Fiche de lecture

Référence au format APA :

Töytäri, P., & Rajala, R. (2015). Value-based selling: An organizational capability perspective. Industrial Marketing Management, 45, 101-112.

Mots clés de l’article :

Mots clés : vente basée sur la valeur, capacité organisationnelle, B2B, quantification, coût total de possession, co-création, levier

Synthèse :

P. Töytäri et R. Rajala proposent une analyse approfondie de la Vente Basée sur la Valeur (VBS) en opérant un passage décisif d’une vision traditionnelle centrée sur le talent individuel du vendeur vers une vision moderne de capacité organisationnelle collective. Contrairement à la vente classique où le bon vendeur agit seul grâce à son charisme, la VBS est définie comme une routine collective reposant sur des ressources partagées et des outils structurés permettant de produire des résultats systématiques indépendamment du talent inné du vendeur (Töytäri et Rajala, 2015).

• En premier lieu, nous présenterons le cadre conceptuel de la VBS comme capacité organisationnelle et la méthodologie qualitative employée.
• Nous examinerons ensuite les trois phases du processus de vente et les douze capacités clés identifiées par les auteurs. Puis, nous analyserons les obstacles à cette transition organisationnelle.
• Nous terminerons par les implications managériales et les recommandations des auteurs pour réussir la mise en œuvre de la VBS.

Développement :

1. Cadre conceptuel et méthodologie

La VBS est conceptualisée comme une capacité organisationnelle collective plutôt qu’une compétence individuelle, s’inscrivant dans la logique de la Resource-Based View selon laquelle les routines organisationnelles constituent une source d’avantage concurrentiel durable (Barney, 1991). L’entreprise met à disposition des ressources partagées et des outils structurés pour produire des résultats systématiques, permettant ainsi de dépasser la dépendance au talent inné du vendeur individuel. L’objectif central de la VBS est de traduire des données techniques et opérationnelles en langage financier afin de prouver que l’investissement n’est pas un coût mais une source de profit futur pour le client (Anderson, Narus et Van Rossum, 2006). L’étude repose sur une démarche qualitative portant sur neuf entreprises industrielles mondiales, structurant le processus de vente en trois phases chronologiques composées de douze capacités clés (Töytäri et Rajala, 2015).

2. Les trois phases du processus de VBS

La phase de planification prépare le terrain avant la rencontre avec le client. Elle repose sur l’identification des parties prenantes au sein des centres d’achat (Johnston et Lewin, 1996), l’analyse des processus de production du client pour y déceler des opportunités d’amélioration, la création de bundles combinant produits et services répondant aux objectifs stratégiques urgents, et la préparation de calculateurs de valeur et de références crédibilisant le discours commercial (Hinterhuber, 2004). La phase de mise en œuvre constitue le cœur de la négociation. La confiance et la crédibilité en sont le prérequis indispensable : sans elles, le client refuse de partager ses données sensibles telles que ses coûts actuels et ses volumes, or ces données sont nécessaires pour calculer le gain futur (Doney et Cannon, 1997). La construction d’une vision partagée implique de s’engager tôt dans le cycle d’achat pour influencer les critères de choix avant que la concurrence ne fixe les règles. La quantification de la valeur constitue le point central de cette phase : le vendeur utilise des modèles financiers pour prouver mathématiquement l’impact de sa solution via des indicateurs tels que le TCO (Total Cost of Ownership), qui intègre l’ensemble des coûts sur la durée de vie du produit au-delà du prix d’achat, et le ROCE (Return on Capital Employed), mesurant l’amélioration de la rentabilité des capitaux investis pour le client (Töytäri et Rajala, 2015). La phase de levier (leverage) est souvent négligée mais permet de transformer un succès ponctuel en apprentissage durable. La vérification de la valeur consiste à documenter les résultats réels obtenus après la vente pour constituer une preuve irréfutable auprès des futurs prospects. La création d’un référentiel de cas institutionnalise cet apprentissage et renforce la crédibilité de la marque (Töytäri et Rajala, 2015).

3. Obstacles et implications managériales

Les auteurs identifient deux obstacles majeurs à la transition vers la VBS. L’immaturité des forces de vente, habituées à vendre des produits et non des profits, freine l’adoption des outils de quantification financière (Töytäri et Rajala, 2015). La focalisation excessive des acheteurs sur le prix facial, au détriment d’une analyse du coût total, constitue un obstacle symétrique du côté de la demande (Hinterhuber, 2004). Sur le plan managérial, les auteurs concluent que la VBS relève d’une ingénierie organisationnelle plutôt que d’une simple technique de persuasion. Les managers doivent former leurs équipes non plus sur des techniques de vente génériques, mais sur la compréhension fine du modèle d’affaires de leurs clients afin de maîtriser la traduction des données opérationnelles en langage financier (Anderson, Narus et Van Rossum, 2006). L’art de la VBS réside précisément dans cette capacité de traduction, condition nécessaire pour déplacer la conversation commerciale du prix vers la valeur créée (Johnston et Mora Cortez, 2018).

Conclusion :

L’article de Töytäri et Rajala constitue une contribution majeure à la compréhension de la vente en contexte B2B industriel. En repositionnant la VBS comme une capacité organisationnelle collective ancrée dans des routines partagées, les auteurs dépassent les approches traditionnelles centrées sur le talent individuel du vendeur (Barney, 1991).

La structuration en trois phases, de la planification au levier post-vente, offre un cadre opérationnel complet qui souligne l’importance souvent négligée de la documentation des résultats comme vecteur d’apprentissage organisationnel. La double exigence de confiance relationnelle (Doney et Cannon, 1997) et de rigueur financière (Hinterhuber, 2004) révèle que la VBS requiert une transformation profonde des compétences commerciales, bien au-delà de l’adoption d’outils de calcul. La VBS représente ainsi un levier stratégique de différenciation pour les entreprises B2B capables d’investir dans cette ingénierie organisationnelle (Johnston et Mora Cortez, 2018).

Références bibliographiques

• Anderson, J. C., Narus, J. A., & Van Rossum, W. (2006). Customer Value Propositions in Business Markets. Harvard Business Review, 84(3), 90-99.
• Barney, J. (1991). Firm Resources and Sustained Competitive Advantage. Journal of Management, 17(1), 99-120.
• Doney, P. M., & Cannon, J. P. (1997). An Examination of the Nature of Trust in Buyer-Seller Relationships. Journal of Marketing, 61(2), 35-51.
• Hinterhuber, A. (2004). Towards Value-Based Pricing: An Integrative Framework for Decision Making. Industrial Marketing Management, 33(8), 765-778.
• Johnston, W. J., & Lewin, J. E. (1996). Organizational Buying Behavior: Toward an Integrative Framework. Journal of Business Research, 35(1), 1-15.
• Johnston, W. J., & Mora Cortez, R. (2018). Unit Pricing and Its Implications for B2B Marketing Research. Industrial Marketing Management, 69, 32-39.
• Töytäri, P., & Rajala, R. (2015). Value-Based Selling: An Organizational Capability Perspective. Industrial Marketing Management, 45, 101-112.

Fiche de lecture

Référence au format APA :

Mora Cortez, R., & Hidalgo, P. (2022). Prioritizing B2B marketing capabilities: Crossvergence in advanced and emerging economies. Industrial Marketing Management, 105, 422-438. https://doi.org/10.1016/j.indmarman.2022.07.002

Mots clés de l’article :

Mots clés : capacités marketing, crossvergence, B2B, économies avancées et émergentes, priorisation, performance

Synthèse :

R. Mora Cortez et P. Hidalgo s’interrogent sur la hiérarchisation des capacités marketing B2B et leur universalité selon les contextes institutionnels. La littérature existante liste de nombreuses capacités sans indiquer lesquelles prioriser selon les objectifs de performance, et se concentre majoritairement sur les économies avancées (Vorhies et Morgan, 2005 et Morgan, 2019). En mobilisant la théorie de la crossvergence (Ralston, 2008) et celle des capacités dynamiques (Teece, 2007), les auteurs testent empiriquement si les mêmes capacités produisent les mêmes effets dans des contextes institutionnels distincts.

• En premier lieu, nous présenterons le cadre théorique de la crossvergence et des capacités dynamiques mobilisé par les auteurs.
• Nous examinerons ensuite la méthodologie comparative et les résultats distinguant les capacités universelles des capacités contextuelles. Puis, nous analyserons les apports et les limites de l’étude.
• Nous terminerons par les recommandations managériales proposées selon les objectifs de performance visés.

Développement :

1. Cadre théorique et méthodologie

La théorie de la crossvergence dépasse l’opposition binaire entre convergence (standardisation globale) et divergence (adaptation locale) en proposant une hybridation où certaines pratiques convergent tandis que d’autres restent ancrées dans le contexte institutionnel local (Ralston, 2008 et Sheth, 2011). Les auteurs mobilisent également la théorie des capacités dynamiques de Teece (2007) pour classer les dix capacités marketing étudiées en trois fonctions. La fonction sensing regroupe la recherche marketing et l’intelligence digitale. La fonction seizing inclut la gestion des canaux, la vente personnelle et l’e-commerce. La fonction reconfiguring couvre la segmentation, le prix, le développement de nouvelles offres, la communication et les réseaux sociaux. L’étude compare trois pays aux profils institutionnels distincts, à savoir les États-Unis (grand marché avancé), le Danemark (petit marché avancé) et le Chili (marché émergent), sur un échantillon de 702 cadres dirigeants B2B. La collecte de données s’est effectuée en deux temps pour limiter les biais de variance commune, et l’analyse repose sur la modélisation par équations structurelles avec correction d’endogénéité via la méthode MIIV-2SLS, robuste pour isoler les effets causaux (Mora Cortez et Hidalgo, 2022).

2. Résultats et apports théoriques

Les résultats confirment la crossvergence en révélant un noyau dur universel coexistant avec des spécificités locales marquées. Trois capacités constituent des piliers universels quel que soit le contexte institutionnel (Wu, 2013). La segmentation et le ciblage constituent le prérequis indispensable au développement de toute capacité marketing de haut niveau. La gestion du prix est le moteur universel de la rentabilité dans les trois pays. Le développement de nouvelles offres est le moteur universel de la satisfaction client, confirmant que l’innovation produit est une clé en B2B quelle que soit la géographie (Vorhies et Morgan, 2005). Les divergences contextuelles sont tout aussi significatives. Aux États-Unis, les réseaux sociaux influencent positivement la satisfaction tandis que l’e-commerce l’affecte négativement, les clients percevant ce canal comme un manque de service personnel. Au Danemark, la vente personnelle influence à la fois la satisfaction et la rentabilité, la culture démocratique exigeant une attention égale pour tous les interlocuteurs. Au Chili, l’intelligence digitale impacte négativement les ventes en raison de la méfiance envers les données personnelles et des insuffisances technologiques, tandis que la gestion des canaux influence la rentabilité via les partenariats stratégiques propres aux clusters industriels locaux (Sheth, 2011). Sur le plan théorique, la convergence s’observe sur les dimensions les plus rationnelles du B2B tandis que la divergence émerge dès que les infrastructures digitales ou les relations humaines sont impliquées (Ralston, 2008). Les limites de l’étude incluent sa nature transversale qui ne permet pas d’observer l’évolution des capacités dans le temps ainsi que le recours aux perceptions déclaratives des dirigeants malgré les corrections statistiques apportées.

3. Recommandations managériales

Les auteurs proposent un guide de priorisation des capacités selon l’objectif de performance visé (Mora Cortez et Hidalgo, 2022). Pour améliorer la satisfaction client, l’investissement dans le développement de nouvelles offres constitue la recommandation universelle, complétée par les réseaux sociaux aux États-Unis, la vente personnelle au Danemark et la construction de relations de confiance face à l’incertitude institutionnelle au Chili. Pour maximiser les revenus, la recherche marketing et la gestion des canaux s’imposent dans les économies avancées, tandis qu’au Chili une surenchère digitale est à éviter car mal perçue par les clients. Pour améliorer la rentabilité, la compétence en pricing constitue la priorité universelle (Teece, 2007), complétée par la vente personnelle aux États-Unis et au Danemark, et par les partenariats de distribution stratégiques au Chili.

Conclusion :

L’article de Mora Cortez et Hidalgo apporte une contribution théorique et managériale significative à la littérature sur les capacités marketing B2B. En mobilisant conjointement la crossvergence (Ralston, 2008) et les capacités dynamiques (Teece, 2007), les auteurs démontrent que la mondialisation ne produit pas une uniformisation des pratiques marketing mais une hybridation où coexistent un noyau universel et des logiques contextuelles fortes.

Le principal apport réside dans la démonstration que la priorisation des capacités dépend à la fois de l’objectif de performance visé et du contexte institutionnel de l’entreprise (Morgan, 2019). La segmentation, le pricing et le développement de nouvelles offres constituent des investissements universellement justifiés, tandis que les capacités digitales et relationnelles requièrent une adaptation fine aux spécificités locales (Sheth, 2011 et Wu, 2013). Ce cadre offre aux dirigeants B2B opérant à l’international un outil concret de décision pour allouer leurs ressources marketing de manière optimale selon leur géographie et leurs priorités stratégiques.

Références bibliographiques

• Morgan, N. A. (2019). Researching Marketing Capabilities: Reflections from Academia. Industrial Marketing Management, 81, 4-7.
• Mora Cortez, R., & Hidalgo, P. (2022). Prioritizing B2B Marketing Capabilities: Crossvergence in Advanced and Emerging Economies. Industrial Marketing Management, 105, 422-438.
• Ralston, D. A. (2008). The Crossvergence Perspective: Reflections and Projections. Journal of International Business Studies, 39(1), 27-40.
• Sheth, J. N. (2011). Impact of Emerging Markets on Marketing: Rethinking Existing Perspectives and Practices. Journal of Marketing, 75(4), 166-182.
• Teece, D. J. (2007). Explicating Dynamic Capabilities: The Nature and Microfoundations of (Sustainable) Enterprise Performance. Strategic Management Journal, 28(13), 1319-1350.
• Vorhies, D. W., & Morgan, N. A. (2005). Benchmarking Marketing Capabilities for Sustainable Competitive Advantage. Journal of Marketing, 69(1), 80-94.
• Wu, J. (2013). Marketing Capabilities, Institutional Development, and the Performance of Emerging Market Firms. International Journal of Research in Marketing, 30(1), 36-45.

Référence de l’article :

Li, W. W., Leung, A. C. M., & Yue, W. T. (2023). Where is IT in information security? The interrelationship among IT investment, security awareness, and data breaches. MIS Quarterly, 47(1), 317–342.

https://doi.org/10.25300/MISQ/2022/15713

Mots-clés :

Contrôle de gestion, investissement IT, gestion des risques cyber, performance sécuritaire, gouvernance des systèmes d’information, sensibilisation à la sécurité (security awareness), pilotage des ressources, violations de données (data breaches)

Introduction synthétique :

Cet article examine la relation dynamique et bidirectionnelle entre les investissements dans les technologies de l’information (IT), les investissements spécifiques en cybersécurité et la survenue de violations de données. Le problème central réside dans le fait que, malgré l’augmentation des budgets de sécurité, les incidents prolifèrent, remettant en cause l’efficacité des approches réactives. L’objectif des auteurs est de démontrer que la sensibilisation à la sécurité (déclinée en conscience des menaces et des contre-mesures) est le “maillon manquant” qui permet d’intégrer efficacement les ressources IT pour améliorer la performance sécuritaire. Leur question de recherche interroge comment ces deux types de conscience modèrent l’impact des investissements sur la réduction des risques. Pour le contrôle de gestion, l’étude souligne que la cybersécurité ne doit pas être traitée comme un coût isolé, mais comme une composante intrinsèque du pilotage de la performance globale et de l’allocation des ressources technologiques.

Annonce du plan :

D’abord nous analyserons les définitions et concepts clés mobilisés par les auteurs. Ensuite nous examinerons les enjeux organisationnels ainsi que le rôle pivot du contrôle de gestion dans le pilotage du risque cyber. Enfin nous mettrons en évidence les outils méthodologiques, les résultats de l’étude et les implications pour la performance.

Développement structuré :

     A. Définitions et concepts clés:

• Risque cyber : Défini ici principalement par les violations de données (data breaches), qui impactent la réputation et la confiance des clients.
• Gouvernance des SI : Elle concerne l’alignement des objectifs de sécurité avec les processus métier et l’architecture d’entreprise.
• Contrôle interne : Les auteurs lient la sensibilisation à la sécurité à l’amélioration de la fonction d’audit interne (IAF) et à l’intégration de politiques de sécurité dans les routines quotidiennes.
• Pilotage de la performance : Mesuré par la capacité d’une firme à réduire la fréquence et l’ampleur (nombre de dossiers compromis) des violations de données au fil du temps.
• Indicateurs : L’étude utilise les budgets IT et de sécurité comme indicateurs de ressources, et les divulgations volontaires dans les rapports 10-K pour mesurer le niveau de conscience (SA).

  B. Enjeux organisationnels et managériaux du risque cyber

• Menaces pour la performance : Les violations de données entraînent des pertes financières directes et une dégradation durable de la valeur de l’entreprise sur le marché.
• Impact financier et stratégique : Les auteurs rejettent la vision myope consistant à traiter uniquement les symptômes (approches réactives) au profit d’une vision stratégique traitant les causes profondes dans les systèmes IT.
• Responsabilité managériale : La sensibilisation doit émaner du niveau de la direction générale pour favoriser la collaboration entre les fonctions sécurité et business.

   C. Rôle du contrôle de gestion dans la gestion du risque cyber

• Suivi des coûts liés aux incidents : L’article suggère de scruter les investissements IT après un incident pour corriger les inefficacités de conception.
• Budgets de cybersécurité : Les auteurs démontrent qu’un budget de sécurité isolé est souvent moins efficace qu’un investissement IT global “sécurisé par conception” (security by design).
• Aide à la décision : Le contrôle de gestion joue un rôle dans l’arbitrage entre la maintenance des systèmes hérités (legacy systems) et la modernisation IT, cette dernière étant plus efficace pour réduire les risques.
• Intégration du risque dans le pilotage stratégique : L’étude montre que les firmes ayant une forte conscience des menaces allouent plus de ressources à l’IT général pour traiter les vulnérabilités structurelles.

   D. Outils, modèles ou mécanismes évoqués

• Modèle PVAR (Panel Vector Autoregression) : Utilisé pour analyser les relations bidirectionnelles et dynamiques sur un panel de 311 entreprises américaines.
• Indicateurs de divulgation : Analyse textuelle des rapports annuels (10-K) pour quantifier la conscience des menaces (TA) et des contre-mesures (CA).
• Systèmes d’information : L’infrastructure IT elle-même est présentée comme l’outil principal de défense lorsqu’elle est correctement configurée.

   E. Résultats, apports et implications

• Apports théoriques : L’étude prouve que la performance de sécurité est complexe et dépend de l’investissement IT général, et non seulement des outils de sécurité. Elle décompose la sensibilisation à la sécurité en deux dimensions distinctes : menaces et contre-mesures.
• Apports pratiques : Les gestionnaires doivent intégrer la sécurité dans toutes les décisions IT plutôt que de la traiter de manière isolée.
• Impact sur la performance globale : Les entreprises ayant une forte conscience des contre-mesures utilisent leurs investissements IT pour réduire plus efficacement les violations que celles misant uniquement sur des “patchs” de sécurité.

  F. Limites de l’étude

• Échantillon : Données restreintes aux entreprises américaines cotées, ce qui peut limiter la généralisation aux PME ou à d’autres contextes géographiques.
• Nature des données : Dépendance aux violations déclarées (biais possible si certaines ne sont pas découvertes) et à la divulgation volontaire dans les rapports financiers comme proxy de la conscience

Conclusion :

Cet article est fondamental pour comprendre que le risque cyber n’est pas un problème purement technique, mais un défi de pilotage des ressources. Il démontre que l’efficacité du contrôle de gestion dans ce domaine repose sur la capacité à orienter les budgets vers une modernisation des infrastructures IT plutôt que vers une accumulation de solutions de sécurité réactives. Pour un mémoire, il offre une base quantitative solide pour justifier l’alignement stratégique entre IT, sécurité et performance organisationnelle, tout en proposant des indicateurs innovants basés sur la communication financière des entreprises.

Références citées dans l’article :

• Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916.
• Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457.
• Straub, D., & Welke, R. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, 22(4), 441-469.
• Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 38(2), 451-471

Référence de l’article

Tanriverdi, H., Kwon, J., & Im, G. (2025). Taming Complexity in the Cybersecurity of Multihospital Systems: The Role of Enterprise-Wide Data Analytics Platforms. MIS Quarterly, 49(1), 243-274.  https://doi.org/10.25300/MISQ/2024/17752.

Mots-clés

Contrôle de gestion, gestion des risques, cybersécurité, pilotage de la performance, gouvernance décentralisée, systèmes d’information complexes, indicateurs de contrôle, plateformes analytiques.

Introduction synthétique

L’article explore l’impact de la configuration organisationnelle et technologique des systèmes multi-unités (ici, les systèmes multi-hospitaliers) sur la fréquence des violations de données. Le problème de gestion traité réside dans la difficulté de maintenir des contrôles de sécurité efficaces face à une « complexité » croissante qui entrave la visibilité et la coordination managériale. L’objectif des auteurs est de démontrer comment les interactions non structurées (ad hoc) augmentent les risques, tandis que les interactions structurées via des plateformes de données (EWDAP) permettent de simplifier le système. Ils postulent que le risque cyber n’est pas seulement un problème technique mais découle de la structure de gouvernance et de la variété des services. Le lien avec le contrôle de gestion est établi par l’étude de la gouvernance et de l’efficacité des dispositifs de contrôle interne (techniques, processus et humains) pour assurer la performance globale et la continuité de service.

Annonce du plan

• D’abord nous analyserons la distinction conceptuelle entre le « compliqué » et le « complexe » et leur influence respective sur les faiblesses des contrôles internes.
• Ensuite nous examinerons les trois dimensions de la « complicatedness » (services, IT, gouvernance) et leurs impacts financiers et stratégiques sur l’organisation.
• Enfin nous mettrons en évidence le rôle des plateformes analytiques d’entreprise comme mécanisme de pilotage permettant de structurer les échanges d’informations et de mitiger les risques cyber.

Développement structuré

1. Définitions et concepts clés

• Risque cyber : Événement de compromission des données (disponibilité ou confidentialité) entraînant des pertes financières, réputationnelles et opérationnelles.
• Gouvernance des SI : Répartition des droits de décision entre un centre corporatif et des unités décentralisées concernant les services médicaux et les accords technologiques.
• Contrôle interne : Ensemble des contrôles techniques (logiciels, réseaux), de processus (procédures de gestion des changements) et humains (formation, comportements) visant à protéger les actifs informationnels.
• Pilotage de la performance : Capacité à réduire la probabilité de brèches tout en maintenant une intégration fluide des services au sein du réseau.
• Indicateurs (KRI/KPI) : Le nombre de violations de données annuelles sert de KRI principal, tandis que le niveau de maturité des plateformes EWDAP agit comme un indicateur de pilotage de la sécurité.

1. Enjeux organisationnels et managériaux du risque cyber

• Menaces pour la performance : 77 % des organisations de santé rapportent des effets négatifs sur les soins après une brèche.
• Impact financier et stratégique : Les coûts incluent les amendes réglementaires, les disruptions opérationnelles, les poursuites judiciaires et l’érosion de la confiance des parties prenantes.
• Responsabilité managériale : Les dirigeants doivent arbitrer entre l’autonomie des unités (gouvernance décentralisée) et la nécessité d’un cadre de sécurité unifié pour réduire la surface d’attaque.

1. Rôle du contrôle de gestion dans la gestion du risque cyber

• Suivi des coûts : Intégration des pertes financières liées aux brèches dans l’évaluation de la performance des unités.
• Budgets de cybersécurité : L’article suggère que l’investissement dans des plateformes de données communes (EWDAP) est plus efficace que la simple accumulation de composants technologiques isolés.
• Tableaux de bord : Utilisation de plateformes centralisées pour obtenir une vue unifiée des flux de données et surveiller les comportements anormaux des utilisateurs.
• Aide à la décision : Analyse de la “matérialité” des faiblesses de contrôle IT liées à la stratégie de l’entreprise.
• Intégration du risque : Transition d’un pilotage réactif vers une structuration proactive des interactions organisationnelles pour limiter l’émergence de comportements imprévisibles.

1. Outils, modèles ou mécanismes évoqués

• Indicateurs : Variables de « complicatedness » (SVC, HIT, Gov) et maturité EWDAP.
• Systèmes d’information : Plateformes analytiques d’entreprise (EWDAP) qui traduisent des données hétérogènes en formats structurés.
• Méthodes de mesure du risque : Utilisation de la science de la complexité pour distinguer les interactions linéaires (prévisibles) des interactions non linéaires (ad hoc).
• Dispositifs de contrôle interne : Codification des faiblesses de contrôle selon les guides GTAG et COBIT.

1. Résultats, apports et implications

• Apports théoriques : Distinction majeure entre le « compliqué » (grand nombre de composants structurés) et le « complexe » (interactions ad hoc), montrant que seul le second est réellement incontrôlable.
• Apports pratiques : Les EWDAP renforcent les contrôles de processus et réduisent les brèches externes, bien qu’elles puissent augmenter légèrement les erreurs internes dues à la manipulation de systèmes plus sophistiqués.
• Impact sur la performance globale : La structuration des échanges via une plateforme commune réduit significativement le risque global de l’organisation multi-unités.

1. Limites de l’étude L’étude se concentre sur un seul secteur (santé), utilise des données pré-pandémiques (avant l’explosion du télétravail) et ne prend pas en compte d’autres acteurs comme les maisons de retraite ou les réseaux de soins à domicile.

Conclusion

Cet article apporte une contribution essentielle au contrôle de gestion en démontrant que le risque cyber est intrinsèquement lié à la structure organisationnelle et au mode de partage de l’information. Pour un mémoire, il est particulièrement utile car il fournit un cadre théorique (science de la complexité) et empirique pour justifier le passage d’un contrôle technique isolé vers un pilotage stratégique par les plateformes de données, capable de “simplifier” les organisations multi-unités et de protéger leur performance boursière et opérationnelle.

Références citées dans l’article

• Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916.
• Bazzoli, G. J., Shortell, S. M., Dubbs, N., Chan, C., & Kralovec, P. (1999). A taxonomy of health networks and systems: Bringing order out of chaos. Health Services Research, 33(6), 1683-1717
• Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 38(2), 451-472.
• Li, C., Peters, G. F., Richardson, V. J., & Watson, M. W. (2

Référence de l’article

Li, W. W., Leung, A. C. M., & Yue, W. T. (2023). Where is IT in Information Security? The Interrelationship Among IT Investment, Security Awareness, and Data Breaches. MIS Quarterly, 47(1), 317-342.https://doi.org/10.25300/MISQ/2022/15713

Mots-clés

Contrôle de gestion, gestion des risques cyber, investissement IT, performance sécuritaire, sensibilisation à la sécurité (security awareness), gouvernance des SI, causes profondes (root causes), budgets de sécurité..

Introduction synthétique

L’article explore la relation dynamique entre les investissements en technologies de l’information (IT), les investissements spécifiques à la sécurité et la survenance de violations de données. Le problème central réside dans l’inefficacité constatée des augmentations budgétaires massives dédiées uniquement à la sécurité, qui ne parviennent pas à freiner la prolifération des cyberattaques. L’objectif des auteurs est de démontrer que l’investissement IT général, lorsqu’il est modéré par une forte sensibilisation à la sécurité au niveau de la direction, est plus efficace pour réduire les risques que l’investissement de sécurité isolé,. Les auteurs testent l’hypothèse selon laquelle la sensibilisation aux menaces et aux contre-mesures permet d’identifier et de traiter les causes profondes des failles logées dans l’infrastructure IT sous-jacente,. Pour le contrôle de gestion, cela souligne la nécessité d’intégrer la cybersécurité dans le pilotage global des ressources technologiques plutôt que de la traiter comme un centre de coût isolé,.

Annonce du plan

• D’abord nous analyserons les concepts de sensibilisation aux menaces et aux contre-mesures comme leviers de la performance.
• Ensuite nous examinerons l’inefficacité des investissements de sécurité réactifs face à la robustesse des investissements IT structurels.
• Enfin nous mettrons en évidence les implications pour la gouvernance et le pilotage stratégique de la performance globale.

Développement structuré

A. Définitions et concepts clés

• Risque cyber : Mesuré ici par la fréquence et l’ampleur des violations de données (data breaches) qui nuisent à la réputation et à la confiance des clients,.
• Gouvernance des SI : Processus de décision concernant l’allocation des ressources IT et la collaboration entre les fonctions d’audit interne et les unités d’affaires,.
• Contrôle interne : Intégration de politiques de sécurité et de pratiques d’audit au sein des routines opérationnelles pour prévenir les erreurs humaines ou les failles de configuration.
• Pilotage de la performance : Capacité à réduire les incidents cyber (résultat de sécurité) par une gestion optimale du mix d’investissement IT/Sécurité,.
• Indicateurs : L’étude utilise les budgets IT/sécurité (KPI de moyens) et le nombre de violations ou enregistrements piratés (KPI de résultat),.

B. Enjeux organisationnels et managériaux du risque cyber

• Menaces pour la performance : Les violations de données impactent négativement la valeur de l’entreprise et la confiance des parties prenantes,.
• Impact financier et stratégique : L’inefficacité des dépenses de sécurité actuelles crée un “piège mental” consistant à traiter les symptômes (patches) plutôt que les causes fondamentales (systèmes obsolètes),.
• Responsabilité managériale : Nécessité pour les cadres dirigeants d’adopter une vision holistique (“Security by design”) où la sécurité est un facteur de chaque décision IT,.

C. Rôle du contrôle de gestion dans la gestion du risque cyber

• Suivi des coûts liés aux incidents : Utilisation des violations passées comme déclencheurs d’investissements stratégiques.
• Budgets de cybersécurité : Arbitrage entre les solutions de sécurité “symboliques” (purement conformes) et les investissements IT substantiels (modernisation),.
• Tableaux de bord : Intégration de la sensibilisation (mesurée par les divulgations volontaires) comme indicateur de la maturité du risque,.
• Aide à la décision : Orientation des fonds vers la modernisation des systèmes hérités (legacy systems) pour éliminer les vulnérabilités structurelles,.
• Intégration du risque dans le pilotage stratégique : Aligner les stratégies IT globales avec les objectifs de sécurité pour éviter le gaspillage budgétaire,.

D. Outils, modèles ou mécanismes évoqués

• Indicateurs : Analyse des rapports annuels 10-K pour quantifier la sensibilisation aux menaces (TA) et aux contre-mesures (CA),.
• Systèmes d’information : Utilisation de bases de données comme CiTDB (Harte-Hanks) pour suivre les budgets IT réels au niveau des sites.
• Méthodes de mesure du risque : Modèle Panel Vector Autoregression (PVAR) pour capturer les relations bidirectionnelles et l’endogénéité entre investissement et performance,,.
• Dispositifs de contrôle interne : Renforcement de la collaboration entre les fonctions d’audit interne et les autres unités via la sensibilisation à la sécurité,.

E. Résultats, apports et implications

• Apports théoriques : Décomposition de la sensibilisation en deux dimensions (Menaces et Contre-mesures) et démonstration de leur rôle modérateur sur la performance IT,.
• Apports pratiques : Les entreprises sensibilisées investissent davantage dans l’IT après une attaque, reconnaissant que les failles proviennent souvent de systèmes mal conçus,.
• Impact sur la performance globale : L’investissement IT réduit plus efficacement les violations que l’investissement de sécurité seul, à condition qu’il y ait une forte sensibilisation aux contre-mesures,.

F. Limites de l’étude

• Échantillon restreint aux entreprises américaines cotées en bourse entre 2010 et 2017,.
• Difficulté à collecter des données sur les violations non découvertes ou non signalées.
• La mesure de la sensibilisation basée sur les divulgations publiques peut être imparfaite par rapport à la réalité interne.

Conclusion

L’apport majeur de cet article pour le contrôle de gestion est de démontrer que la cybersécurité ne doit pas être pilotée de manière isolée. L’étude prouve que la performance sécuritaire est une conséquence de la qualité de l’infrastructure IT globale et de la maturité culturelle de la direction (sensibilisation),. Pour un mémoire, cet article est un support précieux pour justifier que le contrôle des risques cyber passe par une modernisation des systèmes d’information plutôt que par une simple accumulation de logiciels de protection,.

Références citées dans l’article

• Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916..
• Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457..
• Hsu, C., Lee, J.-N., & Straub, D. W. (2012). Institutional influences on information systems security innovations. Information Systems Research, 23(3), 918-939..
• Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 38(2), 451-471..
• Straub, D., & Welke, R. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, 22(4), 441-469..

Référence de l’article

D’Arcy, J., & Basoglu, K. A. (2022). The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures. Journal of the Association for Information Systems, 23(3), 779-805. https://doi.org/10.17705/1jais.00740

Mots-clés

Cybersécurité, gestion des risques, divulgation d’informations (disclosure), pilotage de la performance, théorie de la légitimité, pression institutionnelle, gouvernance des systèmes d’information, rapports 8-K.

Introduction synthétique

Cet article explore les déterminants des divulgations opportunes d’informations sur la cybersécurité dans les rapports 8-K déposés auprès de la SEC. Le problème central réside dans la gestion de la communication après une violation de données, un événement qui engendre des coûts financiers et réputationnels substantiels menaçant la viabilité de l’entreprise. L’objectif des auteurs est de déterminer si des pressions externes, autres que réglementaires, incitent les entreprises à communiquer sur leurs risques et leur gestion de la sécurité. Ils testent l’hypothèse selon laquelle la pression publique (attention médiatique) et la pression institutionnelle (violations chez les pairs) agissent comme des moteurs de divulgation, modulés par l’origine interne ou externe de la faille. Pour le contrôle de gestion, cette recherche souligne que la cybersécurité n’est pas qu’un défi technique, mais un enjeu de pilotage stratégique de l’information pour maintenir la légitimité auprès des investisseurs.

Annonce du plan

• D’abord nous analyserons les fondements théoriques de la divulgation comme outil de légitimation et les concepts clés liés à la gouvernance de l’information.
• Ensuite nous examinerons les enjeux managériaux du risque cyber et comment les pressions de l’environnement influencent la performance perçue.
• Enfin nous mettrons en évidence les résultats de l’étude concernant le rôle du pilotage de la communication dans la réduction de l’asymétrie d’information et les limites de ces mécanismes.

Développement structuré

A. Définitions et concepts clés

• Risque cyber : Comprend les violations de données, les attaques par déni de service et les ransomwares, entraînant des coûts financiers et réputationnels majeurs.
• Gouvernance des SI : Elle se manifeste ici par la gestion stratégique des rapports financiers et réglementaires (10-K, 10-Q, 8-K) visant à informer les parties prenantes sur la viabilité à long terme de l’organisation.
• Contrôle interne : Mentionné à travers le cadre de la loi Sarbanes-Oxley (SOX), il impose l’identification des faiblesses matérielles des contrôles informatiques liés à l’information financière.
• Pilotage de la performance : Capacité de l’entreprise à maintenir sa valeur boursière et la confiance des investisseurs face à des événements défavorables.
• Indicateurs de risque (KRI) et de performance (KPI) : L’étude utilise le volume de recherche Google comme indicateur de pression (KRI) et le nombre de mots liés à la sécurité dans les rapports 8-K (DiscWord) comme mesure de l’effort de transparence (KPI).

B. Enjeux organisationnels et managériaux du risque cyber

• Menaces pour la performance : Les cyberattaques impactent négativement le prix des actions, la qualité de l’information financière et peuvent entraîner le départ de dirigeants (CEO/CFO).
• Impact financier et stratégique : Une violation peut réduire les dépenses des clients et les pousser vers des canaux concurrents. Les investisseurs utilisent ces divulgations pour ajuster leurs décisions d’investissement.
• Responsabilité managériale : Les gestionnaires exercent un pouvoir discrétionnaire sur la quantité et la nature des informations divulguées, arbitrant entre transparence et protection contre de futures attaques (ne pas aider les hackers).

C. Rôle du contrôle de gestion dans la gestion du risque cyber

• Suivi des coûts : Le contrôle de gestion doit intégrer les dommages financiers directs et les litiges potentiels liés aux failles.
• Budgets de cybersécurité : L’article mentionne les dépenses en capital (CapEx) comme un facteur lié à la taille de l’entreprise et à sa probabilité de subir une attaque.
• Tableaux de bord et aide à la décision : La gestion des rapports 8-K sert d’outil de pilotage proactif pour combler le “fossé de légitimité” créé par une crise.
• Intégration stratégique : Le contrôle de gestion aide à décider si une information est “matérielle” (significative) pour l’investisseur, influençant ainsi la communication stratégique de l’entreprise.

D. Outils, modèles ou mécanismes évoqués

• Indicateurs : “DiscWord” (comptage de mots-clés de sécurité) mesure l’étendue de la divulgation.
• Systèmes d’information : Utilisation de la base de données EDGAR de la SEC et de scripts d’extraction de données pour analyser les rapports financiers.
• Méthodes de mesure du risque : Études d’événements boursiers et analyses de régression (MCO et binomiale négative) pour lier les pressions aux divulgations.
• Dispositifs de contrôle interne : Évaluations post-brèche incluant la réinitialisation des mots de passe et les audits médico-légaux par des tiers.

E. Résultats, apports et implications

• Apports théoriques : L’étude affine la théorie de la légitimité en montrant que les entreprises sont sélectives : elles communiquent davantage après une faille externe (jugée moins blâmable) qu’après une faille interne.
• Apports pratiques : Les gestionnaires utilisent les violations chez les pairs pour se différencier (en divulguant moins) afin de signaler qu’ils ne partagent pas les mêmes faiblesses sectorielles, sauf s’ils sont eux-mêmes victimes.
• Impact sur la performance globale : Une communication proactive suite à une pression publique peut aider à restaurer la confiance, tandis que la rétention d’information sur les failles internes peut conduire à une évaluation erronée de la valeur de l’entreprise.

F. Limites de l’étude

• La mesure de la pression publique par Google Trends ne distingue pas si l’attention est positive ou négative.
• L’agrégation annuelle des données ne permet pas de mesurer avec précision la “rapidité” de la réponse au jour près.
• Le focus sur les entreprises cotées américaines limite la généralisation à d’autres contextes réglementaires.

Conclusion

Cet article démontre que la divulgation d’informations cyber est un acte de pilotage stratégique dicté par la gestion de la réputation et de la légitimité. Pour un mémoire en contrôle de gestion, il est crucial car il établit que le reporting cyber n’est pas seulement une réponse à la loi, mais une réaction aux attentes du marché et à la pression publique. L’étude offre un cadre pour comprendre comment les indicateurs de risque externes (attention publique) transforment les politiques de reporting interne et influencent la performance boursière.

Références citées dans l’article

• Bansal, P., & Clelland, I. (2004). Talking trash: Legitimacy, impression management, and unsystematic risk in the context of the natural environment. Academy of Management Journal, 47(1), 93-103.
• Gordon, L. A., Loeb, M. P., & Sohail, T. (2010). Market value of voluntary disclosures concerning information security. MIS Quarterly, 34(3), 567-594.
• Li, H., No, W. G., & Wang, T. (2018). SEC’s cybersecurity disclosure guidance and disclosed cybersecurity risk factors. International Journal of Accounting Information Systems, 30, 40-55.
• Securities and Exchange Commission (SEC). (2018). Commission statement and guidance on public company cybersecurity disclosures.
• Zavyalova, A., Pfarrer, M. D., Reger, R. K., & Shapiro, D. L. (2012). Managing the message: The effects of firm actions and industry spillovers on media coverage following wrongdoing. Academy of Management Journal, 55(5), 1079-1101.