs informationnels.
Dans le tableau suivant, nous décrivons le rôle des acteurs principaux d’un SMSI.
22
Tableau 4 : Acteurs principaux d'un SMSI
Acteurs Rôles
Conseil d’administration (Président du
conseil d’administration)
Discuter des aspects stratégiques de la sécurité
Faciliter l’intégration des solutions de sécurité
Direction générale (Directeur)
Faciliter l’intégration des solutions de sécurité
Faciliter la communication et l’acceptation des
recommandations de sécurité
Responsable de la sécurité des SI
(RSSI)
Gérer le SMSI
Organiser la sécurité de l’information
Répondre de la sécurité de l’information
Communiquer sur la sécurité de l’information
Calculer le retour sur investissement de la sécurité de
l’information
Manager des risques de sécurité de
l’information
Organiser la gestion des risques de sécurité de
l’information
Communiquer sur les risques
Auditeur interne de sécurité des SI
Auditer le SMSI
Faire des recommandations pour l’amélioration du
SMSI
Source : Auteur.
2.5. Les dommages dans un SI
En l’absence ou en cas de dysfonctionnement du SMSI, il peut arriver que le SI
subissent des dommages souvent graves pouvant aller jusqu’à la faillite de l’entreprise. Le
tableau suivant présente quelques dommages que peut subir un SI.
Tableau 5 : Exemples de dommage causé dans un SI en l'absence de SMSI.
Types de dommages Exemples
Dommages financiers Dédommagement des victimes d'un piratage (clients de banque)
Dommages fonctionnels
Perte d’une base de données
Perte des codes source d’une application
Erreur de manipulation/programmation
Perte des configurations des postes de travail
Incendie
Vol d'un secret de fabrication
Perte de l’image de marque
Publicité négative faite autour d'une sécurité insuffisante
Baisse de confiance du public dans une société
Vol et diffusion des informations confidentielles des clients
Dommages réglementaires
L'indisponibilité d'un SI peut mettre en défaut l'entité devant ses
obligations légales et juridiques
Source : Auteur.
23
SECTION 2 : SÉCURITÉ DES SYSTÈMES D’INFORMATION AU CAMEROUN
La multitude d’activités produisant des informations permet l’exigence de la mise en
place d’un bon cadre de management des SI par les entreprises du Cameroun. Ainsi, nous
parlerons de l’état des lieux des SI au Cameroun dans une premier point et de la sécurité des
SI dans un second point.
1. Les Systèmes d’information au Cameroun
Les SI s’intègrent de plus en plus au Cameroun avec notamment des évènements à
caractère sensibilisant comme la J3SI8
organisé chaque année par les étudiants de la filière
MSI de la FSSG de l’UCAC et le « IT FORUM » organisé chaque année par le Club DSI9
du Cameroun.
Les secteurs d’activité où les SI sont les plus intégrés au Cameroun sont le secteur
bancaire, le secteur de l’assurance, le secteur des télécommunications et le secteur de la
logistique et du transport. Nous pouvons à priori penser que cela est le cas à cause de la
quantité des informations qu’ils manipulent par jour. Cependant, elles sont des entreprises
régis par des standards internationaux (norme BALE 210
, Loi SOX11
, l’UIT12
) ou détenues par
des organismes étrangers. Ces organismes étrangers exigent que toutes leurs entreprises ou
filiales disposent d’un SI conforme à certains standards afin qu’une visibilité soit bien faite
sur leur business et que les exigences réglementaires soient respectées.
Ainsi, plusieurs domaines des SI sont bien adoptés au Cameroun et permettent une
gestion quotidienne des activités de l’entreprise.
8
J3SI : Journée de sensibilisation sur les systèmes d’information.
9
Club DSI : Association des Directeurs des Systèmes d’Informations et Responsables Informatiques du
Cameroun ayant pour objet la promotion de l’usage des systèmes d’information comme facteur de création de
valeur dans les organisations.
10
Norme BALE2 : Dispositif prudentiel destiné à mieux appréhender les risques bancaires et principalement le
risque de crédit ou de contrepartie et les exigences, pour garantir un niveau minimum de capitaux propres, afin
d'assurer la solidité financière.
11
Loi SOX : Loi visant à protéger les investisseurs en améliorant l'exactitude et la fiabilité des publications des
entreprises conformément aux lois sur les valeurs mobilières, ainsi qu'à d'autres fins apparentées.
12
UIT : Union internationale des télécommunications. L’agence des Nations unies pour le développement
spécialisé dans les technologies de l'information et de la communication, basée à Genève (Suisse). Elle établit les
normes de ce secteur et diffuse toutes les informations techniques nécessaires pour permettre l'exploitation des
services mondiaux de télécommunications.
24
1.1. Les domaines des SI au Cameroun
La pratique des SI au Cameroun n’est pas négligeable. Plusieurs domaines sont
maitrisés par les professionnels des SI qui exercent dans les entreprises et dans les cabinets
d’expertises. Ces domaines sont maitrisés grâce aux opportunités de formation et d’obtention
de certification qu’offre les moyens de télécommunication (internet) et les partenariats.
Le domaine du business intelligence (BI) dans les SI permet d’analyser des données
afin maitriser l’activité de l’entreprise. Dans le secteur bancaire et des télécommunications
particulièrement, c’est le cas par exemple de l’analyse du comportement des clients afin de
toujours les satisfaire et de créer des produits taillés sur mesure.
Le service des TI est le moteur du service offert par l’entreprise13
. En effet, le service
des TI est un moteur pour une meilleure diffusion des produits (catalogue électronique, site
web), pour l’aide au développement de l’usage des fonctions et des produits, pour un meilleur
suivi du service après-vente, etc. Ceci à travers le management des infrastructures et des
applications alignées à la stratégie de l’entreprise. Au Cameroun, le référentiel ITIL est le plus
utilisé. L’un de ses modules est la gestion des incidents dans laquelle les entreprises de
télécom de la place excellent avec la supervision de leur réseau d’antennes réparties sur
l’étendue du territoire. C’est également la certification la plus demandée pour tout profil de
manager de service des TI dans notre environnement.
Le domaine du management de la qualité est nécessaire à la maîtrise et à l'amélioration
des divers processus d'une organisation, qui génère l'amélioration continue de ses résultats et
de ses performances dans une entreprise. La qualité est une aptitude d'un ensemble de
caractéristiques intrinsèques à satisfaire des exigences14
. Plusieurs entreprises au Cameroun
pour dorer leur image mettent à disposition leur certificat de qualité (ISO 9001) ou la
cartographie de leur processus sur internet comme la SCDP15
(Société Camerounaise de
Dépôt Pétrolier).
Le domaine de la conception et du développement des applications est vieux au
Cameroun. Les grandes et sérieuses entreprises ne cessent de débaucher du personnel pour
développer en interne leur propre solution de gestion.
13
http://www.numeraladvance.com/Services_IT/Principes_du_service_IT/Finalite_du_service/Perimetre_et_cont
enu.htm consultée le 10 juin 2016.
14
http://www.numeraladvance.com/Accueil/Glossaire/index.htm# consultée le 10 Juin 2016.
15
http://www.scdp.cm/download/manuel_qse.pdf consultée le 11 Juin 2016.
25
Le domaine de la SSI est assez nouveau. Seules quelques grandes entreprises
réussissent à s’offrir les services de véritables cadres formés dans le domaine de la sécurité
des SI. La SSI se résume pour la plupart à la sécurisation du réseau informatique, aux
antivirus et au gardiennage.
1.2. Les outils et référentiels des SI au Cameroun
Le référentiel le plus utilisé et le plus répandu au Cameroun est ITIL, pour le
management des services des TI. Il permet, grâce à une approche par processus clairement
définie et contrôlée, d'améliorer la qualité des SI et de l'assistance aux utilisateurs. ITIL est
une sorte de « règlement intérieur » du département informatique des entreprises qui
l'adoptent et le bénéfice est une meilleure traçabilité de l'ensemble des actions du département
informatique.
La dernière version d’ITIL, ITIL V3 ou ITIL 2011, est constituée de 5 livres
principaux décrits ci-après :
 Stratégie des services (Management stratégique, Gestion du portefeuille des services,
Gestion financière, Gestion de la demande, Gestion des relations business) ;
 Conception des services (Coordination & conception, Gestion du catalogue, Gestion
du niveau de service, Gestion de la capacité, Gestion de la disponibilité, Gestion de la
continuité, Gestion de la sécurité, Gestion des fournisseurs.) ;
 Transition des services (Planification et support, Gestion du changement, Gestion de
la configuration, Gestion des mises en production, Gestion des tests et validation,
Gestion de l'évaluation, Gestion des connaissances) ;
 Exploitation des services (Gestion des événements, Gestion des incidents, Gestion
des demandes, Gestion des problèmes, Gestion des accès) ;
 Amélioration continue des services (Le reporting du service, Les mesures de suivis,
Le retour sur investissement, Le benchmarking, Le cycle de Deming).
Les sociétés de télécommunication au Cameroun utilisent le Framework eTOM
(Enhanced Telecom Operations Map) pour élaborer leur processus. Ce référentiel créé en
1998 par le TeleManagement Forum (organisme de normalisation spécialisé dans la gestion
de réseaux informatiques/télécoms) est aligné sur le référentiel ITIL et couvre trois grands
domaines :
 Stratégie, infrastructure et produits ;
26
 Opérations ;
 Management de l’entreprise.
2. La sécurité des systèmes d’information au Cameroun
Le rapport du cabinet Check Point16
qui fait état de la vulnérabilité de l’Afrique en
matière de sécurité positionne le Cameroun comme la troisième proie facile des cybers
terroristes dissimulés dans le monde. Le manager de Check Point Afrique du sud signale
que ces cibles sont les pays dont les systèmes de sécurité sont les plus faibles17
La sécurité des SI est nouvelle et pas encore très évoluée malgré le nombre d’attaques
informatiques subit chaque jour par les banques, les sociétés de télécommunication, les sites
internet et les usagers, et malgré les efforts fait par l’organisme chargé de l’organisation
globale de la sécurité informatique au Cameroun.
Pour beaucoup encore, la sécurité des SI se limite à l’utilisation des antivirus mis à
jour quotidiennement alors que la sécurité des SI est tout d’abord un problème de
management (méthodes) et de technique (moyens, informatique) en dernier ressort.
2.1. L’adoption de la sécurité des SI au Cameroun
Beaucoup d’entreprise ne se sont pas encore investie dans la protection de leur SI.
Seuls les secteurs bancaires et de télécommunication sont soucieux de leur sécurité car
semble-t-il, ils détiennent les données personnelles et les finances de leurs clients.
Dans plusieurs entreprises, la curation est préférée à la prévention car c’est lorsqu’on
est victime d’un problème de sécurité des SI qu’on prend conscience de la réalité. Malgré
cela, l’investissement dans le domaine ne suit pas. Cette non implication de la direction
générale fait en sorte que les usagers ne prennent pas conscience des menaces et risques qui
pèsent sur leurs activités. Ainsi, « l’adoption d’une culture sécurité des SI n’est pas encore
effective au Cameroun car la direction générale ne comprend pas encore bien les enjeux »,
déclare le directeur des SI d’une grande entreprise de la place.
16
Check Point : Leader mondial des marchés de pare-feu d’entreprise, des solutions de sécurité des données et
des TI.
17
http://www.camerpresse.com/?pg=actu&ppg=4&pp=4&id=2382 consultée le 20 Juin 2016.
27
2.2. Les problèmes de sécurité des SI
Au Cameroun, plusieurs entreprises subissent des attaques chaque jour. D’autres
rencontrent des difficultés dans leur métier à cause des problèmes de sécurité.
Une des sociétés de télécommunications du Cameroun est victime de plus de cinq
mille (5000) attaques informatiques chaque jour. Parmi ces attaques, on note environ 5%
d’attaques capables de causer de dommages graves telles que l’indisponibilité du réseau dans
certaines zones.
Les sociétés bancaires sont aussi les cibles montantes au Cameroun. On note une perte
de plusieurs millions de francs CFA et l’indisponibilité de certains services à cause des cyber-
attaques. On note aussi le vol de giga de données que les banques Camerounaises cachent
bien pour préserver leur image et leur clientèle. Plusieurs clients des banques Camerounaises
ont subi des vols de sommes d’argent variant entre cinq mille francs CFA (5000FCFA) et
trois cent cinquante mille francs CFA (350000FCFA) car la banque ne répondait pas aux
exigences de la PCI-DSS18
.
2.3. Les acteurs de la sécurité des SI au Cameroun
Suite à la promulgation de la Loi N°2010/012 du 21 décembre 2010 relative à la
cyber-sécurité et à la cybercriminalité et de la Loi N°2010/013 du 21 décembre 2010
régissant les communications électroniques au Cameroun, l'ANTIC19
s’est vu assigner les
missions, entre autres, de régulation des activités de sécurité électronique et de régulation de
l'internet au Cameroun. L’ANTIC est placée sous la tutelle technique du Ministère des Postes
et Télécommunications.
Les autres acteurs de la sécurité des SI au Cameroun sont les cabinets d’expertise. Ils
sont généralement spécialisés dans l’audit de sécurité des SI, l’implémentation des solutions
de sécurité et la formation.
18
PCI DSS : Payment Card Industry Data Security Standard, est un standard de sécurité des données pour les
industries de carte de paiement comme les banques.
19
ANTIC : Agence Nationale des Technologies de l’Information et de la Communication.
28
CHAPITRE 2 : RELATION THÉORIQUE ENTRE LE
SMSI ET LA PERFORMANCE
Parce que la performance est l’objectif de toute entreprise, de nombreuses théories en
ont fait l’objet de leur étude. Nous verrons en section 1 certaines de ces théories. En section 2,
nous mettrons en avant notre modèle et nos hypothèses de recherche. Notons que l’utilisation
de ces modèles théoriques nous permettra d’émettre des hypothèses supplémentaires pour
l’analyse en détails de la relation entre le SMSI et la performance.
SECTION 1 : GÉNÉRALITÉS SUR LES APPROCHES THÉORIQUES
Cette section présente les modèles et théories sur lesquels nous nous sommes appuyés
pour construire notre modèle de recherche.
1. Modèle de succès des SI de Delone et McLean
En développant leur modèle de mesure du succès des SI pour la première fois, William
Delone et Ephraim McLean (1992) avaient pour objectif de fournir une définition générale et
un modèle global de succès des SI. Dix ans après une révision de leur modèle suite aux
différentes critiques de plusieurs autres chercheurs du même domaine, ils proposent un
modèle amélioré qui est un Framework pour la mesure de variables dépendantes qui donnent
des résultats concernant le succès et la qualité d’un SI. Ces variables, au nombre de six (06),
sont les suivantes :
 La qualité du système : il s’agit des caractéristiques techniques du système dont les
indicateurs sont la flexibilité, la qualité des données, la fiabilité, l’intégration, la
facilité d’utilisation et les fonctionnalités ;
 La qualité de l’information : il s’agit de la qualité de l’information produite ou
délivrée par le SI, qui sont sous la forme de document physique ou affiché sur
ordinateur. Les indicateurs sont l’exactitude, la disponibilité, la complétude, la
pertinence et la cohérence ;
 La qualité de service : il s’agit de la qualité des services délivrés par le SI. C’est
l’écart qui existe entre les attentes d’un client pour un service donnée et sa perception
du service reçu. Elle se mesure en termes de tangibilité, de fiabilité, de serviabilité,
d’assurance et d’empathie des services délivrés. Cet indicateur de qualité d’un SI se
29
mesure aujourd’hui en utilisant la théorie SERVQUAL (Service Quality) qui est un
instrument très populaire, surtout dans le domaine du marketing.
 L’utilisation du système / intention d’utilisation : il s’agit de la façon dont les
utilisateurs se mettent en œuvre pour utiliser les capacités du SI dans le remplissage de
leurs différentes tâches.
 La satisfaction de l’utilisateur : elle se réfère à la façon dont un utilisateur est
heureux ou satisfait du SI.
 Le bénéfice net : il s’agit de l’ampleur avec laquelle le SI contribue au succès dans
une organisation ; au niveau individuel (travailleur) et au niveau global (l’entreprise).
Ce modèle est soutenu par le fait qu’un système peut être évalué sur la base de la
qualité des informations délivrées, de la qualité des services délivrés et des caractéristiques du
système lui-même. Ces facteurs affectent les utilisateurs du système, leur intention d’utiliser
le système et leur satisfaction. À la suite de l’utilisation du système, il va découler des
bénéfices pour l’utilisateur et par conséquent pour l’organisation toute entière. Ces bénéfices
en retour motivent davantage l’utilisateur.
Le modèle de Delone et McLean est schématisé comme suit :
Figure 6: Modèle de succès de Delone & McLean mis-à-jour, 2003.
Source : (IS Theory, 2016a)
2. Le modèle SERVQUAL de mesure la qualité d’un service de
PARASURAMAN, ZEITHAML et BERRY
Le modèle SERVQUAL est un instrument beaucoup utilisé lorsqu’il s’agit de mesurer
la qualité de service d’une entreprise. Selon les auteurs, la qualité de service se mesure en
observant la différence qui existe entre la qualité de service perçue et la qualité de service
QUALITÉ DE
L’INFORMATION
QUALITÉ DU SYSTÈME
QUALITÉ DU SERVICE
INTENTION
D’UTILISER
UTILISATION
SATISFACTION DES
UTILISATEURS
BÉNÉFICES NETS
30
attendue par le client. Si cette différence est positive, alors on déduit que la qualité de service
est bonne et que le service n’a pas besoin d’amélioration ; et inversement.
Ce modèle décompose la notion de qualité de services en cinq (05) grands indicateurs :
 Tangibilité : installations physiques, équipements, apparence du personnel, etc. ;
 Fiabilité : la capacité à effectuer un service fiable et précis ;
 Serviabilité : la volonté d’aider et de répondre aux besoins des clients ;
 Assurance : la capacité du personnel à inspirer de la confiance ;
 Empathie : la mesure dans laquelle un service personnalisé attentionné est donné.
Aujourd’hui, le SERVQUAL utilise un questionnaire avec vingt-deux (22) questions
sur l’échelle de Likert pour collecter les réponses auprès des individus (clients).
Étant donné que le modèle SERVQUAL est un Framework pour toute entreprise, il est
possible non plus de mesurer les qualités de services perçues et attendues, mais de faire une
autoévaluation du service rendu. Ce qui permet aussi en interne une amélioration continue de
la qualité des services.
3. La théorie des ressources (Ressources-Based View) de WADE et
HULLAND
La théorie des ressources (Ressources-Based View) a été développée pour défendre le
fait qu’une entreprise qui possède des ressources est capable de posséder un avantage
concurrentiel qui peut être maintenu à long terme afin d’être performant. L’un des auteurs de
cette théorie soutien que les ressources en TI sont une condition nécessaire mais pas
suffisante pour une bonne performance de l’entreprise (WADE & HULLAND, 2004). De
même, seulement acquérir des ressources en TI n’assure pas une bonne performance de
l’entreprise (WADE & HULLAND, 2004).
Les ressources sont précieuses et rares, et peuvent conduire à un avantage
concurrentiel temporaire. Cet avantage peut être maintenu pendant une très longue période car
toute entreprise est capable de se protéger contre le transfert de compétences, le transfert de
technologies ou l’imitation.
Les ressources peuvent être entendues par les compétences et aptitudes, les biens
stratégiques et les actifs. Les auteurs définissent précisément les ressources comme tout actif
ou toute capacité disponibles et utilisés pour répondre aux opportunités et menaces du
31
marché (WADE & HULLAND, 2004). Les actifs sont de type tangible (infrastructures
réseaux, poste de travail, etc.) et intangibles (logiciel, relation avec les parties prenantes, etc.).
La capacité est l’ensemble des moyens qui permet d’utiliser ces actifs pour atteindre des
objectifs ; c’est par exemple les habiletés techniques et managériales.
La théorie des ressources nous permet de spécifier facilement les ressources d’une
entreprise, de faire une comparaison entre entreprise et d’établir facilement le lien entre les
ressources et l’avantage concurrentiel, donc de mesurer la plus-value des ressources.
4. La théorie de la capacité dynamique (Dynamic capabilities) de Jay
BARNEY, Kathleen EISENHARDT et David TEECE
À l’analyse de la théorie des ressources (Ressources-Based View), il apparait que les
ressources semblent statiques alors que notre environnement est dynamique. Parce qu’une
entreprise doit toujours s’adapter, il nait la théorie de la capacité dynamique qui soutient le
fait que les ressources doivent être développées et intégrées au sein d’une entreprise. Les
auteurs, Jay BARNEY, Kathleen EISENHARDT et David TEECE, définissent la capacité
dynamique comme « la capacité à intégrer, construire et reconfigurer les compétences
internes et externes pour s’adapter aux changements rapides de l’environnement » (IS
Theory, 2016b).
La théorie de la capacité dynamique vient donc tenter de combler le vide par une
approche processus entre les ressources et l’environnement, et de façon dynamique. En
comblant ce vide, les ressources sont ajustées et taillées sur mesure afin de maintenir cet
avantage compétitif à long terme telle que dit dans la théorie des ressources.
Nous pouvons dire que la théorie des ressources fait le choix des ressources et la
capacité dynamique permet le développement des dites ressources.
5. Le modèle de mesure de la maturité des processus de gestion des
risques en sécurité de l’information (MMGRseg)
Dans le management de nos jours, l’approche processus est beaucoup préconisée car
elle permet de mieux prendre en main les activités de tout système, de mieux contrôler les
coûts de production et de facilement mesurer l’efficacité. Plusieurs soulignent d’ailleurs que
« la qualité d'un système est fortement influencée par la qualité du processus utilisé pour
32
l’acquérir, le développer et le maintenir » (Carnegie Mellon University & Software
Engineering Institute, 2005).
La qualité d’un processus se mesure en termes de maturité (niveau de maturité). On
définit la maturité d’un processus comme le degré auquel il est déployé explicitement et de
façon cohérente, documenté, géré, mesuré, contrôlé et continuellement amélioré. Pour
mesurer cette maturité, on s’appuie sur un modèle de maturité qui est un référentiel de bonnes
pratiques d’un domaine bien précis utilisé pour apprécier et améliorer la capacité des
processus de ce domaine. Le MMGRseg est un modèle qui respecte cette condition en
matière de gestion des risques de sécurité de l’information.
Pour évaluer le niveau de maturité du système de gestion des risques de sécurité de
l’information, le MMGRseg s’appuie sur la norme ISO 27005 (intitulé Technologies de
l'information – Techniques de sécurité – Gestion du risque en sécurité de l'information) pour
déterminer les processus à évaluer et sur le CMMI20
pour définir les différents niveaux de
maturité des processus (MAYER & LEMES, 2009).
Selon le CMMI, les cinq (05) niveaux de maturité sont :
 Initial, niveau 1 : Le processus n’est pas défini. Le résultat du processus dépend du
savoir-faire de quelques personnes clés dans l’organisation. Ce savoir-faire n’est ni
formalisé ni partagé ; rien n’est fait (documentation, évaluation, communication,
surveillance) ;
 Connu, niveau 2 : Les entrées et les sorties des différentes activités sont gérées et
contrôlées. Les règles sont connues et appliquées par les intervenants concernés. Le
processus est planifié et suivi, mais n’est pas formalisé ;
 Standardisé, niveau 3 : Le processus est formalisé. Des pratiques d’assurance de la
qualité sont en place. L’efficacité de chacun des processus est mesurée et renforcée.
Les risques sont identifiés et gérés. L’accent est mis sur l’efficacité ;
 Managé, niveau 4 : Chaque processus est systématiquement mesuré. Les données
sont consolidées et exploitées pour la prise de décision et la prévision des risques.
L’accent est mis sur l’optimisation des ressources (efficience) et sur la valeur ajoutée
des processus ;
20
Capability Maturity Model Integration (CMMI), développé par le Software Engineering Institute de
l'Université Carnegie-Mellon, initialement pour appréhender et mesurer la qualité des services rendus par les
fournisseurs de logiciels informatiques du département de la Défense des États-Unis
33
 Optimisé, niveau 5 : Le processus est totalement maîtrisé et optimisé en permanence.
On a des indicateurs sur l’amélioration du processus.
Selon la norme ISO 27005, les six (06) processus de gestion des risques sont :
 Définition du contexte ;
 Examen des risques ;
 Traitement des risques ;
 Acceptation des risques ;
 Communication des risques ;
 Contrôle et analyse des risques critiques.
Figure 7 : Processus de gestion des risques de la norme ISO 27005.
Source : ISO/IEC 27005.
Le MMGRseg est composé de :
 Cinq (05) niveaux de maturité telle que décrit dans le CMMI ;
34
 Quarante-trois (43) objectifs de contrôles répartis dans les six (06) processus de
gestion des risques ;
Tableau 6: Objectifs de contrôle des processus de gestion des risques
Processus
Niveau de maturité Total des
objectifs de
contrôles1 2 3 4 5
Définition du contexte 0 3 4 1 1 9
Examen des risques 0 2 3 1 2 8
Traitement des risques 0 1 5 1 1 8
Acceptation des risques 0 2 3 1 1 7
Communication des risques 0 1 2 2 1 6
Contrôle et analyse des
risques critiques
0 1 2 1 1 5
TOTAL 0 10 19 7 7 43
Source : (MAYER & LEMES, 2009)
 Un instrument d’évaluation de la maturité des processus de gestion des risques qui se
base sur l’évaluation de la maturité pour chaque objectif de contrôle ;
 Une matrice de responsabilité des activités de chaque processus ;
 Un tableau de bord des risques.
SECTION 2 : MODÈLE CONCEPTUEL DE RECHERCHE
Une entreprise existe pour atteindre chaque jour ses objectifs. Ce qui démontre sa
performance. Plusieurs éléments aujourd’hui sont des facteurs de performance dans une
entreprise comme nous avons pu le constater à travers ces théories qui sont utilisées par des
entreprises de renom pour mesurer à chaque fois l’effectivité de leur statut d’entreprise
performante.
Une entreprise performante est à la fois efficace et efficiente. Elle est efficace
lorsqu’elle atteint ses objectifs. Elle est efficiente lorsqu’elle minimise les moyens mis en
œuvre pour atteindre les objectifs fixés. La performance d’une entreprise peut se mesurer à
plusieurs niveaux : financier, social, administratif et organisationnel, marketing, etc.
Au niveau financier, on mesure la performance à l’aide des indicateurs comme le
retour sur investissement (ROI : Return On Investment) ou la valeur économique ajoutée.
35
Au niveau social, on mesure la performance à l’aide des indicateurs tels que le
montant des rémunérations, le nombre d’accidents de travail, etc.
Au niveau administratif, on mesure la performance à l’aide des indicateurs tels que le
respect des délais, la conformité des produits, l’efficacité des processus, la flexibilité, etc.
Au niveau marketing, la performance se mesure à l’aide des indicateurs tels que la
satisfaction des clients, le taux de fidélité, la qualité de l’image de l’entreprise, etc.
Dans notre environnement, à cette ère du numérique où la sécurité de l’information
s’impose comme activité à part entière, beaucoup d’entreprises n’ont pas encore pris
conscience de la valeur de leurs informations alors que ces informations, en tant qu’actif de
l’entreprise, leur permettent chaque jour d’exercer, d’atteindre leurs objectifs et d’être plus
performante. C’est ainsi que nous nous proposons d’utiliser le modèle de succès des systèmes
de Delone et McLean pour vérifier si le SMSI permet à une entreprise d’être performante.
Cette performance dans notre cas de recherche va se concentrer sur deux domaines,
administratif et marketing. Administratif parce que la gestion par les processus métiers ne
cessent de faire ces preuves, parce que la relation avec les fournisseurs n’est pas toujours prise
très au sérieux alors que ceux-ci participent à l’atteinte des objectifs de l’entreprise.
Marketing parce que le client devrait toujours être satisfait et aussi parce que l’une des forces
d’une entreprise est son image.
La norme ISO 27001 définit le SMSI comme la partie de tout système de management
d’une organisation, basé sur l’approche des risques, pour établir, implémenter, faire
fonctionner, contrôler, réviser, maintenir et améliorer la sécurité de l’information (ISO/IEC,
2005). Ce qui démontre l’importance de la gestion des risques dans un SMSI. La première
étape d’implémentation d’un SMSI (étape « Plan » du modèle PDCA21
) demande d’établir la
politique, les objectifs, les processus et les procédures de SMSI relatifs à la gestion des
risques et à l'amélioration de la sécurité de l'information pour fournir des résultats en
conformité avec les politiques et les objectifs globaux de l'organisation.
Étant donné que la gestion des risques est une activité majeure et inéluctable de tout
SMSI, nous nous proposons d’évaluer en plus la maturité des processus de gestion des risques
en s’appuyant sur le MMGRseg. Pour cela, nous allons mesurer la maturité des six (06)
processus, chacun dans sa globalité et non dans les détails ; car le modèle original comprend
21
PDCA = Plan, Do, Check, Act. Le modèle adopté par les standards internationaux qui est appliqué pour
structurer tous les processus d’un SMSI.
36
trente-cinq (35) questions, ce qui alourdira notre questionnaire de recherche. Cette méthode
nous donnera des résultats fidèles et acceptables concernant le niveau de maturité des
processus de gestion des risques.
BHARADWAJ fait une précision sur l’utilisation de la théorie des ressources
(Resources-Based View). Il distingue les ressources en TI tangibles (Infrastructures et
Ressources humaines) et TI intangibles (BHARADWAJ, 2000). Notre travail s’est concentré
sur les TI tangibles pour éviter d’évoquer des éléments assez abstraits comme l’habileté du
personnel, les atouts en connaissances qui sont intangibles.
De ce corpus découle notre modèle de recherche :
Figure 8: Modèle théorique de recherche.
Source : Auteur.
Nos hypothèses de recherche sont les suivantes :
 Les effets positifs d’un SMSI : il s’agit des répercussions positives de l’utilisation
normée par ISO 27001 d’un SMSI sur une entreprise. L’amélioration de ses processus,
de sa relation avec ses fournisseurs et sur son image d’une part, et l’amélioration de
ses infrastructures, la qualité du personnel et du management des TI d’autre part.
H1 : Le SMSI a un effet positif sur la performance d’une entreprise.
H2 : Le SMSI a un effet positif sur la capacité informatique d’une entreprise.
37
 Les effets positifs de la capacité informatique : il s’agit des bénéfices de l’adoption et
de l’utilisation des TI sous les actions du personnel et du management de ses TI.
H3 : La capacité informatique a un effet positif sur la performance d’une
entreprise.
L’utilisation des différentes théories citées nous offrent des possibilités de
vérifications précises et détaillées de nos différentes hypothèses et de certaines relations de
dépendances entre quelques sous construits de notre modèle de recherche. Dans leur article
qui parlent de l’impact sur l’organisation de la qualité de service, de la qualité du système et
de la qualité des informations, les auteurs affirment en perspective que la recherche sur ce
thème peut être continuer en explorant les effets entre la qualité du système, la qualité de
service et la qualité de l’information (GORLA, SOMERS, & WONG, 2010). Ce qui nous
pousse à se pencher sur quatre (04) hypothèses supplémentaires. De plus, en procédant à une
gestion des risques de sécurité de l’information par ses processus, lors d’un audit ou d’un
contrôle par exemple, on est amené à traiter les risques en donnant des recommandations. Ces
recommandations sont des solutions qui viennent modifier l’infrastructure, les méthodes, les
processus et même la qualité du personnel (recrutement, formation).
Les hypothèses de recherche supplémentaires sont donc les suivantes :
H4a : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la qualité du système.
H4b : le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la qualité de service.
H5 : La qualité de service a un effet positif sur la Qualité de l’information.
H6 : La qualité du système a un effet positif sur la Qualité de l’information.
 La performance administrative dans notre cas de recherche est l’ensemble des
bénéfices perçus au niveau de la gestion des fournisseurs, l’amélioration des services
de l’entreprise et de l’efficacité de l’organisation interne :
H7 : La Qualité du système a un effet positif sur la Performance administrative.
H8 : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la Performance administrative.
H9 : La Qualité de service a un effet positif sur la Performance administrative.
 La performance marketing est celle du marché. Il s’agit du niveau de la satisfaction
des clients et la qualité de l’image de l’entreprise.
38
H10 : La Qualité de service a un effet positif sur la Performance marketing.
 Les infrastructures TI sont l’ensemble des ressources matériels et logiciels de
l’entreprise :
H11 : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la Capacité des infrastructures TI.
 La qualité du personnel TI représente sa capacité à créer des solutions adaptées aux
besoins de l’entreprise en utilisant les méthodes actualisées.
H12 : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la Qualité du personnel TI.
 Le management IT donne des informations sur la qualité des méthodes de gestion des
TI utilisée pour gouverner.
H13 : Le niveau de maturité des processus de gestion des risques de sécurité de
l’information a un effet positif sur la Capacité du management des TI.
Figure 9: Modèle de recherche des hypothèses supplémentaires.
Source : Auteur.
39
Conclusion
Nous avons pu dessiner notre modèle de recherche à partir de plusieurs théories,
principalement celle du succès de Delone et McLean qui permet de mesurer l’effet d’un
système sur la performance dans une entreprise. Ce qui nous a conduit à la formulation de
quatorze (14) hypothèses de recherche. Il est maintenant question de décrire le processus
qui va nous permettre de confirmer ou infirmer les hypothèses citées. Ce processus va être
exécuté. Ce qui nous permettra de présenter des résultats.
40
PARTIE 2 :
SMSI ET PERFORMANCE
La seconde partie de notre travail de recherche présente la méthodologie adoptée pour
vérifier nos différentes hypothèses, suivie d’une présentation de nos différents résultats.
Enfin, nous apporterons des remarques à ces résultats. Ce qui nous permettra d’émettre des
recommandations pour la mise en place et le suivi d’un SMSI dans une entreprise.
41
CHAPITRE 3 : MÉTHODOLOGIE & RÉSULTATS
Pour la vérification de nos différentes hypothèses, nous emploierons une démarche
hypothético-déductive en utilisant les données quantitatives collectées à partir d’un
questionnaire. La démarche hypothético-déductive a fait ses preuves dans le domaine des
sciences sociales à travers la méthode des équations structurelles et la méthode PLS (Partial
least square). La méthode PLS a traité avec succès les modèles et théories sur lesquels nous
nous appuyés pour élaborer notre modèle de recherche. Ainsi, nous nous proposons dans ce
chapitre de présenter explicitement la méthodologie utilisée en section 1 et de présenter les
résultats et commentaires en section 2.
SECTION 1 : MÉTHODOLOGIE DE VÉRIFICATION DES HYPOTHÈSES DE
RECHERCHE
Le modèle de recherche étant définit et les hypothèses de recherche posées, il s’agit
maintenant de procéder à leur vérification. Pour ce faire, nous avons appliqué le processus
donné par la figure suivante qui comporte six (06) grandes activités que nous allons décrire.
Figure 10 : Processus simplifié de la méthodologie de vérification des hypothèses.
Source: Auteur.
1. Élaborer le questionnaire
La première réalisation dans cette activité est le choix de la cible du questionnaire.
Ici, nous avons préféré se concentrer sur les acteurs du domaine des TI et des SI et de leur
sécurité. À savoir les agents, les managers et les directeurs qui opèrent dans une entreprise ou
au titre de consultant. Dans notre environnement, ils sont ceux qui maitrisent bien les
questions de SMSI et la pratique de la sécurité de l’information.
42
La deuxième réalisation est le choix des questions à faire administrer. Les questions
ont été tirées directement des questionnaires des modèles théoriques. Il a fallu faire une
sélection des dites questions en fonction de leur pertinence dans notre environnement et des
relations de notre modèle de recherche. Ce qui nous a permis dans un premier temps d’arrêter
trente-trois (33) questions sur une échelle de Likert à sept (07) niveaux et six (06) questions
de mesure du niveau de maturité sur une échelle de 1 à 5 ; soit au total trente-neuf (39)
questions.
La troisième réalisation est le test de notre questionnaire auprès de vingt et cinq
(25) individus. L’objectif de ce test est de déterminer la facilité de compréhension des
questions et la qualité de la liaison des variables latentes (construits) à leurs variables
manifestes (indicateurs ou items). Ce qui nous permet d’augmenter ou supprimer des
indicateurs dans des construits indiqués afin qu’ils gardent une très bonne qualité et que notre
modèle ait des résultats fiables.
La dernière réalisation est la finalisation du questionnaire. Il s’agit d’ajouter aux
questions du modèle des questions qui renseignent sur la qualité du répondant. Ce sont les
questions qui nous permettent de donner un premier crédit aux réponses collectées. À savoir,
l’âge, les années d’expérience, formation en sécurité ou pas, etc.
2. Choisir la taille de l’échantillon
Cette partie consiste à déterminer le nombre minimum de réponses à collecter
(observations) afin de pouvoir prétendre à des résultats acceptables auprès de la communauté
scientifique.
Selon (HAIR, HULT, RINGLE, & SARSTEDT, 2014) une puissance22
de 0,80 et un
f²23
égale à 0,15 sont recommandés pour la validation des résultats de recherche avec la
méthode PLS. De cette façon, un calcul de la taille de l’échantillon à partir du logiciel
« GPower 3.0.10 » avec les paramètres f² = 0,15, p = 0,05, puissance = 0,80 et nombre de
prédicateurs = 2 nous donne comme résultat soixante-huit (68) comme taille minimum de
l’échantillon pour la vérification de nos hypothèses.
22
Puissance d’un test : Probabilité de rejeter l’hypothèse nulle.
23
f² : Mesure de la force de l'effet observé d'une variable sur une autre.
43
Figure 11 : Calcul de la taille minimale de l’échantillon avec GPower 3.
Source: Auteur.
D’autres auteurs affirment que la taille minimale de l’échantillon est fonction du
modèle de recherche. On considère le sous construit qui dispose du plus grand nombre de
variables manifestes. La taille minimale de l’échantillon pour la vérification des hypothèses
s’obtient en multipliant le nombre de variables manifestes le plus élevées par dix (10) (HAIR,
HULT, RINGLE, & SARSTEDT, 2014). Dans notre modèle de recherche, la variable latente
qui a le plus de variable manifestes est la variable de mesure de la performance
administrative (P-ADMIN). Elle présente neuf (09) indicateurs. Par conséquent, la taille
minimale de notre échantillon est de quatre-vingt-dix (90) observations.
Nous concluons donc qu’il nous au minimum quatre-vingt-dix (90) observations
pour mener notre étude et tester notre modèle de recherche.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.
Effets du système de management de la sécurité de l'information sur la performance.

Contenu connexe

Tendances

rapport PFE ingénieur génie logiciel INSAT
rapport PFE ingénieur génie logiciel INSATrapport PFE ingénieur génie logiciel INSAT
rapport PFE ingénieur génie logiciel INSAT
Siwar GUEMRI
 
Mémoire de fin d'études. Modules: SI Helpdesk , Gestion Park informatique , B...
Mémoire de fin d'études. Modules: SI Helpdesk , Gestion Park informatique , B...Mémoire de fin d'études. Modules: SI Helpdesk , Gestion Park informatique , B...
Mémoire de fin d'études. Modules: SI Helpdesk , Gestion Park informatique , B...
Abderrahmane Belhimer
 

Tendances (20)

sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Mémoire de Master 2
Mémoire de Master 2Mémoire de Master 2
Mémoire de Master 2
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
rapport PFE ingénieur génie logiciel INSAT
rapport PFE ingénieur génie logiciel INSATrapport PFE ingénieur génie logiciel INSAT
rapport PFE ingénieur génie logiciel INSAT
 
Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...
 
Projet Fin D'étude Application Mobile
Projet Fin D'étude Application MobileProjet Fin D'étude Application Mobile
Projet Fin D'étude Application Mobile
 
Rapport du projet fin d'etudes
Rapport du projet fin d'etudesRapport du projet fin d'etudes
Rapport du projet fin d'etudes
 
Rapport de stage du fin d'étude
Rapport de stage du fin d'étudeRapport de stage du fin d'étude
Rapport de stage du fin d'étude
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Conception et Réalisation Application Web Laravel PFE BTS
Conception et Réalisation Application Web Laravel PFE BTSConception et Réalisation Application Web Laravel PFE BTS
Conception et Réalisation Application Web Laravel PFE BTS
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Mémoire de fin d'études. Modules: SI Helpdesk , Gestion Park informatique , B...
Mémoire de fin d'études. Modules: SI Helpdesk , Gestion Park informatique , B...Mémoire de fin d'études. Modules: SI Helpdesk , Gestion Park informatique , B...
Mémoire de fin d'études. Modules: SI Helpdesk , Gestion Park informatique , B...
 
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
 
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammami
 
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
 
Rapport stage pfe
Rapport stage  pfe Rapport stage  pfe
Rapport stage pfe
 
Rapport de stage PFE ( DUT) chez Synthèse Conseil - Jaiti Mohammed
Rapport de stage PFE ( DUT) chez Synthèse Conseil  - Jaiti MohammedRapport de stage PFE ( DUT) chez Synthèse Conseil  - Jaiti Mohammed
Rapport de stage PFE ( DUT) chez Synthèse Conseil - Jaiti Mohammed
 

Similaire à Effets du système de management de la sécurité de l'information sur la performance.

Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Arnold Stellio
 
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
mouliom matapit hermann cedric
 
Le green it et le marketing mémoire de fin d'étude - apollonia clara blanc
Le green it et le marketing   mémoire de fin d'étude - apollonia clara blancLe green it et le marketing   mémoire de fin d'étude - apollonia clara blanc
Le green it et le marketing mémoire de fin d'étude - apollonia clara blanc
Apo Blanc
 
Développement et déploiement d’un Application télésurveillance diabétiques HI...
Développement et déploiement d’un Application télésurveillance diabétiques HI...Développement et déploiement d’un Application télésurveillance diabétiques HI...
Développement et déploiement d’un Application télésurveillance diabétiques HI...
HICHAMLATRECHE1
 

Similaire à Effets du système de management de la sécurité de l'information sur la performance. (20)

Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Mesure de la performance du SI de camtel nguimo hermann 5.0
Mesure de la performance du SI de camtel  nguimo hermann 5.0Mesure de la performance du SI de camtel  nguimo hermann 5.0
Mesure de la performance du SI de camtel nguimo hermann 5.0
 
These 2010 bagayoko_cheik-dumar
These 2010 bagayoko_cheik-dumarThese 2010 bagayoko_cheik-dumar
These 2010 bagayoko_cheik-dumar
 
rapport MobiResto
rapport MobiResto rapport MobiResto
rapport MobiResto
 
MEMOIRE DE STAGE
MEMOIRE DE STAGEMEMOIRE DE STAGE
MEMOIRE DE STAGE
 
Livre Blanc "L'humain dans le numérique et le big data" du comité scientifiqu...
Livre Blanc "L'humain dans le numérique et le big data" du comité scientifiqu...Livre Blanc "L'humain dans le numérique et le big data" du comité scientifiqu...
Livre Blanc "L'humain dans le numérique et le big data" du comité scientifiqu...
 
MEMOIRE TIEMOKO BATHILY.docx
MEMOIRE TIEMOKO BATHILY.docxMEMOIRE TIEMOKO BATHILY.docx
MEMOIRE TIEMOKO BATHILY.docx
 
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
 
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
 
These professionnelle : l'adoption de l'intelligence artificielle à l'échelle...
These professionnelle : l'adoption de l'intelligence artificielle à l'échelle...These professionnelle : l'adoption de l'intelligence artificielle à l'échelle...
These professionnelle : l'adoption de l'intelligence artificielle à l'échelle...
 
Le green it et le marketing mémoire de fin d'étude - apollonia clara blanc
Le green it et le marketing   mémoire de fin d'étude - apollonia clara blancLe green it et le marketing   mémoire de fin d'étude - apollonia clara blanc
Le green it et le marketing mémoire de fin d'étude - apollonia clara blanc
 
Débuter dans la conception pédagogique et multimédia : De la réalisation à l...
Débuter dans la conception pédagogique et multimédia :  De la réalisation à l...Débuter dans la conception pédagogique et multimédia :  De la réalisation à l...
Débuter dans la conception pédagogique et multimédia : De la réalisation à l...
 
Développement et déploiement d’un Application télésurveillance diabétiques HI...
Développement et déploiement d’un Application télésurveillance diabétiques HI...Développement et déploiement d’un Application télésurveillance diabétiques HI...
Développement et déploiement d’un Application télésurveillance diabétiques HI...
 
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Dans quelle mesure les supports Web 2.0 participent-ils à la promotion de soi...
Dans quelle mesure les supports Web 2.0 participent-ils à la promotion de soi...Dans quelle mesure les supports Web 2.0 participent-ils à la promotion de soi...
Dans quelle mesure les supports Web 2.0 participent-ils à la promotion de soi...
 
THESE_2010_BAGAYOKO_CHEIK-DUMAR.pdf
THESE_2010_BAGAYOKO_CHEIK-DUMAR.pdfTHESE_2010_BAGAYOKO_CHEIK-DUMAR.pdf
THESE_2010_BAGAYOKO_CHEIK-DUMAR.pdf
 
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_webRapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
 
rapport-170608045227 (1).pdf
rapport-170608045227 (1).pdfrapport-170608045227 (1).pdf
rapport-170608045227 (1).pdf
 
rapport-170608045227 (1).pdf
rapport-170608045227 (1).pdfrapport-170608045227 (1).pdf
rapport-170608045227 (1).pdf
 

Effets du système de management de la sécurité de l'information sur la performance.

  • 1. UNIVERSITÉ CATHOLIQUE D’AFRIQUE CENTRALE INSTITUT CATHOLIQUE DE YAOUNDÉ FACULTÉ DES SCIENCES SOCIALES ET DE GESTION MASTER MANAGEMENT ET SYSTÈMES D’INFORMATION Mémoire présenté et soutenu en vue de l’obtention du Master en Management et Systèmes d’Information Par NGUEGANG TEWAMBA Harold Junior DIPES I - Mathématiques Sous la Direction de Dr BELL BITJOKA Georges Enseignant Expert en sécurité des SI Dr FOSSO WAMBA Samuel Enseignant Année académique : 2014 – 2015 EFFET DU SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION SUR LA PERFORMANCE D’UNE ENTREPRISE : CAS DU CAMEROUN &
  • 2. i SOMMAIRE SOMMAIRE ...............................................................................................................................i DÉDICACE................................................................................................................................ii REMERCIEMENTS .................................................................................................................iii SIGLES ET ABRÉVIATIONS.................................................................................................iv LISTE DES TABLEAUX.......................................................................................................... v LISTE DES FIGURES..............................................................................................................vi RÉSUMÉ..................................................................................................................................vii ABSTRACT............................................................................................................................viii INTRODUCTION GÉNÉRALE................................................................................................ 1 PARTIE 1 : CADRE THÉORIQUE DU SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION ET MESURE DE LA PERFORMANCE ... 9 CHAPITRE 1 : GÉNÉRALITÉS ET PLACE DE LA SÉCURITÉ DANS LA GOUVERNANCE DES SYSTÈMES D’INFORMATION AU CAMEROUN10 Section 1 : Généralités Sur Le Système De Management De La Sécurité De L’information................................................................................................. 10 Section 2 : Sécurité Des Systèmes D’information Au Cameroun.................................... 23 CHAPITRE 2 : RELATION THÉORIQUE ENTRE LE SMSI ET LA PERFORMANCE ... 28 Section 1 : Généralités Sur Les Approches Théoriques................................................... 28 Section 2 : Modèle Conceptuel De Recherche................................................................. 34 PARTIE 2 : SMSI ET PERFORMANCE ............................................................................... 40 CHAPITRE 3 : MÉTHODOLOGIE & RÉSULTATS ............................................................ 41 Section 1 : Méthodologie De Vérification Des Hypothèses De Recherche..................... 41 Section 2 : Résultats Et Commentaires ............................................................................ 49 CHAPITRE 4. DISCUSSIONS & RECOMMANDATIONS ................................................. 65 Section 1 : Discussions..................................................................................................... 65 Section 2 : Recommandations.......................................................................................... 71 CONCLUSION GÉNÉRALE.................................................................................................. 74 RÉFÉRENCES BIBLIOGRAPHIQUES ................................................................................. 76 ANNEXES ............................................................................................................................... 78 TABLE DES MATIÈRES ....................................................................................................... 88
  • 3. ii DÉDICACE À Ma mère, madame Nicole TEWAMBA pour la force et la sagesse de ses mains ; et à Mon père, monsieur Jules TEWAMBA pour la finesse et l’intelligence.
  • 4. iii REMERCIEMENTS Ce travail de mémoire est le fruit de plusieurs volontés à qui nous adressons des remerciements les plus profonds. Nous remercions le Pr Jean-Robert KALA KAMDJOUG pour ses conseils, ses enseignements et son encadrement académique. Il nous a particulièrement guidé dans le choix de la filière, le choix de la professionnalisation et dans l’esprit du travail rigoureux et soigné. Nous remercions notre enseignant, guide et encadreur le Dr Georges BELL BITJOKA pour ses conseils et sa rigueur au travail. Le choix du sujet a été une phase marquante et déterminante pour une vision claire des enjeux d’un bon travail. Nous le remercions également pour la confiance quant à la réalisation des travaux sensibles (audit de sécurité et analyse des risques de sécurité) dans son cabinet d’expertise. Nous remercions également notre enseignant et encadreur le Dr Samuel FOSSO WAMBA pour son expertise dans la compréhension et l’analyse des modèles de recherche grâce à de nombreux outils qui font la bonne image des travaux de recherche en sciences sociales. Nous remercions ensuite pour leur diligence et leur accompagnement, nos enseignants Mme Patricia PEDHOM, Messieurs Robert SIM KONE et Roland MISSE. Nos remerciements au cabinet ITS Group pour son accueil pendant la période de stage et d’imprégnation professionnelle. Les conseils de mon parrain monsieur Boris KEGNE et de monsieur Emmanuelle KALDJOB ont été précieusement utilisés. Parce que ça vient du cœur, une pensée très positive pour toute ma famille qui me soutient et me conseille depuis toujours. Nous pensons à notre chère sœur Sandra MAKENGVEU, à Claude TADJOUMESSI, Hervé FONO, Aubin NGUEGANG, Baudelaire KOUEMINI, Martial FONGANG, Nadège MEIVEU, Pierre-Maurice DJOUGANG, Ninon FAM. Nous remercions les camarades de la classe préparation de l’UCAC (CPEG 2012- 2013) pour l’intégration des principes managériaux. Bravo à AUCTO INNOVATIO (5ème promotion de la filière MSI), le levier qui nous a permis d’atteindre cet objectif. Merci. Nous attachons du prix à l’attention et la motivation de nos amis Aimé NOUTSA et Marius KEMAYOU.
  • 5. iv SIGLES ET ABRÉVIATIONS ANTIC : Agence Nationale des Technologies de l’Information et de la Communication. CLUSIF : Club de la Sécurité de l’information Français. COBIT : Control Objectives for Information and Technology. DSI : Directeur des systèmes d’information. FSSG : Faculté des sciences sociales et de gestion. ITGI : Information Technology Governance Institute. ITIL : Information Technology Infrastucture Library. J3SI : Journée de sensibilisation sur les systèmes d’information. MÉHARI : Méthode harmonisée d’analyse des risques. MINDAF : Ministère des domaines et des affaires foncières. MSI : Management & systèmes d’information. NIST : National Institute of Standards and Technology. PCI DSS : Payment Card Industry Data Security Standard. PLS : Partial Least Square RSSI : Responsable de la sécurité des systèmes d’information. SI : Systèmes d’information. SMSI : Système de management de la sécurité de l’information. SSI : Sécurité des systèmes d’information. TI : Technologies de l’information. UCAC : Université catholique d’Afrique centrale.
  • 6. v LISTE DES TABLEAUX Tableau 1 : Intitulés de quelques normes de la famille ISO 2700x.......................................... 18 Tableau 2: Exemples de risque de sécurité de l'information.................................................... 19 Tableau 3 : Alignement des processus de SMSI et de gestion des risques de sécurité de l'information. ...................................................................................................... 19 Tableau 4 : Acteurs principaux d'un SMSI .............................................................................. 22 Tableau 5 : Exemples de dommage causé dans un SI en l'absence de SMSI. ......................... 22 Tableau 6: Objectifs de contrôle des processus de gestion des risques ................................... 34 Tableau 7 : Seuils pour le test de la qualité des construits et du modèle global...................... 45 Tableau 8: Seuils pour le test de significativité des hypothèses............................................... 46 Tableau 9 : Caractéristiques descriptifs des construits............................................................. 52 Tableau 10 : Indicateurs de fiabilité des construits.................................................................. 53 Tableau 11 : Contribution des indicateurs du construit SMSI. ................................................ 53 Tableau 12 : Contribution des indicateurs du construit CAPACITE INFORMATIQUE........ 54 Tableau 13 ¨Contribution des indicateurs du construit PERFORMANCE.............................. 54 Tableau 14 : Valeurs des R² des variables dépendantes........................................................... 55 Tableau 15 : Paramètres de validation des principales hypothèses de recherche. ................... 56 Tableau 16 : Caractéristiques descriptives des sous-construits................................................ 60 Tableau 17 : Paramètres de validation des hypothèses supplémentaires de recherche............ 62 Tableau 18 : Résultats sur les hypothèses de recherche........................................................... 65
  • 7. vi LISTE DES FIGURES Figure 1: Modèle de recherche................................................................................................... 6 Figure 2 : Cycle de vie d'un SMSI ........................................................................................... 16 Figure 3 : Relations des normes de la famille ISO 2700x........................................................ 17 Figure 4: Principe de MEHARI. .............................................................................................. 20 Figure 5 : Base de connaissances de MÉHARI........................................................................ 21 Figure 6: Modèle de succès de Delone & McLean mis-à-jour, 2003....................................... 29 Figure 7 : Processus de gestion des risques de la norme ISO 27005. ...................................... 33 Figure 8: Modèle théorique de recherche................................................................................. 36 Figure 9: Modèle de recherche des hypothèses supplémentaires............................................. 38 Figure 10 : Processus simplifié de la méthodologie de vérification des hypothèses. .............. 41 Figure 11 : Calcul de la taille minimale de l’échantillon avec GPower 3................................ 43 Figure 12 : Test de sélection du Outer loadings....................................................................... 46 Figure 13 : Situation de l'effet médiateur................................................................................. 47 Figure 14 : Procédure d’analyse de l’effet médiateur en PLS.................................................. 47 Figure 15 : Procédure de régression multiple de BARON et KENNY.................................... 48 Figure 16 : Outil de calcul pour le test de SOBEL................................................................... 48 Figure 17 : Proportion des secteurs d'activités dans le jeu de données.................................... 49 Figure 18 : Proportion des types d'entreprise dans le jeu de données...................................... 50 Figure 19 : Proportion des tranches d'âge des répondants dans le jeu de données. ................. 50 Figure 20 : Proportion des femmes et hommes le jeu de données. .......................................... 50 Figure 21 : Proportion des niveaux de formation académique des répondants........................ 51 Figure 22 : Proportion des profils des répondants.................................................................... 51 Figure 23 : Proportion des anciennetés des répondants. .......................................................... 51 Figure 24 : Proportion des répondants formés en sécurité....................................................... 52 Figure 25 : Les indicateurs du critère HTMT. ......................................................................... 55 Figure 26 Les indicateurs de significativité des principales hypothèses de recherche ........... 56 Figure 27 : Relation entre les construits................................................................................... 56 Figure 28 : Analyse de l'effet médiateur – Étape 1 – Significativité de l’effet indirect........... 57 Figure 29 : Analyse de l'effet médiateur – Étape 2 – Significativité de l’effet direct.............. 57 Figure 30 : Test de BARON & KENNY - Significativité de l'effet total « c = 0,805 »........... 58 Figure 31 : Test de BARON & KENNY - Significativité de « a » et « b ». ............................ 58 Figure 32 : Test de SOBEL - Significativité de l'effet médiateur............................................ 59 Figure 33 : Relation entre les sous-construits. ......................................................................... 61 Figure 34 : Les indicateurs de significativité des hypothèses supplémentaires de recherche.. 61 Figure 35 : Test de SOBEL - Significativité de l'effet total « c = 0,574 »............................... 62 Figure 36 : Test de SOBEL - Significativité de « a » et « b » pour le SYSQUAL.................. 63 Figure 37 : Test de SOBEL - Significativité de « c’ ». ............................................................ 63 Figure 38 : Test de SOBEL - Significativité de l'effet médiateur de SYSQUAL.................... 63 Figure 39 : Test de SOBEL - Significativité de « a » et « b » pour le SERVQUAL............... 64 Figure 40 : Test de SOBEL - Significativité de l'effet médiateur du SERVQUAL................. 64
  • 8. vii RÉSUMÉ Les entreprises dépendent de plus en plus de leur système d’information (SI). Ainsi, il faut une certaine attention de la part de la direction générale pour améliorer continuellement la qualité de son management par l’utilisation de nombreux outils et référentiels. En particulier, les actifs informationnels, noyau de tout SI, demandent à être pris très au sérieux par une sécurisation sur mesure. Il n’est plus à démontrer que l’amélioration de la qualité est l’objectif de tout bon système de management et de ses acteurs. Étant donné que la qualité d’un système à plusieurs indicateurs, il est important de déterminer les aspects du système de management de la sécurité de l’information (SMSI) sur lesquels les décideurs doivent agir afin d’atteindre les objectifs de performance. Dans cette recherche, nous avons supposé que le SMSI (qualité du système, de service, de l’information, et le niveau de maturité des processus de gestion des risques de sécurité de l’information) et la performance sont directement liés d’une part, et d’autre part indirectement liés par la capacité informatique de l’entreprise. Les hypothèses ont été vérifiées à l’aide du logiciel SmartPLS 3 en utilisant des données de l’enquête réalisée auprès de 136 professionnels du domaine des SI, des Technologies de l’Information (TI) et de la sécurité. Les résultats ont confirmé nos hypothèses de recherche. Ceci traduit que la maitrise des processus de gestion des risques de sécurité de l’information est essentielle pour une entreprise, car elle contribue fortement à la performance organisationnelle, à l’amélioration du support des SI de cette dernière, tels le management, le personnel et l’infrastructure des TI. Ce travail a permis d’explorer la faisabilité d’utilisation du modèle de succès des SI de Delone et McLean (1992) sur le SMSI, qui est d’un grand enjeu dans ce monde, où l’Afrique est à la fois, la cible de la mobilité informationnelle, des pirates informatiques et surtout de l’économie mondiale. Mots clés : SMSI, performance, capacité informatique, qualité du système, qualité de service, qualité de l’information, MMGRseg.
  • 9. viii ABSTRACT Companies depend more and more on their information systems (IS). In this case, it takes some attention from senior management to continuously improve its management’s quality by using many tools and standards. Information assets, while core IS, in particular, are demanding to be taken seriously by a custom security. It is well established that improving quality is the goal of any good management system and its actors. As the system quality has several indicators, it is important to determine aspects of information security management system (ISMS) on which executives must act to achieve performance objectives. In this research, we assumed that the ISMS (system, service, information qualities, and maturity level of information security risk management process) and the firm performance are directly related, and indirectly by firm’s IT capabilities. Hypothesis have been verified with SmartPLS 3 software using survey data conducted among 136 professionals in the field of IS, IT and security. Our hypothesis were confirmed by results showing that information security risk management process’s mastering is important for a company because it greatly contributes to organizational performance and improved IS support, as IT management, IT personal skills and IT infrastructure. This work allows to explore possibility of using IS success model of Delone & McLean (1992) on ISMS, which is a major issue in this world where Africa is the new target of informational mobility, hackers and especially World business. Keywords: ISMS, firm performance, IT capabilities, system quality, service quality, information quality, MMGRseg.
  • 10. 1 INTRODUCTION GÉNÉRALE 1. Contexte L’Afrique dans son processus d’intégration au sein d’une communauté mondiale qui respire le numérique se doit de relever de nombreux défis en matière de gouvernance dans chacune de ses organisations et dans ses projets. À l’ère de l’information, les systèmes d’information (SI) sont coutumiers et permettent une meilleure organisation afin d’être plus performant car aujourd’hui toute fonction est liée au SI. Les technologies de l’information (TI), offrant de multiples possibilités pour gagner en communication, traitement de données, mobilité, etc., sont le support incontournable des SI. Ces TI permettent aujourd’hui à toute organisation de répondre en temps réel aux besoins de ses clients, aux employés de s’épanouir davantage en intervenant en tout lieu et par divers moyens, aux responsables de raconter la vie de l’organisation en se basant sur des informations fiables. L’information est l’oxygène des temps modernes, c’est elle qui permet à toute organisation de prendre des décisions afin de s’adapter continuellement à son environnement et d’atteindre ses objectifs. Ceci grâce à des processus de gestion qui sont mis en place, exécutés et contrôlés. Tout au long de ces processus, les informations de toutes formes, de toute nature et de toute origine transitent et sont plus ou moins nécessaires pour la bonne continuation des processus. Il est donc important que ces informations soient confidentielles, intègres et disponibles. Pour atteindre ces buts, il est utile qu’un organe de l’entreprise prenne cette responsabilité. Cet organe est le système de management de la sécurité de l’information (SMSI). Il est destiné à toute organisation sérieuse et soucieuse de son patrimoine informationnel. En adoptant les TI pour l’accomplissement de leur opération, les organisations s’exposent à de nombreux risques dont la non prise en compte dans la gestion quotidienne peut entraîner des conséquences qui peuvent aller jusqu’à une crise d’entreprise souvent grave pour l’image de l’organisation et la performance opérationnelle. Notons également que les organisations dans leur métier (banque, e-commerce, télécommunication, etc.) s’exposent de façon naturelle à des risques qui leur sont propres. Prenant de nombreuses formes (physique, logique) et provenant de sources diverses (humaine, juridique, technique), ces risques informatiques sont la combinaison d’une menace, d’un actif, d’une vulnérabilité, d’un impact et d’une conséquence qui doivent être maitrisés dans leur ensemble. « Alors que
  • 11. 2 l’informatique est devenue centrale dans les activités des entreprises, la gestion du risque informatique n’a pas pour autant acquis une importance dans la même proportion. » (IBM Global Business Services, 2010). Au Cameroun par exemple, beaucoup d’entreprises n’ont pas encore pris conscience du fait qu’il faille sécuriser leurs actifs informationnels en investissant sur la sécurité de l’information. De nombreux experts (DSI, Auditeur, Consultant) affirment que les décideurs et les chefs d’entreprise ne sont pas assez avisés sur le sujet et préfèrent donc attendre qu’il y ait des incidents avant de réagir ; étant donné qu’ils croient ne pas passer pour des cibles potentielles face aux différentes menaces relevées dans notre pays. 2. Problématique Les bienfaits des SI et des TI ne se comptent plus, mais force est de souligner le revers de la médaille qui demande une sécurisation continuelle et sur mesure des actifs informationnels dans toute entreprise. C’est dans ce sens que REFALO, directeur de cabinet en SSI, pose la question suivante : « La dépendance de la Société à l’informatique et à Internet ne doit-elle pas aussi s’accompagner d’une véritable culture des risques informatiques et informationnels ? » (REFALO, 2009). Selon la norme ISO 27001, le SMSI est la partie du système de management d’une organisation qui est chargée de s’appuyer sur les risques business afin d’établir, implémenter, exécuter, contrôler, réviser, maintenir et améliorer la sécurité de l’information (ISO/IEC, 2005). Ce dispositif compte pour beaucoup dans les entreprises de nos jours car c’est elle qui protège les actifs informationnels contre toutes attaques et menaces pouvant porter atteinte à son bon fonctionnement. L’une des composantes d’un risque informatique est la vulnérabilité du système informatique que tout pirate cherche à trouver afin de nuire. C’est comme cela par exemple qu’un hacker a pu pirater le site web du ministère des domaines et des affaires foncières (MINDAF) du Cameroun. Alors que la conséquence la plus redoutée de cette attaque fut la modification des listes électorales, le conseiller technique de ce département ministériel affirme : "nous sommes bien au courant du piratage de notre site. Seulement, nous sommes incapables de faire quoi que ce soit en vue de résorber ce problème malheureux. Cela parce que l'administration du site nous échappe puisqu'elle est effectuée par des agents installés
  • 12. 3 dans les services du Premier ministre". Ce qui traduit l’absence d’un SMSI adéquat pour la sécurité des actifs informationnels disponible à travers le site web du MINDAF. Au Cameroun, le décret N° 2012/1643/PM du 14 juin 2012 fixant les conditions et les modalités d'audit de sécurité obligatoire des réseaux de communications électroniques et des systèmes d'information exige, aux entreprises disposant d’un SI et d’un réseau de communication électronique, le maintien à un bon niveau de sécurité en faisant appel à des experts auditeurs externes de sécurité des SI (SSI). Ce qui donne un avis professionnel et une vue extérieur de la SSI et du SMSI des entreprises auditées. Les recommandations qui en découlent permettent l’amélioration du SMSI de l’entreprise audité. Ce qui est un bénéfice. L’environnement étant en perpétuel changement, il est nécessaire qu’un SMSI puisse être réactif et ait la capacité à adapter de façon rapide. Il s’agit pour le SMSI d’assurer une continuité de service pour l’entreprise. C’est dans ce sens que la norme ISO 27001 adopte le modèle PDCA1 pour tous les processus du SMSI. Chaque entreprise se voulant toujours plus performante, la préoccupation est donc de tirer parti de son SI, donc de ses TI, en pratiquant chaque jour la sécurité de l’information afin que toutes menaces ne viennent jamais porter atteinte aux objectifs de l’entreprise. Ainsi comment l’amélioration du système de management de la sécurité de l’information entraine-t-elle une amélioration de la performance dans une entreprise ? 3. Propositions de recherche La présence d’un SMSI dans une organisation, selon la norme ISO 27001, demande de faire de la gestion des risques des TI en temps réel afin de mesurer l’état de la sécurité de l’information sur la base des actifs à protéger, des mesures de sécurité mise en place, des menaces potentielles et des critères de sécurité que sont : la disponibilité, la confidentialité, l’intégrité et plus loin la traçabilité. Par soucis de disponibilité de leurs services, les sociétés de télécommunications par exemple, se dotent d’une liaison secondaire (moins robuste dans la plupart des cas) appelée « backup » pour assurer l’interconnexion de leurs infrastructures en cas de défaillance de la liaison principale afin de permettre la disponibilité 24h/24 7/7 de leur réseau. Ce qui permet plus loin de maintenir le niveau de satisfaction de ses clients au plus haut. 1 PDCA = Plan, Do, Check, Act
  • 13. 4 Dans un processus de gestion des risques des TI, on procède à une analyse des risques dont le but est de maintenir ces risques à un niveau acceptable par l’entreprise grâce à des recommandations. Ces recommandations sont des choix qui s’opèrent sur la gestion quotidienne et l’utilisation des actifs informationnels de l’entreprise. Dans la base de connaissance MÉHARI2 (outil gratuit et très pratique de gestion des risques), au niveau de la sélection de plans de réduction des risques, on note la présence des options telles que le contrôle des configurations matérielles et logicielles, la sécurité de l’architecture du réseau local, la sécurité de la climatisation, sensibilisation et formation à la sécurité, etc. Ce qui nous amène à poser la première hypothèse suivante : Hypothèse 1 : Le SMSI à un effet positif sur la capacité informatique d’une entreprise. La gouvernance du système d’information contribue à la fois à garantir la gouvernance des conformités et à optimiser la gouvernance de performance au profit de la gouvernance d’entreprise (LEIGNEL, 2006). Dans les sociétés de télécommunication, après l’adoption d’un « backup », il s’agira alors de faire des choix sur la qualité de celui-ci afin que des indicateurs de performance tels que la satisfaction clients, la capacité du réseau et la disponibilité de l’information restent à des seuils de satisfaction fixés par l’organisation. Dans sa publication sur la gouvernance des TI et la performance, Miroslav LAZIC dit : ”With yearly IT costs exceeding $1 billion in large multi-national corporations, the impact of the governance of this asset on business performance is undisputable. IT governance is a key enabler and success factor for business performance itself. Weill even argues that ITG can account for a 20% increase in profits” (LAZIC, 2011). Il nous fait comprendre que l’impact de la gouvernance des TI sur la performance business est indiscutable et qu’elle peut augmenter jusqu’à vingt pourcent (20%) le profit réaliser par une entreprise. Nous pouvons donc alors émettre la deuxième hypothèse suivante : Hypothèse 2 : La capacité informatique a un effet positif sur la performance administrative et marketing d’une entreprise. 2 MÉHARI : Méthode harmonisée d’analyse des risques.
  • 14. 5 De plus en plus aujourd’hui, les entreprises adoptent l’externalisation de toute ou partie de certains de leurs services. Notamment pour la fourniture de matériel, la maintenance et l’entretien de divers actifs de l’entreprise. Pour ce faire, elle a besoin d’établir des partenariats avec d’autres entreprises par l’intermédiaire d’un contrat dont le contenu est crucial pour le bon fonctionnement de l’actif et plus loin pour la vie de l’entreprise. Il en va de même des contrats d’assurance. Une observation faite sur le département de l’approvisionnement d’une grande entreprise de travaux publics de la place nous a permis de relever un nombre important d’incidents dû à une mauvaise ordonnance des produits à fournir. Les produits commandés ne correspondaient pas aux références techniques inscrites sur le bon de commande ou exigées par le technicien demandeur des produits. Ce qui augmentait les coûts de livraison du côté du fournisseur, retardait la livraison et l’exécution des travaux du côté de la grande entreprise. L’une des causes de cet incident assez régulier est l’intégrité des informations fournis par la grande entreprise à ses fournisseurs. Si la sécurité garantie l’intégrité de l’information, alors elle devrait pouvoir apporter une solution au problème de cette grande entreprise. Au Cameroun encore, le 11 Mars 2015, le site web de la présidence de la république a été piraté « sans doute mû par la volonté de porter atteinte à l'honneur et à la dignité du Chef de l'État, de nos forces de défense et de sécurité et de la nation camerounaise tout entière » comme le dit le ministre de la communication. En effet, une image y montre le chef de l’État en train de rendre hommage aux soldats tombés sur le champ de bataille lors d’une cérémonie de levée de corps à Yaoundé alors que celui-ci était en Europe dans le cadre d’un séjour privé à la même date du 06 Mars 2015. Cet acte qui a mis en mal l’image du Cameroun en général, n’aurait pas eu lieu si le niveau de sécurité de ce site web respectait les standards internationaux en matière de sécurité. Ceci est une situation qui peut arriver à n’importe qu’elle entreprise de la place qui présente les défauts au niveau de la sécurité de son site web. Nous pouvons donc annoncer la troisième hypothèse de notre recherche : Hypothèse 3 : Le SMSI a un effet positif sur la performance administrative et marketing d’une entreprise. Le modèle de recherche est donc le suivant :
  • 15. 6 Figure 1: Modèle de recherche Source : Auteur 4. Méthodologie de vérification des hypothèses Pour vérifier nos hypothèses de recherche, nous allons procéder comme suit :  Procéder à une analyse de données statistiques collectées sur la base d’un questionnaire adressé particulièrement aux Responsables de la Sécurité des SI (RSSI) et de façon généralement aux professionnels du domaine des TI et des SI qui sont les acteurs principaux de la sécurité de l’information dans notre environnement. Les questions posées permettront d’avoir une perception sur ce qui est fait dans leur organisation ou par leur service, sur la base de notation d’une échelle de Likert. Ces réponses nous permettront de tester notre modèle de recherche en utilisant le logiciel « SmartPLS 3.2.4 » pour confirmer ou infirmer chaque hypothèse en modélisant les relations entre différentes variables de notre modèle ;  Passer en interview semi-structurée un responsable du domaine de la SSI de l’ANTIC et quelques DSI et experts auditeurs de SSI. Cette interview portera sur les effets d’un SMSI sur les différents choix informatiques et sur la performance d’une entreprise dans notre environnement ;
  • 16. 7  Une recherche documentaire sur les méthodes de gestion des risques des TI telles que MEHARI et sur les méthodes de gouvernance des TI telles que COBIT5 et ITIL afin de relever les effets, au niveau de la capacité informatique et au niveau de l’application de ces méthodes au sein d’une organisation. 5. Objectifs de l’étude L’objectif de notre étude est de démontrer que le management de la sécurité de l’information est un facteur de performance au sein d’une entreprise et qu’elle doit maintenant être vue comme une source de création de valeur. 6. Intérêt de la recherche Le bien-fondé de cette recherche est de souligner l’importance du management de la sécurité de l’information dans la gouvernance des SI et dans les entreprises. Ce qui permettra l’adoption d’un système sérieux et rigoureux de management des SI par toute entreprise dans notre environnement. La gouvernance des SI et particulièrement la SSI n’apparaitront plus seulement comme des centres de coût mais aussi comme des facteurs de performance, car les organisations pourront maintenant investir dans la sécurité de leur SI afin de créer également plus de valeur. Cette recherche permettra d’interpeller les chefs d’entreprises à la mise sur pied d’un département de SSI et à la création des postes de RSSI, de Manager de la sécurité de l’information et de Manager des risques de sécurité de l’information au sein de leur entreprise. Ce qui va augmenter des possibilités d’emploi pour les étudiants de la filière MSI de l’UCAC. Cette recherche apportera également une innovation scientifique sur les débats et publications autour de la SSI, la performance et l’utilisation du modèle de succès des SI de Delone et McLean (1992) pour la mesure d’une partie du système de management du SI. 7. Plan de rédaction Notre travail de recherche s’articulera autour de deux parties reparties constituées chacune de deux chapitres :
  • 17. 8 La première partie concerne le cadre théorique du système de management de la sécurité de l’information et la mesure de la performance Dans son chapitre premier, nous présentons quelques les généralités sur les SMSI en particulier SMSI ISO 27001 à cause de sa gratuité. Le chapitre deuxième quant à lui traite du cadre théorique. Il s’articule autour de deux sections. La première section est consacrée à une étude empirique. Ici, nous présentons de façon succincte quelques modèles et théories qui ont retenu notre attention et qui traitent du succès des systèmes, des TI et du niveau de maturité des processus de gestion de risque de la sécurité de l’information. Tous ces modèles ont pour finalité la mesure de la performance. A la lumière de ces différents modèles, la deuxième section se contentera de proposer un modèle théorique de recherche. La deuxième partie concerne les effets du système de management de la sécurité de l’information sur la performance Dans chapitre troisième, nous nous consacrons à la méthodologie utilisée et la présentation des résultats issus de la collecte des données. Pour ce faire, nous présenterons la méthodologie de recherche retenue pour la vérification des hypothèses (section 1) et les principaux résultats obtenus à la suite du traitement et de l’analyse des données issues (section 2) et les commentaires qui en découlent. Enfin, le dernier chapitre présentera dans sa première section les discussions ayant trait aux précédents résultats présentés, aux difficultés rencontrées ainsi que les limites et généralisations, puis nous formulerons dans la seconde section quelques recommandations. Ces deux parties seront encadrées par une introduction générale et une conclusion générale.
  • 18. 9 PARTIE 1 : CADRE THÉORIQUE DU SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION ET MESURE DE LA PERFORMANCE Cette première partie se propose de faire une présentation de la partie du système de management des systèmes d’information chargé de gérer la sécurité de l’information. Cette partie est également un système. En tant que tel, nous allons le décrire pour ensuite définir notre modèle de recherche sur la base de théorie traitant des systèmes. Ainsi sera définit un cadre de vérification de nos hypothèses de recherche.
  • 19. 10 CHAPITRE 1 : GÉNÉRALITÉS ET PLACE DE LA SÉCURITÉ DANS LA GOUVERNANCE DES SYSTÈMES D’INFORMATION AU CAMEROUN Il n’est plus à rappeler que toutes les entreprises doivent s’adapter à leur environnement afin d’atteindre leurs différents objectifs. La sécurité de l’information devient donc primordiale avec la montée des technologies de l’information et l’interconnexion mondiale pour l’échange des données. Il s’agit donc dans ce chapitre de faire une présentation générale des systèmes de management de la sécurité de l’information, en particulier celui de la norme ISO27001 qui est gratuit. Et dans un second temps, nous parlerons de la sécurité de l’information au Cameroun. SECTION 1 : GÉNÉRALITÉS SUR LE SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION Le système de management de la sécurité de l’information (SMSI) fait partie du système global de management des systèmes d’information que nous allons présenter d’une part. D’autre part, nous présenterons le SMSI de la norme ISO 27001 et les outils populaires pour sa mise en œuvre et le suivi quotidien de ses activités. Ainsi que son apport dans une entreprise. 1. La gouvernance des systèmes d’information 1.1. Définition Un système d’information (SI) est la combinaison des activités stratégiques, managériales et opérationnelles impliquées dans la collecte, le traitement, le stockage, la distribution et l’utilisation de l’information et sa technologie associée (ISACA, 2015). C’est l’ensemble complexe des ressources humaines (personnes et connaissances) et des ressources technologiques (software et hardware) qui opère sur les actifs informationnels dans une entreprise. Cet ensemble complexe doit être bien géré pour assurer l’atteinte des objectifs informationnels et business. Le concept de gouvernance est très présent dans le monde aujourd’hui ; gouvernance onusienne, gouvernance nationale, gouvernance d’entreprise ou gouvernance informatique. Il s’agit de bien gouverner, de bien gérer. C’est dans ce sens qu’on emploi ce terme dans le
  • 20. 11 cadre des SI. La gouvernance du SI renvoie donc aux moyens de gestion, de régulation et d’optimisation du SI mis en place dans une entreprise en vue d'atteindre des objectifs. C’est aussi une partie de la gouvernance d’entreprise chargé de répondre aux questions que se posent les dirigeants par rapport à l’informatique. 1.2. Objectifs de la gouvernance des systèmes d’information La Gouvernance du SI répond avant tout à des objectifs de management, qui doivent prendre en compte la culture de l’entreprise et d’autres environnements pour aligner les technologies sur la stratégie. Comme autres environnement, on peut noter l’environnement naturel avec les changements climatiques de nos jours et l’environnement digital avec la mobilité et la cybercriminalité. La Gouvernance du SI, selon l’IGSI (Institut de la gouvernance des systèmes d’information, 2005), est un processus de management, fondé sur des bonnes pratiques, qui permet à l’entreprise d’optimiser ses investissements informatiques en toute transparence dans le but de :  Contribuer à ses objectifs de création de valeur ;  Accroître la performance des processus informatiques et leur orientation clients ;  Maîtriser les aspects financiers du SI ;  Développer les solutions et les compétences en SI dont l’entreprise aura besoin dans le futur ;  Garantir que les risques liés au SI sont sous contrôle. 1.3. Les parties de la gouvernance des systèmes d’information Dans le système anglo-saxon, la gouvernance des SI se confond avec la gouvernance des TI. Ainsi, pour l'ITGI3 , les cinq piliers de la gouvernance informatique sont : l’alignement stratégique, la fourniture de valeur, la gestion des risques informatiques, la gestion des ressources informatiques et la mesure des performances. La gouvernance des SI demande de mettre sur pied un certain nombre de système de management pour maitriser ses composants et contribuer de manière efficiente à l’atteinte des objectifs business. Nous pouvons donc distinguer entre autres : 3 ITGI : Information Technology Governance Institute.
  • 21. 12  Le système décisionnel : c’est la partie de la gouvernance du SI chargée de produire des informations pertinentes et utiles à la prise de décision, à partir des données collectés ou produites par l’entreprise. Les expressions communément utilisées aujourd’hui pour parler de ce domaine sont Business Intelligence (BI) et Busines Analytics (BA) ;  Le système de management des TI : c’est la partie de la gouvernance du SI chargée de gérer les TI, ses services et ses processus ;  Le système de management de la qualité : c’est la partie de la gouvernance du SI qui traite des problèmes d’urbanisation, d’architecture d’entreprise, des processus et de leur amélioration continue ;  Le système de management de la sécurité de l’information : c’est la partie de la gouvernance du SI chargée de gérer la sécurité des SI et ses risques. Le système de management de la sécurité de l’information est le système qui retient notre attention dans ce travail de mémoire. 1.4. Les référentiels de la gouvernance des systèmes d’information Un référentiel est une exigence obligatoire, un code de pratique ou un cahier des charges approuvé par un organisme reconnu de normes externes, telles que l'Organisation Internationale de Normalisation (ISACA, 2015). Un référentiel est un document de travail, internationalement reconnu ou propriétaire, concernant un domaine précis qui permet à une entreprise de mieux organiser ses activités dans ce domaine. Dans la gouvernance des SI, on distingue plusieurs référentiels pour les différents systèmes de management cité ci-dessus. Les plus connus sont définit dans les paragraphes suivants. 1.4.1. COBIT Le COBIT (Control objectives for information and technology) a été conçu par l'ISACA (Information Systems Audit and Control Association) il y a une dizaine d'années. COBIT 5 est la dernière version. Il permet aux entreprises de créer un maximum de valeur via l'utilisation de l'informatique, tout en maintenant un bon équilibre entre la réalisation de bénéfices et l'optimisation du niveau de risques et de l'utilisation des ressources. Il repose sur cinq (05) principes : Répondre aux besoins des parties prenantes, Couvrir l'intégralité des
  • 22. 13 besoins de l'entreprise, Appliquer un unique référentiel intégré, Permettre une approche heuristique, Séparer gouvernance et management. 1.4.2. ITIL ITIL (Information Technology Infrastructure Library) propose une collection structurée de bonnes pratiques pour le management du SI et des TI. Il est né au sein de l'Office public du Commerce britannique suite à une étude empirique sur les meilleures pratiques de management des TI. ITIL permet de créer et bien manager les services de TI au sein d’une entreprise. C’est le référentiel utilisé par les opérateurs de téléphonie mobile au Cameroun. 1.4.3. CMMI Le CMMI (Capability Maturity Model Intégration) est un modèle d'évaluation des processus de gestion. Il se base sur un référentiel de bonnes pratiques d’un domaine pour déterminer le niveau de maturité des processus de ce domaine dans l'entreprise sur une échelle de 1 à 5. 1.4.4. Normes ISO4 Les normes ISO sont un ensemble de référentiels qui relèvent les meilleurs pratiques dans plusieurs domaines de l’entreprise, de la qualité du produit à la qualité du management. On en compte plus de 19500 aujourd’hui5 . La norme ISO 9001 définit des exigences pour la mise en place d'un système de management de la qualité pour les entreprises souhaitant améliorer en permanence la satisfaction de leur client et fournir des produits et services conformes à leurs attentes. La norme ISO 20000 traite du management des TI au même titre que le référentiel ITIL. La norme ISO 27001 traite du système de management de la sécurité de l’information, sa définition, son implémentation, ses opérations, son contrôle, sa révision, son maintien et son amélioration. 4 ISO: International Organization for Standardization. 5 https://fr.wikipedia.org/wiki/Liste_de_normes_ISO consultée le 30 Juin 2016.
  • 23. 14 2. Le Système de management de la sécurité de l’information (SMSI) 2.1. Définitions Le SMSI est la partie du système de gestion globale, basée sur une approche du risque d'entreprise, pour établir, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer la sécurité de l'information (ISO/IEC, 2005). La sécurité de l’information est la préservation de la confidentialité (C), de l'intégrité (I) et de la disponibilité (D) de l’information ; en outre, d'autres propriétés telles que l'authenticité, la responsabilité, la non-répudiation et la fiabilité peuvent également être impliquées. Ces éléments sont les critères de sécurité et ils forment la triade C-I-D. L’information est un bien comme d'autres actifs importants d’une entreprise. Elle est essentielle à son activité. Elle peut exister sous de nombreuses formes. Elle peut être imprimée ou écrite sur support papier, stockée électroniquement, transmise par voie postale ou en utilisant des moyens électroniques, affichée sur des films, parlée dans des conversations, ou faire partir de des connaissances d’une personne. La confidentialité est le maintien du secret des informations et des transactions afin de prévenir la divulgation non autorisée d’informations aux non destinataires permettant la lecture, l’écoute, la copie illicite d’origine intentionnelle ou accidentelle durant leur stockage, leur traitement ou leur transfert. L’intégrité définie l’état d’un actif informationnel qui est demeuré intact et permet de s’assurer qu’il n’a pas été altéré (modifié ou détruit) d’une façon tant intentionnelle qu’accidentelle, de manière à assurer son exactitude, sa fiabilité et sa pérennité. La disponibilité est le critère de sécurité permettant que les actifs informationnels soient accessibles et utilisables selon les besoins (le facteur temps). 2.2. Apports du système de management de la sécurité de l’information Le SMSI est un système permettant, de façon cyclique, d’établir une politique de sécurité, de fixer des objectifs de sécurité et d’atteindre ces objectifs. Sa mise en place n’est pas une chose facile encore moins son exécution au quotidien car il faut formaliser toutes les processus nécessaires, exécuter ces processus, mettre en place des tableaux de bord de gestion et mesurer l’activité par des audits réguliers. Ces activités sont effectuées par le personnel du SMSI, chacun dans son domaine d’expertise et à l’aide des outils, de la connaissance et du
  • 24. 15 matériel. On peut alors se demander quels sont les apports d’un SMSI quant à son coût élevé de mise en place et de suivi. Nous pouvons en donner trois. Le premier apport que nous soulignons est celui de la conformité (FERNANDEZ- TORO, 2012). Il s’agit de l’adoption de bonnes pratiques référencées à l’exemple de la norme ISO 27002 (Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information). Ainsi, un SMSI permettra d’adopter des mesures de sécurité appropriées aux besoins de l’entreprise, en posant les bonnes questions. Quels sont les éléments les plus sensibles de l’entreprise ? Où déployer en priorité les mesures de sécurité ? Comment détecter les incidents ? Comment réagir rapidement aux intrusions ? Comment améliorer les processus ? etc. Le deuxième apport est l’augmentation de la fiabilité (FERNANDEZ-TORO, 2012). L’effet direct de l’adoption de bonnes pratiques est l’augmentation de la fiabilité ceci grâce au mécanisme d’amélioration continue en capitalisant par exemple sur le retour d’expérience. En effet, après un coup ou une tentative d’intrusion dans une entreprise, le personnel du SMSI analyse l’attaque et met sur pied des actions préventives pour éviter la reproduction d’une telle attaque. À long terme, l’entreprise est de moins en moins vulnérable et par conséquent de plus en plus fiable sur le plan de la sécurité de l’information. Le troisième apport est la confiance (FERNANDEZ-TORO, 2012). La mise en place d’un SMSI ne confère pas directement un avantage. À partir du moment où un organisme externe tel que les cabinets de certifications valide la qualité du SMSI d’une entreprise par un certificat ISO 27001, il nait une confiance de la part des parties prenantes de cette entreprise (actionnaires, clients, fournisseurs, personnel, partenaires, etc.). Cette confiance favorise le bon fonctionnement des processus et l’évolution de l’entreprise. 2.3. Les référentiels de système de management de la sécurité de l’information Dans le SMSI, il existe plusieurs référentiels et outils pour accompagner les entreprises dans l’atteinte de leurs objectifs de sécurité. Un référentiel ou standard est une exigence obligatoire, un code de pratique ou un cahier des charges approuvé par un organisme reconnu de normes externes tels que
  • 25. 16 l'Organisation internationale de normalisation (ISO) ou le NIST6 . Ces référentiels sont soit privés (le référentiel du département de la défense des États-Unis, de la Corée, de l’Allemagne, etc.), soit public (ISO 2700x). 2.3.1. La norme ISO 27001 ISO 27001 (intitulée Technologies de l'information — Techniques de sécurité — Systèmes de gestion de sécurité de l'information — Exigences) est le plus connu des SMSI à ce jour. Il définit un cadre d’amélioration de la sécurité de l’information en se basant sur une approche de gestion des risques et une approche processus du modèle PDCA. Cette approche processus donne au SMSI la propriété cyclique. Ainsi, le cycle de vie du SMSI est donné par le schéma suivant où SGSI = SMSI : Figure 2 : Cycle de vie d'un SMSI Source : ITS Group & CIFOPE, 2010 La norme ISO 27001 aborde les points suivants :  Mise en place et gestion du SMSI ; 6 NIST : National Institute of Standards and Technology. Agence du département du commerce des États-Unis dont le but est de promouvoir l'économie en développant des technologies, la métrologie et des standards de concert avec l'industrie.
  • 26. 17  Documentation requise ;  Gestion des responsabilités ;  Audit interne du SMSI ;  Révision du SMSI ;  Amélioration du SMSI. Pour exécuter convenablement son modèle PDCA et atteindre ses objectifs de SMSI, la norme ISO 27001 s’entoure d’autres normes de la famille ISO 2700x, chacun pour un rôle bien précis. Ces normes sont représentées dans le schéma suivant : Figure 3 : Relations des normes de la famille ISO 2700x Source : ISO/IEC 27000 Nous donnons ici l’intitulé de quelques normes ci-dessus représentées.
  • 27. 18 Tableau 1 : Intitulés de quelques normes de la famille ISO 2700x Normes Intitulés ISO 27000 Vue d’ensemble et vocabulaire ISO 27002 Code de bonne pratique pour le management de la sécurité de l’information ISO 27003 Guide d’implémentation du SMSI ISO 27004 Mesures ISO 27005 Management des risques de sécurité de l’information ISO 27006 Exigences pour les organismes procédant à l'audit et la certification des SMSI ISO 27007 Lignes directrices pour l’audit des SMSI ISO 27010 Directives de management de la sécurité de l'information pour le secteur et les communications inter-organisationnelles ISO 27011 Directives de mangement de la sécurité de l’information pour les organismes de télécommunications basés sur la norme ISO 27002 ISO 27015 Directives de mangement de la sécurité de l’information pour les services financiers Source : Auteur Nous remarquons que la gestion des risques de sécurité de l’information est essentielle dans un SMSI. La présence et la position de la norme ISO 27005 dans la figure 2 en est l’une des preuves. On peut alors se demander ce qu’est la gestion des risques de sécurité de l’information. 2.3.2. La norme ISO 27005 et la gestion des risques de sécurité de l’information La gestion des risques de sécurité de l’information est l’ensemble des activités coordonnées permettant d'orienter et de contrôler un organisme en matière de risque de sécurité de l’information (ISO/IEC, 2012). Un risque de sécurité de l’information est la possibilité qu’une menace exploite une vulnérabilité d’un actif ou d’un groupe d’actif informationnel d’une organisation et cause ainsi un dommage (ISO/IEC, 2008). Nous comprenons qu’un risque est mesuré en termes d'une combinaison de la probabilité d'un événement et ses conséquences. Concernant particulièrement les TI, on peut convenir avec ERNEST JORDAN qu’un risque informatique est toute chose qui peut endommager les TI et avoir un impact négatif sur le business. Il dit : “An IT risk is something that can go wrong with IT and cause a negative impact on the business” (JORDAN, 2005). Dans le tableau suivant, nous donnons quelques exemples de risques.
  • 28. 19 Tableau 2: Exemples de risque de sécurité de l'information. Risques Menaces Vulnérabilités Divulgation d'informations, par perte accidentelle, de media support de fichiers bureautiques personnels, en dehors de l'entreprise Erreur de comportement du personnel Disparition de média Arrêt de fonctionnement de services du réseau étendu, dû à une absence durable du personnel nécessaire Absence de personnel interne ou du prestataire Indisponibilité des équipements réseaux Indisponibilité temporaire accidentelle de système hôte de services applicatifs, due à un arrêt de la climatisation Absence de service (climatisation) Indisponibilité des moyens de servitude Arrêt de fonctionnement de services de publication d'informations sur un site web, dû à une incapacité de la maintenance système (panne non réparable ou défaillance du partenaire) Absence de service de maintenance ou maintenance système impossible Indisponibilité des serveurs Non-conformité à la législation ou aux règlements relatifs à la vérification de la comptabilité informatisée due à la non application de procédures, par méconnaissance Procédures inappliquées par méconnaissance Application non conforme des processus Source : Auteur. La gestion des risques de sécurité de l’information dans un SMSI permet donc de :  Identifier les actifs informationnels (information, données, ordinateurs, applications, services, personnes, image de l’entreprise) ;  Identifier les besoins de sécurité ces actifs (niveau d’importance selon la triade C-I- D) ;  Identifier et évaluer les risques pesant sur ces actifs ;  Maitriser ces risques (traitement, planification, priorisation). De cette façon, les processus de gestion des risques de sécurité de l’information, qui sont données dans le tableau suivant tiré de la norme ISO 27005, s’alignent sur le modèle PDCA du SMSI ISO 27001 : Tableau 3 : Alignement des processus de SMSI et de gestion des risques de sécurité de l'information. Processus du SMSI Processus du système de gestion des risques de sécurité de l’information Plan Définition du contexte Examen des risques Développement d’un plan de traitement des risques Acceptation des risques Do Implémentation du plan de traitement des risques Check Contrôle et révision continue des risques Act Maintien et amélioration des processus de gestion des risques de sécurité de l’information Source : Auteur.
  • 29. 20 La norme qui traite de la gestion risques de sécurité de l’information est ISO 27005. Pour la mettre en œuvre, nous pouvons utiliser des outils de gestion de risques dotés de base de connaissances alignées sur la norme ISO 27002 qui comprend entre autres un répertoire de menaces et de vulnérabilités. L’un de ces outils est MÉHARI (Méthode harmonisée d’analyse des risques) qui a été développé par le CLUSIF7 en 2010. Cette méthode a pour but de minimiser les risques afin qu’ils soient acceptables car « la sécurité est l’absence de risque inacceptable » (PAPET, 2008). MÉHARI utilise les bonnes pratiques de la norme ISO 27002 et respecte le processus de gestion des risques de sécurité de l’information de la norme ISO 27005. En particulier, son processus est donné dans son principe dont le schéma est le suivant : Figure 4: Principe de MEHARI. Source : (CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS, 2012). Les éléments de la base de connaissance de MÉHARI sont décrits dans la figure suivante : 7 CLUSIF : Club de la Sécurité de l’Information Français
  • 30. 21 Figure 5 : Base de connaissances de MÉHARI. Source : (CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS, 2012). 2.4. Les acteurs d’un SMSI Nous avons pu voir que le SMSI comprend plusieurs activités à travers son processus et celui de gestion des risques. Ces activités, pour être menées à bien, ont besoin d’être effectuées, contrôlées, validées et d’être sous la responsabilité de certains membres du personnel de l’entreprise. Le premier principe dans un SMSI est le fait que les hommes sont au premier plan et les technologies au second plan. Dans une entreprise, tous les membres du personnel et les membres du conseil d’administration sont les acteurs du SMSI. Chacun d’eux a un impact plus ou moins important dans le cycle de vie du SMSI étant donné qu’ils sont des détenteurs et utilisateurs des actifs informationnels. Dans le tableau suivant, nous décrivons le rôle des acteurs principaux d’un SMSI.
  • 31. 22 Tableau 4 : Acteurs principaux d'un SMSI Acteurs Rôles Conseil d’administration (Président du conseil d’administration) Discuter des aspects stratégiques de la sécurité Faciliter l’intégration des solutions de sécurité Direction générale (Directeur) Faciliter l’intégration des solutions de sécurité Faciliter la communication et l’acceptation des recommandations de sécurité Responsable de la sécurité des SI (RSSI) Gérer le SMSI Organiser la sécurité de l’information Répondre de la sécurité de l’information Communiquer sur la sécurité de l’information Calculer le retour sur investissement de la sécurité de l’information Manager des risques de sécurité de l’information Organiser la gestion des risques de sécurité de l’information Communiquer sur les risques Auditeur interne de sécurité des SI Auditer le SMSI Faire des recommandations pour l’amélioration du SMSI Source : Auteur. 2.5. Les dommages dans un SI En l’absence ou en cas de dysfonctionnement du SMSI, il peut arriver que le SI subissent des dommages souvent graves pouvant aller jusqu’à la faillite de l’entreprise. Le tableau suivant présente quelques dommages que peut subir un SI. Tableau 5 : Exemples de dommage causé dans un SI en l'absence de SMSI. Types de dommages Exemples Dommages financiers Dédommagement des victimes d'un piratage (clients de banque) Dommages fonctionnels Perte d’une base de données Perte des codes source d’une application Erreur de manipulation/programmation Perte des configurations des postes de travail Incendie Vol d'un secret de fabrication Perte de l’image de marque Publicité négative faite autour d'une sécurité insuffisante Baisse de confiance du public dans une société Vol et diffusion des informations confidentielles des clients Dommages réglementaires L'indisponibilité d'un SI peut mettre en défaut l'entité devant ses obligations légales et juridiques Source : Auteur.
  • 32. 23 SECTION 2 : SÉCURITÉ DES SYSTÈMES D’INFORMATION AU CAMEROUN La multitude d’activités produisant des informations permet l’exigence de la mise en place d’un bon cadre de management des SI par les entreprises du Cameroun. Ainsi, nous parlerons de l’état des lieux des SI au Cameroun dans une premier point et de la sécurité des SI dans un second point. 1. Les Systèmes d’information au Cameroun Les SI s’intègrent de plus en plus au Cameroun avec notamment des évènements à caractère sensibilisant comme la J3SI8 organisé chaque année par les étudiants de la filière MSI de la FSSG de l’UCAC et le « IT FORUM » organisé chaque année par le Club DSI9 du Cameroun. Les secteurs d’activité où les SI sont les plus intégrés au Cameroun sont le secteur bancaire, le secteur de l’assurance, le secteur des télécommunications et le secteur de la logistique et du transport. Nous pouvons à priori penser que cela est le cas à cause de la quantité des informations qu’ils manipulent par jour. Cependant, elles sont des entreprises régis par des standards internationaux (norme BALE 210 , Loi SOX11 , l’UIT12 ) ou détenues par des organismes étrangers. Ces organismes étrangers exigent que toutes leurs entreprises ou filiales disposent d’un SI conforme à certains standards afin qu’une visibilité soit bien faite sur leur business et que les exigences réglementaires soient respectées. Ainsi, plusieurs domaines des SI sont bien adoptés au Cameroun et permettent une gestion quotidienne des activités de l’entreprise. 8 J3SI : Journée de sensibilisation sur les systèmes d’information. 9 Club DSI : Association des Directeurs des Systèmes d’Informations et Responsables Informatiques du Cameroun ayant pour objet la promotion de l’usage des systèmes d’information comme facteur de création de valeur dans les organisations. 10 Norme BALE2 : Dispositif prudentiel destiné à mieux appréhender les risques bancaires et principalement le risque de crédit ou de contrepartie et les exigences, pour garantir un niveau minimum de capitaux propres, afin d'assurer la solidité financière. 11 Loi SOX : Loi visant à protéger les investisseurs en améliorant l'exactitude et la fiabilité des publications des entreprises conformément aux lois sur les valeurs mobilières, ainsi qu'à d'autres fins apparentées. 12 UIT : Union internationale des télécommunications. L’agence des Nations unies pour le développement spécialisé dans les technologies de l'information et de la communication, basée à Genève (Suisse). Elle établit les normes de ce secteur et diffuse toutes les informations techniques nécessaires pour permettre l'exploitation des services mondiaux de télécommunications.
  • 33. 24 1.1. Les domaines des SI au Cameroun La pratique des SI au Cameroun n’est pas négligeable. Plusieurs domaines sont maitrisés par les professionnels des SI qui exercent dans les entreprises et dans les cabinets d’expertises. Ces domaines sont maitrisés grâce aux opportunités de formation et d’obtention de certification qu’offre les moyens de télécommunication (internet) et les partenariats. Le domaine du business intelligence (BI) dans les SI permet d’analyser des données afin maitriser l’activité de l’entreprise. Dans le secteur bancaire et des télécommunications particulièrement, c’est le cas par exemple de l’analyse du comportement des clients afin de toujours les satisfaire et de créer des produits taillés sur mesure. Le service des TI est le moteur du service offert par l’entreprise13 . En effet, le service des TI est un moteur pour une meilleure diffusion des produits (catalogue électronique, site web), pour l’aide au développement de l’usage des fonctions et des produits, pour un meilleur suivi du service après-vente, etc. Ceci à travers le management des infrastructures et des applications alignées à la stratégie de l’entreprise. Au Cameroun, le référentiel ITIL est le plus utilisé. L’un de ses modules est la gestion des incidents dans laquelle les entreprises de télécom de la place excellent avec la supervision de leur réseau d’antennes réparties sur l’étendue du territoire. C’est également la certification la plus demandée pour tout profil de manager de service des TI dans notre environnement. Le domaine du management de la qualité est nécessaire à la maîtrise et à l'amélioration des divers processus d'une organisation, qui génère l'amélioration continue de ses résultats et de ses performances dans une entreprise. La qualité est une aptitude d'un ensemble de caractéristiques intrinsèques à satisfaire des exigences14 . Plusieurs entreprises au Cameroun pour dorer leur image mettent à disposition leur certificat de qualité (ISO 9001) ou la cartographie de leur processus sur internet comme la SCDP15 (Société Camerounaise de Dépôt Pétrolier). Le domaine de la conception et du développement des applications est vieux au Cameroun. Les grandes et sérieuses entreprises ne cessent de débaucher du personnel pour développer en interne leur propre solution de gestion. 13 http://www.numeraladvance.com/Services_IT/Principes_du_service_IT/Finalite_du_service/Perimetre_et_cont enu.htm consultée le 10 juin 2016. 14 http://www.numeraladvance.com/Accueil/Glossaire/index.htm# consultée le 10 Juin 2016. 15 http://www.scdp.cm/download/manuel_qse.pdf consultée le 11 Juin 2016.
  • 34. 25 Le domaine de la SSI est assez nouveau. Seules quelques grandes entreprises réussissent à s’offrir les services de véritables cadres formés dans le domaine de la sécurité des SI. La SSI se résume pour la plupart à la sécurisation du réseau informatique, aux antivirus et au gardiennage. 1.2. Les outils et référentiels des SI au Cameroun Le référentiel le plus utilisé et le plus répandu au Cameroun est ITIL, pour le management des services des TI. Il permet, grâce à une approche par processus clairement définie et contrôlée, d'améliorer la qualité des SI et de l'assistance aux utilisateurs. ITIL est une sorte de « règlement intérieur » du département informatique des entreprises qui l'adoptent et le bénéfice est une meilleure traçabilité de l'ensemble des actions du département informatique. La dernière version d’ITIL, ITIL V3 ou ITIL 2011, est constituée de 5 livres principaux décrits ci-après :  Stratégie des services (Management stratégique, Gestion du portefeuille des services, Gestion financière, Gestion de la demande, Gestion des relations business) ;  Conception des services (Coordination & conception, Gestion du catalogue, Gestion du niveau de service, Gestion de la capacité, Gestion de la disponibilité, Gestion de la continuité, Gestion de la sécurité, Gestion des fournisseurs.) ;  Transition des services (Planification et support, Gestion du changement, Gestion de la configuration, Gestion des mises en production, Gestion des tests et validation, Gestion de l'évaluation, Gestion des connaissances) ;  Exploitation des services (Gestion des événements, Gestion des incidents, Gestion des demandes, Gestion des problèmes, Gestion des accès) ;  Amélioration continue des services (Le reporting du service, Les mesures de suivis, Le retour sur investissement, Le benchmarking, Le cycle de Deming). Les sociétés de télécommunication au Cameroun utilisent le Framework eTOM (Enhanced Telecom Operations Map) pour élaborer leur processus. Ce référentiel créé en 1998 par le TeleManagement Forum (organisme de normalisation spécialisé dans la gestion de réseaux informatiques/télécoms) est aligné sur le référentiel ITIL et couvre trois grands domaines :  Stratégie, infrastructure et produits ;
  • 35. 26  Opérations ;  Management de l’entreprise. 2. La sécurité des systèmes d’information au Cameroun Le rapport du cabinet Check Point16 qui fait état de la vulnérabilité de l’Afrique en matière de sécurité positionne le Cameroun comme la troisième proie facile des cybers terroristes dissimulés dans le monde. Le manager de Check Point Afrique du sud signale que ces cibles sont les pays dont les systèmes de sécurité sont les plus faibles17 La sécurité des SI est nouvelle et pas encore très évoluée malgré le nombre d’attaques informatiques subit chaque jour par les banques, les sociétés de télécommunication, les sites internet et les usagers, et malgré les efforts fait par l’organisme chargé de l’organisation globale de la sécurité informatique au Cameroun. Pour beaucoup encore, la sécurité des SI se limite à l’utilisation des antivirus mis à jour quotidiennement alors que la sécurité des SI est tout d’abord un problème de management (méthodes) et de technique (moyens, informatique) en dernier ressort. 2.1. L’adoption de la sécurité des SI au Cameroun Beaucoup d’entreprise ne se sont pas encore investie dans la protection de leur SI. Seuls les secteurs bancaires et de télécommunication sont soucieux de leur sécurité car semble-t-il, ils détiennent les données personnelles et les finances de leurs clients. Dans plusieurs entreprises, la curation est préférée à la prévention car c’est lorsqu’on est victime d’un problème de sécurité des SI qu’on prend conscience de la réalité. Malgré cela, l’investissement dans le domaine ne suit pas. Cette non implication de la direction générale fait en sorte que les usagers ne prennent pas conscience des menaces et risques qui pèsent sur leurs activités. Ainsi, « l’adoption d’une culture sécurité des SI n’est pas encore effective au Cameroun car la direction générale ne comprend pas encore bien les enjeux », déclare le directeur des SI d’une grande entreprise de la place. 16 Check Point : Leader mondial des marchés de pare-feu d’entreprise, des solutions de sécurité des données et des TI. 17 http://www.camerpresse.com/?pg=actu&ppg=4&pp=4&id=2382 consultée le 20 Juin 2016.
  • 36. 27 2.2. Les problèmes de sécurité des SI Au Cameroun, plusieurs entreprises subissent des attaques chaque jour. D’autres rencontrent des difficultés dans leur métier à cause des problèmes de sécurité. Une des sociétés de télécommunications du Cameroun est victime de plus de cinq mille (5000) attaques informatiques chaque jour. Parmi ces attaques, on note environ 5% d’attaques capables de causer de dommages graves telles que l’indisponibilité du réseau dans certaines zones. Les sociétés bancaires sont aussi les cibles montantes au Cameroun. On note une perte de plusieurs millions de francs CFA et l’indisponibilité de certains services à cause des cyber- attaques. On note aussi le vol de giga de données que les banques Camerounaises cachent bien pour préserver leur image et leur clientèle. Plusieurs clients des banques Camerounaises ont subi des vols de sommes d’argent variant entre cinq mille francs CFA (5000FCFA) et trois cent cinquante mille francs CFA (350000FCFA) car la banque ne répondait pas aux exigences de la PCI-DSS18 . 2.3. Les acteurs de la sécurité des SI au Cameroun Suite à la promulgation de la Loi N°2010/012 du 21 décembre 2010 relative à la cyber-sécurité et à la cybercriminalité et de la Loi N°2010/013 du 21 décembre 2010 régissant les communications électroniques au Cameroun, l'ANTIC19 s’est vu assigner les missions, entre autres, de régulation des activités de sécurité électronique et de régulation de l'internet au Cameroun. L’ANTIC est placée sous la tutelle technique du Ministère des Postes et Télécommunications. Les autres acteurs de la sécurité des SI au Cameroun sont les cabinets d’expertise. Ils sont généralement spécialisés dans l’audit de sécurité des SI, l’implémentation des solutions de sécurité et la formation. 18 PCI DSS : Payment Card Industry Data Security Standard, est un standard de sécurité des données pour les industries de carte de paiement comme les banques. 19 ANTIC : Agence Nationale des Technologies de l’Information et de la Communication.
  • 37. 28 CHAPITRE 2 : RELATION THÉORIQUE ENTRE LE SMSI ET LA PERFORMANCE Parce que la performance est l’objectif de toute entreprise, de nombreuses théories en ont fait l’objet de leur étude. Nous verrons en section 1 certaines de ces théories. En section 2, nous mettrons en avant notre modèle et nos hypothèses de recherche. Notons que l’utilisation de ces modèles théoriques nous permettra d’émettre des hypothèses supplémentaires pour l’analyse en détails de la relation entre le SMSI et la performance. SECTION 1 : GÉNÉRALITÉS SUR LES APPROCHES THÉORIQUES Cette section présente les modèles et théories sur lesquels nous nous sommes appuyés pour construire notre modèle de recherche. 1. Modèle de succès des SI de Delone et McLean En développant leur modèle de mesure du succès des SI pour la première fois, William Delone et Ephraim McLean (1992) avaient pour objectif de fournir une définition générale et un modèle global de succès des SI. Dix ans après une révision de leur modèle suite aux différentes critiques de plusieurs autres chercheurs du même domaine, ils proposent un modèle amélioré qui est un Framework pour la mesure de variables dépendantes qui donnent des résultats concernant le succès et la qualité d’un SI. Ces variables, au nombre de six (06), sont les suivantes :  La qualité du système : il s’agit des caractéristiques techniques du système dont les indicateurs sont la flexibilité, la qualité des données, la fiabilité, l’intégration, la facilité d’utilisation et les fonctionnalités ;  La qualité de l’information : il s’agit de la qualité de l’information produite ou délivrée par le SI, qui sont sous la forme de document physique ou affiché sur ordinateur. Les indicateurs sont l’exactitude, la disponibilité, la complétude, la pertinence et la cohérence ;  La qualité de service : il s’agit de la qualité des services délivrés par le SI. C’est l’écart qui existe entre les attentes d’un client pour un service donnée et sa perception du service reçu. Elle se mesure en termes de tangibilité, de fiabilité, de serviabilité, d’assurance et d’empathie des services délivrés. Cet indicateur de qualité d’un SI se
  • 38. 29 mesure aujourd’hui en utilisant la théorie SERVQUAL (Service Quality) qui est un instrument très populaire, surtout dans le domaine du marketing.  L’utilisation du système / intention d’utilisation : il s’agit de la façon dont les utilisateurs se mettent en œuvre pour utiliser les capacités du SI dans le remplissage de leurs différentes tâches.  La satisfaction de l’utilisateur : elle se réfère à la façon dont un utilisateur est heureux ou satisfait du SI.  Le bénéfice net : il s’agit de l’ampleur avec laquelle le SI contribue au succès dans une organisation ; au niveau individuel (travailleur) et au niveau global (l’entreprise). Ce modèle est soutenu par le fait qu’un système peut être évalué sur la base de la qualité des informations délivrées, de la qualité des services délivrés et des caractéristiques du système lui-même. Ces facteurs affectent les utilisateurs du système, leur intention d’utiliser le système et leur satisfaction. À la suite de l’utilisation du système, il va découler des bénéfices pour l’utilisateur et par conséquent pour l’organisation toute entière. Ces bénéfices en retour motivent davantage l’utilisateur. Le modèle de Delone et McLean est schématisé comme suit : Figure 6: Modèle de succès de Delone & McLean mis-à-jour, 2003. Source : (IS Theory, 2016a) 2. Le modèle SERVQUAL de mesure la qualité d’un service de PARASURAMAN, ZEITHAML et BERRY Le modèle SERVQUAL est un instrument beaucoup utilisé lorsqu’il s’agit de mesurer la qualité de service d’une entreprise. Selon les auteurs, la qualité de service se mesure en observant la différence qui existe entre la qualité de service perçue et la qualité de service QUALITÉ DE L’INFORMATION QUALITÉ DU SYSTÈME QUALITÉ DU SERVICE INTENTION D’UTILISER UTILISATION SATISFACTION DES UTILISATEURS BÉNÉFICES NETS
  • 39. 30 attendue par le client. Si cette différence est positive, alors on déduit que la qualité de service est bonne et que le service n’a pas besoin d’amélioration ; et inversement. Ce modèle décompose la notion de qualité de services en cinq (05) grands indicateurs :  Tangibilité : installations physiques, équipements, apparence du personnel, etc. ;  Fiabilité : la capacité à effectuer un service fiable et précis ;  Serviabilité : la volonté d’aider et de répondre aux besoins des clients ;  Assurance : la capacité du personnel à inspirer de la confiance ;  Empathie : la mesure dans laquelle un service personnalisé attentionné est donné. Aujourd’hui, le SERVQUAL utilise un questionnaire avec vingt-deux (22) questions sur l’échelle de Likert pour collecter les réponses auprès des individus (clients). Étant donné que le modèle SERVQUAL est un Framework pour toute entreprise, il est possible non plus de mesurer les qualités de services perçues et attendues, mais de faire une autoévaluation du service rendu. Ce qui permet aussi en interne une amélioration continue de la qualité des services. 3. La théorie des ressources (Ressources-Based View) de WADE et HULLAND La théorie des ressources (Ressources-Based View) a été développée pour défendre le fait qu’une entreprise qui possède des ressources est capable de posséder un avantage concurrentiel qui peut être maintenu à long terme afin d’être performant. L’un des auteurs de cette théorie soutien que les ressources en TI sont une condition nécessaire mais pas suffisante pour une bonne performance de l’entreprise (WADE & HULLAND, 2004). De même, seulement acquérir des ressources en TI n’assure pas une bonne performance de l’entreprise (WADE & HULLAND, 2004). Les ressources sont précieuses et rares, et peuvent conduire à un avantage concurrentiel temporaire. Cet avantage peut être maintenu pendant une très longue période car toute entreprise est capable de se protéger contre le transfert de compétences, le transfert de technologies ou l’imitation. Les ressources peuvent être entendues par les compétences et aptitudes, les biens stratégiques et les actifs. Les auteurs définissent précisément les ressources comme tout actif ou toute capacité disponibles et utilisés pour répondre aux opportunités et menaces du
  • 40. 31 marché (WADE & HULLAND, 2004). Les actifs sont de type tangible (infrastructures réseaux, poste de travail, etc.) et intangibles (logiciel, relation avec les parties prenantes, etc.). La capacité est l’ensemble des moyens qui permet d’utiliser ces actifs pour atteindre des objectifs ; c’est par exemple les habiletés techniques et managériales. La théorie des ressources nous permet de spécifier facilement les ressources d’une entreprise, de faire une comparaison entre entreprise et d’établir facilement le lien entre les ressources et l’avantage concurrentiel, donc de mesurer la plus-value des ressources. 4. La théorie de la capacité dynamique (Dynamic capabilities) de Jay BARNEY, Kathleen EISENHARDT et David TEECE À l’analyse de la théorie des ressources (Ressources-Based View), il apparait que les ressources semblent statiques alors que notre environnement est dynamique. Parce qu’une entreprise doit toujours s’adapter, il nait la théorie de la capacité dynamique qui soutient le fait que les ressources doivent être développées et intégrées au sein d’une entreprise. Les auteurs, Jay BARNEY, Kathleen EISENHARDT et David TEECE, définissent la capacité dynamique comme « la capacité à intégrer, construire et reconfigurer les compétences internes et externes pour s’adapter aux changements rapides de l’environnement » (IS Theory, 2016b). La théorie de la capacité dynamique vient donc tenter de combler le vide par une approche processus entre les ressources et l’environnement, et de façon dynamique. En comblant ce vide, les ressources sont ajustées et taillées sur mesure afin de maintenir cet avantage compétitif à long terme telle que dit dans la théorie des ressources. Nous pouvons dire que la théorie des ressources fait le choix des ressources et la capacité dynamique permet le développement des dites ressources. 5. Le modèle de mesure de la maturité des processus de gestion des risques en sécurité de l’information (MMGRseg) Dans le management de nos jours, l’approche processus est beaucoup préconisée car elle permet de mieux prendre en main les activités de tout système, de mieux contrôler les coûts de production et de facilement mesurer l’efficacité. Plusieurs soulignent d’ailleurs que « la qualité d'un système est fortement influencée par la qualité du processus utilisé pour
  • 41. 32 l’acquérir, le développer et le maintenir » (Carnegie Mellon University & Software Engineering Institute, 2005). La qualité d’un processus se mesure en termes de maturité (niveau de maturité). On définit la maturité d’un processus comme le degré auquel il est déployé explicitement et de façon cohérente, documenté, géré, mesuré, contrôlé et continuellement amélioré. Pour mesurer cette maturité, on s’appuie sur un modèle de maturité qui est un référentiel de bonnes pratiques d’un domaine bien précis utilisé pour apprécier et améliorer la capacité des processus de ce domaine. Le MMGRseg est un modèle qui respecte cette condition en matière de gestion des risques de sécurité de l’information. Pour évaluer le niveau de maturité du système de gestion des risques de sécurité de l’information, le MMGRseg s’appuie sur la norme ISO 27005 (intitulé Technologies de l'information – Techniques de sécurité – Gestion du risque en sécurité de l'information) pour déterminer les processus à évaluer et sur le CMMI20 pour définir les différents niveaux de maturité des processus (MAYER & LEMES, 2009). Selon le CMMI, les cinq (05) niveaux de maturité sont :  Initial, niveau 1 : Le processus n’est pas défini. Le résultat du processus dépend du savoir-faire de quelques personnes clés dans l’organisation. Ce savoir-faire n’est ni formalisé ni partagé ; rien n’est fait (documentation, évaluation, communication, surveillance) ;  Connu, niveau 2 : Les entrées et les sorties des différentes activités sont gérées et contrôlées. Les règles sont connues et appliquées par les intervenants concernés. Le processus est planifié et suivi, mais n’est pas formalisé ;  Standardisé, niveau 3 : Le processus est formalisé. Des pratiques d’assurance de la qualité sont en place. L’efficacité de chacun des processus est mesurée et renforcée. Les risques sont identifiés et gérés. L’accent est mis sur l’efficacité ;  Managé, niveau 4 : Chaque processus est systématiquement mesuré. Les données sont consolidées et exploitées pour la prise de décision et la prévision des risques. L’accent est mis sur l’optimisation des ressources (efficience) et sur la valeur ajoutée des processus ; 20 Capability Maturity Model Integration (CMMI), développé par le Software Engineering Institute de l'Université Carnegie-Mellon, initialement pour appréhender et mesurer la qualité des services rendus par les fournisseurs de logiciels informatiques du département de la Défense des États-Unis
  • 42. 33  Optimisé, niveau 5 : Le processus est totalement maîtrisé et optimisé en permanence. On a des indicateurs sur l’amélioration du processus. Selon la norme ISO 27005, les six (06) processus de gestion des risques sont :  Définition du contexte ;  Examen des risques ;  Traitement des risques ;  Acceptation des risques ;  Communication des risques ;  Contrôle et analyse des risques critiques. Figure 7 : Processus de gestion des risques de la norme ISO 27005. Source : ISO/IEC 27005. Le MMGRseg est composé de :  Cinq (05) niveaux de maturité telle que décrit dans le CMMI ;
  • 43. 34  Quarante-trois (43) objectifs de contrôles répartis dans les six (06) processus de gestion des risques ; Tableau 6: Objectifs de contrôle des processus de gestion des risques Processus Niveau de maturité Total des objectifs de contrôles1 2 3 4 5 Définition du contexte 0 3 4 1 1 9 Examen des risques 0 2 3 1 2 8 Traitement des risques 0 1 5 1 1 8 Acceptation des risques 0 2 3 1 1 7 Communication des risques 0 1 2 2 1 6 Contrôle et analyse des risques critiques 0 1 2 1 1 5 TOTAL 0 10 19 7 7 43 Source : (MAYER & LEMES, 2009)  Un instrument d’évaluation de la maturité des processus de gestion des risques qui se base sur l’évaluation de la maturité pour chaque objectif de contrôle ;  Une matrice de responsabilité des activités de chaque processus ;  Un tableau de bord des risques. SECTION 2 : MODÈLE CONCEPTUEL DE RECHERCHE Une entreprise existe pour atteindre chaque jour ses objectifs. Ce qui démontre sa performance. Plusieurs éléments aujourd’hui sont des facteurs de performance dans une entreprise comme nous avons pu le constater à travers ces théories qui sont utilisées par des entreprises de renom pour mesurer à chaque fois l’effectivité de leur statut d’entreprise performante. Une entreprise performante est à la fois efficace et efficiente. Elle est efficace lorsqu’elle atteint ses objectifs. Elle est efficiente lorsqu’elle minimise les moyens mis en œuvre pour atteindre les objectifs fixés. La performance d’une entreprise peut se mesurer à plusieurs niveaux : financier, social, administratif et organisationnel, marketing, etc. Au niveau financier, on mesure la performance à l’aide des indicateurs comme le retour sur investissement (ROI : Return On Investment) ou la valeur économique ajoutée.
  • 44. 35 Au niveau social, on mesure la performance à l’aide des indicateurs tels que le montant des rémunérations, le nombre d’accidents de travail, etc. Au niveau administratif, on mesure la performance à l’aide des indicateurs tels que le respect des délais, la conformité des produits, l’efficacité des processus, la flexibilité, etc. Au niveau marketing, la performance se mesure à l’aide des indicateurs tels que la satisfaction des clients, le taux de fidélité, la qualité de l’image de l’entreprise, etc. Dans notre environnement, à cette ère du numérique où la sécurité de l’information s’impose comme activité à part entière, beaucoup d’entreprises n’ont pas encore pris conscience de la valeur de leurs informations alors que ces informations, en tant qu’actif de l’entreprise, leur permettent chaque jour d’exercer, d’atteindre leurs objectifs et d’être plus performante. C’est ainsi que nous nous proposons d’utiliser le modèle de succès des systèmes de Delone et McLean pour vérifier si le SMSI permet à une entreprise d’être performante. Cette performance dans notre cas de recherche va se concentrer sur deux domaines, administratif et marketing. Administratif parce que la gestion par les processus métiers ne cessent de faire ces preuves, parce que la relation avec les fournisseurs n’est pas toujours prise très au sérieux alors que ceux-ci participent à l’atteinte des objectifs de l’entreprise. Marketing parce que le client devrait toujours être satisfait et aussi parce que l’une des forces d’une entreprise est son image. La norme ISO 27001 définit le SMSI comme la partie de tout système de management d’une organisation, basé sur l’approche des risques, pour établir, implémenter, faire fonctionner, contrôler, réviser, maintenir et améliorer la sécurité de l’information (ISO/IEC, 2005). Ce qui démontre l’importance de la gestion des risques dans un SMSI. La première étape d’implémentation d’un SMSI (étape « Plan » du modèle PDCA21 ) demande d’établir la politique, les objectifs, les processus et les procédures de SMSI relatifs à la gestion des risques et à l'amélioration de la sécurité de l'information pour fournir des résultats en conformité avec les politiques et les objectifs globaux de l'organisation. Étant donné que la gestion des risques est une activité majeure et inéluctable de tout SMSI, nous nous proposons d’évaluer en plus la maturité des processus de gestion des risques en s’appuyant sur le MMGRseg. Pour cela, nous allons mesurer la maturité des six (06) processus, chacun dans sa globalité et non dans les détails ; car le modèle original comprend 21 PDCA = Plan, Do, Check, Act. Le modèle adopté par les standards internationaux qui est appliqué pour structurer tous les processus d’un SMSI.
  • 45. 36 trente-cinq (35) questions, ce qui alourdira notre questionnaire de recherche. Cette méthode nous donnera des résultats fidèles et acceptables concernant le niveau de maturité des processus de gestion des risques. BHARADWAJ fait une précision sur l’utilisation de la théorie des ressources (Resources-Based View). Il distingue les ressources en TI tangibles (Infrastructures et Ressources humaines) et TI intangibles (BHARADWAJ, 2000). Notre travail s’est concentré sur les TI tangibles pour éviter d’évoquer des éléments assez abstraits comme l’habileté du personnel, les atouts en connaissances qui sont intangibles. De ce corpus découle notre modèle de recherche : Figure 8: Modèle théorique de recherche. Source : Auteur. Nos hypothèses de recherche sont les suivantes :  Les effets positifs d’un SMSI : il s’agit des répercussions positives de l’utilisation normée par ISO 27001 d’un SMSI sur une entreprise. L’amélioration de ses processus, de sa relation avec ses fournisseurs et sur son image d’une part, et l’amélioration de ses infrastructures, la qualité du personnel et du management des TI d’autre part. H1 : Le SMSI a un effet positif sur la performance d’une entreprise. H2 : Le SMSI a un effet positif sur la capacité informatique d’une entreprise.
  • 46. 37  Les effets positifs de la capacité informatique : il s’agit des bénéfices de l’adoption et de l’utilisation des TI sous les actions du personnel et du management de ses TI. H3 : La capacité informatique a un effet positif sur la performance d’une entreprise. L’utilisation des différentes théories citées nous offrent des possibilités de vérifications précises et détaillées de nos différentes hypothèses et de certaines relations de dépendances entre quelques sous construits de notre modèle de recherche. Dans leur article qui parlent de l’impact sur l’organisation de la qualité de service, de la qualité du système et de la qualité des informations, les auteurs affirment en perspective que la recherche sur ce thème peut être continuer en explorant les effets entre la qualité du système, la qualité de service et la qualité de l’information (GORLA, SOMERS, & WONG, 2010). Ce qui nous pousse à se pencher sur quatre (04) hypothèses supplémentaires. De plus, en procédant à une gestion des risques de sécurité de l’information par ses processus, lors d’un audit ou d’un contrôle par exemple, on est amené à traiter les risques en donnant des recommandations. Ces recommandations sont des solutions qui viennent modifier l’infrastructure, les méthodes, les processus et même la qualité du personnel (recrutement, formation). Les hypothèses de recherche supplémentaires sont donc les suivantes : H4a : Le niveau de maturité des processus de gestion des risques de sécurité de l’information a un effet positif sur la qualité du système. H4b : le niveau de maturité des processus de gestion des risques de sécurité de l’information a un effet positif sur la qualité de service. H5 : La qualité de service a un effet positif sur la Qualité de l’information. H6 : La qualité du système a un effet positif sur la Qualité de l’information.  La performance administrative dans notre cas de recherche est l’ensemble des bénéfices perçus au niveau de la gestion des fournisseurs, l’amélioration des services de l’entreprise et de l’efficacité de l’organisation interne : H7 : La Qualité du système a un effet positif sur la Performance administrative. H8 : Le niveau de maturité des processus de gestion des risques de sécurité de l’information a un effet positif sur la Performance administrative. H9 : La Qualité de service a un effet positif sur la Performance administrative.  La performance marketing est celle du marché. Il s’agit du niveau de la satisfaction des clients et la qualité de l’image de l’entreprise.
  • 47. 38 H10 : La Qualité de service a un effet positif sur la Performance marketing.  Les infrastructures TI sont l’ensemble des ressources matériels et logiciels de l’entreprise : H11 : Le niveau de maturité des processus de gestion des risques de sécurité de l’information a un effet positif sur la Capacité des infrastructures TI.  La qualité du personnel TI représente sa capacité à créer des solutions adaptées aux besoins de l’entreprise en utilisant les méthodes actualisées. H12 : Le niveau de maturité des processus de gestion des risques de sécurité de l’information a un effet positif sur la Qualité du personnel TI.  Le management IT donne des informations sur la qualité des méthodes de gestion des TI utilisée pour gouverner. H13 : Le niveau de maturité des processus de gestion des risques de sécurité de l’information a un effet positif sur la Capacité du management des TI. Figure 9: Modèle de recherche des hypothèses supplémentaires. Source : Auteur.
  • 48. 39 Conclusion Nous avons pu dessiner notre modèle de recherche à partir de plusieurs théories, principalement celle du succès de Delone et McLean qui permet de mesurer l’effet d’un système sur la performance dans une entreprise. Ce qui nous a conduit à la formulation de quatorze (14) hypothèses de recherche. Il est maintenant question de décrire le processus qui va nous permettre de confirmer ou infirmer les hypothèses citées. Ce processus va être exécuté. Ce qui nous permettra de présenter des résultats.
  • 49. 40 PARTIE 2 : SMSI ET PERFORMANCE La seconde partie de notre travail de recherche présente la méthodologie adoptée pour vérifier nos différentes hypothèses, suivie d’une présentation de nos différents résultats. Enfin, nous apporterons des remarques à ces résultats. Ce qui nous permettra d’émettre des recommandations pour la mise en place et le suivi d’un SMSI dans une entreprise.
  • 50. 41 CHAPITRE 3 : MÉTHODOLOGIE & RÉSULTATS Pour la vérification de nos différentes hypothèses, nous emploierons une démarche hypothético-déductive en utilisant les données quantitatives collectées à partir d’un questionnaire. La démarche hypothético-déductive a fait ses preuves dans le domaine des sciences sociales à travers la méthode des équations structurelles et la méthode PLS (Partial least square). La méthode PLS a traité avec succès les modèles et théories sur lesquels nous nous appuyés pour élaborer notre modèle de recherche. Ainsi, nous nous proposons dans ce chapitre de présenter explicitement la méthodologie utilisée en section 1 et de présenter les résultats et commentaires en section 2. SECTION 1 : MÉTHODOLOGIE DE VÉRIFICATION DES HYPOTHÈSES DE RECHERCHE Le modèle de recherche étant définit et les hypothèses de recherche posées, il s’agit maintenant de procéder à leur vérification. Pour ce faire, nous avons appliqué le processus donné par la figure suivante qui comporte six (06) grandes activités que nous allons décrire. Figure 10 : Processus simplifié de la méthodologie de vérification des hypothèses. Source: Auteur. 1. Élaborer le questionnaire La première réalisation dans cette activité est le choix de la cible du questionnaire. Ici, nous avons préféré se concentrer sur les acteurs du domaine des TI et des SI et de leur sécurité. À savoir les agents, les managers et les directeurs qui opèrent dans une entreprise ou au titre de consultant. Dans notre environnement, ils sont ceux qui maitrisent bien les questions de SMSI et la pratique de la sécurité de l’information.
  • 51. 42 La deuxième réalisation est le choix des questions à faire administrer. Les questions ont été tirées directement des questionnaires des modèles théoriques. Il a fallu faire une sélection des dites questions en fonction de leur pertinence dans notre environnement et des relations de notre modèle de recherche. Ce qui nous a permis dans un premier temps d’arrêter trente-trois (33) questions sur une échelle de Likert à sept (07) niveaux et six (06) questions de mesure du niveau de maturité sur une échelle de 1 à 5 ; soit au total trente-neuf (39) questions. La troisième réalisation est le test de notre questionnaire auprès de vingt et cinq (25) individus. L’objectif de ce test est de déterminer la facilité de compréhension des questions et la qualité de la liaison des variables latentes (construits) à leurs variables manifestes (indicateurs ou items). Ce qui nous permet d’augmenter ou supprimer des indicateurs dans des construits indiqués afin qu’ils gardent une très bonne qualité et que notre modèle ait des résultats fiables. La dernière réalisation est la finalisation du questionnaire. Il s’agit d’ajouter aux questions du modèle des questions qui renseignent sur la qualité du répondant. Ce sont les questions qui nous permettent de donner un premier crédit aux réponses collectées. À savoir, l’âge, les années d’expérience, formation en sécurité ou pas, etc. 2. Choisir la taille de l’échantillon Cette partie consiste à déterminer le nombre minimum de réponses à collecter (observations) afin de pouvoir prétendre à des résultats acceptables auprès de la communauté scientifique. Selon (HAIR, HULT, RINGLE, & SARSTEDT, 2014) une puissance22 de 0,80 et un f²23 égale à 0,15 sont recommandés pour la validation des résultats de recherche avec la méthode PLS. De cette façon, un calcul de la taille de l’échantillon à partir du logiciel « GPower 3.0.10 » avec les paramètres f² = 0,15, p = 0,05, puissance = 0,80 et nombre de prédicateurs = 2 nous donne comme résultat soixante-huit (68) comme taille minimum de l’échantillon pour la vérification de nos hypothèses. 22 Puissance d’un test : Probabilité de rejeter l’hypothèse nulle. 23 f² : Mesure de la force de l'effet observé d'une variable sur une autre.
  • 52. 43 Figure 11 : Calcul de la taille minimale de l’échantillon avec GPower 3. Source: Auteur. D’autres auteurs affirment que la taille minimale de l’échantillon est fonction du modèle de recherche. On considère le sous construit qui dispose du plus grand nombre de variables manifestes. La taille minimale de l’échantillon pour la vérification des hypothèses s’obtient en multipliant le nombre de variables manifestes le plus élevées par dix (10) (HAIR, HULT, RINGLE, & SARSTEDT, 2014). Dans notre modèle de recherche, la variable latente qui a le plus de variable manifestes est la variable de mesure de la performance administrative (P-ADMIN). Elle présente neuf (09) indicateurs. Par conséquent, la taille minimale de notre échantillon est de quatre-vingt-dix (90) observations. Nous concluons donc qu’il nous au minimum quatre-vingt-dix (90) observations pour mener notre étude et tester notre modèle de recherche.