La gestion des risques informationnels dans l’entreprise privée : perspective des gestionnaires de la sécurité

Abstract

Ce mémoire de maîtrise porte sur la gestion des risques informationnels dans l’entreprise privée. Plus précisément, nous avons cherché à comprendre, à partir de l’expérience et du point de vue des gestionnaires de la sécurité, comment s’élaborait une prise de décisions relativement à la protection des actifs informationnels d’une entreprise, de l’identification des risques à la mise en place de mesures visant à les réduire. Pour ce faire, nous devions dégager les éléments du contexte organisationnel qui contribuent à façonner les décisions du gestionnaire de la sécurité en cette matière en considérant deux principales dimensions : la dynamique relationnelle à l’œuvre de même que les enjeux, les contraintes et les opportunités susceptibles d’influence la prise de décisions. Nous voulions également connaitre le rôle et les responsabilités du gestionnaire de la sécurité au sein de ce processus décisionnel et préciser, le cas échéant, sa participation au modèle de gouvernance de gestion des risques. Pour rendre compte de la complexité de ce processus, il semblait approprié de concevoir un cadre théorique combinant deux approches: l’approche multidimensionnelle du risque et l’approche de la transaction sociale. Si la première considère que la définition du risque doit être contextualiser, l’autre admet que la dynamique relationnelle n’est pas le simple fait de jeux entres acteurs stratégiques. L’analyse en fonction de ses deux approches a révélé que la gestion des risques informationnels dans une entreprise est largement tributaire des caractéristiques personnelles du gestionnaire de la sécurité. Certes, le contexte organisationnel et la multiplication des enjeux sécuritaires exercent une influence considérable sur le processus décisionnel mais l’expérience, les connaissances et les capacités communicationnelles du gestionnaire contribuent directement à la réussite de chaque phase du processus de gestion des risques informationnels.

This master is about the informational risk mitigation within the private sector. More precisely, we have tried to understand, from the experience and the point of view of the security managers, how was the decision making process elaborated with regards to the protection of the informational assets. In order to achieve this, we had to take the elements, which are influencing the decisions taken by the security managers with regards to this subject matter, out of its organizational context and consider two main dimensions: the relational dynamics at play and the issues, constraints, and opportunities likely to influence the decision making.

We wanted to know as well, what were the roles and responsibilities of the security managers with in the decision making process and determine their participation in the security governance model. To expose the level of complexity of this process, we thought it would be appropriate to create a theoretical frame work combining two different approaches: the multidimensional approach and the social transaction approach. If the first one considers that the risk definition needs to be put in a context, the second one admits that the relationship dynamics are not just a simple power game between strategic actors. The analysis of the two approaches has revealed that the informational risk mitigation in the private sector is largely tributary to the personal characteristics of the security managers. More so, the organisational context and the rising numbers of security treats are considerably influencing the decision process, but the experience, the knowledge and the communication skills of the security managers are directly contributing to the success of each phase in the informational risk mitigation process.