FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY I- Le processus de risk management selon ISO 27001(2005),

NSIT : 8000 (2002) et Frosdick (1997) :

Ce processus inclut 3 tapes : -linitiation -lanalyse de risque -lattnuation du risque 1) linitiation : son objectif est de : - dfinir le contexte du processus de management du risque -fixer ltendu de lanalyse - constituer lquipe responsable de la gestion du risque Cest aussi dans cette tape que la mthodologie de gestion du risque sera fixe 2) lanalyse du risque : cette tape inclut 3 sous-processus : - identification du risque - estimation du risque - valuation du risque a) identification du risque : cest le processus didentification des risques constituant des menaces aux actifs qui ont besoin dtre protgs. Il est donc ncessaire didentifier les actifs protger, leur associer des risques potentiels et identifier leurs vulnrabilits. b) lestimation du risque : cest le processus de quantification des risques identifis. Cela passe, en gnral, par le calcul de la probabilit doccurrence (P) et lestimation de limpact ou cot (T) risk (R)= P x C c) lvaluation du risque : durant se processus on dtermine le seuil de tolrance et on identifie les options de traitement du risque [Transfert du risque chez un tiers, acceptation du risque (ne pas le contrler), prvention du risque (si elle est applique, lactif nest plus expos au risque), rduction du risque (slection des mesures de contrle appropries)]. 3) attnuation du risque : selon lISO 27001, ce processus inclut 3 tapes : -le design -limplmentation ; et -le suivi (monitoring) a) le design : cest la spcification des objectifs de scurit, llaboration des politiques de scurit et des processus relevant du contrle de risques (les contre-mesures et les politiques) avec ltablissement dun plan temporel pour limplmentation. Dans le cas o dautres risques apparaissent, dautres mesures de contrle doivent tre spcifies et conues accompagnes, bien sr, du plan temporel dimplmentation. b) limplmentation : elle implique lapplication des mesures et procdures de contrle choisies, la gestion des ressources ncessaires limplmentation (personnel, temps, moyens financiers et oprations). Il faut aussi prvoir, dans cette tape, des programmes de

sensibilisation la scurit dans le but de promouvoir une culture approprie du risque et de la scurit. c) le suivi : lobjectif de ce processus est de sassurer de lefficacit des mesures prises. Il inclut : - des processus de dtection rapide des erreurs et incidents. - des mcanismes qui vrifient si les procdures documentes sont suivies. -des rvisions visant valuer lefficacit des contrles implments, et -la rvaluation du niveau de risque rsiduel, en tenant compte les changements possibles dans les processus organisationnels ou les objectifs business.

II- Importance du rle des perceptions des actionnaires pour le processus de risk management :
En gnral, utilisateurs finaux de la scurit de linformation sont inconscients des mesures de scurit. Pour la majorit dentre eux, cest un outil pour accomplir leurs responsabilits de la manire la plus efficace possible, mais la scurit de linformation est perue plus comme une entrave quune ncessit. Pour atteindre la conformit des parties prenantes aux mesures de scurit prises, il est primordial dintroduire des programmes de sensibilisation la scurit et de formation des employs. Mais ces deux mesures ne sont pas les seuls facteurs sociaux influant sur la perception des menaces chez les parties prenantes. En effet, diffrentes personnes (utilisateurs finaux, parties prenantes, etc...) mettent laccent sur des risques diffrents. Leurs proccupations peuvent avoir comme sources leur exprience personnelle, ce quils ont entendu ou vu dans les mdias, plusieurs facteurs peuvent avoir une influence sur la manire de percevoir le risque dont la familiarit avec les sources de danger et laptitude contrler les situations dangereuses. Aussi, les individus ont-ils tendance faire diffrentes estimations du mme risque selon quil soit pour eux ou pour des tiers. Cest pour cette raison que la classification des menaces par des tiers peut tre diffrente de celle des professionnels de la scurit do son importance.

III- le modle thorique de risk management : (la thorie culturelle)

Cette thorie a t propose par Douglas(1978) et Douglas & Wildavsky (1982). Son postulat principal est que la manire dinteraction sociale entre les individus empite sue les systmes de symboles quils utilisent pour comprendre le monde. Autrement dit, les concepts que les gens utilisent pour comprendre le monde sont relis contraintes ou structures sociales auxquelles ils sont confronts (prjugs culturels). Cette thorie explique comment et pourquoi les individus formulent leur perceptions de certains concepts tels que le risque ou la menace. 1) les perspectives de la thorie culturelle : - la stabilit - la mobilit a) la perspective de stabilit : elle suppose que les individus sont constants dans un prjug culturel. Ils ont tendance sattacher des structures sociales avec le mme type de prjug culturel, dans tous les domaines de leur vie. Cela implique que ces individus se conforment, toujours, ce prjug quelque soit le contexte social on pourra donc mesurer le prjug culturel dun individu indpendamment du temps et du contexte.

b) la perspective de mobilit : cette perspective suppose que les individus peuvent sattacher des structures culturelles avec diffrents types de prjug culturel dans diffrents domaines de leur vie. Cela implique que ces individus peuvent se conformer diffrents prjugs culturels en fonction du contexte ou adopter diffrents prjugs culturels au cours du temps. On ne peut, alors, mesurer les prjugs culturels sans faire rfrence un contexte et un espace temporel spcifiques. On doit, donc, appliquer des mthodes quantitatives telles que les observations ou les groupes de discussion. 2) la typologie grille/groupe : cette typologie fournit un dispositif heuristique permettant lapplication de la thorie culturelle et a eu une grande influence dans diffrents contextes et diffrents niveau dagrgation. Elle se base sur une distinction entre le concept de prjug culturel et celui de relation sociale. Cette typologie identifie 4 groupes culturels diffrents ayant des trains de vie diffrents. Elle comprend 2 dimensions : la grille et le groupe a) la dimension groupe : Elle montre si un individu est membre dune unit sociale ferme, quel point les activits du groupe ont une influence sur lindividu et quel point les frontires du groupe constituent une contrainte la libert dagir des individus dans et en dehors du groupe. b) La dimension grille : elle montre le degr de rgulation et de restriction du contexte social lgard des comportements individuels. Ces deux dimensions fournissent un modle 4 visions du monde : -la hirarchie -lgalitarisme -le fatalisme -lindividualisme.

Les hirarchistes sont caractriss par des frontires du groupe trs solides et par des prescriptions contraignantes. La position dun individu dans le monde est dfinie par une classification tablie base sur des critres tels que lge, le sexe ou encore la race La culture hirarchique insiste sur limportance de ltablissement et la prservation de lordre naturel de la socit pour cette raison, les hirarchistes ont peur de tout ce qui peut perturber cet ordre social et accordent une grande confiance aux experts. ils sadaptent difficilement au changement et sont dpendant des moyens rguliers de faire les choses. Les galitaires sont aussi caractriss par des groupes importants, mais leur vie nest pas guide par la diffrentiation des rles. Aussi supposent-ils quun individu doit ngocier sa relation avec les autres de faon que lautorit dune personne ne soit par la rsultante de sa position un fort sens de lgalit do leur peur du dveloppement qui peut conduire une ingalit sociale et une faible confiance accorde aux experts. Les individualistes ne sont tenus ni par lappartenance un groupe ni par les rles prescrits, ils suggrent que toutes les frontires soient sujettes la ngociation. Ils se sentent responsables envers les autres membres de la socit et prconisent une allocation du pouvoir indpendante de la position sociale ou du statut. Ils nacceptent pas les rgles bases sur le pass et hsitent accepter les lois et les instructions surtout lorsque ces dernires constituent une barrire leur autonomie. Les fatalistes croient que leur autonomie est limite par les distinctions sociales, mais ne se sentent pas membres des institutions qui tablissent les rgles (ils se sentent toujours comme des outsiders). Aussi ils croient que la classification sociale doit tre base sur lascendance.

IV- les stratgies de risk management dans le domaine des SI en fonction de la thorie culturelle :
Le systme dinformation est constitu par : - linformation stocke et transforme - le hardware et le software utiliss pour transformer linformation - un systme social form par les actions et les relations entre les utilisateurs du SI le contexte social est un aspect critique du SI qui ne peut pas tre ignor par le processus de risk management La thorie culturelle a t beaucoup utilise dans les tudes sur la perception du risque et prconise que les manires dont le risque est peru sont enracines dans le contexte social. 1) limpact des 4 dimensions sociales sur le risk management :

2) Formulation de stratgies de risk management sensibles au contexte : Lexpert en scurit doit tudier le contexte culturel du systme dinformation, decider quelles dimensions sociales il doit prendre en considration et, finalement, ajuster le risk management en fonction de ces dimensions. A partir de cela, on peut identifier 4 stratgies de risk management distinctes. Ces stratgies seront dveloppes en se basant sur les diffrents prjugs sociaux que les utilisateurs de Si peuvent partager (typologie grille/groupe)