management des réseaux personnels et de la sécurité de
TRANSCRIPT
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 1
AIX-MARSEILE UNIVERSITE
INSTITUT DE MANAGEMENT PUBLIC
ET
GOUVERNANCE TERRITORIALE
Ecole Doctorale des Sciences Economiques et de Gestion d’Aix-Marseille
Centre d’Etudes et de Recherche en Gestion d’Aix-Marseille
Management des réseaux personnels et de la sécurité de
l’information dans une perspective d’innovation : le rôle de la
culture organisationnelle
THESE
POUR L’OBTENTION DU DOCTORAT EN SCIENCES DE GESTION
d’Aix-Marseille Université
Présentée et soutenue publiquement le 13 décembre 2013 par
Jean-François BERTHEVAS
Membres du jury :
Rapporteurs : Professeur Marc BIDAN, Polytech Nantes
Professeur Régis MEISSONIER, Université de
Picardie Jules Vernes
Suffragant : Professeur Jean-Rodolphe LOPEZ, Aix
Marseille Université
Directeur de la recherche : Serge AMABILE, Maître de conférences,
Habilité à Diriger les Recherches, Aix Marseille
Université
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 2
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 3
L’Université Aix-Marseille n’entend donner aucune
approbation ni improbation aux opinions émises dans les
thèses ; ces opinions doivent être considérées comme
propres à leurs auteurs.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 4
« Ce que d'autres peuvent faire au premier essai, il le fera au centième ; ce que d'autres
peuvent faire au dixième essai, il le fera au millième. Sans doute, celui qui tiendra cette
conduite, fut-il ignorant, deviendra éclairé, fut-il faible, il deviendra fort. »
[Tcheng-Tseu, penseur chinois, IVe siècle av. J.-C]
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 5
Je dédie cette thèse à mon fils et à toute ma famille.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 6
Remerciements
Mes remerciements vont en premier lieu à Serge Amabile qui m’a fait l’honneur d’accepter de
diriger ma thèse. Je lui suis particulièrement reconnaissant de m’avoir prodigué ses conseils,
et de m’avoir apporté un soutien permanent. Serge Amabile a su fédérer ses doctorants autour
d’une dynamique d’équipe remarquable. J’ai particulièrement apprécié la convivialité et la
richesse des échanges lors des réunions de travail qu’il animait.
Je suis très honoré et je remercie particulièrement les Professeurs Marc Bidan et Régis
Meissonier qui ont accepté de rapporter cette thèse.
Je tiens également à remercier très chaleureusement le Professeur Jean-Rodolphe Lopez pour
avoir accepté de participer à mon jury de thèse et représenter l’Institut de Management Public
et GouvernanceTerritoriale. Je suis très fier et très reconnaissant d’avoir effectué mon
doctorat au sein de cet institut, où j’ai pu enseigner et apprécier la grande qualité du corps
professoral.
Sophie Courcault et mon père pour leur aide et leurs encouragements.
Coralie Haller pour son soutien permanent, sa sincérité et son amitié.
Daisy Bertrand, Bénédicte Aldebert, Annelise Mathieu, Manelle Guetchouli, Valérie
Caraguel, Fouzia Afriked, Adrien Peneranda, Yvan Pastorelli, Soulaimane Laghzaoui et
Antonin Ricard pour leurs conseils bienveillants, tout au long de mon parcours doctoral.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 7
Résumé
Selon les experts du Sénat (Sénat - rapport 161, 2012: 23), « les institutions
1 françaises sont
aujourd’hui "massivement" victimes de tentatives de vol d’information». La sécurité de
l’information est d’autant plus importante que les frontières des institutions sont, maintenant,
nécessairement perméables. Notamment, l’usage des réseaux personnels par les salariés est
susceptible de soutenir l’activité d’innovation… tout en créant des failles potentielles pour la
sécurité de l’information. L’être humain est par conséquent le maillon faible des dispositifs de
sécurité (Mitnick, 2002). Plus que la technologie, la culture organisationnelle peut alors être
présentée comme un moyen d’inculquer des comportements responsables de gestion de
l’information.
L’intérêt de notre recherche se trouve donc dans l’ambigüité qui consiste pour les salariés, à
échanger de l’information avec leurs relations personnelles, sans mettre en danger
l’institution. Nous focalisons notre attention sur l’acquisition d’informations et nous tentons
d’apporter des réponses aux trois questions suivantes. Dans quelle mesure les valeurs
individuelles et les valeurs organisationnelles perçues par les salariés influencent-elles leurs
comportements de recherche d’informations ? En quoi le capital social s’oppose-t-il ou
renforce-t-il les pratiques organisationnelles de sécurité de l’information dans l’échange
d’informations ? Quels effets les mesures organisationnelles de sécurité de l’information et le
management de l’institution concernée produisent-ils sur la culture organisationnelle et les
comportements de sécurité dans l’échange d’informations ?
Notre thèse mobilise un cadre conceptuel pluridisciplinaire : le capital social (Coleman,
1988 ; Caillé, 2009), les réseaux sociaux (Granovetter, 1973 ; Burt, 1992, 2010), les
approches culturalistes de la déviance (Sellin, 1938 ; Cohen, 1955 ; Sutherland, 1966), la
culture organisationnelle (Schein, 1984), les valeurs universelles (Schwartz, 1994) et
l’innovation (Alter, 2000 ; Sarasvathy, 2001). La méthodologie de recherche est hypothético-
déductive. Nous avons mené une étude quantitative qui nous a permis d’obtenir plus de 300
réponses exploitables.
Nos résultats montrent que la valeur de pouvoir joue un rôle important dans l’acquisition
d’informations. Les mesures organisationnelles de sécurité limitent la diffusion
d’informations stratégiques et responsabilisent les salariés dans leurs pratiques d’échange
d’informations. La culture organisationnelle médiatise le rôle du manager de proximité.
L’influence de ce dernier est déterminante. Il médiatise les mesures organisationnelles de
sécurité et agit positivement sur la perception qu’on les salariés de l’ensemble des valeurs
organisationnelles. Cependant, l’usage préférentiel des médias amovibles pose des problèmes
importants pour la sécurité de l’information.
Mots clés : Sécurité de l’information, réseau personnel, culture organisationnelle, déviance,
innovation, étude quantitative, enquête.
1 Terme générique qui regroupe les services publics d’états et des collectivités territoriales, les entreprises, les associations.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 8
Abstract
According to experts of the Senate (Senate - report 161, 2012: 23), « the French institutions
are now" massively "victims of attempted theft of information [] the damage on the French
economy is considerable ». Security of information is even more important that now, the
boundaries of institutions are necessarily permeable. In particular, the use of personal
networks by employees is likely to support innovation activity ... while creating potential
loopholes for information security. A human being is therefore the weakest link in security
features (Mitnick2, 2002). More than technology, organizational culture would be a way to
instill responsible behavior in information management.
The interest of our research is therefore in the ambiguity that is for employees to share
information with their personal relationships, without endangering the institution. We focus
on the acquisition of information and we try to provide answers to three questions: What are
organizational and individual values of employees that influence behavior? How the social
capital is opposed to or strengthens the organizational practices of information security? What
are the organizational and management security measures that influence organizational
culture and behavioral safety?
Our thesis mobilizes a multidisciplinary framework: social capital (Bourdieu, 1980a ;
Coleman , 1988 ; Caillé, 2009) , social networks (Granovetter, 1973 ; Burt, 1992 ; Burt,
2010), culturalist theories of deviance (Sellin, 1938; Cohen, 1955; Sutherland, 1966) ,
organizational culture (Schein, 1984), universal values (Schwartz, 1994) and innovation
(Alter, 2000; Sarasvathy, 2001). The research methodology is hypothetico-deductive. We
conduct a quantitative study of 280 participants.
Our result shows that the value of power plays an important role in the acquisition of
information. Organizational Security measures limit the dissemination of strategic
information and empower employees in their information sharing practices. Organizational
culture mediates the role of local managers. The influence of this manager is crucial. He also
mediates organizational security measures and act positively on the perception of employees
of all organizational values. However, the preferential use of removable media poses
significant security information problems.
Key words: Information security, personal network, organizational culture, universal values,
deviance, innovation, quantitative study, survey.
2 Kevin Mitnick was one of the most famous hackers. He now advises ENISA (European Network and Information Security Agency).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 9
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 10
Sommaire
INTRODUCTION GENERALE
1. CONTEXTE DE LA RECHERCHE ......................................................................... 13
2. PROBLEMATIQUE DE LA RECHERCHE ............................................................ 14
3. DEMARCHE DE LA RECHERCHE ........................................................................ 20
4. CONTRIBUTIONS ATTENDUES DE LA RECHERCHE ...................................... 22
5. ARCHITECTURE DE LA RECHERCHE ............................................................... 24
PARTIE 1
CHAPITRE I : LE CAPITAL SOCIAL
1. LE CAPITAL SOCIAL .............................................................................................. 28
2. RESEAU SOCIAL ET INNOVATION ..................................................................... 72
3. CE QU’IL FAUT RETENIR DU CHAPITRE 1 ....................................................... 91
CHAPITRE II : LA SECURITE DE L'INFORMATION
1. LA SECURITE DE L’INFORMATION ................................................................... 97
2. POUR UN APPROFONDISSEMENT DE LA RECHERCHE SUR DES EFFETS
DE LA CULTURE ORGANISATIONNELLE ............................................................... 120
3. CE QU’IL FAUT RETENIR DU CHAPITRE 2 ..................................................... 144
CHAPITRE III : LA CULTURE ORGANISATIONNELLE
1. LA CULTURE ORGANISATIONNELLE ............................................................. 149
2. OPERATIONNALISATION.................................................................................... 169
3. CE QU’IL FAUT RETENIR DU CHAPITRE 3 ..................................................... 189
PARTIE 2
CHAPITRE IV : METHODOLOGIE ET CONCEPTION DE L’ETUDE EMPIRIQUE
1. L’APPROCHE OPERATIONNELLE .................................................................... 198
2. APPROCHE METHODOLOGIQUE ...................................................................... 250
3. CE QU’IL FAUT RETENIR DU CHAPITRE 4 ..................................................... 265
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 11
CHAPITRE V : VALIDATION DES INSTRUMENTS DE MESURE DES
CONSTRUITS
1. PRESENTATION DES ECHANTILLONS ET ANALYSES PRELIMINAIRES 269
2. VALIDATION DES ECHELLES DE MESURE DES CONSTRUITS CENTRAUX
DU MODELE ................................................................................................................... 279
3. DISCUSSION ET MISE EN PERSPECTIVE DES RESULTATS ........................ 308
4. CE QU’IL FAUT RETENIR DU CHAPITRE 5 ..................................................... 321
CONCLUSION GENERALE
1. REPONSES AUX QUESTIONS DE RECHERCHE .............................................. 324
2. APPORTS DE LA RECHERCHE ........................................................................... 329
3. FUTURES VOIENT DE RECHERCHE ................................................................. 336
BIBLIOGRAPHIE ........................................................................................................... 336
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 12
INTRODUCTION GENERALE
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 13
1. Contexte de la recherche
Dans une économie de l’immatériel, où les organisations de toutes formes et natures (firmes,
services de l’Etat, Collectivités territoriales, institutions, associations, etc.) sont de plus en
plus interconnectées, l’information et ses usages peuvent se situer à l’origine d’avantages
concurrentiels. En cela, ils sont susceptibles de favoriser la performance des structures
concernées (Amabile et al, 2012, 2013). Toutefois, comme le dit un vieil adage, « il y a
toujours un revers à la médaille » ! Exprimé autrement, de nombreuses difficultés sont
rencontrées lors de la conception et du déploiement de dispositifs organisationnels de
management de l’information (Lesca et Caron-Fasan, 2008). En particulier, le vol et la
détérioration de cette dernière constituent des menaces pour les organisations suivantes :
Les services publics français:
Entre janvier et décembre 2010, le ministère de l’économie et des finances français, fut
victime de l’intrusion informatique. Un « cheval de Troie » introduit dans les systèmes
informatiques a permis l’espionnage des activités de ce ministère.
Les entreprises françaises :
Les services publics d’Etat ne sont pas les seules victimes de ce type d’attaques. Selon le
magazine l’Expansion (septembre, 2011), le groupe AREVA en fut lui aussi la cible. Selon un
récent rapport du Sénat français (Sénat, rapport 161, 2012 : 26) « des hackers auraient, durant
ces deux dernières années, réussis à pénétrer le réseau informatique du groupe et à prendre
le contrôle d’ordinateurs ». Au total, le coût pour l’entreprise de cette opération
d’assainissement et de reconfiguration d’une partie de son système d’information a été de
l’ordre de plusieurs millions d’euros. Notons, en outre, que le préjudice économique éventuel,
résultant du vol des informations, est difficile à évaluer.
Les citoyens français :
Le 15 mars 2012, le magazine « Informatique et sécurité » publiait un article sur les risques
portés par les réseaux sociaux : « Le réseau social LinkedIn est une source d’information pour
les pirates. Tout au long de l’année 2011, ce réseau a fait l’objet de critiques sur son aspect
sécurité et de nombreux articles sur le sujet apparurent lors de son introduction en
bourse »3.Ce réseau constitue une importante source de connaissances pour les pirates
désireux de s’attaquer aux ressources informationnelles des institutions. En effet, comme le
souligne K.R. Mitnick4 (2002), « il est beaucoup plus facile de tromper quelqu'un pour
obtenir un mot de passe que de procéder à des manipulations techniques dans le même but ».
3 http://www.informatique-securite.net/securite-it-les-hackers-utilisent-le-reseau-social-linkedin/, 15 mars 2012. 4 Kevin Robert Mitnick est l’un des plus célèbres pirates informatiques. Aujourd’hui repenti, il conseille
l’ENISA (European Network and Information Security Agency).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 14
Les institutions françaises sont aujourd’hui « massivement » (Sénat, rapport 161, 2012 : 23)
victimes de tentative de vol d’informations. Ces vols visent, notamment, à capturer des
informations portant sur les dirigeants, les clients, les fournisseurs, les technologies, les
stratégies, en particulier à l’export. S’il n’existe pas de données chiffrées globales et fiables,
tout laisse à penser que le préjudice subi par l’économie française est considérable :
finances, parts de marché, développements économiques, emplois, etc. (Sénat, rapport 161).
Il paraît donc pertinent que les organisations protègent leurs informations. Pourtant, dans un
enquête menée en 2012 auprès de plusieurs centaines de grandes entreprises, le Clusif (Club
de la Sécurité de l’Information Français) a relevé que la mise en application concrète des
politiques de sécurité n’est toujours pas avérée : « une large proportion d’entreprises (79%)
ne mesure pas régulièrement son niveau de sécurité liée à l’information (pas de tableau de
bord de la sécurité de l'information) » (Clusif, 2002 : 2).
En outre, au-delà des menaces portées directement aux systèmes informatiques, il parait
également intéressant de considérer la dimension humaine de la sécurité de l’information. En
effet, le facteur humain est souvent présenté comme l’une, voire la principale faiblesse des
dispositifs de sécurité par lequel s’infiltrent de nombreux pirates pour pénétrer des systèmes
d’information des entreprises (Mitnick, (2002). Exprimé différemment, au-delà des aspects
techniques, la protection des informations dépend également des comportements des salariés.
2. Problématique de la recherche
Les salariés manipulent les informations qui sont susceptibles de participer à la richesse des
organisations. Ils mobilisent leurs réseaux personnels pour transmettre et acquérir de
l’information, qu’ils utilisent à leur profit et à celui des institutions. (Coleman, 1988 ;
Granovetter, 1973 ; Burt, 1992). Un nombre élevé des travaux de recherches portant sur ce
sujet met en perspective les éléments suivants.
Le réseau personnel est une source d’innovation :
En effet, ce réseau est un lieu de circulation et de création de connaissances, comme, par
exemple, les communautés de pratiques (Wenger, 1998 ; Brown et Duguid 2001). Les
institutions peuvent les mettre à profit en développant notamment, des routines
organisationnelles (Nelson et Winter 1982), des capacités d’absorption (Cohen et Levinthal
1990) et des capacités dynamiques (Teece, Pisano et Shuen 1997).
Cette création de connaissances alimente l’activité d’innovation qui repose en premier lieu sur
l’émergence d’idées nouvelles. Comme Uzzi et Spiro (2005 : 448) l’ont écrit : « les
innovations clés dans l’art, les sciences et la politique, ont émergé d’esprits créatifs de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 15
personnes comme Darwin, Adam Smith ou encore les Beatles. Ces célébrités étaient toutes
membres de réseaux de relations avec qui ils partageaient et discutaient leurs idées ».
Cependant, les réseaux sont souvent abordés sous leurs dimensions bénéfiques pour les
organisations. Les recherches concernant les éventuels aspects négatifs ou autres déviations
restent peu développées.
La littérature scientifique s’est peu intéressée aux effets néfastes des réseaux sociaux.
En ce qui concerne la R&D (Recherche et Développement), Von Hippel (1987:4-5) déclare
que les ingénieurs de firmes différentes, mais qui fabriquent des produits similaires en suivant
des processus proches, s’échangent des informations en révélant si nécessaire les savoir-faire,
propriétés de leur firme. Ces ingénieurs jugent du degré de sensibilité de l’information. Si
celui-ci leur paraît acceptable pour autoriser l’échange, alors cette information est donnée au
contact qui en a besoin. Ce don génère une obligation de contre-don5.
L’étude menée par Shrader (1991) montre ainsi que des informations techniques sont
échangées de manière informelle entre les firmes, y compris entre compétiteurs. Les employés
se livrent à ce type d’échanges pour satisfaire les intérêts économiques de leur firme. C’est-à-
dire qu’ils écartent toute transaction risquée. Pour décider de la pertinence de l’échange, les
acteurs évaluent l’importance de l’information à récupérer et le degré de compétition entre les
firmes, la nature de leurs relations personnelles restant secondaire. Shrader (1991 :12-13)
insiste également sur les effets amplificateurs de la réciprocité. Plus l’information reçue a de
la valeur, plus le récepteur est redevable de l’émetteur. L’échange d’informations est possible
si :
le récepteur n’est pas en compétition directe avec l’émetteur, ou ils ne sont pas
membre de firmes rivales,
les domaines d’applications des informations échangées sont différents. Dans ce cas,
le bénéfice peut même être conséquent pour les deux firmes.
le compétiteur peut acquérir ces informations par d’autres sources.
Quand des rivaux coopèrent et échangent de façon informelle des idées qui ne constituent pas
en l’état des savoirs commercialisables (« sellable truth »), alors la valeur de l'information
supplémentaire acquise dans l’échange est supposée dépasser la perte de valeur occasionnée
par son partage (Kreiner et Shultz, 1993: 197-198). Le partage de cette idée prometteuse est
peu coûteux. Les parties prenantes de l’échange peuvent tirer des dividendes substantiels de
son développement et de son exploitation.
5 Von Hippel fait ici référence aux travaux de Marcel Mauss, 1954, The Gift: Forms and Functions of Exchange in Archaic
Societies,trans. Ian Cunnison (Glencoe, IL: The Free Press) pour justifier de la réciprocité des échanges.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 16
Qu’ils soient centrés sur l’acquisition de connaissances, l’amélioration de la créativité au
travers des ressources disponibles ou de la structure des réseaux personnels, tous ces travaux
montrent les effets positifs des réseaux. Les effets négatifs restent largement sous-estimés,
voire ignorés. Ainsi, Von Hippel (1987), Schrader (1991) et Kreiner et Schultz (1993)
s’intéressent aux avantages que procurent les réseaux sociaux. Ils ne considèrent pas les
risques dont ces derniers sont potentiellement porteurs. S’ils admettent que ces échanges ont
parfois lieu, ils n’en recherchent pas les causes et les moyens d’y remédier.
Pourtant, s’interroger sur les effets négatifs du capital social pour les organisations semble
pertinent. En effet, Granovetter (1982) mentionne que les réseaux à liens forts sont préférables
lorsque les échanges sont risqués. Sutherland (19666) explique avec la théorie de
« l’association différentielle » que la déviance est l’expression des opportunités qu’offre la
force des liens entre acteurs. Alter (2000) suggère que la « déviance ordinaire », c’est-à-dire
le non-respect des normes, est un comportement caractéristique et positif de « l’innovateur
ordinaire ». Il rejoint ainsi Sellin (1938) et la théorie du « conflit de culture », selon laquelle
les actes déviants seraient le fait du refus d’adhérer aux normes de l’organisation. Pour Alter,
l’individu incompris par son management est contraint d’agir de manière déviante, alors que
ses buts rejoignent ceux de l’organisation.
Par ailleurs, les études sur les liens entre le capital social, les réseaux personnels et l’activité
de R&D, concernent essentiellement les populations des scientifiques et des techniciens.
Pourtant l‘activité centrée sur le progrès technologique ne constitue pas la majorité des
innovations. Les travaux d’Alter (2000) montrent que l’innovation est portée par des acteurs
provenant de l’ensemble des niveaux hiérarchiques des organisations concernées. En effet,
selon l’OCDE7, 46% des entreprises innovantes ne s’appuient pas sur une activité de
recherche. Au palmarès8 des salariés les plus innovants figurent les managers (76% des
entreprises), les ingénieurs et techniciens (40%) les marketers (39%), les designers (27%) et
dans une moindre mesure, les services de R&D (25%). Cette dimension globale et
transversale de l’activité d’innovation est importante. Cependant, à notre connaissance, elle
n’a pas jusqu’à présent inspirée de recherches sur les éventuels effets problématiques liés au
capital social.
Compte tenu de ses développements, notre axe principal de recherche, se situe dans la
contradiction apparente entre, d’une part, la nécessité pour les institutions de protéger
leurs informations et, d’autre part, la nécessité d’inciter les salariés à développer des
réseaux de relation.
6 Sutherland a théorisé l’association différentielle lors de son travail doctoral en 1947. Nous reprenons sa théorie
de l’ouvrage qu’il co-écrit avec Ronald Cressey en 1966. 7 Innobarometer: Pro Inno Europe, European Innovation ScoreBoard 2007, comparative analysis on innovation
performance, 2008. 8 Commision Européenne, Innobarometer 2007: Analytical Report, Flash Eurobarometer 215 – The Gallup
Organization, 2008.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 17
Dans ce contexte, la littérature identifie la culture organisationnelle comme un facteur clé de
la sécurité de l’information.
La culture organisationnelle et le développement des comportements de sécurité :
La théorie de la rationalité s’applique aux individus comme aux organisations. La rationalité
s’appuie sur des valeurs communes, des procédures établies, des mécanismes de contrôles et
de sanctions, qui diffèrent selon les contraintes de l’environnement. Par exemple, une
association n’a pas nécessairement de chiffre d’affaires à réaliser.
Les représentations d’un acteur sont tributaires du milieu dans lequel il évolue : « le milieu
organisationnel et social dans lequel se trouve la personne qui prend une décision détermine
les conséquences auxquelles elle s’attendra et celles auxquelles elle ne s’attendra pas ; les
possibilités de choix qu’elle prendra en considération et celles qu’elle laissera de côté »
(March & Simon 1958 : 136-137).
Or, les acteurs n’ont qu’une capacité limitée à traiter l’information en provenance d’un monde
complexe : « nous sommes concernés par la manière dont les hommes peuvent être rationnels
dans un monde où ils sont le plus souvent incapables de prévoir exactement le futur pertinent
(…) ils peuvent seulement adopter une procédure de choix rationnel, incluant une procédure
rationnelle pour la prévision ou, au moins, l’adaptation au futur » (Simon 1976 :144).
Pour faire face aux incertitudes, les organisations mettent en place des procédures formalisées
et routinières. Elles divisent le travail et fractionnent la prise de décision entre plusieurs
acteurs pour ainsi réaliser de façon satisfaisante des opérations de production. Ce mode de
fonctionnement nécessite que les salariés agissent selon les procédures définies et se
coordonnent. Pour cela, il faut que les organisations et les individus partagent les mêmes buts.
Cependant, « ce ne sont pas les organisations qui prennent les décisions, mais des êtres
humains, qui se comportent en tant que membres d’organisations. Rien n’oblige, en bonne
logique, le membre d’une organisation à prendre ses décisions uniquement en fonction de
valeurs qui sont limitées du point de vue de l’organisation » (Simon 1947 : 181). C’est
pourquoi les organisations ont recours à l’autorité. Le contrat de travail, la fixation des
objectifs de production, la fixation des salaires, expriment cette autorité qu’exerce
l’employeur. L’autorité est définie, « comme le pouvoir de prendre les décisions qui orientent
l’action d’autrui. C’est une relation entre deux individus, l’un " supérieur ", l’autre
" subordonné ". Le supérieur élabore et communique ses décisions en prévoyant qu’elles
seront acceptées par ses subordonnés » (Simon 1947: 112). Cette autorité s’exprime dans les
procédures mises en œuvre pour guider et encadrer l’action des salariés. Néanmoins, certaines
d’entre elles, comme des procédures d’innovation, peuvent être limitées par les
comportements sociaux et les règles sociales plus ou moins favorables à l’innovation (March
& Simon 1958: 176-177).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 18
Cette autorité est possible grâce à la docilité des individus, ainsi qu’à l’existence de systèmes
de sanctions et de récompenses, et enfin à la loyauté. Exprimée par l’intégration des objectifs
et des valeurs de l’entreprise : « dans une large mesure, chaque membre de l’organisation «
internalise » progressivement les valeurs de celle-ci et les intègre à sa psychologie et à ses
attitudes. Il en naît un attachement à une organisation ou une loyauté envers elle qui garantit
automatiquement – c’est-à-dire sans la nécessité de stimuli externes, la compatibilité de
ses décisions avec les objectifs de l’organisation. » (Simon 1947 : 177).
Pourquoi alors les acteurs devraient-ils devenir loyaux envers les organisations ? La réponse
de Simon (1983 : 65) se rapporte à la docilité, c’est-à-dire « la tendance à se conduire d’une
façon qui est approuvée socialement et à réfréner les conduites qui vont dans un sens qui est
désapprouvé ». La docilité est une réponse à la nécessité de s’adapter à l’environnement, et de
concilier l’atteinte des intérêts individuels et collectifs. L’adaptation repose sur la capacité
d’apprentissage, qui présuppose lui-même la possibilité d’accepter d’apprendre, c’est-à-dire
l’acceptation de se conformer à des comportements sociaux. La docilité n’est acceptable que
si l’acteur y trouve des avantages. « La docilité exprime le renoncement de l’acteur de son
intérêt immédiat à la condition que ce renoncement lui soit profitable » (Simon 1991a :35).
Cependant, les conditions de travail évoluent tout comme les attentes des salariés (Segrestin,
1996 ; Dubar, 1998 ; Lecorre, 2003 ; Sennet, 2000, 2005). Les réseaux personnels comme les
entreprises sont peut-être des environnements où les employés s’aménagent des espaces de
manœuvre et élaborent des stratégies (Crozier et Freiberg, 1997). Elles ne sont pas
nécessairement en adéquation avec les attentes de leurs managers.
Comment alors peut-on être certain que les salariés et les organisations partagent les mêmes
objectifs? Comment s’assurer que les salariés adoptent des comportements dociles ?
La théorie de la structuration (Giddens, 1984) nous fournit un axe d’analyse pertinent pour
tenter de répondre à ces questions. L’objectif de cette théorie est d’étudier les relations entre
les individus et la société. Giddens (1984: 25) défini la structure comme « des règles et des
ressources, organisées en tant que propriétés des systèmes sociaux», qui existent, seulement
en tant que propriétés structurales. Ces ressources sont considérées comme étant de deux
types: soit « allocatives », qui se réfèrent à la capacité de transformation des biens de
production ou des objets, soit « autoritaires », c’est à dire des capacités de transformation
qui agissent sur des personnes (Giddens 1984 : 33). Giddens distingue également les «règles
de la vie sociale [qui sont] des techniques ou des procédures généralisables appliquées dans
la promulgation / reproduction des pratiques sociales», des «règles formulées», telles que
celles définies par un jeu, qui sont « des interprétations de règles codifiées plutôt que des
règles en tant que telles » (1984: 17-2). Giddens (1984: 20) affirme que ces règles permettent
aux individus de savoir comment procéder sans pour autant être en mesure de comprendre
leur signification, leurs principes sous-jacents.
Pour Giddens, le structurel n’est pas que contrainte, « il est à la fois contraignant et habilitant
» (1987 : 75). Cette approche est aussi celle prônée par Granovetter pour qui les
organisations économiques « sont construites par des individus, dont l’action est à la fois
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 19
facilitée et limitée par la structure et les ressources disponibles des réseaux sociaux où ils
s’inscrivent » (1994 : 86).
Or, ces règles contraignantes et habilitantes, sont édictées par les organisations. Elles
permettent d’obtenir la docilité des acteurs. Elles sont l’expression des politiques tacites ou
explicites de la sécurité de l’information mises en œuvre dans ces organisations.
De fait, si la sécurité de l’information peut être traitée sous l’angle de la technologie, mais la
prise en compte de la dimension culturelle de cette discipline reste encore à étudier. En effet,
nous sommes confrontés aujourd'hui aux aspects organisationnels et sociétaux, qui doivent
être considérés comme un sujet tout à fait essentiel pour répondre au défi de la sécurité de
l’information (Walsham, 1995 ; Björck, 2004; Von Solms, 2004 ; Spagnoletti et Resca, 2008).
Cette sécurité de l’information prend la forme de politiques et de procédures
organisationnelles, qui sont par nature soumises à interprétations. Elles donnent lieu à des
comportements prévisibles et imprévisibles (Spagnoletti et Resca, 2008).
Von Solms (1999) explique que les organisations doivent prendre en compte tous les aspects
de la sécurité de l’information. La sécurité de l’information est selon lui, un espace
multidimensionnel, qui comprend 1a gouvernance d'entreprise, la structure organisationnelle,
la politique, les meilleures pratiques, l'éthique, la certification, le juridique, l'assurance, le
personnel, la prise de conscience, la technique, les indicateurs de mesure et l'audit. La norme
internationale ISO I7799/27002-2005, qui définit les codes de pratiques du management de la
sécurité de l’information, stipule (p.viii) que : «la sécurité de l'information est la protection
de l'information à partir d'un large éventail de menaces, afin d'assurer la continuité des
activités, de minimiser les risques, de maximiser le retour sur les investissements et les
opportunités d'affaires».
De nombreux chercheurs ont suggéré que la sécurité de l’information devrait faire partie de la
culture organisationnelle (Von Solms, 2000; Schlienger, et Teufel, 2002, 2003).
Cependant, comme le notent Knapp et al, (2006), dans la plupart des organisations, cela n’est
pas le cas.
Synthèse de la problématique de recherche :
Les institutions sont de plus en plus menacées par les tentatives de vols ou d’altération des
informations qu’elles détiennent. La sécurité de l’information est une nécessité d’autant plus
importante pour ces organisations, que leurs frontières sont perméables. L’être humain est le
maillon faible des dispositifs de sécurité (Mitnick9, 2002). L’usage des réseaux personnels par
les salariés notamment, alimente l’activité d’innovation… tout en augmentant le risque de
fuites d’informations sensibles ! Plus que la technologie, la culture organisationnelle peut
alors être tenue pour un moyen de développer, chez les salariés, des comportements
responsables en ce qui concerne la gestion de l’information.
9 Ancien pirate informatique, Kevin Mitnick conseille aujourd’hui l’ENISA (European Network and Information Security Agency).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 20
L’intérêt de notre travail doctoral porte donc sur l’ambigüité qui consiste pour les acteurs
concernés, à échanger de l’information avec leurs relations personnelles, dans l’intérêt des
institutions et sans compromettre leur compétitivité. Nous analysons l’influence qu’exercent
la culture organisationnelle, les mesures organisationnelles de sécurité et le management des
institutions, sur la nature et les incitations à l’échange d’informations. A notre connaissance,
ce travail de recherche n’a pas encore été mené par les chercheurs en sciences de gestion.
Ce constat nous invite à poser trois questions de recherche.
Question N°1 : Dans quelle mesure les valeurs individuelles et les valeurs organisationnelles
perçues par les salariés influencent-elles leurs comportements de recherche d’informations ?
Question N°2 : En quoi le capital social s’oppose-t-il ou renforce-t-il les pratiques
organisationnelles de sécurité de l’information dans l’échange d’informations ?
Question N° 3 : Quels effets les mesures organisationnelles de sécurité de l’information et le
management de l’institution concernée produisent-ils sur la culture organisationnelle et les
comportements de sécurité dans l’échange d’informations ?
3. Démarche de la recherche
3.1. Adoption d’un positivisme aménagé
Deux paradigmes de recherche se retrouvent souvent dans les sciences sociales : le
positivisme et le constructivisme. Ils traduisent deux manières d’appréhender la réalité
(Morgan et Smircich, 1980) dont Forgue (1993 : 64) propose un comparatif très simplifié,
mais qui a l’avantage de bien différencier ces deux approches.
Positivisme Constructivisme
Perception de la réalité Rationnelle, structurée,
déterminée
Complexe, Construite,
Interprétée
Types d’approches Positiviste Constructiviste, Interprétative
Types de questions Combien ? Qui ? Quoi ? Comment ? Pourquoi ?
Types de méthodes Quantitative Qualitative
Types de démarches Hypothético-déductive Inductive Tableau 1:Deux paradigmes de la recherche
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 21
La connaissance produite à travers un paradigme positiviste correspond à la mise à jour des
lois et d’une réalité immuable extérieure à l’individu et indépendante du contexte
d’interactions des acteurs (Thiétart, 2003). La relation entre le sujet et l’objet de recherche est
indépendante. La connaissance est donc objective et acontextuelle (Girod-Séville et Perret,
1999 : 21). L’objet de recherche s’élabore à partir de l’identification d’insuffisances ou
d’incohérences dans les théories rendant compte de la réalité ou entre les théories et les faits
(Thiétart, 2003). En se fondant sur une interrogation objective des faits, l’objet de recherche
est orienté vers un but et se construit d’une manière intentionnelle.
Dans les paradigmes constructiviste et interprétativiste, la réalité est essentiellement perçue.
Le chercheur n’a pas la possibilité de l’atteindre directement (Thiétart, 2003). La réalité est
dépendante de l’observateur. Il existe une relation interdépendante entre le sujet et l’objet de
recherche (Girod-Séville et Perret, 1999: 21). Cet objet ne trouve sa forme définitive qu’à la
fin de la recherche. La définition de l’objet de recherche et la compréhension des problèmes
impliquent l’immersion du chercheur dans le phénomène étudié. La définition de l’objet
nécessite une observation plus ou moins participante (Thiétart, 2003). Sa forme définitive
émerge à l’aboutissement de la recherche.
Compte tenu de ces développements, nous considérons que notre approche méthodologique
relève du positivisme. Nous adaptons en effet une approche causale basée sur l’identification
de manquements dans la théorie.
Ce choix est cohérent avec nos objectifs de recherche exposés ci-dessus. De plus, nous
constatons que l’ensemble des études portant sur la sécurité de l’information applique cette
même démarche (Siponen et Vance, 2010 ; Bulgurcu et al, 2010 ; D’Arcy et al, 2009 ; Herat
et Rao, 2009a, Herat et Rao, 2009b, Jhonston et al, 2008).
Cependant de plus en plus de chercheurs en sciences sociales adoptent une vision
«aménagée». En effet, les limites entre les différentes postures sont parfois très floues (Miles
et Huberman, 2003: 18). Ceci incite les chercheurs à se détacher des positions trop radicales
du positivisme (comme du constructivisme).
En tant que salariés expérimentés, l’idée de l’indépendance du chercheur vis-à-vis de son
objet de recherche nous paraît difficile à défendre. Nous avons pleinement conscience que les
représentations, le questionnement et l’observation du monde extérieur sont filtrés par les
expériences, et contraintes par les capacités cognitives. D’autant que les publications traitant
de notre sujet de recherche insistent sur la difficulté à limiter les biais de réponses
(Paternoster, 1996; Vance et Siponen, 2010). Ces biais déforment naturellement « le réel »,
rendant la posture positiviste radicale difficilement tenable.
Dans ce contexte, comme le suggèrent Miles et Huberman (2003 : 16), nous pensons que les
phénomènes sociaux existent « non seulement dans les esprits mais aussi dans le monde réel -
et que des relations légitimes et raisonnablement stables peuvent y être découvertes. Le
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 22
caractère légitime de ces relations vient des régularités et des séquences qui lient les
phénomènes entre eux ».
De fait, d’un positivisme radical, nous évoluons naturellement vers un positivisme aménagé.
Cette posture ne remet pas en cause l’approche causale des phénomènes. Elle nous incite à
prendre conscience de nos propres limites, tout comme celles de notre objet de recherche (les
limites des participants à l’étude, par exemple). Elle nous invite à développer les stratégies
nécessaires afin que ces limites n’entravent pas les résultats de nos recherches.
3.2. Adoption d’une méthodologie hypothético-déductive
Si notre recherche est exploratoire, il n’en reste pas moins que nous cherchons à tester des
hypothèses construites à partir de bases théoriques existantes. Pour une très grande part, nous
utilisons des échelles de mesures existantes et éprouvées.
Notre posture méthodologique est donc hypothético-déductive. Nous adoptons un processus
de réflexion dans la recherche d’une explication causale de l’objet étudié.
Cette recherche mobilise les théories provenant d’autres disciplines comme la sociologie,
l’économie, l’anthropologie et la psychologie. Ce brassage d’approches scientifiques a
notamment pour objectif d’enrichir notre contexte d’analyse et de multiplier les points de vue
critiques. Nous avons le souci de créer des connaissances nouvelles dans notre champ de
recherche et actionnables pour les managers des organisations.
Pour ce faire nous récoltons et analysons des données quantitatives.
Notre démarche créative s’ancre en premier lieu dans une revue des travaux antérieurs. Nous
en déduisons un modèle conceptuel et une série d’hypothèses, que nous testons par la
méthode des équations structurelles (approche Partial Least Square).
4. Contributions attendues de la recherche
4.1. Contributions théoriques
Notre principale contribution théorique attendue est de poursuivre l’effort de recherche sur la
sécurité de l’information et en particulier des mesures qui facilitent l’adoption de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 23
comportements conformes aux attentes du management. Nous soulignons la nécessaire prise
en compte de l’action du manager de proximité (Furnell, 2006).
Une autre attente concerne la recherche sur la culture individuelle et organisationnelle. Il
s’agit de mieux évaluer l’influence des valeurs individuelles (Schwartz, 1992) et la culture
organisationnelle (Schein, 1984, Mc Donald et Gantz, 1993; Schlienger, et Teufel, 2002,
2003) sur les pratiques de sécurité de l’information. Plus précisément, nous souhaitons
identifier les valeurs qui sont à la source des comportements dans la recherche
d’informations.
Enfin, nos résultats apporteront un regard critique sur les théories des réseaux sociaux faisant
consensus dans la communauté scientifique (Granovetter, 1973 ; Burt, 1992), notamment en
ce qui concerne les effets de la force des liens et de la fermeture de la structure relationnelle.
4.2. Contributions méthodologiques
Notre travail de contribution méthodologique porte sur le questionnement des pratiques qui
limitent les biais de réponse. Ces biais posent en effet de véritables problèmes aux chercheurs.
Généralement, les répondants essaient de paraître désirables et masquent leurs véritables
comportements (Trevino, 1992)
Une autre attente concerne la prise en compte des contextes d’actions. Les recherches portant
sur la sécurité de l’information se concentrent essentiellement sur le comportement ou
l’intention comportementale (Siponen, 2010 ; Bulgurcu, 2010, Herat et Rao, 2009).
Cependant, nous suggérons que cette approche n’est pas suffisante pour apporter des réponses
managériales satisfaisantes. Nous proposons de placer l’acteur en contexte d’action. En effet,
nous considérons que l’acteur agit en adoptant un ensemble de comportements qui se
combinent dans un objectif qui, dans le cadre de notre recherche, consiste en l’obtention
d’informations de valeur. Dès lors notre approche méthodologique consiste à prendre en
compte les comportements de capture d’informations en intégrant, les motivations de l’action,
la nature des informations recherchées, leurs provenances, les moyens techniques utilisés et la
nature du réseau de contacts mobilisés pour les obtenir.
4.3. Contributions managériales
Notre contribution managériale porte sur une meilleure compréhension du rôle du
management et de la culture organisationnelle pour la sécurité de l’information.
En outre, nous identifions des valeurs à l’ origine des comportements. Ce résultat permet de
développer des stratégies pour limiter ou augmenter les effets des valeurs, selon qu’ils sont
jugés néfastes ou bénéfiques pour les organisations.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 24
Nous proposons des solutions actionnables par les managers.
5. Architecture de la recherche
Ce travail doctoral s’articule autour de deux parties. La première compte trois chapitres et la
deuxième en compte deux.
5.1. Présentation de la première partie de thèse
La première partie de thèse est consacrée à la présentation de la revue de littérature et
l’élaboration du cadre théorique de recherche.
Le chapitre 1 présente l’état des lieux du capital social. Comment il se définit et comment il se
développe ou se décline. L’accent est porté sur ses relations avec les pratiques d’innovation
et avec la culture organisationnelle.
Le chapitre 2 est consacré à la sécurité de l’information. Comment elle se définit et se met en
pratique dans l’organisation au travers : des menaces et contre-mesures, des modèles de
management, de l’élaboration des politiques de sécurité et des derniers travaux de recherche
sur la sensibilisation et la compréhension des comportements.
Le chapitre 3 est dédié à la culture organisationnelle. Puisque les réseaux sociaux sont un fait
d’organisation, la sécurité de l’information doit être conforme à la culture organisationnelle de
la firme (ISO 27000, 2005 ; Von Solms, 2004). Après avoir justifié notre choix de
mobilisation de la culture organisationnelle, nous approfondissons le concept de valeurs, afin
de nous approprier les conditions de formation et de maintien d’une culture de l’organisation.
Puis nous analysons les théories culturalistes de la déviance. Enfin nous posons un cadre
d’analyse des valeurs individuelles et collectives.
5.2. Présentation de la deuxième partie de thèse
Cette partie est dédiée aux tests empiriques du modèle proposé et de nos hypothèses de
recherche par le biais d’une étude quantitative.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 25
Le chapitre 4 est d’abord consacré à l’élaboration du modèle et des hypothèses. Puis nous
justifions nos échelles de mesures et nous exposons notre méthodologie d’analyse.
Dans le chapitre 5, nous testons nos hypothèses et nous proposons leur mise en perspective.
Enfin, la conclusion générale de la thèse expose nos réponses aux questions de recherche et
revient sur les apports théoriques, les implications managériales et les contributions
méthodologiques de notre travail doctoral. Elle présente également les limites de la recherche
et les perspectives qui en découlent. La figure ci-dessous représente l’architecture de la
recherche.
Figure 1 : Architecture de la recherche
Chapitre 1
Le capital social
Chapitre 2
La sécurité de l'information
Chapitre 3
la culture organisationnelle
Chapitre 4
Etude empirique et résultats de la recherche
Chapitre 5
Validation des instruments de mesure
des construits
INTRODUCTION
CONCLUSION GENERALE
PA
RT
IE 1
P
AR
TIE
2
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 26
I. CHAPITRE I LE CAPITAL SOCIAL : UN FACTEUR D'INNOVATION
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 27
Figure 2: Architecture générale du chapitre 1
1 - Le capital social
- Définitions
- Conditions d’action
- Facteurs d’influences
- Avantages et risques
2-Réseau social et innovation
- L’innovation ordinaire
- La logique effectuale
- Effets de la structure du réseau social
Idée directrice du chapitre 1 :
Le capital social de l’innovateur lui permettrait de composer avec les
contraintes de rationalité et le cadre règlementaire de l’institution dans
laquelle il évolue.
Ancrage autour de 2
théories de l’innovateur :
la déviance ordinaire et
l’effectuation
Mobilisation
Une structure structurante
inhibante et habilitante
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 28
1. Le capital social
1.1. Principales Définitions et conditions d’activation
Il existe plusieurs champs d’études du capital social. Certains se placent sur des plans macro
(Putman 1995 ; Fukuyama, 1997) et ont des champs d’applications comme les nations ou les
sociétés dans leur ensemble. D’autres sont méso (Porter, 1998). Ils présentent des champs
d’applications comme les clusters, les réseaux d’entreprises, etc. D’autres, enfin, sont
microsociologiques (Granovetter, 1973 ; Burt, 1992). Ils sont centrés sur un individu ou une
groupe d’individus. Du fait de notre sujet de recherche, nous nous intéressons à l’individu et
son réseau personnel. C’est donc ce dernier champ qui intéresse nos propos, centrés sur le
périmètre d’action d’un acteur. Comme le note Lallement (2003), la pris en compte du capital
social permet de comprendre « comment des institutions et des individus peuvent atteindre le
plus efficacement possible et le plus justement possible des objectifs communs ».
L’intérêt de la théorie du capital social réside dans l’analyse des effets positifs de la
socialisation et la prise en compte des phénomènes non économiques comme d’importantes
sources de pouvoir et d’influence interindividuelle (Portes A., 1998).
1.1.1. L’approche fonctionnaliste et structuraliste de James Coleman
Coleman (1990) souligne que le capital social est constitué par les ressources pour l’action,
formées par le tissu de relations coopératives dans lequel une personne est insérée. L’auteur
relève très largement (1988 : 98-99 ; 1990 : 302-303) que le capital social peut se définir par
sa fonction. Précisément, il suggère qu’il ne s’agit pas d’une entité unique « mais d’un
ensemble d’entités qui ont deux caractéristiques communes : elles relèvent toutes d’un aspect
de la structure sociale, et elles facilitent les actions des individus au sein de la structure »
(Coleman, 1990). Le capital est donc présenté comme un atout productif inhérent à la
structure des relations entre les personnes. Cette structure qui n’appartient à aucun membre
qui la compose, permet d’accéder aux ressources que chacun d’eux propose.
A l’opposé de Burt (1992) ou encore de Portes (1998 :15), pour qui les réseaux fermés
facilitent la violation des règles pour satisfaire des intérêts privés, Coleman indique, à partir
d’une étude de la communauté de diamantaires de New-York, que les structures fermées de
réseaux sont les plus favorables. Selon lui, elles favorisent l’accumulation d’obligations
mutuelles entre les acteurs, la circulation de l’information et la construction des réputations, et
que la surveillance des comportements déviants ou des opportunités est l’application de
sanctions effectives (ibid. :107). Il confirme ainsi ses recherches menées en 1982 sur les
lycées américains et la théorie de la force des liens (Granovetter, 1973) : la cohésion familiale
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 29
favorise la réussite scolaire alors que les réseaux extra familiaux facilitent l’accès aux
opportunités d’emploi. Le contrôle social exercé sur les élèves par la communauté scolaire
évite les comportements déviants des élèves.
Ces travaux soulignent l’importance du capital social comme moyen d’accéder à des
opportunités, mais aussi comme moyen de contrôle, producteur de valeurs intégratives dans
une communauté. Le capital social formé par les relations est nécessaire à la création du
capital humain. Le capital social se créé par la confiance (Coleman, 1988 :99). Cette
confiance permet d’activer ou d’avoir accès à des ressources en réalisant des économies sur
les coûts de transaction (ibid.: 99).
Plus le réseau relationnel est dense, plus l’émergence d’opportunités pour l’individu est
facilitée. Plus les normes sont communes à l’intérieur du réseau relationnel, plus le niveau de
confiance est élevé. Ce type de réseau permet une circulation rapide de l’information qui
diminue les asymétries d’informations entre les acteurs qui le composent et confère plus de
pouvoir à l’ensemble de la communauté.
Coleman soutient que les normes sont le résultat d’actions intentionnelles d’individus
rationnels. Elles permettent aux individus de s’approprier les externalités de leur
environnement, sans avoir recours à la sanction. Dans cette perspective de rationalité des
prises de décisions, les normes ont des propriétés structurantes (Giddens, 1984) et permettent
à la communauté d’obtenir la docilité des individus qui la composent (Simon, 1947).
Le capital social, au travers du lien social, permet l’évitement de comportements
opportunistes. Une relation bilatérale forte créée et nécessite une confiance qui rend les actes
déviants détectables et passibles de sanctions. A l’inverse, une structure relationnelle ouverte
encourage la dissimulation d’actes non conformes aux normes de la communauté. Il s’oppose
de la sorte à Burt (1992), selon lequel la position d’intermédiaire dans un réseau ouvert
garantit la conformité du comportement des individus, sans quoi ils perdraient les avantages
que cette position leur procure.
Néanmoins, en citant les travaux de Merton (1968 :195-203), Coleman souligne que le capital
social peut aussi dispenser des effets négatifs, notamment aux travers des normes fortes qui
réduisent les comportements déviants, mais qui peuvent aussi décourager la capacité
d’innover (1988 : 105). Alter (2000 : 161) semble en accord avec ces propos puisque selon
lui, l’innovation ordinaire implique la déviance ordinaire.
1.1.2. La vision opérationnelle de Robert Putman
Putman (1995: 65) définit le capital social comme : « les caractéristiques de l’organisation
sociale telles que les réseaux, les normes et la confiance, qui facilitent la coordination et la
coopération, pour un bénéfice mutuel ».
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 30
Le capital social possède trois composantes : les normes, les obligations morales et les
valeurs sociales notamment par la confiance et les réseaux sociaux. A travers la confiance, les
individus sont incités à coopérer. La conception de Putnam sur le capital social concerne une
dimension macro sociale, dont le capital social se caractérise au niveau d’une nation par la
disponibilité des citoyens à s’impliquer dans des activités.
A l’inverse de Coleman, Putman (1993; 1995; 2001: 7) écrit: « I am in agreement with
Michael Woolcock that social trust is not part of the definition of social capital but it is
certainly a close consequence ». Ici, la confiance est présumée être le résultat du capital
social. Putman (2001: 1) pense que l’idée centrale du capital social est que les réseaux et les
normes associées de réciprocité ont de la valeur pour les personnes qui en sont membres. Si
les effets du capital social peuvent être bénéfiques pour une communauté en particulier, ils
peuvent s’avérer négatifs pour d’autres. Putman (2001: 3) rappelle que l’attentat d’Oklahoma
City fut l’œuvre d’individus formant un réseau de liens réciproques et de confiance. Cet acte
positif pour cette petite communauté d’acteurs fut très négatif pour l’ensemble de la
communauté américaine et évidemment, en particulier pour les habitants de cette ville.
Néanmoins, selon Putman (2001: 12), un niveau de crime élevé dans la société ou un groupe
social, révèle un faible niveau de capital social. Il suggère également que les États où les
individus sont fortement reliés entre eux sont aussi plus tolérants. En effet, l’auteur avance
dans sa théorie du débordement que la participation à des activités communautaires permet
aux individus d’apprendre à coopérer pour atteindre des objectifs communs, en développant la
confiance nécessaire (Putman, 1995 : 183). Néanmoins, selon S.Ponthieux (2006 :93), « la
théorie est un peu faible pour expliquer comment les bonnes dispositions acquises dans le
contexte d’un groupe donné se généralisent dans d’autres contextes pour produire tous les
résultats désirables. Pourquoi la capacité de coopération qui se développe entre les membres
d’une chorale les inciterait à des comportements coopératifs en général ? ». Pour nuancer ces
propos, nous pouvons cependant penser que l’expérience acquise de la coopération peut en
démontrer les bénéfices et inciter les acteurs à renouveler ces expériences dans d’autres
contextes.
1.1.3. La conception culturaliste et collective de Fukuyama
Comme Coleman (1988: 104) et Putman (1993), Fukuyama (1995) suggère que la norme
influence le comportement. Il propose une conception systémique (ou culturaliste) du capital
social. Selon lui, ce dernier est le fruit d’une culture de la collaboration capable d’engendrer
une confiance interpersonnelle étendue. Cette culture favorise les comportements individuels
convergents. Elle est à l’origine du capital social accumulé par la population qui partage ces
valeurs de coopération.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 31
Pour Fukuyama, la confiance est normative. Elle correspond à une donnée culturelle que
l’auteur (1995 : 36) définit comme que « l’attente qui naît, au sein d’une communauté, d’un
comportement régulier, honnête et coopératif, fondé sur des normes communément
partagées ». Fukuyama soutient, en effet, que le capital social est un actif qui naît de la
prédominance de la confiance dans une société ou certaines parties de celle-ci. Dans cette
perspective, il peut donc s’incarner « dans la famille, le groupe social le plus petit et le plus
fondamental, aussi bien que dans le plus grand de tous, la nation, comme dans tous les autres
corps intermédiaires. Le capital social diffère des autres formes de capital en ce qu’il est
habituellement créé et transmis par des mécanismes culturels comme la religion, la tradition
ou les habitudes historiques » Fukuyama (1995).
1.1.4. La conception instrumentale et économique de Pierre Bourdieu
Pierre Bourdieu emploie le capital social comme une notion strictement économique. Il
s’intéresse aux stratégies des acteurs. Le capital est celui d’un individu positionné dans une
structure relationnelle à même de procurer des ressources. Les individus investissent dans le
capital social pour en tirer des bénéfices. Ces investissements, prennent la forme d’échanges
matériels et symboliques qui créent et délimitent le groupe par la reconnaissance mutuelle
entre acteurs. Tous les échanges ont lieu dans des milieux sociaux, ou microcosmes
autonomes désignés comme champs (Bourdieu, 2000).
Bourdieu développe le concept « d’une matrice à travers laquelle se perçoit le monde,
capable de définir l’identité individuelle » (Bourdieu, 2000 : 259). L’habitus permet la
génération et la transmission d’une culture de classe, laquelle est construite par :
Le capital culturel composé par l’état incorporé (des dispositions durable comme la
docilité), l’état objectivé (des biens culturels), l’état institutionnalisé (titre scolaire ou
diplôme) ;
Le capital économique (les revenus et le patrimoine) ;
Le capital symbolique, c’est-à-dire la capacité à faire reconnaître par la société une
position donnée ;
Le capital social.
Selon Bourdieu (1980a: 2) : « Le capital social est l’ensemble des ressources actuelles ou
potentielles qui sont liées à la possession d’un réseau durable de relations plus ou moins
institutionnalisées d’interconnaissance et d’inter-reconnaissance; ou, en d’autres termes, à
l’appartenance à un groupe comme ensemble d’agents[…] unis par les liaisons permanentes
et utiles […] fondées sur des échanges inséparablement matériels et symboliques. ». Puis il
poursuit par ces termes : « le volume du capital social que possède un agent particulier,
dépend donc de l’étendue du réseau des liaisons qu’il peut effectivement mobiliser et du
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 32
volume de capital (économique, culturel ou symbolique) possédé en propre par chacun de
ceux auxquels il est lié. »
Le capital social n’est pas seulement formé par le réseau de relations, mais aussi par le capital
culturel, économique et symbolique de chaque individu membre du réseau. « Le réseau de
liaisons est le produit de stratégies d’investissement social consciemment ou inconsciemment
orientées vers l’institution ou la reproduction de relations sociales directement utilisables, à
court ou à long terme, c’est à dire, vers la transformation de relations contingentes, comme
les relations de voisinage, de travail ou même de parenté, en relations à la fois nécessaires et
électives, impliquant des obligations durables subjectivement ressenties… » (Bourdieu,
1980a : 2). Ces stratégies individuelles et collectives favorisent la formation permanente d’un
réseau durable de relations permettant l’accumulation de capital social. La reconnaissance
collective du réseau s’obtient par l’élaboration et le respect des règles sécurisantes issues de
l’organisation. Néanmoins, pour Bevort et Lallement (2006), le seul respect des procédures
formelles n’autorise pas l’obtention d’informations et de collaborations entre membres d’une
organisation. Il faut y adjoindre le principe de solidarité qui autorise l’échange. Cette
solidarité prévaut à l’établissement des normes nécessaires à l’échange et suppose le partage
de la confiance, de l’émotion, de valeurs communes, voire de l’amitié (Granovetter, 2000).
Pour Lazega (2006), la notion de capital social s’apparente alors à celle du capital
économique. On n’échange pas n’importe quoi avec n’importe qui. L’échange suppose
l’équivalence, la réciprocité. Disposer de capital social, c’est avoir quelque chose à échanger.
Les relations de coopération entre pairs sont « homophiles ». Nous sommes dans l’association
d’acteurs se jugeant équivalents.
1.1.5. La conception culturaliste et anti-utilitariste d’Alain Caillé
Pour le sociologue Allain Caillé (Caillé, 2006: 14), le capital social ne peut pas être considéré
uniquement sous l’angle purement utilitariste comme le défend Bourdieu: « la condition pour
développer des relations sociales susceptibles de se révéler utiles est de les valoriser d’abord
pour elles même. La raison en est aisément compréhensible. Il est peu probable qu’on se
rende aimable aux yeux de personnes qui sentiraient qu’on ne les fréquentent pas pour ce
qu’elles sont, mais pour ce qu’elles ont et qu’on aimerait seulement qu’elles nous donnent »
Selon lui, la confiance est la ressource principale et spécifique des réseaux qui ne peut être
bâtie uniquement sur des considérations d’intérêts. En effet, comment faire confiance à un
partenaire qui pourrait se détourner de la relation si une autre opportunité plus avantageuse se
présentait à lui. Aussi, Alain Caillé pose la définition du capital social suivante : « Le capital
social d’un acteur, individuel, ou collectif, d’une institution, d’un pays, etc., c’est l’ensemble
de ce qui, dans leurs actions et dans leurs représentations, donne une priorité hiérarchique
aux considérations extra ou anti-utilitaristes sur les considérations d’intérêt immédiat ».
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 33
Alain Caillé développe la théorie du don, une théorie anti-utilitariste de l’action qui prend
racine dans la quête de reconnaissance. La reconnaissance est la recherche de la visibilité
sociale. Elle s’exprime par la reconnaissance par la société et par soi-même du statut de
donateur libre (Caillé, 2009 : 72). Ce statut donne accès à l’amitié, la gloire, le prestige, etc.
Caillé (ibid. : 72), s’appuyant sur la sociologie de Pierre Bourdieu, mentionne qu’il peut être
« intéressant » d’être « désintéressé », au sens où il est « intéressant » d’accomplir des actions
pour soi-même, parce qu’elles sont une fin en soi, plaisantes ou justes. L’intérêt pour l’acteur
est d’être effectivement désintéressé pour entrer dans la logique du don effectif.
Dejours (2007 : 66) ajoute que, dans l’univers professionnel, « la reconnaissance attendue
par les travailleurs n’est pas celle de la personne et encore moins celle de l’identité…La
reconnaissance attendue…est d’abord et avant tout non pas celle de sa personne, mais celle
de son travail ». Par travail, Dejours (ibid. : 66) entend la qualité du travail, non seulement
dans la production, mais aussi dans le remaniement des règles de travail et de métier dans un
intérêt collectif. En ce sens, la quête de reconnaissance est tout à fait compatible avec la
vision de l’innovateur ordinaire d’Alter (2000) qui agit par quête de reconnaissance, dans
l’intérêt collectif de l’organisation à laquelle il appartient. Cette reconnaissance du travail
donne accès à l’appartenance à une communauté dans laquelle chacun reconnait et respecte
les mêmes règles de métier (ibid. : 67). Pour Déjour (ibid. : 67), : « à l’horizon de
l’appartenance à la communauté fondée sur les règles de travail, il y a la culture, voire la
civilisation, et, à la base, il y a une référence explicite au réel ». En d’autres termes, le réel
est l’instance entre le l’acteur qui demande à être reconnu et celui qui reconnait.
Comprendre la quête de reconnaissance ancrée dans le réel implique donc de comprendre les
fondements de l’action, qu’Alain Caillé ne résume pas seulement à la seule recherche de
l’intérêt.
Selon lui, l’intérêt ne peut s’exprimer uniquement sous sa dimension purement instrumentale,
stratégique et tournée vers soi. Il faut également distinguer trois autres types d’intérêts (Caillé,
2009 : 19) : l’intérêt obéissance, l’intérêt pour autrui et l’intérêt passionnel. Caillé ajoute que
l’intérêt n’est pas la seule dimension pour penser l’action. Il faut s’intéresser à cet ensemble
de dimensions et voir comment celles-ci se relient à la quête de reconnaissance.
En s’appuyant sur les travaux de Marcel Mauss (1950) portant sur le don et la triple obligation
de Donner, Recevoir et Rendre10
, Caillé (2009 : 20) note que le don est à la fois un geste
désintéressé et intéressé, témoignant d’une « libéralité », c’est à dire de la liberté et de la
spontanéité et répondant également à une obligation sociale première « qui nous force à être
libres ». Caillé distingue ainsi quatre dimensions de l’action :
1. L’intérêt pour soi, à savoir : la préservation de soi, l’avidité, la survie, la vanité, la rivalité,
la concurrence, l’indifférence aux autres, la recherche de gloire, la possession, le
conflit… ;
2. L’intérêt pour autrui, c’est-à-dire l’altruisme qu’il nomme l’aimance qui se rapporte à
l’amitié, la compassion, la charité, la solidarité, la bonté, la sollicitude… ;
10 Selon Mauss (1950) ce cycle s’oppose à celui qui lui est symétrique: prendre-refuser-garder
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 34
3. L’obligation qui nait des contraintes biologiques, des coutumes, des règles et des normes
morales, de l’éthique, des dettes, des valeurs, etc. Il s’agit par exemple du devoir social,
du devoir d’aider, du devoir de veiller sur ses intérêts, du devoir d’aimance ;
4. La liberté, qui traduit la spontanéité du plaisir, de la générosité, de la créativité, de
l’inventivité, du jeu, de la révolte… ;
Citant Mauss, Caillé (ibid. : 20) souligne que ces quatre pôles sont enchevêtrés. «L’intérêt
pour autrui ramène à l’intérêt pour soi et réciproquement ». «Non seulement l’obligation est
celle de la liberté, mais la liberté permet de s’acquitter de ses obligations, mais il faut qu’il
en soit ainsi ». Un don contraint ne serait plus un don, un don purement altruiste serait
suicidaire et un don purement gratuit n’aurait pas de sens.
Le travail d’Alain Caillé a consisté à articuler ces quatre dimensions tout en les
approfondissant. Il conclut que l’intérêt pour soi et l’intérêt pour autrui s’opposent, tout
comme l’obligation et la liberté.
L’opposition entre Intérêt pour soi et Empathie (Figure 3):
L’aimance ne serait que « la dimension sympathique de l’empathie » (ibid. : 59). L’empathie
est composée de deux modalités principales : la sympathie (l’aimance) et l’antipathie. A
l’opposé, l’intérêt pour soi se manifeste au travers de l’amour de soi (le souci de sa propre
conservation) et du regard sur soi porté par les autres (l’amour-propre).
Figure 3: Synthèse entre intérêt pour soi et intérêt pour autrui (Caillé, 2009: 59)
L’opposition entre Obligation et Liberté (Figure 4):
Selon Caillé (2009 : 60), « il n’y a pas de société possible sans imposition à ses membres de
tout un ensemble d’obligations », le devoir est un des effets du système social qui est une
manifestation de l’obligation. L’autre manifestation étant celle de la nécessité.
La liberté, quant à elle, se caractérise par la spontanéité qui tend à nous affranchir des
contraintes et la créativité, c’est-à-dire vouloir faire quelque chose de sa vie dans le respect
des règles mais en cherchant cependant à les dépasser.
Intérêt pour soi Empathie Amour- propre Antipathie
Amour de soi Sympathie
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 35
.
Figure 4: Synthèse entre obligation et liberté (Caillé, 2009: 65)
Finalement, une topologie de l’action se dessine par l’entrelacement des quatre dimensions (
Figure 5).
Figure 5: Topologie de l'action (Caillé, 2009: 68)
Comment passer de l’action individuelle à l’action collective ? Alain Caillé (2009: 32) fournit
à nouveau quatre clés d’analyse : l’harmonisation des intérêts par exemple par le contrat ;
l’harmonisation forcée, par exemple, par le législateur comme le comité de direction qui fixe
les règles lorsque l’action se déroule dans une entreprise ; l’harmonisation spontanée fondée
sur l’empathie; l’harmonisation par la passion qui convient à la liberté ou encore l’inventivité.
Créativité Spontanéité
Devoir Contrainte
Obligation
Liberté
Intérêt pour soi Empathie
Nécessité Devoir
Amour- propre
Amour de soi
Antipathie
Sympathie
Créativité Spontanéité
Obligation
Liberté
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 36
1.1.6. La conception centrée sur les ressources de Nan Lin
La vision de Granovetter (1985), adoptée par Coleman (1988 : 101), diffère de celle de
Bourdieu, dans la mesure où selon lui, c’est la position de l’individu dans une structure
sociale qui détermine son capital social. D’autres sociologues comme Burt (1992) s’inscrivent
dans cette perspective. La théorie des trous structuraux souligne que l’absence de redondance
des liens dans une structure de réseau d’un individu renforce sa performance. Selon Burt,
(2000 : 2): « La société peut être vue comme un marché au sein duquel les gens échangent
toutes sortes de biens et d’idées afin de poursuivre leurs intérêts. Certaines personnes, ou
certains groupes, réussissent mieux au sens qu’elles reçoivent plus en retour de leurs
efforts ».Il ajoute ensuite (ibid. : 3), que le capital social est une notion essentiellement
« métaphorique » et « la métaphore du capital social dit que les gens qui réussissent mieux
sont d’une certaine façon mieux connectés »
Dans cette vision utilitariste du capital social, c’est la structure du réseau qui prime. La
connexion rapporte au réseau, à la structure relationnelle: « la structure des relations
prioritaires entre les gens et au sein des organisations peut affecter ou remplacer
l’information » (Burt, 2000: 4). Pour Burt, les métaphores du capital social de Bourdieu et de
Putman ne sont pas opérationnalisables. Il pense que c’est l’architecture de la relation qui
compte. La position cartographique dans le réseau apporte un capital qui se mesure en termes
de critères de performance (rémunération…) se dévoilant au terme d’une analyse structurale
du réseau. Alors que pour Bourdieu, la position dans la structure sociale correspond à un
statut et à un certain volume de capitaux détenus.
Dans les pas de Burt, Adler et Kwon considèrent que « le capital social est la ressource
disponible pour des acteurs résultant de leur position dans la structure de leurs relations
sociales » (Adler & Kwon, 2002: 18). Ce courant « structural » propose que indépendamment
de son capital humain ou financier, la poursuite d’un objectif pour un acteur ou un groupe
d’acteurs peut être facilitée par la position qu’il occupe dans une structure relationnelle
globale (une organisation, un secteur d’activité,…).
Afin d’éviter toute confusion, Portes (1998 : 5-6) recommande de bien distinguer les
ressources, les demandeurs (les détenteurs de capital social) et les donneurs (la source de
capital social). Cela permet notamment de se rendre compte que le réseau social est inutile à
l’acteur si le groupe ne dispose pas de ressources. Les motivations à donner à l’autre sont
complexes, le capital social dépend des autres. Ce sont les autres qui décident ou non,
de nous donner l’accès à leurs ressources. Cette conception ouvre la perspective vers l’étude
des mécanismes collectifs de la coopération et notamment la confiance, les normes de
réciprocité et l’identité.
Pour Lin, le capital social peut procurer des ressources accessibles au prix d’un
investissement dans le développement de liens relationnels générant également des
obligations : « Les ressources sociales […] ne sont pas des biens que l’individu possède, mais
des ressources accessibles par des liens directs et indirects […] L’un des présupposés de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 37
l’usage des ressources sociales est l’obligation de réciprocité ou de compensation […] Le
capital social est l’investissement d’un individu dans ses relations avec les autres. Ces
relations ne doivent pas être des groupes ou des organisations définies : de simples liens
suffisent » (Lin, 2001 :12). Cette conception réconcilie en quelque sorte Granovetter,
Coleman et Burt avec Bourdieu, en proposant une définition associant à la fois le capital
social à une position structurale et à des ressources détenues par les contacts directs d’un
individu (Bourdieu). En outre, pour expliquer comment activer le capital social et bénéficier
de ses avantages, elle rejoint le cadre théorique d’Adler et Kwon (2002).
1.2. Les conditions d’action du capital social
Adler et Kwon (2002) suggèrent que « l’opportunité », « la motivation » et « les capacités »
soient des conditions d’action qui permettent d’extraire le capital des relations sociales. Il faut
bien sûr comprendre le capital comme l’ensemble des bénéfices potentiels que l’acteur peut
tirer de ses relations.
1.2.1. L’opportunité
L’opportunité s’exprime par la nature interne ou externe des liens vers les membres du réseau.
Les liens externes donnent l'occasion de tirer parti de leurs ressources, alors qu’à l’intérieur
d’un groupe, les liens internes permettent l’action collective. Parmi ceux qui se concentrent
sur les relations internes au sein d'une société donnée (par exemple, Brehm et Rahn, 1997 ;
Evans, 1996; Ostrom, 1994; Putnam, 1993), le terme « réseaux » signifie souvent informels,
l'interaction en face-à-face, l’implication dans l’action civique et la vie associative.
1.2.2. La motivation
Une conception purement utilitariste rendrait inutile l’étude de la motivation puisqu’elle ne
consisterait qu’en la satisfaction de l’intérêt personnel. Nous notons également que certains
sociologues, comme Burt (1992: 32-34) ou Uzzi (1999: 500), considèrent que la motivation
est un effet de la structure du réseau. Dans cette hypothèse, l’attention explicite à la
motivation serait aussi inutile puisqu’elle ne serait pas un moteur de l’action, mais une simple
conséquence de la structure des réseaux.
Cependant, ni le modèle rationnel, ni l’approche structurale ne définissent une position
consensuelle. En particulier, Portes (1998 : 5-6) fait remarquer que les motivations qui
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 38
poussent à donner en l’absence de rentabilité immédiate sont les processus clés que le concept
de capital social essaye de saisir. Il argumente (ibid. : 7-9) en faisant la distinction entre les
motivations « consommatoires » fondées sur les normes profondément intériorisées, qui
constituent des ressources pour les autres membres de la communauté, et les motivations
«instrumentale» fondées sur des normes, des obligations. C’est ce que Portes appelle «la
confiance forcée», où le poids qu’exerce la communauté sur les deux parties d’un échange,
garantit que les obligations mutuelles sont appliquées.
De même, Leana et Van Buren (1999: 542) précisent que les sources de capital social de
l'organisation résident dans la confiance et «l'associabilité», « la volonté et la capacité des
individus à définir des objectifs collectifs qui sont ensuite adoptées collectivement».
Adler et Kwon (2002: 25) soulignent11
que « de nombreux chercheurs ont supposé
implicitement que les acteurs individuels et collectifs sont mus par des motivations
instrumentales (De Graaf et volets, 1988; Lin, Ensel, & Vaughn, 1981; Marsden & Hurlbert,
1988), pour survivre dans une rivalité concurrentielle (Burt, 1992; Pennings et al, 1998), et
réduire les coûts de transaction (Baker, 1990)». Adler et Kown suggèrent également que les
acteurs n’agissent pas toujours au nom de l’intérêt privé, mais peuvent aussi se soumettre à
des normes et œuvrer pour le bien commun.
Cependant, il faut être attentif à ce que les normes produisent. Si pour Putman (2000), les
normes communes motivant le capital social sont essentiellement celles qui sont productrices
de confiance et de loyauté, la confiance est un concept très large dont il faut préciser les
contours. De même, le caractère partagé des normes n’est pas suffisant pour expliquer que ces
dernières soient créatrices de capital social. Encore faut-il que l’application de ces normes soit
créatrice de capital. Par exemple, Gabbay et Zuckeran (1998) montrent qu’une organisation
qui encourage la coopération entre ses membres ne favorise pas l’activité entrepreneuriale. Il
existe donc des normes créatrices ou non créatrices de capital social en fonction des contextes
d’applications. C’est pourquoi Adler et Kwon (2002 :26) proposent de considérer que c’est le
contenu précis des normes communes qui déterminent si elles sont créatrices ou destructrices
de capital social.
1.2.3. La Capacité
Adler et Kown définissent la capacité comme les compétences et les ressources détenues par
les nœuds, c’est-à-dire les membres du réseau social. A l’image de Lin (1999) et de Gabbay
et Leenders (1999), nous pouvons nous interroger sur l’intérêt de disposer d’opportunités
matérialisées par des liens relationnels et que ces opportunités soient motivées à nous aider si
ces dernières n’ont pas les capacités de le faire. Si pour une minorité de chercheurs comme
Portes (1998), les capacités sont des compléments au capital social, une majorité d’entre eux
11 Nous les citons après les avoir traduit
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 39
comme Gabbay, Leenders (1999) et Lin (1999) plaide en faveur d'une définition plus large
qui inclut ces capacités comme constitutives du capital social.
En effet, peut-on penser construire un réseau à partir d’acteurs incapables de nous aider ?
Adler et Kwon se sont davantage intéressés aux capacités individuelles des acteurs.
Cependant, d’autres recherches, comme celle d’Emmanuel Lazega (2006) portent sur les
capacités individuelles et collectives. Lazega (2006: 127) définit alors le capital social du
collectif comme « un ensemble de processus sociaux comme la solidarité, l’échange, la
régulation, la sanction… qui facilitent, sous certaines conditions, l’action collective ». Ces
processus décrivent une forme collective du capital social et permettent également de
déterminer les conditions de mise en œuvre de ces relations. Quelles sont les règles de
construction d’un réseau relationnel ? Quelles sont les stratégies appliquées par les acteurs,
etc. Le capital social est alors envisageable comme l’activité politique des membres d’un
réseau relationnel, dans une vision qui n’est plus uniquement instrumentale mais également
gestionnaire des réseaux. Selon Lazega (2006 : 129), « Pour accepter cette articulation entre
discipline sociale et processus sociaux, il faut comprendre la relation sociale à la fois comme
un lieu de circulation de ressources hétérogènes et le lieu d’un engagement, c'est-à-dire
d’une promesse, d’une obligation ou d’une convention morale introduisant la durée dans cet
échange de ressources et présupposant un dispositif de contrôle social rendant cette promesse
crédible ».
Le capital social d’un individu est constitué en partie du capital social de ses relations. Cela
signifie que le capital social ne se limite pas aux relations directes, mais inclut aussi les
relations indirectes et donc les ressources détenues par les connaissances d’amis et les amis de
connaissances….
Emmanuel Lazega s’appuie sur le cadre de la sociologie néo structurale, selon laquelle les
comportements, bien que s’inscrivant dans la théorie de l’action individuelle12
, s’analysent
dans un système d’interdépendances « multiples et multilatérales », identifiables dans les
interactions et les relations sociales. La mise à jour des interdépendances et des processus,
autorise la compréhension des rôles, mais aussi des relations de pouvoir qui ne sont pas
saisissables sous l’angle unique de la sociabilité. Par exemple, le lien entre structure, pouvoir
et valeurs peut être mis en évidence par l’analyse des réseaux. Les acteurs qui occupent des
formes non congruentes de statut social sont les plus influents dans la définition de règles
prioritaires, car leur statut leur confère une autorité hiérarchique ou d’expertise. Un expert en
mécanique est légitime pour déterminer à quoi servent des machines-outils et comment il faut
s’en servir. Les cadres dirigeants valident les politiques de sécurité proposées par les experts
afin de légitimer leur application dans toute l’organisation. Ne pas respecter ces politiques
revient alors à ne pas reconnaitre la hiérarchie, l’ordre établi.
12 Le néostructuralisme contemporain est très différent du structuralisme des années soixante parce qu’il s’appuie
sur une théorie de l’action individuelle (Lazega, 2003a)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 40
En résumé, Adler et Kwon (2002 : 27) suggèrent que les trois sources « opportunité,
motivation et capacités » doivent être présentes pour activer le capital social.
Aux auteurs d’ajouter13
qu’« il convient de rappeler, cependant, que ce schéma tripartite est
simplement un guide heuristique pour les causes proches de l'échange du capital social. Elle
ne peut pas se substituer à la recherche qui est nécessaire sur les caractéristiques de la
structure des relations sociales qui créent des opportunités élevées, la motivation et les
capacités. Les études théoriques et formalistes sont peut-être allées le plus loin dans cette
recherche, avec une accumulation impressionnante de résultats sur les caractéristiques de la
structure des liens qui offrent des opportunités élevées de capital social » (Adler et Kwon,
2002 : 27).
Ces propos laissent entrevoir un vaste champ de recherche sur les capacités des acteurs à
mobiliser leur capital social, mais aussi sur les motivations. Les propos de Portes (1998 : 6)
sur ce sujet sont particulièrement intéressants. Il pense que les motivations à donner sont les
processus clés que le concept de capital social essaye de capturer. Les motivations
instrumentales sont selon nous proches du concept d’intérêt. Les acteurs échangent de
l’information selon des critères définis dont il ne faut pas s’écarter sous peine d’être
sanctionné. Par exemple, si l’organisation est fortement sensibilisée au maintien du secret
professionnel, ses membres n’échangeront pas d’informations confidentielles sous peine
d’être désapprouvés et sanctionnés.
Les motivations consommatoires font appel aux normes profondément intériorisées, aux
valeurs individuelles et collectives, aux hypothèses fondamentales (Schein, 1992). C’est à
dire, ce qui est pris pour acquis par les membres d’une organisation, une réponse à un
problème connu. Ces normes consommatoires expliquent par exemple l’engagement qui
existe entre deux individus et qui génère une réciprocité non immédiate. La question est de
savoir comment ces normes instrumentales et consommatoires agissent dans la construction
ou la destruction du capital social. Il faut aussi déterminer comment ces normes interagissent
entre elles. Par exemple, Chollet (2005 :178-179) montre que la confiance est un concept
ambigu. L’on ne demande pas une information confidentielle à un ami pour ne pas le mettre
en difficulté avec le règlement de son entreprise, mais il arrive parfois que l’on donne une
information confidentielle, justement parce que c’est un ami qui la demande. Nous
interprétons ces deux comportements opposés comme des résultats de l’action des valeurs.
Comme le montre Rokeach (1973: 3), les valeurs sont organisées en systèmes et nous pensons
que si dans le premier cas ce sont les valeurs de bienveillance et de respect des règles envers
un ami, mais aussi envers l’entreprise, qui guident le comportement, dans le deuxième cas,
c’est la valeur d’amitié qui prime et pousse l’individu à donner ce qu’il ne devrait pas donner.
Il semblerait que la demande n’altère pas la confiance que l’on porte à la personne. Il s’agit
selon nous de la manifestation des « normes consommatoires » qui diffèrent selon la
hiérarchie des valeurs, qui font vivre la relation entre acteurs.
13 Traduit par nos soins
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 41
1.2.4. Synthèse des définitions et les conditions d’activation du capital
social
Cette première section nous a permis de lister et de décrire les conceptions dominantes du
capital social (cf. Tableau 2).
Pour la plupart des auteurs (Bourdieu, Coleman, Fukuyama, Lin, Portes, Putam), la
conception du capital social est utilitariste et sert les intérêts immédiats des acteurs, qui
peuvent être :
Soit un groupe d’individus, voire des nations, et dans ce cas, le capital social est largement
dépendant de la culture et plus particulièrement de la valeur de confiance et des normes
de réciprocité.
Soit un individu en particulier. Dans ce cas, les différentes conceptions du capital social
associent la structure relationnelle à la confiance (Coleman), voire la nature des ressources
disponibles et accessibles grâce à la structure du réseau relationnel (Lin, 1999). Bourdieu
1980) a, quant à lui, la particularité de placer l’acteur au centre de son réseau social. Ce
dernier est le fruit de la stratégie de l’acteur et se bâtit sur le principe de reconnaissance
mutuelle.
Si la structure du réseau relationnel détermine la manière dont les ressources sont accédées,
peut-on pour autant dire qu’elle caractérise à elle seule le capital social ? Nous pensons
comme Lin ou Bourdieu que les ressources disponibles en sont un élément clé qu’il est
impossible d’écarter. En effet, comme nous le verrons dans la section suivante, la structure du
réseau ne dit rien sur le contenu des échanges. De plus, si certaines ressources ne sont pas
toujours choisies par l’acteur, comme ses relations professionnelles par exemple, rien ne
l’empêche ensuite de conserver des relations choisies, en fonction de valeurs communes,
d’intérêts communs, ou suivant une stratégie individuelle.
Une autre conception non-utilitariste défendue par Alain Caillé, nous paraît tout à fait
intéressante et pertinente pour tenter de capter toute la complexité du capital social. En effet,
non seulement cette approche du capital social ne nie pas les effets de l’intérêt immédiat, mais
elle enrichit les perspectives pour comprendre l’action tant individuelle que collective. La
théorie du don proposée par Alain Caillé fonde l’action sur la quête universelle de
reconnaissance et sur quatre dimensions qui font appel à un large éventail de valeurs. Ces
dimensions expliquent les raisons de la réciprocité de l’échange. Il ne faut pas oublier
qu’activer son capital social c’est faire une demande. Aussi, tout comme Portes (1998),
nous pensons que les motivations à donner sont un concept central du capital social. La triple
obligation de Donner-Recevoir-Rendre14
apparait très importante. Elle porte en effet une
certaine universalité anthropologique (Mauss, 1950) motivée par les mêmes
14 et son opposé : Prendre-Refuser-Garder
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 42
principes d’action: l’intérêt personnel, l’empathie, la liberté et l’obligation d’agir. Cette
théorie s’intègre parfaitement avec le cadre des motivations définies par Alder et Kown.
Néanmoins, la définition du capital social d’Alain Caillé omet de prendre en compte la nature
des liens qui relient les acteurs entre eux. Selon lui (ibid. : 99), le concept d’encastrement
développé par Polyani (1983), puis repris par Granovetter (1985 , 1992) est un concept obscur
et discutable comme l’illustrent ses propos (ibid. : 122) : « plutôt que dire que l’économique
est imbriqué ou encastré dans la socialité primaire, dans les réseaux de relations ou entre
groupes, ne vaudrait-il pas mieux poser qu’il s‘étaie sur eux, voire qu’il n’est qu’une
modalité particulière du rapport interpersonnel ?».
Malgré ces interrogations qui nous semblent justifiées, notre sujet d’étude ne s’intéresse pas à
la nature de la relation entre économie et encastrement relationnel, mais à l’apport des réseaux
dans l’acquisition de ressources immatérielles. Les recherches sur les réseaux sociaux
montrent que la structure des relations est soit un levier, soit un frein pour l’acquisition de
ressources matérielles ou immatérielles. En conséquence, il ne nous semble pas raisonnable
de d’écarter l’analyse structurale du concept de capital social, du moins, dans la perspective
d’une stratégie individuelle de l’acteur qui nous intéresse dans le cadre de cette thèse.
En conclusion, nous pensons que l’étude du capital social au service de l’individu est
indissociable de l’étude de structure des relations et du type de ressources accédées. Nous
pensons également, comme Alain Caillé, qu’il faut aller au-delà de l’intérêt immédiat et du
seul intérêt économique. La théorie du don nous invite à prendre en compte un système de
valeur plus complet et complexe que la seule prise en compte de la confiance comme
condition de réussite dans l’activation du capital social.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 43
Fondement Auteurs Capital social Implications
Utilitariste
Putman
(1993)
Objectif: Action collective pour un
groupe donné.
Principe d’action: Cohésion les
normes et les obligations morales
Réciprocité et réseau de relation
La confiance est le résultat du capital
social
Fukuyama
(1995)
Objectif: Action collective pour un
groupe donné. Principe d’action: Cohésion par la
culture (valeurs et normes).
Confiance intra groupe et réseaux de
relations.
Coleman
(1988)
Objectif: Action individuelle
Principe d’action: Usage du réseau
relationnel.
Confiance et structure relationnelle
Bourdieu
(1980a)
Objectif: Action individuelle
Principe d’action: s’additionne au
capital humain (économique,
culturel, symbolique) détermine la
position dans le réseau relationnel.
Reconnaissance mutuelle entre membres
du réseau de relations
Lin
(1999)
Objectif: Action individuelle
Principe d’action: le capital social se
compose des ressources disponibles et des liens pour les atteindre.
Obligation de réciprocité ou de
compensation
Portes
(1998)
Objectif: Action individuelle
Principe d’action: le réseau social
est inutile s’il ne contient pas des
ressources.
Normes de coopération, confiance,
identité et réciprocité
Anti-
utilitariste
Caillé
(2006,
2009)
Objectif : Quête de la
reconnaissance
Principe d’action : intérêt pour soi,
empathie, obligation, liberté.
Théorie du don (donner, recevoir,
rendre).
La confiance.
L’intérêt personnel, l’altruisme, la liberté
et, l’obligation d’agir qui forment les
quatre dimensions de l’action et font
appel à un ensemble de valeurs diverses.
Tableau 2: Différentes définitions du capital social
Pour faire écho aux propos d’Adler et Kwon, il convient maintenant d’approfondir nos
connaissances sur les facteurs d’influence du capital social qui actionnent les leviers de
l’opportunité, de la motivation et des capacités.
1.3. Les facteurs d’influence du capital social
1.3.1. Les réseaux sociaux
L’efficacité d’un réseau dépend en grande partie de sa configuration. Cependant elle ne peut
être déterminée sans tenir également compte de l'état des autres sources de capital social et de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 44
l’action qu’exerce l’environnement sur l’acteur. Autrement dit pour reprendre les termes
d’Adler et Kwon (2002 : 32), il faut tenir compte des facteurs de contingence entre l’acteur et
l’influence de la hiérarchie, des contextes et des symboles pour l’action et de sa relation avec
son organisation. Auparavant, il convient de définir ce qu’est le réseau social, dans le cadre de
cette recherche.
Définition
Les réseaux sociaux « sont l’ensemble d’instances (telles que des personnes, des
organisations, des groupes sociaux…), liées par des relations sociales formelles ou
informelles, fondées sur l’amitié, le transfert de ressources ou d’autres axes de solidarité »
(Laumann, Galskeiwicz, Marsden, 1978 : 458). Ferrary et Pesqueux (2004 : 130) proposent
une autre définition : « des groupes d’individus entre lesquels, la fréquence des interactions
économiques, et la densité des relations sociales, permettent de lever l’incertitude liée au
hasard moral, en permettant de discerner précisément entre les membres malhonnêtes et les
membres honnêtes ». Ces deux définitions caractérisent le réseau social comme une structure
composées de relations entre individus, mais aussi de règles et de routines. Nous ne
partageons cependant pas la vision de Ferray et Pesqueux, et ce, pour deux raisons :
La pertinence générale de la fréquence comme unité de mesure de la force des liens peut
être discutée. Suivant les milieux, les contextes d’action, la proximité ou l’antériorité de la
relation peuvent s’avérer être de meilleur indicateurs de la force des liens.
Enfin, les incertitudes peuvent-elles être systématiquement et réellement levées ? Les
individus dotés de rationalité limitée (Simon, 1947) optent pour les choix les plus
satisfaisants, ce qui n’implique pas la levée complète de l’incertitude. De même la docilité
(Simon, 1993: 156) dont ils font preuve n’implique pas non plus la levée complète des
incertitudes.
La littérature consacrée à l’analyse des réseaux, emploie généralement les termes de réseaux
complets et réseaux personnels. Le réseau personnel ou « ego-network », correspond à la
structure relationnelle d’un individu. Ce réseau apparaît comme un cercle concentrique qui
peut compter au plus large, 5000 personnes. Mais qui connait-on personnellement ? Degenne
et Forsé (2004 :21), posent en réponse que l’on connait personnellement quelqu’un lorsqu’on
l’a déjà rencontré, ou que nous avons déjà établi un contact avec lui. Le cercle immédiat
correspondant à ceux que l’on contacterait pour joindre quelqu’un que l’on ne connait pas. Sa
taille serait de 100 à 200 personnes. Une personne a, en moyenne, moins d’une vingtaine
d’interlocuteurs différents par semaine, mais ne se confie réellement qu’a trois d’entre eux
(Degenne et Forsé, 2004: 26).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 45
La confiance nécessaire à la genèse des réseaux sociaux
La confiance implique la prise de risque. Les deux parties d’un échange savent que leurs
actions peuvent influer considérablement sur leurs relations. Cependant ces deux parties
partagent des idées, des préoccupations, des questions, etc.
La confiance peut être traitée comme:
Une caractéristique individuelle (Misztal, 1996), comme l’émotion ou les valeurs
(Wolfe, 1976) ;
Un attribut du collectif, qui peut être mis à profit pour atteindre un objectif
organisationnel (Misztal, 1996) ;
Un bien public précieux, facilité et soutenu par un système social (Putnam, 1993).
La confiance est considérée comme «la certitude d’un individu que les actions d’autres
personnes seront convenables à son égard » (Misztal, 1996 : 10). Fukuyama (1995) suggère
qu’il s’agit d’une attente des comportements honnêtes, coopératifs et réguliers des individus
partageant le même système de normes.
Les partenaires jaugent leurs limites respectives et décident de ne pas les enfreindre par
respect de l’autre. Le respect de sa propre « limite » est d'ailleurs aussi important que le
respect de celle de son interlocuteur.
« La loyauté est directe et indirecte : déclarer que certains objets sont inéchangeables parce
qu'il existe une loyauté vis-à-vis de l'organisation, c'est déclarer que de même, certains objets
partagés avec le partenaire seront inéchangeables avec un tiers, parce qu'il existe une
loyauté vis-à-vis de ce partenaire particulier. L'effet est double : limitation de l'espace
d'échange (mécanisme limitant) et renforcement des frontières qui le protègent (incite à
l'échange) » (Bouty, 1999).
Sur un plan individuel, la confiance envers un acteur ne se base pas sur ce qu’il dit, mais
plutôt sur ses compétences connues, sa réputation. Au plan collectif Dasgupta (1998) montre
que l’on ne fait pas confiance à un individu si l’on ne fait pas confiance à l’organisation qu’il
représente. Ceci exprime d’une part la nature transitive de la confiance, et d’autre part, la
volonté d’anticipation des comportements d’autrui. Les protagonistes d’une relation
recherchent en leurs partenaires des normes, des valeurs communes, mais aussi un
comportement équitable.
La logique d’échange entre les acteurs du réseau d’innovation est relationnelle, c'est-à-dire
basée sur le don/contre don : ce que donne chaque acteur au reste de la communauté
(compétence technique, réputation, information stratégique…) « ne fait pas l’objet d’une
compensation immédiate mais d’une compensation différée dont la nature n’est pas définie au
moment de l’échange » (Ferrary, 2002 : 277). Ce système permet le développement de la
confiance si les échanges sont équitables, c’est-à-dire, s’ils « consistent à aider le partenaire
lorsqu’il en exprime le besoin et inversement, à ce qu’il fasse de même lorsque l’occasion
s’en présente » (Bouty, 1999 : 10).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 46
La confiance devient alors un moyen de contrôle des comportements. Pour limiter
l’opportunisme, les acteurs du réseau doivent socialiser leurs échanges par des règles de
fonctionnement, des coutumes, des rites... D’une part, cette socialisation accroît le coût des
trahisons en augmentant le coût économique (exclusion des projets futurs), les coûts
symboliques et sociaux (exclusion des manifestations propres au groupe social) ; D’autre part,
elle assure l’optimalité de la régulation par le don, puisque le comportement opportuniste sera
sanctionné, même s’il n’y a pas de contrat formel. La sanction est dans ce cas sociale et non
légale : les informations sur le comportement opportuniste seront diffusées au sein du réseau
et inciteront chacun des membres à refuser toute nouvelle collaboration avec le tricheur
(Ferrary, 2002 : 284).
Brulhart et Favoreu (2003: 10) notent que la faiblesse ou l’absence de contrôle génère des
incertitudes qui se traduisent pour les acteurs par une perte de repère et un accroissement de la
déviance. Si la confiance est un mode de coordination possible du réseau, si chaque acteur
pose l’hypothèse que les autres membres ont la volonté réelle de coopérer, et que les
comportements opportunistes seront quasi-absents, alors, il est impératif de disposer d’une
règle de réciprocité qui assure l’équité des transactions. Dans le cas du réseau d’innovation,
cette règle est celle de l’exclusion des individus qui ne se révèlent pas dignes de confiance.
Ainsi, non seulement le contrôle et la confiance sont des modes de coordination
complémentaires, mais ils s’influencent mutuellement (Goold et Campbell, 1987).
Néanmoins si la confiance limite les comportements opportunistes des individus, elle peut
tout à fait engendrer des effets négatifs.
Des individus peuvent être abusés par une personne qui les manipule. L'abus de confiance
se définit juridiquement comme « le fait par une personne de détourner, au préjudice
d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a
accepté à charge de les rendre, de les représenter ou d'en faire un usage déterminé »
(article 314-1 du code pénal). Cet abus suppose au préalable un accord de volonté entre
les deux partis d’une négociation. Par exemple, A confie à B une somme d’argent pour
que B la transporte jusqu’à un point donné. B accepte la proposition, mais ne se rend pas
au rendez-vous et garde l’argent.
La confiance est aussi nécessaire entre les membres d’un gang pour mener à bien un
forfait. Il ne serait pas admissible que l’un d’eux aille dénoncer ses camarades à la police.
Ce type de relation frauduleuse implique l’existence de liens forts entre les membres du
groupe, ce qu’a théorisé Sutherland avec l’association différentielle (1966).
1.3.2. Analyse des réseaux sociaux
L’analyse structurale s’intéresse au réseau complet d’un acteur. Emmanuel Lazega
(2006 :216) pense que les processus sociaux qui constituent le capital social d’un collectif
(c’est-à-dire d’un capital social différent du capital relationnel des membres individuels de ce
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 47
collectif) ne sont identifiables dans leur dimension relationnelle, que par l’analyse des réseaux
dits « complets15
».
Cependant la constitution des données nécessaires à l’analyse peut vite s’avérer
insurmontable. Il convient donc de délimiter le périmètre d’étude. Comme aucun réseau ne
comporte une frontière naturelle, il appartient au chercheur de délimiter son périmètre
d’investigation, avec le risque que la mesure retenue limite de manière trop restrictive le
champ des relations (Degenne et Forsé, 2004).
Dans le cadre d’un réseau personnel, on ne s’intéresse pas à un réseau complet mais l’on se
focalise sur un individu donné. Il s’agit alors d’étudier l’ensemble des liens qui entourent cet
individu (Marsden, 1990 : 438). Il est possible de demander à un individu de renseigner un
générateur de noms. « Mais un individu n’a pas nécessairement une bonne connaissance des
relations à l’intérieur de son réseau, et il faut discerner ce qui est de l’ordre de la relation
factuelle, et ce qui est de l’ordre de la représentation. Le risque d’amalgamer deux types de
réalités est grand et au total, les enquêtes sur les réseaux personnels ne permettent que
d’avoir des données structurales assez frustres : volume, fréquence, multiplexité, voire densité
des relations au sein des réseaux » (Degenne et Forsé, 2004: 28). Cependant l’étude des
réseaux personnels a aussi des avantages. Elle se prête facilement aux techniques classiques
d’échantillonnage, ce qui permet d’étendre les résultats d’un échantillon à l’ensemble d’une
population. Ce que n’autorise pas l’étude des réseaux complets (Merkclé, 2004: 35).
Pour illustrer l’apport des réseaux personnels nous pouvons citer Burt (2000: 16) et Jack et
alii. (2004 : 631), qui ont montré que les entrepreneurs interagissent avec leurs réseaux pour
générer des innovations. L’entrepreneur est intégré dans un environnement avec lequel il
interagit. Cet environnement, réseau social de l’individu, est diversifié : les dimensions:
sociales, socioéconomiques, culturelles, technologiques et politiques sont souvent mobilisées.
Il s’agit donc bien de nous intéresser aux processus sociaux qui fondent l’usage et la valeur du
réseau. En ce sens, le réseau personnel est bel et bien un réseau social. Aussi, à l’image de
Chauvet (2004) qui considère le réseau personnel du dirigeant comme le réseau social du
dirigeant, nous considérons que l’objet de notre étude est bien le « réseau social de
l’acteur ». Aussi, nous utiliserons indifféremment le terme de réseau social ou de réseau
personnel pour qualifier la structure des relations directes qu’entretient un individu.
15 L’expression « méthode des réseaux complets » désigne la méthode de recueil de données sur laquelle est
basée l’analyse structurale en sociologie. Elle signifie que le chercheur sait, après enquête dans un ensemble
social aux contours prédéfinis, si une (ou plusieurs) relation(s) existe(nt) entre deux personnes, quelles qu’elles
soient dans cet ensemble social. La définition du contour de cet ensemble et des relations dont on observe
l’existence fait l’objet, de la part du chercheur, de décisions de nature substantive. Ces décisions dépendent de
l’objectif prioritaire de la recherche.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 48
1.3.3. La structure du réseau social
Les théoriciens des réseaux soutiennent que la compréhension du capital social exige une
analyse plus fine de la structure du réseau. Il faut pour cela se concentrer sur la qualité des
liens constitutifs, leur fréquence, l'intensité, la multiplexité et l’ensemble des paramètres
structuraux. Il faut prêter attention à la nature directe et indirecte des liens (Granovetter,1973 ;
Coleman, 1988 ; Burt, 1992).
La théorie de la force des liens de mark Granovetter (1973)
Avec sa théorie des liens faibles, Granovetter (1973, 1985), illustre que les liens directs et
indirects du réseau donnent l'accès à des acteurs et aux ressources que ces individus peuvent
mobiliser à travers leur propre réseau de liens. Granovetter introduit le terme d’encastrement
(embeddedness) pour reconnaître que certains bénéfices économiques exploités par les
individus, ont comme origine les réseaux sociaux dans lesquels ils sont inscrits.
Granovetter (1973) classifie la force des liens interpersonnels en fonction de quatre critères :
la durée de la relation (l’ancienneté et le temps passé ensemble) ;
l’intensité émotionnelle,
l’intimité (la confiance mutuelle),
les services réciproques.
La force d’un lien interpersonnel « est une combinaison (probablement linéaire) de la
quantité de temps, de l’intensité émotionnelle, de l’intimité (la confiance mutuelle) et des
services réciproques qui caractérisent ce lien » (Granovetter, 2002 : 46).
Les liens forts relient entre eux des acteurs appartenant à un même groupe. L’intensité des
liens confère un caractère transitif à la relation. C’est-à-dire que si A à un lien fort avec B et C
alors il est très probable que B et C seront amenés à se connaitre et développeront aussi un
lien fort. Suivant cette particularité, un réseau social uniquement composé de liens forts serait
nécessairement dense. Coleman (1988: 99) fait valoir que la fermeture de la structure du
réseau renforce le capital social. Ce type de réseau s’apparente à « une clique » (Forsé et
Degenne, 2004), qui facilite l'émergence de normes efficaces et maintient la fiabilité des
autres membres, renforçant ainsi le capital social. Dans une structure plus ouverte, les
violations des normes sont plus susceptibles de passer inaperçues et restent impunies. Cela
favorise la perte de confiance entre les individus et l'affaiblissement du capital social.
Néanmoins, des travaux comme ceux de Hansen, Podolny et Pfeffer (2001) et Rowley,
Behrens et Krackhardt (2000), montrent que la densité et la force des liens ne sont pas
nécessairement statistiquement liées et qu’une faible densité associée à des liens forts produit
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 49
des résultats bénéfiques pour l’acteur. Les liens forts ont la propriété de faire circuler
rapidement l’information, mais celle-ci est fortement redondante si le réseau est dense.
A l’inverse, les liens faibles permettent de relier les individus appartenant à des réseaux
différents et donc, d’accéder à de l’information nouvelle et inédite dans le groupe.
Cette théorie est communément admise au sein de la communauté des chercheurs en science
de gestion. Néanmoins, dans une thèse axée sur les propriétés d’un bon réseau personnel,
Barthélémy Chollet (2005: 389) montre que les liens faibles n’exercent pas nécessairement
d’effet en eux-mêmes. La population d’ingénieurs en Recherche et Développement faisant
l’objet de l’étude s’appuie très largement sur des liens forts. Ceci signifie que les ingénieurs
mobilisent des liens de confiance pour faire circuler l’information stratégique. La
bienveillance des interlocuteurs permet l’acquisition d’informations officieuses (Chollet,
2005: 354).
L’explication de ce résultat pourrait provenir de la nature des informations échangées via des
liens faibles : « les liens forts impliquent souvent que les parties prenantes de la relation ont
établi des heuristiques pour travailler ensemble et comprendre leurs façons respectives
d’exprimer leurs idées et leur pensée. Ainsi, dans un lien fort, même si les individus n’en
savent pas long sur la connaissance dont il est question, ils peuvent discuter de problèmes
complexes comme d’idées vagues avec moins de risque de mal se comprendre » (Hansen,
Podolny et Pfeffer, 2001 : 27).
L’étude de Granovetter (1973) qui a débouché sur la théorie des liens faibles, porte sur la
recherche d’emploi. Dans ce cas les informations qui circulent sur la disponibilité d’un poste
dans telle ou telle institution sont brèves. Par exemple, elles peuvent être orales et simplement
nécessiter un contact rapide entre les individus.
La situation serait probablement différente s’il s’agissait de transférer des connaissances
complexes, ce qui demande du temps. De plus, l’étude de Granovetter ne prend pas en compte
la compétition qui peut exister entre les acteurs. Cette compétition peut soit les rassembler,
soit les opposer.
La théorie des trous structuraux de Ronald Burt(1973)
Avec la théorie des trous structuraux, Burt (1992) soutient à l’opposé de Coleman, qu'un
réseau espacé avec peu de liens redondants fournit souvent de plus grands avantages qu’un
réseau fermé.
Un trou structural est « l’opportunité de connexion d’un individu à d’autres groupes,
autrement dit, il s’agit d’une relation de non redondance entre deux contacts». (Burt, 1992:
83).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 50
La personne qui en bénéficie occupe une position d’intermédiaire entre les groupes faiblement
connectés. Ce qui constitue un avantage central du capital social. La position d’intermédiaire
(broker) se définit comme « une relation dans laquelle un acteur médiatise le flux de
ressources ou d’information entre deux autres acteurs qui ne sont pas directement liés »
(Fernandez et Gould 1994 : 1457).
Elle permet à l’individu d’être un passage obligé dans la circulation des informations. Cette
position permet d’élaborer des stratégies comme, par exemple donner l’information pour
s’attirer de la sympathie ou des faveurs, monnayer l’information contre un autre bien ou
éviter que les adversaires en prennent possession.
Un réseau ego-centré procure des bénéfices en permettant d’accéder le premier à de
l’information nouvelle. L’acteur peut ensuite la relayer ou de ne pas le faire suivant la
stratégie qu’il estime la plus adaptée. Le bénéfice est maximal lorsque l’individu créé un pont
entre deux, voire plusieurs réseaux sociaux.
Un autre avantage du trou structural réside en la combinaison de la diversité des informations
que l’acteur peut capter. Cette combinaison d’informations variées permet la création de
connaissance confère une vision plus holistique de l’environnement… C’est un atout précieux
pour l’innovateur qui cherche à élargir sa perception de ce qui l’entoure.
Enfin, le trou structural améliore aussi la visibilité de celui qui en bénéficie, puisqu’il se
retrouve au centre d’échanges d’informations de valeur. L’innovateur peut ainsi plus
facilement acquérir l’adhésion de soutiens à ses projets.
Le réseau social est un outil pour anticiper l’avenir : « c’est une armée de gens qui traitent de
l’information et qui peuvent attirer votre attention sur certains éléments clés - vous tenant au
courant d’opportunités qui se développent, ou vous mettant en garde avant que ne se produise
un désastre » (Burt 1992 : 14). C’est aussi un outil promotion : « Vos contacts personnels
mentionnent votre nom au bon moment et au bon endroit, de sorte que les opportunités vous
sont proposées » (Burt 1992 : 14).
Les différentes formes de Non-Redondance
La non-redondance ou la redondance des liens au cœur de la théorie des trous structuraux est
une redondance structurale. Elle tient compte de la position d’une personne dans une
structure, mais ne déduit rien de ses attributs. Cette personne peut en effet être comptable,
médecin, ministre… ; la théorie des trous structuraux ne tient pas compte des avantages ou
des inconvénients liés aux caractéristiques de la personne.
La théorie des ressources sociales (Lin, 1999) apporte un complément important à cette
notion. Deux membres d’un même réseau qui ne partageant pas la même profession, ni le
même lieu de travail, peuvent avoir intérêt à entretenir des liens forts. Peut-on alors dire que
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 51
ces personnes sont redondantes alors qu’elles ne disposent pas des mêmes ressources ? Dans
ce cas précis, la non-redondance ne s’exprime pas en termes de position, mais en termes
d’attributs. Il est possible d’identifier quatre redondances d’attributs :
La non-redondance géographique : McEvily et Zaheer (1999) montrent que plus les contacts
des dirigeants (ici des petites et moyennes entreprises spécialisées dans le travail des métaux)
sont dispersés géographiquement, plus l'entreprise dispose d'une compétence de veille
concurrentielle importante.
La non-redondance hiérarchique et organisationnelle : Seibert, Kraimer et Liden (2001),
suggèrent que les managers qui réussissent le mieux sont ceux dont le réseau est composé
d'individus travaillant dans d'autres fonctions de l'entreprise qu'eux et à des niveaux
hiérarchiques supérieurs.
La non-redondance technique : pour Rodan et Galunic (2004) l'innovation dépend de la
capacité à recombiner les connaissances hétérogènes disponibles dans l’environnement
relationnel.
Finalement, la mesure des liens redondants se détermine par :
La taille du réseau : le nombre de contacts dans le réseau (le nombre de liens directs de
l’acteur ego-centré) ;
La distance technique (la proximité des activités professionnelles), hiérarchique
(l’écart dans la position managériale), organisationnelle (différentes fonctions) ou
géographique (le même service, une autre entreprise,…)
La densité des relations : la densité se calcule par le rapport entre le nombre de liens
effectifs dans le réseau et le nombre de liens possibles ;
La hiérarchie des relations : l’influence exercée par les contacts.
La contrainte est un paramètre de mesure de la hiérarchie (Burt, 1997). Elle se calcule
en additionnant la part que prend chaque membre dans le réseau. En ce sens, elle
contient la densité. Plus il y a de trous structuraux, plus le capital social du réseau est
faible et plus l’influence de l’individu qui bénéficie des trous structuraux est forte.
Synthèse de l’analyse structurale
En résumé, la proximité, les liens internes, offrent des avantages en termes de cohésion pour
le capital social d’une organisation. Les réseaux à liens fort sont homophiles. C’est-à-dire, que
les personnes qui se ressemblent ont plus de chance de se rencontrer que celles qui sont très
différentes (McPherson, Smith-Lovin et Cook, 2001 : 416).
Les trous structuraux et les liens externes centrés sur l’acteur favorisent la variété des
ressources mobilisables, jouant ainsi sur ses capacités concurrentielles dans un objectif de
compétitivité.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 52
La recherche des effets de l’intensité des liens ou de la présence de relations d’intermédiaires
montrent que l’analyse structurale cherche à déterminer la meilleure configuration dans
laquelle les acteurs peuvent obtenir pouvoir et notoriété. Les propriétés structurales (force des
liens, trous structuraux, etc.), déterminent l’autonomie d’un individu. C'est-à-dire sa capacité
à avoir accès à des ressources liées à la position qu’il occupe (disposer de capacités
stratégiques).
Les réseaux ont la propriété d’être homogènes ou hétérogènes, suivant les caractéristiques qui
lient les acteurs entre eux. Par exemple, un réseau hétérogène est un réseau à liens faibles
dans la mesure où alter (un membre du réseau) et ego (le détenteur du réseau) ont des statuts
différents et/ou n’appartiennent pas aux mêmes réseaux (Granovetter, 1973). Le Tableau 3 ci-
dessous présente les propriétés d’un réseau hétérogène et homogène.
Homogénéité Hétérogénéité
Forte corrélation entre statuts (hétérogénéité
systémique)
Forte homophilie
Peu de relations entre réseaux
Faibles chances qu’un lien soit faible
Faible corrélation entre statuts (Homogénéité
systémique)
Faible homophilie
Beaucoup de relations entre réseaux
Fortes chances qu’un lien soit faible
Intégration locale forte Intégration locale faible
Tableau 3: Homogénéité et hétérogénéité des réseaux (Degenne et Forsé, 2004 :230)
La segmentation des réseaux, c'est-à-dire le non entrelacement et l’absence d’échange inter
réseaux, favorise l’homophilie et les liens forts. Plus la structure est segmentée, plus elle est
intégrée localement.
A l’inverse, l’entrelacement diminue l’homophilie et augmente le nombre de liens faibles.
Plus la structure est entrecroisée, plus elle est intégrée globalement. Plus il y a entrelacement,
plus il y a d’échanges et de communication. L’entente et la confiance peuvent naître entre les
individus.
Nous en avons terminé ici du balayage des différents éléments clés de l’analyse structurale et
nous souhaitons relativiser son importance. En effet, si elle est nécessaire, certaines voix
s’élève pour dire elle n’est pas pour autant suffisante.
Nous l’avons mentionné, Burt (1992, 2001) suggère que la structure des relations, qui peut
créer des avantages pour certains individus ou groupes, provient de la société : « qui peut être
vue comme un marché au sein duquel les gens échangent toutes sortes de biens et d’idées afin
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 53
de poursuivre leurs intérêts. Certaines personnes ou certains groupes, réussissent mieux au
sens qu’elles reçoivent plus en retour de leurs efforts » (Burt, 2001: 202). Burt (ibid. : 204)
ajoute également que : « la structure des relations prioritaires entre les gens et au sein des
organisations peut affecter ou remplacer l’information ». Ce qui signifie que dans
l’incertitude, lorsque l’information est peu fiable ou difficile à obtenir par des voix
officielles, les acteurs mobilisent leur réseau personnel pour réduire ou anticiper les
risques. En ce sens, le réseau social se substitue aux sources officielles d’informations. Pour
Burt le phénomène central de l’analyse structurale est celui du mécanisme des connexions.
Parce qu’il détermine comment les acteurs accèdent à l’information et quels usages ils en
font.
Enfin, pour mieux comprendre l’intérêt et les limites de l’analyse structurale, il faut prêter
attention à l’ouvrage de M. Kilduff & W. Tsaï (2003 : 112). L’analyse structurale ne doit pas
conduire à négliger l’autonomie individuelle (individual agency), sous peine d’échouer à
comprendre comment les acteurs constituent et transforment les réseaux organisationnels.
Dans leur approche poststructuraliste, ils suggèrent de s’intéresser à la façon dont « la toile
d’interprétations subjectives des normes, des valeurs et des comportements bouge et change »
(Kilduff & W. Tsaï ,2003 : 115), d’analyser la façon dont les individus coopèrent pour
construire et maintenir les réseaux qui les contraignent (ibid. : 113). Il faut, selon eux, se
méfier des grands paradigmes comme « la représentation, dominante dans les sciences
sociales, d’un monde composé d’acteurs cherchant leur avantage personnel » (ibid. : 120).
« La recherche de la seule vraie structure sous-jacente devrait laisser la place à la
reconnaissance de la possibilité de multiples « vraies » structures et à l’acceptation de
l’importance des perceptions subjectives » (ibid. : 125). Au lieu d’envisager la structure des
réseaux comme « un ensemble stable, objectif et concret de réseaux », il faut mettre l’accent
sur « la fluidité ; la subjectivité et le caractère éphémère des réseaux » (ibid. : 12).
Pour ces chercheurs les réseaux et les normes sont des biens collectifs. Il faut combiner
l’analyse des logiques connexionnistes avec une approche cognitive. L’analyse des réseaux ne
peut se passer de souligner les dimensions cognitives des interactions, de réintroduire les
attributs des acteurs dans l’analyse, et de s’intéresser au contexte culturel et historique des
réseaux.
Dans le même courant de pensée, la problématique du capital social que propose A. Bévort
(2006) consiste à voir le réseau comme une médiation aux dimensions multiples entre les
acteurs disposant d’une identité, d’une histoire, de valeurs et avec des stratégies qui leur sont
propres. E. Lazega (2002, :184) montre par exemple que « pour participer à des efforts
collectifs d’innovation, les membres doivent compter sur l’existence, dans leurs réseaux, de
relations, de sous-structures relationnelles […] dont le rôle est de les aider à coopérer et à
échanger de manière régulière et adaptée à leurs objectifs d’innovation en commun ».
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 54
1.3.4. La hiérarchie
Selon Adler et Kwon (2002: 27), la hiérarchie, bien que négligée, est également une
composante des organisations dont l’influence sur le capital social n’est très certainement pas
dénuée d’intérêt. La hiérarchie dessine les flux de décision et détermine les actions. Les liens
livrés avec les positions hiérarchiques ne sont pas volontairement choisis (Podolny & Baron,
1997: 690), ce qui peut donc influencer l'opportunité. L’autorité sur les ressources, les
croyances, les compétences peut influencer les capacités. Enfin, la hiérarchie peut également
influer sur les motivations à travers ses effets sur les incitations et les normes.
Adler et Know (2002: 25) soulignent que caractériser la hiérarchie comme un facilitateur du
capital social va à l'encontre des puissantes idéologies libérales, individualistes et anti
autoritaires au sein de la recherche sociale. Ces idéologies ont eu tendance à favoriser
l'hypothèse que des effets destructeurs de la hiérarchie sur le capital social.
Quelles sont les caractéristiques de la hiérarchie qui expliquent ces effets positifs ou négatifs?
Adler et Borys (1996) font la distinction entre les formes «porteuses» et «coercitives» de
bureaucratie dans les organisations. Ces auteurs font valoir que ces formes ont des effets
contrastés sur l'engagement des employés et sur le tissu de la coopération informelle. Leur
étude conclut que l’établissement de procédures aide les employés à faire correctement leur
travail et renforce leur implication dans la firme.
Si la forme bureaucratique est seulement synonyme de rigidité, d’autoritarisme et de contrôle,
alors notre capacité à saisir les changements qui s'opèrent dans le paysage organisationnel est
terriblement limitée. Selon Edwards (1979), la bureaucratisation a fonctionné essentiellement
comme un moyen par lequel les gestionnaires peuvent se diviser et exploiter les travailleurs.
En revanche, Dore (1973) a fait valoir que la bureaucratisation des relations de travail au
Japon a renforcé l'engagement des employés grâce à la création d'un ordre constitutionnel qui
a protégé les subalternes du pouvoir arbitraire et a légitimé l'autorité. D’après Adler et Borys
(1996: 81), il est certain que les entreprises qui maintiennent une asymétrie forte du pouvoir et
des responsabilités ne favorisent pas l’autonomie des salariés, mais au contraire, installent un
système autoritaire et coercitif. Néanmoins, ce type d’organisation ne résiste pas à la réalité
du marché et la compétition à laquelle se livrent toutes les institutions. Une organisation
coercitive ne pourrait perdurer que dans une institution peu innovante, non marchande,
comme le milieu associatif par exemple. Cependant, nous pensons que dans ce cas aussi, il
faut être prudent. Les associations sont aussi soumises à des contraintes financières et sont
aussi intéressées par la recherche de solutions qui leur permettraient de travailler plus
efficacement, en réduisant leurs coûts de fonctionnement et en augmentant leurs chances
d’obtenir des financements.
Cette approche, qui consiste à dire que les institutions confrontées à la réalité du marché
développent un management moins autoritaire, laissant plus de possibilité aux
fonctionnements en réseaux, est selon nous tout à fait en phase avec la quête de
reconnaissance des salariés qui s’ancre dans le réel (Dejour, 2007).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 55
1.3.5. Le contexte
L'ajustement entre les caractéristiques du réseau qui contribuent au capital social et les
objectifs de l'organisation est essentiel à la compréhension de la valeur de ce capital social
(Krackhardt, 1993: 110). Sur le plan structural, Hansen (1998) montre que les liens faibles
facilitent la recherche d’'information codifiable et que des liens étroits facilitent le transfert
efficace de données complexes et des connaissances tacites. Uzzi (1997: 57) fait une
remarque similaire : si la tâche exige de la confiance et de la coopération, des liens intégrés
avec les échanges répétés entre un petit nombre de partenaires sont privilégiés, mais si la
tâche à accomplir s’intègre dans un contexte de concurrence du marché, des relations
informelles avec des partenaires nombreux sont plus efficaces. Ainsi le contexte d’usage
réconcilie les visions de Coleman (structure fermée) et Burt (trous structuraux). D’ailleurs,
Burt (2001) montre comment il est possible de combiner l’approche de Coleman et la sienne.
Il constate que la performance d’un groupe est maximale lorsque sa structure interne est
fermée (densité forte de relations ou existence d’un leader), tandis que sa structure externe est
ouverte (les contacts externes ne sont pas reliés entre eux). L’inverse donne une performance
minimale.
Dans la continuité des propos précédents, Hansen et al. (1999: 107) montrent que le gain sur
des tâches relativement incertaines est plus important via des liens à plus forte densité, car la
densité permet aux divers acteurs de partager plus facilement les connaissances tacites. A
l’inverse, lorsque les tâches sont relativement sûres, les trous structuraux sont plus utiles, car
ils permettent une rentabilité via l'accès à un éventail plus large de sources d'informations.
Walker et al. (1997: 109), lors d’une étude de l'évolution de la valeur du capital social au
cours du cycle de vie des réseaux interentreprises, ont fourni un autre exemple de l'influence
du contexte sur l’apport d’une fermeture sociale ou de trous structuraux. Ces chercheurs ont
découvert que les trous structuraux ont plus de valeur au cours de l'histoire. Au début de la
formation du réseau ils ont un but informatif. Toutefois, au fur et à mesure que le réseau se
renforce, devient plus dense et se stabilise, les relations coopératives s’orientent davantage
vers des actions de courtage.
R. Putman propose de distinguer deux sortes de capital social : le bonding, qui crée des liens
forts entre les membres, et le bridging, grâce auquel se nouent des relations entre les groupes.
Or Mancur Olson (1982) soutient que les divergences d’intérêt entre les groupes et l’action de
ces derniers pour maintenir des rentes de position produisent de l’inefficience (les intérêts des
différents groupes à relier ne sont pas forcément convergents).
Les contextes de travail influent également sur la valeur relative des liens internes et externes.
Krackhardt et Stern (1988 : 137) discutent de l'importance relative des liens d'amitié au sein
des groupes. Ils font valoir que si la tâche nécessite l’unité et que l'organisation de la
coopération est importante, alors la valeur relative du capital social de l'intragroupe est
réduite.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 56
Les différents résultats de recherche que nous venons d’énumérer montrent toute la
complexité de la prise en compte des contextes d’activation. L’usage des liens forts et des
réseaux fermés s’observe essentiellement lorsque les tâches à accomplir sont incertaines et
nécessitent la confiance. A l’inverse, l’usage des trous structuraux s’applique surtout dans la
recherche de la nouveauté, mais le succès est dépendant de la nature des relations que peuvent
entretenir les différents groupes en contact. Un conflit d’intérêt, par exemple, peut rendre
l’usage d’un trou structural inopérant voire contre-productif. Ces observations sont
importantes dans le cadre de notre thèse. En effet, dans une logique d’innovation,
l’acquisition d’informations de valeur doit nécessiter de la discrétion et donc de la confiance.
Comme nous le discutons dans la section consacrée aux relations entre l’innovation et le
capital social, l’innovateur cherche à embarquer avec lui des soutiens, des personnes qui sont
prêtes à défendre ses idées et à l’accompagner dans ses projets, quitte à défier, du moins
temporairement l’autorité en place (Alter, 2000). Nous en concluons que l’innovateur, dans sa
quête d’informations et de soutiens, fera davantage appel à des relations avec lesquelles il
entretient des liens forts, plutôt qu’avec des contacts plus distants, moins au fait de sa
personnalité et de ses projets.
1.3.6. Les symboles ou la proximité entre la théorie du capital social et
théorie institutionnaliste
Les normes et les croyances sont des sources de capital social qui influencent sa valeur. Par
exemple, l'esprit d'entreprise peut être considéré comme légitime dans un contexte particulier,
alors que dans un autre contexte, il pourrait être considéré comme opportuniste et égoïste.
Gabbay et Zuckerman (1998 : 15) ont constaté que la lorsque les normes d'encouragement à la
coopération sont défavorables à l’entreprenariat, alors, les activités de courtage sont moins
susceptibles d'être récompensées.
En ce sens, la théorie du capital social est proche de la théorie institutionnaliste : la
performance des organisations dépend de leur capacité à maîtriser non seulement leurs tâches
techniques, mais aussi le défi symbolique de la création et le maintien de la légitimité.
En effet, selon J.R. Commons, l’un des pères fondateurs de la théorie institutionnaliste,
l’économie ne doit pas s’émanciper du droit et de l’éthique (Commons, 1934: 56). Ce qui
importe selon Commons (1934: 3-4), ce sont les échanges de droits entre les individus: l’unité
d’analyse de l’économie doit être l’action des individus dans les transactions, parce qu’elles
représentent le lien social entre les individus et les relations et l’unité première des
interactions humaines que sont :
le conflit provoqué par la rareté,
la dépendance qui concerne chaque individu et l’oblige à la coopération pour atteindre
l’efficience,
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 57
et l’ordre nécessaire à la sécurité des anticipations auxquels se livrent les individus
(concept de futurité que nous expliquons un peu plus loin).
Commons (1939) décrit deux transactions ayant pour objet la création de richesses :
1. La transaction d’échange (barganing transactions) correspond aux situations
d’échange de biens matériels ou immatériels. C’est un ordre économique de la
société. Cette transaction est fondée sur des relations de conflit/compétition
suivant le principe de rareté. La valeur s’appuie sur l’utilité et l’échange.
2. La transaction de direction (managerial transactions). Cette transaction correspond
à un ordre moral de la société et s’appuie sur des relations de dépendance et de
coopération selon le principe de base de l’efficacité et d’une valeur fondée sur le
travail.
La troisième et dernière transaction (Commons, 1934: 68), la transaction de répartition
(rationing transactions) représente la lutte pour le pouvoir au travers des négociations entre les
différentes parties prenantes selon des règles et un ordre collectif qui régissent les relations
entre les individus. C’est un ordre politique et souverain dans la société qui encadre les
transactions d’échange et de direction.
Selon Commons, la rareté crée le conflit dans les transactions d’échange, et c’est aussi cette
rareté qui détermine le degré stratégique de l’échange (Commons, 1939 : 628). Dans ce cadre,
ces transactions reposent sur les principes psychologiques de la persuasion et de la coercition
économique. De même, la recherche de l’efficience conduit à la dépendance où chacun
dépend en partie des autres.
La dépendance conduit à la soumission, l’obéissance, volontaire ou non, à l’autorité
hiérarchique. Selon Commons (1934 : 88), le point de départ de l’économie institutionnelle
est celui de la coopération des individus au-delà des conflits. Cette coopération nécessite la
mise en œuvre de règles de conduites crées par les institutions pour gérer les conflits
d’intérêts et encadrer les transactions. Ces règles ont pour objet de diminuer, voire
d’empêcher que la recherche de la performance individuelle ne pénalise la communauté.
Les individus négocient la mise en place de nouvelles règles en procédant à des anticipations
sur les événements futurs et en s’appuyant sur le critère de la valeur raisonnable, c’est le
principe de « futurité » qui est important dans le sens où c’est le futur et non le passé qui
détermine l’action, non pas dans la maximisation des intérêts, mais dans la recherche de la
sécurité des anticipations.
En effet, les individus cherchent à anticiper les effets des transactions, afin de déterminer
leurs choix pour tenter d’anticiper et de maîtriser les incertitudes du futur. Commons rejoint
ainsi d’autres chercheurs comme Frank Knight (1921), qui, en distinguant les notions de
risque et d’incertitude, souligne l’importance du futur dans les comportements économiques.
Dans l’incapacité de calculer et maximiser toutes les conséquences de ses actions, et donc en
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 58
un sens, sous l’effet de la rationalité limitée (Simon, 1947), l’esprit a pour propriété de former
des habitudes par des règles de conduite devant guider l’action. Cette rationalité limitée des
acteurs les conduits à faire des choix raisonnables et non maximisés. Cette rationalité est donc
guidée par les institutions qui fixent les règles de conduite (Commons, 1939 : 639).
L’incapacité de maximisation de l’individu transfère cette responsabilité à la collectivité qui
permet l’action et donc la sécurisation de l’avenir. Le comportement d’un acteur doit donc
s’analyser dans le cadre de l’action collective (ibid., 1934 : 73-74). Les règles produites par
les institutions sont autant habilitantes que contraignantes pour l’action. Nous rejoignons ici
l’avis d’Adler et Known (2002) sur le rôle de la hiérarchie dans la constitution du capital
social.
Les habitudes permettent à l’acteur de traiter aisément les transactions routinières pour se
concentrer sur les transactions les plus stratégiques (ibid., 1939: 89), où les gains espérés,
mais aussi les risques encourus peuvent être plus importants. Or, ce sont justement les
transactions stratégiques qui sont à l’origine des innovations et de l’évolution de la société.
C’est par elles que de nouveaux comportements et de nouvelles règles émergent avant d’être
sélectionnés. Commons croit que le changement est organisé et contrôlé par les individus. Les
transactions stratégiques conduisent à traiter des problèmes nouveaux et induisent des
changements de comportements, puis l’émergence d’innovations, de nouvelles habitudes et de
nouvelles pratiques, à condition qu’elles soient acceptées par les responsables politiques des
institutions comme par exemple les entreprises.
Ainsi selon Commons, les valeurs déterminent en premier lieu les comportements et
représentent ce qui rassemble les individus dans une même communauté. Le « capitalisme
raisonnable » de Commons s’établit sur le consensus des valeurs qui régissent les
comportements de chacun des membres de la société.
Ce qui rapproche donc le capital social de la théorie institutionnaliste, c’est l’appartenance de
l’individu à un groupe dont le pouvoir politique fixe les règles collectives du comportement
sur la base de valeurs, normes et règles, qui forgent l’identité du groupe. Cependant, ces
règles sont surtout utiles pour gérer les transactions non stratégiques. A l’inverse, les
transactions stratégiques ne répondent pas toujours aux impératifs du respect des règles. Elles
comportent des risques.
Néanmoins, alors que les organisations fonctionnent de plus en plus en réseaux et se
flexibilisent (Sennet, 1999, 2005), la vision institutionnaliste de Commons, née à une époque
où les entreprises étaient plus fortement hiérarchisées, peut être discutée.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 59
1.3.7. La relation individu/organisation : entre flexibilité, érosion du
capital social et nécessité d’innover
La thèse de R.Sennet est que la flexibilité et les relations de court terme, propres au
capitalisme de réseau érodent le caractère (la personnalité) et « en particulier ces traits de
caractère qui lient les êtres humains entre eux et les dotent d’une personnalité susceptible de
perdurer » (Sennet, 1999 :25).
Sennet fait le constat que les causes probables de l’érosion du caractère sont les mêmes que
celles qui affectent le capital social. L’érosion du caractère est, selon lui, la perte de
motivation et d’engagement des acteurs pour l’intérêt du collectif, du fait des comportements
individualistes que génère la nouvelle économie.
Trois points peuvent illustrer le manque de motivation à intégrer l’intérêt du collectif dans les
processus individuels de décision : les conséquences du nouveau type de travail sur le
caractère ; la mobilité professionnelle et ses conséquences ; le relâchement des liens de
dépendance réciproque.
Selon Sennet, l’exigence de flexibilité de l’économie actuelle consiste en « une capacité
continue à abandonner son passé » et une « confiance en soi-même nécessaire pour accepter
la fragmentation » (Sennet, 1999: 62).
Comme nous l’avons évoqué en reprenant les travaux de J.R Commons, quand la prise de
risque est imminente à toute action d’innovation, la possession de ressources permettant
d’affronter l’incertain avec une proportion raisonnable de succès devient la condition d’un
comportement le plus rationnel possible face aux risques. Or, celle-ci semblerait faire de plus
en plus défaut puisque : (1) les parcours professionnels des salariés sont incertains et
désordonnés, (2) les opportunités que saisissent les individus sont le fait du hasard, (3) les
liens sociaux ne s’inscrivent pas dans la durée.
« Au-delà des effets sur l’érosion du caractère, ce point nous amène à considérer l’un des
aspects les plus directement liés au capital social. Le capital social suppose par définition
l’existence de liens de dépendance réciproques. Il peut s’agir de liens intenses, personnalisés,
chargés en émotivité, ou bien , à l’inverse, de liens plus froids, fonctionnels quoique durables,
reconnus et respectés » (Bevort et Lallement, 2006).
Or, d’après Sennet, ces liens de dépendances ont tendance à s’éroder. Si bien que suivant la
théorie institutionnaliste, pour certaines personnes, les règles des transactions d’échanges
pourraient s’écarter des règles collectives et des intérêts de la collectivité. C’est pour cela que
Sennet prétend que cette situation a en général pour conséquence, chez ceux qui sont
dépourvus de capital social, de favoriser des comportements de free-riding, c’est-à-dire de
passagers clandestins, qui pourraient bénéficier des avantages proposés par la collectivité sans
pour autant participer à leur constitution.
« Si, par définition, le capital social suppose l’existence d’interactions et de relations avec
autrui, il n’en va pas autrement pour ce qui concerne la construction de soi. Or, en matière
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 60
de capital social, l’homme flexible d’aujourd’hui ne possède pas nécessairement toutes les
ressources qui lui permettent de s’adapter de manière satisfaisante. Si un tel constat se
généralise, nous pourrions assister à une crise de motivation et rencontrer d’importants
problèmes d’intégration sociale. Comme on le voit, la problématique du capital social et de
l’érosion du caractère sont liées entre elles » (Bevort et Lallement, 2006: 69).
La flexibilité exige l’adaptation des salariés et la prise d’initiative dans les organisations, qui
mettent toujours en place des procédures et pratiquent le contrôle. L’engagement personnel
est indispensable à l’épanouissement des capacités collectives. Être professionnel, c’est être
capable de faire preuve d’autonomie. Le salarié est responsable de ses résultats et doit lui-
même trouver les ressources pour les atteindre (Alter, 2009: 91 ; Ehrenberg, 1991 :16 ; Le
Corre, 2003 :64). Comme l’a écrit Nicolas Flamant16
(2001) : « Ils (les cadres) n’ont pas été
relayés par l’école et les médias, posant comme principe de vie professionnelle la précarité
des situations et comme règle la mobilité et la flexibilité. Ils ont bien entendu que leur
employabilité était liée à leur capacité de renouvellement… et de prise en main de leur
propre devenir ».
Ceci implique que le salarié, pour prouver son utilité dans la firme qui l’emploie, doit se créer
un capital social à même de lui procurer des ressources, capables de mener avec lui, des
transactions stratégiques. Ces transactions ayant pour but d’apporter de la créativité, des
innovations propres à remettre en cause les règles collectives par la résolution de problèmes
nouveaux.
C’est probablement pour cela que Galambaud et Léon (2005 : 12) écrivent que les individus
qui disposent du meilleur capital social et culturel sont ceux que les responsables
d’entreprises souhaitent intégrer, mais qui ont les moyens de refuser les offres qui leur sont
faites. A l’inverse, d’autres salariés ont un capital social et culturel trop insuffisant pour
répondre aux exigences des employeurs et sont alors disposés à commettre des coups d’éclats
et tenter de s’appuyer sur leurs relations interpersonnelles (ibid., 2005 : 12).
Galambaud et Léon (2005) traduisent deux effets majeurs du capital social. D’une part la
détention d’un capital social important permet au salarié d’exercer une certaine liberté et
indépendance vis-à-vis de l’institution, et d’autre part, un manque de capital social peut
conduire à l’affrontement avec les instances de décisions de l’institution.
Toutes les évolutions décrites ont engagé le monde de l’entreprise dans un processus
d’individualisation. Les augmentations de salaire se sont individualisées. Alors que la
rémunération des dirigeants des grandes entreprises s’envole, le salarié est contraint à bien
faire et en faire plus pour espérer augmenter ses revenus sans pour autant être certain
d’atteindre ses espérances dans une négociation où le rapport de force est largement favorable
à l’employeur. A cela s’ajoutent également des craintes sur les perspectives de carrière à long
terme résultant de l’incertitude en l’avenir, et la possible défiance envers les dirigeants qui
« ne sont pas en haut de la société, mais au-dessus d’elle (Touraine, 2005) »17
.
16 N. Flamant- L'intégration des jeunes dans l'entreprise, Entreprise et Personnel, Paris, 2001. 17 A.Touraine (2005), Un nouveau paradigme, Fayard, Paris.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 61
Ainsi les salariés dans leur grande majorité ne se retrouveraient plus dans l’univers social qui
leur est proposé et s’écarteraient, selon Sennet (2000, 2005), de la culture d’entreprise. Leur
appartenance à de multiples réseaux augmente la réactivité de l’entreprise, mais pourraient
conduire les salariés en quête de capital social à se constituer des relations auprès de contacts
divers parmi les clients, les fournisseurs ou concurrents.
Les réseaux relationnels dans lesquels ces salariés seraient insérés pourraient les amener à
conduire des transactions d’échanges, qui ne seraient pas toujours dans l’intérêt des
entreprises qui les emploient.
Dans un ouvrage consacré à la coopération en entreprise, Norbert Alter (2009: 82) pense que
la mobilité personnelle s’ajoute à la mobilité structurelle des salariés. La mobilité
professionnelle qui impose de plus en plus un changement de poste environ tous les trois ans
(Alter, 2009 : 86) ne facilite pas la création du capital social. Changer de poste, c’est détruire
en partie le cadre patiemment construit qui permettait d’établir la réciprocité et cristalliser un
type de professionnalité facilitant le caractère informel du travail : arrangement avec les
clients, dérogation à la règle, connaissances des risques liés à la clientèle etc. (Alter, 2009 :
87). Cette mobilité implique la reconstitution permanente d’un capital social devenu
éphémère. A l’inverse, cette mobilité professionnelle permet de se construire un carnet
d’adresse et d’avoir une meilleure connaissance de l’organisation dans sa globalité. Cette
vision plus globale, cette capacité à se tisser un nombre de liens, peut-être moins intenses
mais plus nombreux permettrait selon Alter (2009) de contrebalancer toute l’influence que
peuvent avoir « les anciens » bénéficiant de liens forts.
Pour Norbert Alter (ibid.: 88), l’érosion du capital social amène l’acteur à se conduire comme
un petit entrepreneur au quotidien, au sens schumpétérien du terme. C’est-à-dire, que chacun
est tenu d’innover et donc d’entretenir sa capacité d’innovation pour enrichir, sinon maintenir,
son capital social.
Il ajoute, par exemple, que les nombreuses transformations organisationnelles ont obligé les
organisateurs, comme les ouvriers dont le pouvoir repose largement sur la solidarité
collective, à repenser les mécanismes de coordination entre les différentes parties prenantes
d’un processus de production ou de création. Selon lui (ibid. : 84), « Les petits innovateurs du
quotidien qui parviennent à conférer sens et efficacité aux nouvelles technologies, aux
nouvelles procédures comptables, aux nouvelles politiques commerciales, buttent toujours sur
des acteurs peu efficaces, peu légitimes, mais garants de l’ordre établi ».
En ce sens, Alter rejoint Commons (1939) sur la nécessité pour les innovateurs du quotidien
non seulement de se constituer un capital social nécessaire à l’établissement de transactions
stratégiques, mais aussi de trouver une légitimité auprès des instances politiques dominantes
de l’institution à laquelle ils appartiennent. Il souligne également combien la culture
d’entreprise peut être un incitateur ou un frein à l’innovation et au recours au capital social.
Nous retenons également que le contexte de flexibilité de Sennet (2005), repris par Alter, peut
conduire le salarié à se constituer un capital social avec des partenaires qui n’appartiennent
pas à la même organisation. Ces réseaux relationnels peuvent créer des multiples liens entre
les institutions et leur environnement extérieur. Ces réseaux, suivant la nature des liens qui les
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 62
composent, permettraient aux salariés concernés d’acquérir des informations nouvelles ou
nécessitant un haut niveau de confiance. Les transactions d’échanges réalisées peuvent
concerner des informations rares et avoir de la valeur pour l’institution qui en bénéficie, mais
dans un contexte de compétition économique, elles exposent et pénalisent potentiellement les
institutions dont les informations proviennent. D’autant que, selon la théorie du don (Caillé,
2009), ces échanges impliquent la réciprocité.
1.3.8. La valeur de l’échange et le délai de réciprocité
Pour Colman (1988), il ne peut y avoir d’échanges sans intérêt. L’intérêt est un moteur du
capital social. Selon A. Gouldner (1992: 161), l’ordre social ne découle pas simplement du
jeu d’attentes réciproques qui ne cessent de se renforcer ni même du produit de calculs
d’opportunités. «Notre thèse est que la réciprocité n’est pas seulement motivée par le plaisir
d’Ego18
à donner à Alter, mais également par le fait qu’Alter a intégré une norme de
réciprocité spécifique qui moralement l’oblige à satisfaire ceux qui l’ont satisfait »
(ibid. :163).
La norme de réciprocité19
est une garantie d’un ordre social et un « mécanisme initiateur ».
Cette norme, aide à engager des interactions sociales. En dépit d’un intérêt bien compris à
troquer une marchandise contre une autre, les agents économiques réputés rationnels peuvent
avoir légitimement peur de s’engager dans un acte d’échange. Rien ne garantit en effet
qu’après qu’un acteur a cédé son bien à l’une de ses relations, celle-ci lui fournisse en
contrepartie un bien de valeur équivalente (Bevort et Lallement, 2006). Par un classique effet
de composition, l’échange ne devrait donc pas avoir lieu sauf si, précisément, une norme est à
même de lever l’incertitude et d’engager les protagonistes sur la voie réciprocitaire.
Alain Caillé (2009), avec sa théorie des moteurs de l’action, pense quant à lui que la
satisfaction du besoin de reconnaissance passe par l’acte « désintéressé », du moins en
apparence, puisque le désintéressement est également intéressé. Le don « satisfait à la fois les
intérêts de face et les intérêts matériels du donateur » (Caillé, 2009 : 20, citant Mauss, 1950).
L’action peut être motivée, intéressée par la satisfaction du « soi » ou de « l’autre », et non
pas par la recherche d’un intérêt matériel. La générosité paie, l’empathie peut être un moteur
18 La littérature sur les réseaux sociaux utilise le terme d’ « ego » pour qualifier la personne au centre du réseau
social, l’acteur central, alors que les « alters » sont les membres du réseau d’ « ego ». 19 Réfléchir sur la norme de réciprocité conduit naturellement à poser la question de l’équivalence : que rendre
en contrepartie du don ou de l’aide accordée ? Selon A. Gouldner, deux cas de figure doivent être distingués.
Dans le cas d’une réciprocité hétéromorphique, les choses échangées peuvent être de nature différente mais de
valeur égale (un prêté pour un rendu). Avec la réciprocité homomorphique, les échanges doivent être
concrètement semblables ou de forme identique tant au niveau des choses échangées que des circonstances (un
rendu pour un rendu). « Historiquement, on trouve la plus importante expression de la réciprocité
homomorphique dans les normes de réciprocité négative, c’est-à-dire dans la vengeance où l’on ne rend pas des
bienfaits mais des préjudices, le meilleur exemple de cette réciprocité nous est fournie par la lex talionis »
(Gouldner, 1992, p. 161).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 63
de l’action qui selon Alain Caillé (2009), est tout à fait compatible avec le modèle
économique de Bourdieu.
Pour Alain Caillé (2009), faisant écho à l’anthropologue Marcel Mauss (1950), le don se
décompose en trois séquences : Donner, Recevoir puis Rendre. Le don ne suppose aucun
retour certain, il est de fait adapté au comportement innovateur (Caillé, 2009). Par ailleurs,
comme l’écrit alter (2002 : 275), « l’échange social, de type don/contre-don, est ce qui
permet d’agir collectivement. Cette capacité est essentielle pour entreprendre, que ce terme
corresponde à l’action de l’entrepreneur schumpétérien ou à l’activité ordinaire d’une
multitude de petits entrepreneurs du quotidien, à l’intérieur des firmes ».
Les actes de confiance au sein des réseaux prennent la forme d’engagements qui, dans les
projets d’innovation, s’intègrent dans une dialectique de dons et contre dons. Elle introduit
une réciprocité dans l’échange, déjà étudiée dans les relations entre les acteurs de l’innovation
en général (Bouty, 1999, Ferrary, 2002), et ceux des logiciels libres en particulier (Loilier,
2002).
Celui qui donne en premier créé la dépendance, celui qui reçoit le don peut choisir de
l’accepter ou de le refuser. S’il l’accepte, il va à son tour donner pour rééquilibrer la relation :
il rend. Après évaluation de ce contre don, un nouveau cycle peut être enclenché. On assiste
alors à un processus d’engagement progressif qui construit la confiance, comme le montrent
Gomez, Korine et Masclef (2003: 7) dans le cas de l’alliance Renault-Nissan. La rationalité
du don est ainsi ambivalente dans la mesure où :
Tout don suppose la confiance puisque le don est un acte incertain qui peut être
éloigné de la rationalité économique stricte ;
Le don n’est pas désintéressé dans la mesure où il présuppose un contre don. « Le don
fournit aux individus des motivations personnelles qui permettent la contribution de
tout au bon déroulement des échanges au niveau collectif » (Douglas, 1989: 111).
Perroux (1960) a d’ailleurs montré que, sous certaines conditions, la logique du don
peut tout à fait renforcer l’ordre marchand (Dupuigrenet-Desroussilles, 1962 :991-
992).
Pour d’autres, le don permet de passer de la fonction à la personne. C’est un acte
d’engagement envers l’autre. Ce n’est pas la contrepartie qui motive le don, mais l’espérance
de la continuité de la relation. On sait aussi que l’on peut plus facilement demander un conseil
stratégique à celui qui est en dette, car il y a une conscience de la dette nous dit Norbert Alter
(2009: 99).
De même, un geste qui compte est un geste qui a une certaine valeur. On ne donne pas ce qui
n’a pas de valeur en espérant une contrepartie.
Donner n’implique pas de recevoir une contrepartie immédiate. De fait, l’acte de don
implique la notion de durée dans la relation. On peut se sentir redevable d’une relation que
l’on n’a pas revue depuis des années. Néanmoins, la durée de la relation est aussi liée à la
nature et au contexte d’échange. On attend un retour sur une durée plus ou moins longue
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 64
suivant le statut de la personne qui est en dette. Mais si aucun retour n’arrive, alors la
collaboration s’arrête. Personne ne donne rien sans rien recevoir en retour.
Alter (2009: 103) cite le témoignage d’une salariée pour laquelle donner des informations sur
les dernières innovations ou la stratégie de l’entreprise ne pose pas de problème. Elle attend
quelque chose en retour, et cet échange permet d’exprimer une sympathie mutuelle. Alter écrit
que ces échanges donnent lieu à une « inflation horizontale ». Plus les individus échangent
des connaissances et des savoir-faire, plus ils échangent de l’émotion, des projets, des
représentations et des valeurs. Plus le principe de générosité anime les relations, plus les
individus acceptent de donner des choses variées, personnelles et engageantes.
Pour se réaliser pleinement, l’échange social suppose de l’émotion positive. A défaut, il y a
coopération, mais pas échange.
La théorie du don montre que l’intérêt matériel ne peut expliquer à lui seul les raisons d’agir.
Les différents exemples que nous venons de lister montrent que la nature de la relation et le
désir de maintien des liens peuvent conduire à s’engager fortement envers les autres. Le
témoignage cité par Alter (2009: 103) exprime clairement que le désir de liberté peut conduire
le salarié à agir de manière à priori opposée aux intérêts de l’institution à laquelle il
appartient. On peut en effet douter qu’une institution érige une règle de conduite autorisant
ses salariés à échanger des informations stratégiques avec leurs contacts.
Les informations qui font l’objet des échanges prennent dans certains cas une valeur qui n’est
pas seulement matérielle, mais peut aussi par exemple, être affective. Le donateur semble
s’approprier l’information et le don devient un témoignage de son affection, de sa confiance.
L’information devient une monnaie d’échange qui sert à la satisfaction de l’autre partenaire de
l’échange, mais aussi à sa propre satisfaction. Dans le cadre de notre thèse, ceci nous conduit
à nous interroger d’une part sur l’efficacité réelle des règles de conduite qui imposent des
comportements uniquement destinés à préserver les intérêts matériels du collectif qui les
définit, et d’autre part, à nous interroger sur les valeurs qui conduisent à faire un don
outrepassant ce type de règles.
On n’échange pas n’importe quoi, avec n’importe qui, n’importe quand. Mobiliser son capital
social comporte des avantages, mais aussi des risques qu’il convient de peser.
1.4. Avantages et risques du capital social
Le parcours de la littérature consacrée au capital social nous a permis de balayer un ensemble
de dimensions nous permettant de définir le capital social, de déterminer ses conditions
d’action et ses facteurs d’influence.
Le capital social est bien une ressource pour l’action. Celui-ci s’appuie sur une structure: « le
contenant », qui supporte des processus sociaux : « le contenu ». Ces processus se
matérialisent par l’accès à des ressources. L’échange de bien en est le plus visible, mais il est
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 65
aussi sous l’influence de plusieurs facteurs. En effet, nous pensons comme Bevort et
Lallement (2006) qu’il faut avoir quelque chose de valeur à donner pour, dans la plupart des
cas, en obtenir une autre en échange. De même la théorie universelle du don (Caillé, 2009)
implique d’une part, que l’objet échangé contienne de la valeur pour le demandeur et que
d’autre part, que l’acte de don ait aussi de la valeur pour le donateur, en ce sens qu’il peut
simplement y avoir un intérêt à donner. Sinon le don n’aurait pas de sens. La ressource
échangeable peut être un bien matériel ou immatériel.
L’intérêt à donner peut être illustré par les travaux de Coleman (1988). Dans son étude sur
« le club Sénat », Coleman (1988 : 102) montre que certains sénateurs, sont plus influents
que d'autres parce qu'ils ont construit une série d'obligations pour d'autres sénateurs, et ils
peuvent utiliser ces crédits pour obtenir l’adoption d’une loi. Ainsi, par désir d’influence, de
contrôle, de pouvoir, ou peut-être par simple amitié, empathie, etc. Le donateur créé une
dépendance du demandeur par le mécanisme de réciprocité.
Disposer d’une ressource ne suffit pas à faire grandir son capital de manière durable. Encore
faut-il savoir gérer son développement. La croissance ou la décroissance du capital social
dépend de la structure du réseau relationnel, de facteurs endogènes comme l’émotion,
l’intérêt, mais aussi environnementaux comme la hiérarchie ou encore la relation individu-
organisation.
Un grand nombre d’études montrent que la structure du réseau social améliore la rapidité
d’accès, l’actualité et la pertinence de l’innovation (Adler et Know, 2002 :29 ; Boxman et al,
1991; Burt, 1992; Fernandez & Weinberg, 1997; Granovetter, 1973; Lin et al, 1981;
Meyerson, 1994 ; Burt, 1987; Coleman, Katz, et Menzel, 1966; Rogers,1995).
Dans certains cas, le capital social des individus peut bénéficier à la collectivité, l’institution à
laquelle ils appartiennent. Burt (1997a) montre par exemple que le capital social permet les
activités de courtage qui apportent des informations émanant d'autres acteurs à l'acteur central
; dans la mesure où cette activité de courtage se fonde sur une sortie réciproque
d'informations, l'ensemble du réseau bénéficiera de la diffusion de l'information. Dans son
étude sur l'industrie du vêtement, Uzzi (1997: 46) a constaté que le transfert d'informations à
« grains fin » entre les entreprises leur permet de mieux prévoir les demandes futures et
d'anticiper les préférences des clients. Hansen (1999) montre que les liens faibles facilitent la
recherche efficace et à faible coût de nouvelles informations par des équipes de
développement de produits. Ils suggèrent que des liens forts facilitent la recherche à moindre
coût d’informations complexes et le transfert de connaissance tacite.
La structure du réseau a également une influence sur le comportement opportuniste des
acteurs, mais sur ce point, les avis des différents chercheurs divergent. Selon Coleman (1988),
le capital social, au travers du lien social permet, l’évitement de comportements
opportunistes. Une relation bilatérale forte créée et nécessite une confiance qui rend les actes
déviants détectables et sanctionnables. A l’inverse, une structure relationnelle ouverte
encourage la dissimulation d’actes non conformes aux normes de la communauté puisque
moins facilement détectables. Coleman s’oppose de la sorte à Burt (1992), selon lequel la
position d’intermédiaire dans un réseau ouvert garantit la conformité du comportement des
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 66
individus par les avantages qu’elle leur procure alors que la fermeture du réseau facilite les
effets d’opportunisme.
Les travaux de Burt sur les trous structuraux (1992, 2005, 2010) portent sur les effets de la
non-redondance des liens sur l’acquisition d’informations. La non-redondance permettrait à
l’acteur au centre du réseau d’obtenir rapidement des biens inconnus par les autres membres
de son réseau personnel, lui conférant ainsi pouvoir et influence. Burt valorise la faiblesse de
la densité des liens sociaux, mais ces liens seraient moins efficaces pour faire circuler des
informations portant un risque et nécessitant de la confiance. La théorie défendue par Burt ne
nous paraît donc pas judicieuse pour justifier des apports de réseaux sociaux dans
l’acquisition d’informations confidentielles.
La théorie des liens faibles de Granovetter (1973) apporte des éléments intéressants sur
l’interaction socio-économique des réseaux sociaux e particulièrement en ce qu’elle permet de
mettre en évidence que les liens sociaux sont à l’origine de certains bénéfices économiques
pour les individus. Selon l’auteur, les liens faibles, c’est-à-dire les moins denses, moins
fréquents, les moins émotionnels permettent l’interconnexion simultanée avec différents
réseaux sociaux, ce qui facilite l’accessibilité à des informations. Par ailleurs, pour lui, le
réseau social crée des structures implicites pouvant être de nature normative, symbolique et
culturelle. Dans ce cas, des liens forts (à l’opposé des liens faibles) influencent les
comportements des individus. Par exemple, les normes sociales et les croyances, associées à
un haut degré de fermeture du réseau social, encouragent le respect des règles et des coutumes
locales et réduisent la nécessité des contrôles officiels. Ouchi (1980 : 129) fait valoir que les
organisations de type « clan » avec de fortes normes partagées bénéficient de coûts de
contrôle inférieurs et d’un engagement supérieur. Nelson (1989), dans l'étude des liens
intergroupes dans les organisations, appuie cette interprétation. Il montre que les interactions
fréquentes entre les groupes permettent la résolution rapide des différents et préviennent
l'accumulation de griefs et de rancunes. Krackhardt et Hanson (1993) soulignent qu’un réseau
de confiance peut transmettre des informations plus sensibles et plus riches que les autres
types de réseaux en raison de la solidarité qu'elle engendre.
Cette théorie, et surtout, les caractéristiques des liens forts, nous intéresse particulièrement
dans le cadre de notre thèse. Ces caractéristiques sembleraient en effet permettre à un individu
de recevoir des informations nécessitant un haut niveau de confiance comme par exemple des
informations confidentielles, qui pourtant, ne devraient pas lui parvenir.
Néanmoins, l’analyse de Granovetter reste essentiellement centrée sur l’influence économique
des réseaux sociaux et la structure du réseau de relation ne peut à elle seule constituer les
avantages et les inconvénients du capital social.
Comme l’exprime Alain Caillé, les motivations de l’action ne sont pas uniquement basées sur
l’intérêt économique, l’intérêt pour soi. Il faut aussi tenir compte de l’empathie dont peuvent
faire preuve les protagonistes d’un échange, et aussi de leur besoin de liberté et des
obligations auxquelles ils doivent s’acquitter.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 67
Cette réflexion d’Alain Caillé replace le débat en prenant en compte la dimension
anthropologique et collective de l’action dans la quête de reconnaissance qui anime chaque
individu. Nous rejoignons en cela la théorie institutionnaliste selon laquelle l’acteur cherche à
anticiper le futur (concept de futurité) et réalise pour cela, des transactions d’échange
stratégiques de biens dont la rareté fait la valeur. Ces transactions répondent aux
considérations d’intérêts des acteurs et ne peuvent être pensées en dehors d’un cadre collectif
dans lequel le pouvoir politique produit des règles et normes de comportements. Ainsi, les
transactions d’échanges sont encadrées par les transactions de répartition, qui correspondent
aux normes et aux règles de l’action collective ; ce que Caillé qualifie de conditions d’actions
collectives produites par les législateurs. Mais elles sont aussi encadrées par les transactions
de direction, qui s’appuient sur des relations de dépendance et de coopération. Ces relations
font écho aux principes d’empathie et de passion, au besoin d’inventivité dans l’action
collective.
Les règles et les normes créent des habitudes. Ce concept d’habitude, proposé par Commons
(1934), est en quelque sorte rejoint par celui d’habitus que propose Bourdieu (1980a) et par
des théoriciens du capital social. Par exemple, Putnam (1993: 89-90) articule l’habitude dans
son analyse des sources de l'engagement civique: «En interne, les associations inculquent à
leurs membres les habitudes de la coopération, de la solidarité et du civisme et ces
habitudes, à leur tour, se répercutent sur la participation des membres d'autres associations
et, plus largement, dans un niveau plus élevé de confiance généralisée ». Ces habitudes
établissent un contexte de confiance. Elles permettent aux acteurs de trouver du temps pour
les concentrer sur les transactions les plus stratégiques, dont le caractère incertain porte des
risques pour les institutions. Ce risque, finalement est le corollaire des transactions
stratégiques, ou plutôt le corollaire des innovations que ces transactions introduisent dans les
institutions. Ainsi, les individus introduisent de nouveaux comportements, de nouvelles
règles, qui doivent être approuvés par la communauté et le pouvoir politique du collectif. La
théorie du don et la théorie institutionnaliste rejoignent celle de Norbert Alter (2000) lorsqu’il
décrit le comportement de l’innovateur ordinaire.
La théorie institutionnaliste semble tout à fait complémentaire de celle du capital social. Elle
forme un cadre d’action où l’intérêt économique est raisonné, parce qu’il répond, non pas aux
seuls besoins de l’individu, mais à ceux de l’institution à laquelle il appartient. Cette théorie
souligne d’une part l’importance des règles, des normes, des valeurs qui guident l’action. Elle
permet de considérer d’autres valeurs que la confiance, comme condition d’action du capital
social, et permet d’encastrer le comportement innovateur dans une structure sociale dont le
contexte culturel est une structure-structurante (Giddens, 1984) qui peut être habilitante ou
inhibante pour les comportements innovateurs.
Par exemple, les effets de la solidarité du capital social peuvent se retourner contre l’acteur de
plusieurs façons. Une forte solidarité avec les membres d’un groupe peut cloisonner l'acteur
dans la relation. Ces cloisonnements réduisent le flux des nouvelles idées dans le groupe, ce
qui entraîne l'esprit de clocher et de l'inertie (Gargiulo & Bernassi, 1999). Comme Powell et
Smith-Doerr (1994: 393) l’ont dit, «les liens qui unissent peuvent également se transformer en
liens qui aveuglent». Dans la même veine, Portes (1998 :17-18) note que le capital social,
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 68
dans les communautés très unies, peut créer des problèmes de parasitisme et entraver l'esprit
d'entreprise.
Des normes solides dans une communauté peuvent dicter le partage des ressources entre les
membres de celle-ci. Ce partage peut, à son tour, réduire les incitations à l'activité
entrepreneuriale et, par conséquent, ralentir l'accumulation du capital. Cet argument se
retrouve dans les recherches d’Uzzi (1997:59) où, « dans le cloisonnement (la sur-
socialisation), des sentiments d'obligation et d'amitié peuvent être si forts entre les agents
économiques que l'entreprise devient une organisation de secours pour les autres entreprises
de son réseau ».
Le capital social du groupe peut présenter un risque réel d'externalités négatives pour la
communauté qui l’englobe. Dans l'exemple de Coleman, la fermeture du réseau de liens entre
les enfants est mauvaise pour l'ensemble de la collectivité, car il affaiblit le contrôle par des
adultes (taux d'abandon des parents, des enseignants, etc.). Gabbay et Zuckerman (1998) ont
analysé les réseaux de R&D20
scientifiques et ont suggéré que dans les unités dont l'efficacité
dépend du large partage de l'information, le courtage excessif peut entraver l'innovation. Cette
affirmation peut sembler contradictoire avec les conclusions de Von Hippel (1987). Même si
la carrière du courtier est renforcée par son emplacement stratégique qui consiste à combler
les trous dans le réseau social, il n'y a aucune garantie que cela conduise à un afflux
d’information précieuse pour l’organisation, et encore moins une sortie d’information plus
précieuse pour l'ensemble de l'organisation.
En résumé, les externalités négatives potentielles du capital social sont considérables. Les
acteurs en réseaux partagent (à des degrés divers) des obligations pour s’aider les uns les
autres, et en particulier pour s’aider les uns les autres dans la rivalité collective d'un réseau
contre d’autres. Ces rivalités peuvent avoir des effets bénéfiques pour le groupe dans son
ensemble et stimuler l'effort d’entreprise. En contrepartie, elle comporte aussi le risque de
domination renforcée, et le coût d'opportunité du gaspillage des efforts et des occasions
manquées de collaboration.
Nous pensons également que la théorie de l’action d’Alain Caillé (2009), est tout à fait
pertinente pour notre recherche. Cette théorie à vocation universelle permet de dépasser le
cadre strictement économique de la mobilisation du capital social, sans pour autant l’écarter.
En affirmant que l’individu n’existe qu’au travers d’une communauté d’appartenance, elle
complémente de manière tout à fait intéressante la théorie du capital social et celle de
l’institutionnalisme.
Par ailleurs, la thèse du capitalisme flexible défendue par Sennet (1999, 2005), approuvé par
Alter (2009), nous conduit à nous interroger sur les effets positifs ou négatifs du capital
social. La distanciation entre culture individuelle et culture collective pourrait conduire les
acteurs à se constituer un capital social en s’appuyant sur un réseau personnel fortement
composé de membres extérieurs peu attachés aux institutions.
20 Abréviation de « Recherche et Développement »
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 69
Par exemple, adoptant une approche sensiblement différente, Von Hippel (1987) et Schrader
(1991) ont cherché à expliquer le rôle des relations informelles existantes entre les chercheurs
en R&D d’une entreprise et les membres extérieurs à l’organisation (clients, fournisseurs,
entreprises concurrentes). Ils se sont attachés à défendre l’idée que cet échange, quoique
« risqué » à première vue, est finalement un mode d’acquisition des connaissances externes
parfois plus efficient que le passage par le marché (achat de brevet) ou les accords formels de
coopération.
Pour Von Hippel (1987), les ingénieurs en R&D sont souvent contraints à aller chercher
l’information utile en dehors de leur organisation et sont prêts à divulguer des savoir-faire
exclusifs à des employés d’entreprises concurrentes. Si des dirigeants affirment contrôler les
échanges inter-firmes directs, ils avouent pour la plupart ne pas être en mesure de la faire pour
les échanges indirects. Néanmoins, si des erreurs de jugement peuvent survenir, ce chercheur
pense que ce type d’échanges est profitable à l’institution s’il est réciproque. Il faut cependant
que l’institution n’encourage ce comportement que lorsqu’elle sait que ses partenaires lui
rendront la pareille. Ainsi, pour Liebeskind et al. (1996 : 438-439), ce système d’échanges
présente trois avantages : (1) il augmente la variété des connaissances auxquelles l’entreprise
a accès, (2) il permet d’intégrer les connaissances directement aux routines de l’organisation
(car l’intégration des connaissances est issue d’une interaction poussée entre les individus),
(3) il offre une plus grande flexibilité (les contacts sont mobilisés uniquement quand on en a
besoin, il n’y a pas de coûts fixes associés à l’engagement dans une relation contractuelle ou
hiérarchique).
Un autre exemple nous est donné par Isabelle Bouty (1997, 2000). Chaque ingénieur-
chercheur est conduit à échanger pour des raisons qui, certes, peuvent concerner son
institution, mais peuvent également s’inscrire dans une stratégie individuelle qui ne se
confond pas forcément avec celle de son organisation de rattachement. Si les objectifs
individuels et organisationnels ne sont pas forcément disjoints, il reste que l’échange repose
sur une décision individuelle qui suit une logique propre.
Pour un même problème technique rencontré, ou pour un même service, un ingénieur R&D
peut avoir le choix entre une multitude de personnes situées dans ou hors de l’organisation. Il
semble que dans bien des situations, notamment lorsqu'il ne s'agit pas d'échanger des
connaissances confidentielles, les contacts internes et les contacts externes ne fassent pas
l'objet d'une forte distinction dans l'esprit des ingénieurs R&D (Bouty, 1997).
1.5. Synthèse sur le capital social
La littérature sur le capital social est extrêmement riche, et nous constatons que le débat
portant sur les effets de la structure d’un réseau social sur les comportements opportunistes
n’est pas tranché. Le corpus théorique que nous définissons avec les constituants et les
influenceurs du capital social (
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 70
Figure 6) nous conduisent à postuler que ce dernier et particulièrement les réseaux à liens forts
permettent aux acteurs d’acquérir des informations à fortes valeurs, sans que celles-ci leurs
soient initialement destinées. Ce comportement peut constituer des opportunités mais aussi
des risques pour les institutions, ceux-ci peuvent cependant être contrôlés par les valeurs,
normes et règles qui régissent l’activité collective. Pour démontrer cela, nous avons identifié
des liens entre la théorie du capital social et celle de l’économie institutionnaliste proposée
par Commons (1934). La théorie économique institutionnaliste de Commons (1934) postule
que tout individu réalisant des transactions stratégiques ne peut s’affranchir du cadre
réglementaire de l’institution dans laquelle il évolue. Cette théorie est par ailleurs tout à fait
adaptée à la description des motivations et des cadres d’actions des innovateurs
schumpéteriens tel que nous le présentons dans la section suivante.
Nous avons également mentionné que l’acteur n’agit pas toujours dans l’intérêt collectif,
mais peut aussi vouloir satisfaire des stratégies individuelles (Bouty, 1997, 2000). La théorie
du don (Caillé, 2009) ne dit-elle pas que la quête de reconnaissance est avant tout tournée vers
la satisfaction personnelle ?
Compte tenu de ces éléments, les règles posées par les institutions pour se protéger des fuites
d’informations pourraient donc être efficaces mais surement pas suffisantes car soumises : à
la volonté des acteurs d’exercer leur liberté d’action à leur manque possible de considération
pour l’intérêt collectif (Sennet, 2005) et à la possibilité que les individus cherchent à co-
construire les règles collectives afin que celles-ci prennent davantage en compte leurs intérêts
personnels (Bouty, 2000).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 71
Figure 6: Corpus théorique primaire constituant et influençant le capital social
Ainsi selon nous, le capital social d’un acteur est l’ensemble des ressources que lui
procure l’appartenance à un ou plusieurs groupes d’individus dans l’objectif d’anticiper
le futur. Le capital social est fonction de la structure du réseau personnel, du capital
culturel, économique et symbolique de l’individu. Le capital social, est actionné par les
valeurs individuelles et régulé par les valeurs et les normes collectives, qui animent
l’institution à laquelle il appartient.
Typologie de l’action raisonnée (Caillé, 2009)
Obligation
Empathie
Nécessité Devoir
Amour- propre
Amour de soi
Antipathie
Sympathie
Créativité Spontanéité
Institution
Environnement externe à
l’institution
Intérêt pour
soi
Valeurs individuelles
Transactions de
direction :
Empathie, passion
Transactions de
répartition :
valeurs, règles,
normes
collectives
Individu : objectif d’anticipation, quête de
reconnaissance
Réseau social de l’individu
Transactions
d’échange :
réciprocité
Liberté
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 72
2. Réseau social et innovation
L’innovation peut être incrémentale ou de rupture. Elle peut être le fruit d’une organisation et
de processus conçus dans un but stratégique par les dirigeants des institutions. Mais elle peut
aussi être le produit d’individus, de salariés ordinaires, qui, par l’observation de leur
environnement et la mobilisation de leurs ressources, font bouger les lignes établies par les
organisations, font preuve de créativité, d’inventivité, prennent des risques pour résoudre des
problèmes et innover.
C’est cet aspect de l’innovation qui nous intéresse, au travers de l’action quotidienne des
salariés des entreprises. C’est en suivant cette vision schumpéterienne de l’innovateur que
nous mobilisons les travaux de Norbert Alter (2000) et de Sara Sarasvathy (2001).
2.1. L’innovation « ordinaire »
2.1.1. Le processus
Norbert Alter (2000) se base sur les travaux de Joseph Schumpeter (1912) et notamment les
cycles d’innovation selon une courbe en S, pour établir sa théorie selon laquelle le
mouvement caractérise les situations de travail. Selon Alter (2000 : 38), « l’innovation est
une activité quotidienne et banale des institutions qui impose de décaler l’analyse de
l’innovation, du champ directement économique vers celui de l’organisation, intégrant des
contraintes d’efficience ». Alors que le management exige que l’action soit ordonnée,
encadrée selon des normes définies, l’instabilité crée un désordre permanent que
l’organisation tente de contrôler en déployant des inventions. Ces inventions, si elles
améliorent la qualité ou les conditions de travail au quotidien, sont adoptées par le corps
social et deviennent des innovations.
Séquences du processus :
Dans une organisation, les décisions obéissent d'abord à la norme, et non à l'examen rationnel
des situations. Un décideur ne dévie pas des normes qui caractérisent le groupe auquel il
appartient. Les freins à l’innovation résident dans les normes du management, qui fondent
cette démarche de trois façons distinctes :
Le décideur doit décider, arbitrer entre différentes solutions ;
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 73
Les bonnes idées ne peuvent pas provenir de la base de la pyramide. Le décideur
décide ;
Le décideur obéit à des codes comportementaux. Un directeur qui ajourne une
décision pour consulter la base ne dirige plus.
C’est pourquoi, en reprenant le processus d’innovation décrit par Schumpeter, Alter pense
qu’à la source d’une innovation, il y a :
Les croyances (Alter, 2000: 33), qu'elles soient de nature positive (je crois, sans pouvoir
prouver que cela est bénéfique) ou normative (je le fais parce que d'autres le font). Les
croyances permettent de justifier des actions sans en démontrer la rationalité.
Une prise de risque d’un individu ou d’un groupe d’individus (ibid. : 161). Ces personnes
sortent des règles établies et du cadre normatif pour modifier la manière dont
l’organisation utilise ces ressources. Si ces nouvelles manières de faire conviennent, elles
sont progressivement imitées, générant ainsi des changements dans les règles et les
normes, voire de nouvelles innovations.
Selon Alter, ce processus d’innovation met en jeu des effets de réseaux, de normes et d'action
collective. L’innovateur adopte un processus de raisonnement prédictif (ou causal). C’est-à-
dire qu’il sélectionne entre différents moyens pour atteindre un but préétabli. Il entre
nécessairement en conflit avec l’ordre et ne peut en sortir sans la mobilisation collective.
2.1.2. L'élaboration de l'innovation : mobilisation collective et prise de
risque
Une idée, une invention, ne se transforme en innovation que si des acteurs parviennent à lui
donner un sens au travers des usages. D’après Alter (2000 :18), «la réussite ou l’échec, mais
également le sens finalement affecté à une innovation dépendent de la capacité réticulaire
dont disposent les acteurs. Les réseaux représentent en quelque sorte l’architecture sociale
informelle sur laquelle repose le développement d’une innovation ».
Cela nécessite une capacité collective, qui suppose la déviance, et une capacité critique qui
leur permet de surmonter le risque de sanction. Les innovateurs sont des acteurs qui jouissent
souvent d’une multi-appartenance sociale et culturelle (ibid. : 18), leur permettant de saisir
l'opportunité de réaliser des projets différents de ceux de l'institution. C'est une activité banale
d'acteurs qui remettent les normes en questions et enrôlent d’autres acteurs dans leur stratégie
[Alter (2000 : 15), reprenant Callon (1986)]. Ces innovateurs doivent finalement obtenir
l'adhésion de la direction, puisqu’elle imposera les innovations et les évolutions des règles qui
en découlent. « Le processus d’innovation obéit à deux lois principales ; celle de l’existence
de réseaux d’influence, et celle de l’inversion des normes » (ibid. : 19).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 74
Les réseaux de compétence collective
Cette capacité s'appuie sur des réseaux qui assurent la mise en commun des savoirs. Ce capital
de savoir que l’individu accumule appartient à la communauté qu'il représente, qui ne peut se
confondre avec l'entreprise
Le caractère collectif de la compétence repose sur le système du don-contre don (ibid.: 99),
théorisé par Mauss (1950) et repris par Gotbout et Caillé (1992), puis par Caillé (2006, 2009).
L’échange est socioprofessionnel. La coopération répond à un système d'obligation mutuelle,
par un mécanisme de réciprocité non immédiate. Il faut disposer de ressources pour être
attractif et bénéficier des avantages du réseau. Le comportement de l’acteur balance entre
générosité altruiste et utilitarisme.
La prise de risques de l’innovateur : normes sociales et rationalité limitée
Le conflit avec l'ordre :
Selon Alter (2000 : 19), l’une des caractéristiques de l’entrepreneur est de se heurter à l’ordre
établi. «Elles (les résistances à l’innovation) sont tout d’abord objectives : l’absence de
stabilité de la situation ou d’expériences d’un type de combinaisons empêche de mener des
raisonnements rationnels en matière de gestion, et oblige à travailler par approximation,
par intuition. Mais les contraintes sont également subjectives: l’entrepreneur doit aussi
parvenir à imaginer des situations par rapport auxquelles il ne dispose pas de repère »
(ibid. : 19).
Pour pouvoir agir, parfois de manière opposée aux normes, pour atteindre ses objectifs,
l’innovateur adopte des comportements déviants (ibid. : 20) et agit dans la discrétion, sans
pour autant être certain d’obtenir à terme la reconnaissance sociale de ses actions. De même,
« la transgression des règles ne vaut pas que pour l’activité des hommes d’affaires et des
chercheurs » (ibid. : 39). Comment expliquer cette prise de risque ?
La prise de risque comme ressource :
La prise de risque résulte d’un acte perçu comme obligatoire pour obtenir le bénéfice espéré,
mais dont il ne connait pas à l’avance les conséquences positives ou négatives sur la sanction.
« L’innovation est toujours, dans un premier temps, une transgression des règles établies,
parce qu’elles représentent une atteinte à l’ordre social » (ibid. : 23). La prise de risque
permet à l’innovateur d’acquérir de l’autonomie vis à vis des règles et des normes
contraignantes imposées par l’organisation et qui constituent les forces de socialisation. « Ils
(les innovateurs) sont condamnés à la déviance, au moins le temps que les règles
reconnaissent la légalité et la légitimité de leur comportement » (ibid. : 23). L'opposition
entre forces créatrices et formes de socialisation obéit à trois principes :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 75
1. Elle concerne autant les pratiques de gestion (par exemple les processus) que la culture
organisationnelle au travers des règles et des normes (ibid. : 38) ;
2. Elle passe par l'accomplissement des projets de la minorité (ibid. : 84);
3. La logique d’innovation et la logique d’organisation sont antagonistes mais
complémentaires. L’innovation est une capacité critique (ibid. : 83) qui ne s’exerce pas
indépendamment de l’ordre établit par l’organisation. Le management doit avoir la
capacité de tenir compte de ces critiques (ibid. : 88). L’organisation tente d’intégrer les
changements proposés par les innovateurs dans une stratégie de réorganisation (ibid. : 75).
La déviance ordinaire, force motrice :
Comme nous l’avons évoqué précédemment, la déviance est une nécessité pour ceux qui
veulent remettre en cause les règles établies et former de nouvelles normes: « l’innovation se
fait toujours, au moins momentanément, contre l’ordre, même si elle finit souvent par
participer à une autre conception de l’ordre » (Alter, 2000: 65). Elle est caractérisée par
quatre dimensions (ibid. : 81-82) :
1. C'est une notion relative. Les innovateurs ont une autre conception du bien que celle
proposée par leur institution. Les règles pensées par le management ne sont ni sensées
ni légitimes à leurs yeux.
2. La sanction peut être modulée selon les circonstances, et selon le statut de celui qui
l'encourt ;
3. C’est un apprentissage ;
4. Elle ne se définit pas par des actions, mais par le jugement porté sur ces actions.
Par sa nature même, l’innovation entre en conflit avec l’ordre. Toute nouveauté remet en
cause l’ordre établi et doit être adoptée pour perdurer.
Pour Alter (2000 :75), l’innovation naît de l’adaptation réalisée sur le mode du compromis.
Cette approche est voisine de la régulation conjointe proposée par Reynaud (1995, 1997) à la
recherche de l’équilibre de l’ensemble social (Alter, 2000: 231). Cependant pour Alter (2000:
233), les déviances qui en résultent sont plutôt le reflet de contretemps et du désordre. La
déviance ordinaire traduit la lutte d’ intérêts entre direction et innovateurs.
Selon Alter, la prise de risques de l’innovateur s’explique par la réalisation d’actions « non
logiques » qui ont, selon lui, deux sources d’explication : les normes sociales et la rationalité
limitée (Simon, 1947).
Alter rejoint Schumpeter pour dire que la décision d’innover relève d’abord du plaisir de
l’action, puis de la volonté d’imposer des vues nouvelles et le désir de reconnaissance sociale
que comble la réussite (ibid. : 39). Les motivations de l’action ne sont donc pas uniquement
économiques, mais aussi symboliques et affectives. Nous rejoignons ici la pensée d’Alain
Caillé (2009) que nous avons explicitée dans le chapitre consacré au capital social. Par
ailleurs, le décideur ne peut, en pratique, disposer de l'ensemble de l'information nécessaire à
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 76
la prise de décision et ce déficit d’informations génère de l’incertitude et conduit à des actions
qui peuvent sembler illogiques et risquées.
Dans le cadre de notre thèse, ces incertitudes correspondent à un déficit d'informations
repérable selon les deux axes suivants:
1. Les règles : le changement permanent entraine l’instabilité des règles (ibid. : 127-128).
2. L'évaluation des activités : les processus d’évaluation ne reflètent pas complètement la
réalité du travail. Les critères d’évaluation sont donc soumis à interprétations (ibid. : 106).
Ce déficit d’informations et l’incapacité à les traiter en totalité est à l’origine de la rationalité
limitée (Simon, 1947). Le concept de rationalité limitée tient compte des limites
informationnelles du décideur (de l’innovateur ou de son management). « La rationalité est
limitée par l’impossibilité par un esprit humain de saisir la totalité des éléments pertinents en
regard de la décision qu’il doit prendre » (1976: 106). Les représentations d’un acteur sont
tributaires du milieu dans lequel il évolue: « le milieu organisationnel et social dans lequel se
trouve la personne qui prend une décision détermine les conséquences auxquelles elle
s’attendra, celles auxquelles elle ne s’attendra pas ; les possibilités de choix qu’elle prendra
en considération et celles qu’elle laissera de côté » (March & Simon 1958 : 136-137).
Or les acteurs n’ont qu’une capacité limitée à traiter l’information en provenance d’un monde
complexe : « nous sommes concernés par la manière dont les hommes peuvent être rationnels
dans un monde où ils sont le plus souvent incapables de prévoir exactement le futur pertinent
(…) ils peuvent seulement adopter une procédure de choix rationnel, incluant une procédure
rationnelle pour la prévision ou, au moins, l’adaptation, au futur » (Simon 1976 :144).
L’environnement est complexe car incertain (Simon, 1976 : 137). Cette incertitude est liée au
déficit d’informations : les organisations mettent alors en place des procédures formalisées et
routinières afin d’explorer les alternatives disponibles et les conséquences des choix qui en
découlent. C’est le principe de la rationalité procédurale (Simon, 1955), qui se base sur le
fractionnement de la prise de décision entre plusieurs acteurs pour ainsi réaliser de façon
satisfaisante des opérations de production, mais aussi développer la capacité d’invention.
Ce mode de fonctionnement nécessite que les salariés agissent selon les procédures définies et
se coordonnent. Pour cela, il faut que les organisations et les individus partagent les mêmes
buts. Au lieu de rechercher un optimum, l’individu et plus généralement, les membres d’une
organisation, retiendront la première alternative qui se révèlera la plus satisfaisante au regard
de leurs niveaux d’aspiration (Simon, 1982: 266). Le concept de rationalité limitée tient donc
en deux phases ; celle de la recherche d’information et celle de la prise de décision (1979 :
502).
L’incertitude fait que l’on ne peut généralement pas anticiper les effets d’une innovation. La
rationalité procédurale permet aux innovateurs d’appliquer des processus de décisions non
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 77
programmées, c’est-à-dire heuristiques (Simon, 1957) et donc plus adaptés à cette situation.
La rationalité procédurale est un processus cognitif de construction sociale continue de la
réalité (Simon, 1976: 146).
La rationalité du décideur (l’innovateur) est substantive lorsqu’elle lui donne les possibilités
et les conditions de choix. Elle s’applique dans des situations simples. La rationalité est
procédurale lorsqu’elle traduit le processus de recherche des conditions, contraintes…jusqu’à
l’aboutissement de la satisfaction. Elle s’applique à une situation complexe (Simon, 1976:
130-131).
Le type de rationalité a une incidence sur la nature des buts poursuivis. Norbert Alter (2000)
écrit que les innovateurs poursuivent les mêmes buts que les organisations. Or, si dans une
situation simple (rationalité substantive), les buts sont faciles à identifier et peuvent donc être
précis, quand la situation est complexe (rationalité procédurale), il en est bien autrement. Le
but est extérieur à la rationalité de l’innovateur. L’incapacité à discerner les buts précédant
l’action conduit à une situation de délibération. L’impossibilité de prendre une décision et la
recherche de la satisfaction conduisent Simon à préférer dans ce cas le terme de
« designing » plutôt que de décision (Sarasvathy et Simon, 2000). Le but ne se décide pas, il
se dessine pas à pas, il se conçoit progressivement dans la délibération avec les parties
prenantes.
Nous rejoignons ici les travaux de Commons sur le développement de la théorie
institutionnaliste. Les transactions de direction, de répartition et d’échange stratégique font
tout à fait écho aux principes de rationalité limitée et procédurale. Commons (1934) serait en
quelque sorte, un précurseur d’Herbert Simon (1947). Le choix « raisonné » selon Commons
correspondrait assez bien au choix « satisfaisant » de Simon. D’ailleurs Simon (1979 : 499)
fait directement référence à Commons dans ses travaux en précisant que ce dernier lui a
procuré de nombreuses idées dans ses travaux initiaux sur la prise de décision dans les
organisations.
Tant pour Commons que pour Simon, les individus ne sont pas irrationnels lorsqu’ils
prennent des décisions. Ils sont sous l’influence d’un ensemble de facteurs (limites cognitives,
valeurs, coutumes, habitudes etc.), qui les conduisent à adopter des comportements plus
« satisfaisants » qu’optimums, selon la théorie du choix rationnel.
L’étude des contextes est aussi très importante pour comprendre la prise de décision. Elle
renforce les complémentarités entre les visions de Common et celles de Simon. En effet, si
pour Commons la notion d’éthique, et donc la dimension sociale qui encadre la décision, est
fondamentale, Simon adopte un point de vue cognitif et procédural. Tous les deux placent le
milieu organisationnel comme le guide du comportement. L’apport de Simon dans la prise de
décision des individus, et des innovateurs en particulier, renforce l’idée que la mobilisation du
capital social ne peut pas s’exprimer et s’expliquer en dehors du cadre hiérarchique et
symbolique de l’action. Cette mobilisation est aussi le fruit d’une décision « satisfaisante »
prise dans un contexte d’incertitude.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 78
2.2. La logique effectuale des innovateurs
2.2.1. Le processus
La logique effectuale a été conceptualisée par Sara Sarasvathy (2001) lors d’une étude auprès
de 27 entrepreneurs, auxquels il était demandé de résoudre des problèmes de création
d’entreprise. Comme pour Alter (2000), ces entrepreneurs sont des innovateurs au sens
schumpétérien. C’est-à-dire qu’ils créent une entreprise pour transformer une invention en
une innovation.
Il s’avère que la majorité d’entre eux n’appliquerait pas la logique causale (ou prédictive),
pourtant enseignée par les écoles de management (Sarasvathy, 2001b: 2), mais une logique
effectuale.
L’effectuation peut être décrite comme une expertise, un type de résolution de problèmes se
basant sur le principe d’un avenir variable et façonnable par l'action humaine. Plutôt que de
voir les objectifs d’un projet innovant comme déterminés, il faut plutôt considérer qu’ils
peuvent émerger au travers des accords de coopération entre les parties prenantes d’un projet
innovant (Read & Sarasvathy, 2010). A l’inverse de la logique prédictive, qui cherche à
sélectionner la meilleure solution parmi celles identifiées pour atteindre un but, ou de la
logique stratégique qui recherche des solutions par rapport à un but précis, la logique
effectuale cherche à déterminer quels seraient les résultats à partir de différentes solutions
possibles.
En somme, selon Sarasvathy et Simon (2000 : 5), l’effectuation inverse la rationalité
prédictive pour répondre à la question suivante: «Où est la rationalité lorsque
l'environnement n'influence pas de manière indépendante les résultats ou même les règles du
jeu (Weick 1979), l'avenir est vraiment imprévisible (Knight 1921), et le décideur n'est pas
sûr de son / ses propres préférences (Mars, 1982) ».
Les innovateurs effectuaux (Figure 7) partent des moyens dont ils disposent et qu’ils
déterminent en se posant trois questions :
1. « Qui suis-je ? » (traits, préférences et compétences),
2. « Que sais-je ? » (éducation, formation, expertise, et expérience),
3. « Qui je connais ? » (réseaux sociaux et professionnels).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 79
Figure 7: Théorie de l'effectuation (Sarasvathy, 2001 :253)
Alors que le raisonnement prédictif recherche le capital humain ou social en fonction des
choix effectués, la théorie de l’effectuation postule à l’inverse que les entrepreneurs ont accès
à un stock spécifique du capital humain et social qu’ils mobilisent pour effectuer des choix
(Sarasvathy, 2001a : 245). Sarasvathy se distingue ici d’Alter (2000)
La caractéristique distinctive entre l’effectuation et la causalité est donc l'ensemble des choix :
le choix entre de nombreux effets possibles en utilisant un stock donné de capital humain et
social, contre le choix entre différents stocks de capital humain et social pour générer un effet
particulier (Sarasvathy, 2001a: 245). Le raisonnement effectual (cf. Figure 8) exige «
l'imagination, la spontanéité, la prise de risques et des techniques de vente » (Sarasvathy,
2001b: 3). Il est intrinsèquement créatif et innovant (Sarasvathy, 2001b: 3). Par « technique
de Vente », il faut comprendre la capacité à emmener des partenaires dans un projet
(Sarasvathy, 2001 : 252).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 80
Figure 8: Raisonnement causal (prédictif) et effectual (traduit de Sarasvathy et al., 2008 : 3)
L’effectuation peut être décrite comme un type de résolution de problèmes humains qui
reconnaît que l'avenir est variable et peut être façonné par l'action humaine. L'environnement
peut être construit par les décisions que les individus prennent et les objectifs peuvent
émerger au travers des accords de coopération entre les parties prenantes, plutôt qu’être
prédéterminé (Read & Sarasvathy, 2010).
2.2.2. Compétences collectives et anticipation des risques
Selon Sarasvathy (2001 : 252), les quatre principes suivants constituent la base de la théorie
de l’effectuation :
1. La perte acceptable (affordable loss) : Plutôt que de faire des études de marché pour cibler
le segment du marché qui lui offrira le meilleur rendement, l’innovateur déploie autant de
stratégies que possible auprès de ses ressources personnelles (capital humain et social)
pour se rapprocher d’un marché potentiel dont les besoins serviront à l’innovateur pour
déterminer la nature de son innovation. Il raisonne à partir de ce qu’il est prêt il est prêt à
perdre plutôt que de ce qu’il espère gagner.
2. L’innovateur effectual préfère créer des alliances stratégiques plutôt que de se reposer
sur des analyses concurrentielles tel que le préconise Porter en stratégie (1980) en suivant
un raisonnement causal. L’effectuation met l'accent sur les alliances stratégiques et les
engagements des parties prenantes comme un moyen de réduire et/ou d’éliminer
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 81
l'incertitude et d'ériger des barrières à l'entrée. Il exploite des contingences plutôt que des
connaissances préexistantes :
3. La logique causale serait surement préférable lorsque des connaissances stratégiques
préexistent, comme par exemple l'expertise dans une nouvelle technologie que
l’innovateur veut exploiter comme un avantage concurrentiel. Cependant, l’effectuation
serait mieux adaptée pour exploiter les contingences qui ont surgi de façon inattendue au
cours du temps. « Contingencies can be viewed as opportunities to be exploited rather
than as misfortunes to be avoided; while successes and failures are always local,
cumulative learning is still possible. » (Sarasvathy, 2003 : 218)
4. Le contrôle du futur : le raisonnement causal cherche à prédire le futur pour le contrôler.
L’innovateur causal a besoin d’anticiper les besoins pour assurer l’évaluation de son
innovation ou de l’entreprise innovante qu’il a créé. Dans la logique effectuale, le contrôle
de l’avenir rend sa prédiction inutile. Ce raisonnement découle de la fabrique même de
l’innovation. Le fondateur à l’origine du projet a pris soin de s’entourer de parties
prenantes qui s’investissent et soutiennent le projet. Dans ce contexte, les incertitudes de
l’avenir sont mieux contrôlées. L’avenir a moins besoin d’être prédit. Ce dernier point
constitue un élément central de la logique effectuale. Il s’agit de la préférence de
l’innovateur pour l’incertitude plutôt que le risque (Knight, 1921). L’incertitude confère à
l’innovateur la possibilité de maîtriser l’environnement pour le façonner à sa guise. Le
risque suppose l’évaluation d’une action dans un environnement donné avec une
probabilité de réussite pouvant être connue.
Alter (2000) a bien identifié l’incertitude comme un moteur de l’innovateur, mais il n’a pas
approfondi la relation entre l’innovateur et l’incertitude, lui préférant celle du risque et de sa
maîtrise comme vecteur de socialisation.
L’abandon de la prédiction que matérialise le contrôle du futur montre la volonté de
l’innovateur de modeler l’avenir à partir de ses intentions (Weick, 1979). Le processus
effectual se décrit alors de la manière suivante (Figure 9) :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 82
Figure 9: Processus effectual: une approche transformative (Wiltbank et al, 2006 : 992)
L’effectuation ne s’oppose pas à la logique causale, mais elle lui est complémentaire. C’est
une expertise de l’innovateur, qui lui permet d’obtenir l’engagement de parties-prenantes :
« effectuation is very useful to bring people on board that want to create the future with
you21
». C’est un processus itératif qui permet de capter et d’intégrer les nouvelles
opportunités qui se présentent. L’entrepreneur de Sarasvathy est un innovateur schumpétérien
qui s’appuie largement sur son réseau personnel pour établir ses stratégies et les mettre en
œuvre. Cette approche se stitue dans les perspectices des recherches de Callon (1986) et
d’Akrich, Callon et Latour (2002). Les acteurs, à l’origine d’une innovation, doivent, selon
ces auteurs, réaliser « l’enrôlement » ou « l’intéressement » d’une série d’acteurs clés. Pour
Akrich, Callon et Latour (2002b : 215-219), se constituer un réseau comprenant des « porte-
paroles » légitimes est parfois nécessaire pour susciter l’adhésion des interlocuteurs à
l’innovation.
Comme avec Alter (2000), nous identifions des analogies entre Commons (1934) et
Sarasvathy (2001). Il s’agit, en particulier, de la volonté des acteurs de maîtriser le futur. Ils
Commons (1934) et Sarasvathy (2001) s’appuient sur les travaux de Knight (1921) pour
définir et analyser la prise de risque. La vision de Commons pour qui l’individu cherche à
réaliser des transactions pour anticiper le futur conforte l’idée que l’innovation est une activité
banale et collective. A ce propos, Sarasvathy (2001: 254) cite Burt comme théoricien des
21 Video, 2001, http://www.youtube.com/watch?feature=player_embedded&v=4xBTV00MePY
Qui je suis
Ce que je sais
Qui je connais
Ce que je
peux faire
Interactions
avec les
connaissances
ou des acteurs
rencontrés
Engagements
de partenaires
Nouveaux
moyens
Nouveaux
buts
Expansion des ressources
Intégration des contraintes dans la
définition des buts
Moyens
de départ
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 83
réseaux sociaux dont elle s’est inspirée pour développer sa théorie. Selon nous, il n’y a rien
d’étonnant à cela. En effet, les travaux de Burt montrent effectivement, les avantages que
peuvent procurer les trous structuraux pour obtenir des informations nécessaires à
l’anticipation et pour faire la promotion de ses compétences. Un innovateur qui recherche des
soutiens politiques, techniques, financiers à son action, a donc tout à fait intérêt à exploiter ce
type d’avantages.
Sa conception du capital social de l’innovateur rejoint aussi celle de Bourdieu qui intègre le
capital économique et symbolique de l’acteur. Finalement, le capital social de l’innovateur
selon Sarasvathy, c’est : « Qui je suis » ; « Ce que je sais faire « ; « Qui je connais ». Ce
capital social permet d’attirer, de sélectionner et d’entrainer des partenaires dans le projet
d’innovation. Il permet en somme à l’innovateur de bâtir une stratégie. Est-il pour autant
suffisant pour comprendre comment un acteur devient un innovateur ?
Sarasvathy et Dew (2008: 728) pensent que la volonté de l’innovateur d’influencer et de
construire le futur nécessite un comportement qualifié « d’altruisme intelligent » (ibid : 3).
Selon Simon (1993: 156), l’altruisme est « un comportement qui augmente, en moyenne, la
capacité de reproduction des autres au détriment de l'aptitude de l'altruiste ». L’altruisme
intelligent n’est ni opportuniste ni complètement désintéressé. C’est une stratégie rationnelle
des individus à la formation d’un projet entrepreneurial. Le concept d’altruisme intelligent tel
que défini par Simon (1997a) s’appuie sur le concept de docilité qui, selon lui, implique que
les acteurs fassent preuve d’altruisme (Simon, 1990 : 1666). Ils en sont alors largement
récompensés par les connaissances et compétences que cela leur permet d’acquérir.
L’altruisme intelligent traduit un mécanisme selon lequel la rationalité limitée, d’une part,
limite la capacité de l’acteur à effectuer des calculs relevant de l’opportunisme et, d’autre
part, permet à l’acteur de sélectionner les comportements adaptés pour aider les autres et
demander leur aide. C’est en quelque sorte une stratégie comportementale pour gagner le
soutien de son entourage.
L’acteur a donc davantage intérêt à faire preuve d’un altruiste intelligent plutôt que
d’opportunisme. Constat qui corrobore les avantages du « désintéressement intéressé ». xxx
sources
Sarasvathy et Dew (2008) rejoignent en cela la conception d’Alter (2000), Caillé (2006 ;
2009) et de Caillé et Gotbout (1992) pour lesquels l’innovateur adopte avec les membres de
son réseau personnel une réciprocité non-immédiate mais néanmoins intéressée.
Le renforcement de l’adhésion des parties prenantes se fait par l’enchaînement des
engagements et non par la confiance. Là encore, l’analogie avec la conception du capital
social d’Alain Caillé et d’Alter est intéressante. Ceci s’explique par l’incertitude du projet.
Chaque partie prenante s’engage sur les résultats globaux et non sur les bénéfices qu’elle peut
en tirer. Chaque partie prenante influence le résultat des investissements mutuels dans le
projet. Comme nous l’avons évoqué ci-avant, « l’altruisme intelligent » peut être vu comme
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 84
une stratégie rationnelle en réponse à l’incertitude knigthienne (1921). C’est donc un
phénomène fondamental à l’origine de la création d’un réseau effectual.
Cependant, il subsisterait dans les institutions un espace toléré pour les comportements
opportunistes. Les stratégies individuelles (Crozier et Friedberg, 1977) n'excluent pas la
coopération et peuvent même la favoriser, les acteurs sont associés dans une lutte indirecte
autour d'un même enjeu (reconnaissance, possibilités de promotion…). Les comportements
utilitaristes peuvent parfois briser le processus d'échanges, mais l’exclusion du partenaire
opportuniste n’est qu’une sanction relative du fait de l'existence d'une norme intégrant des
écarts, parce que les intérêts individuels sont ici reconnus aussi comme légitimes. La norme
consisterait alors à savoir arbitrer entre égoïsme et altruisme (Alter, 2000).
Cette coexistence, entre altruisme et intérêt pour soi, même si elle ferait surtout la part belle à
l’altruisme, laisse aux individus plus de possibilités d’exprimer leur liberté de donateur à
partir d’un éventail plus large des valeurs qui font la personnalité.
Or, selon Sarasvathy et Dew (2008 :732-733), chercher à savoir comment les acteurs
deviennent des innovateurs au travers des profils psychologiques ou des valeurs humaines
(opportunisme, aversion au risque, etc.) peut être trompeur. Par exemple, Sarasvathy et Dew
(2008), qui citent deux méta-analyses (Miner et Raju, 2004 ; Stewart et Roth, 2001) montrant
que la propension aux risques est caractéristique des entrepreneurs, donnent des résultats qui
vont dans des sens opposés. Il en est de même avec l’opportunisme (Rabin, 1998 ; Franck
1988).
1. Les individus ne sont pas uniquement ni même massivement intéressés ;
2. Ils ne sont pas entièrement altruistes ;
3. La même personne peut être altruiste à certains moments et opportuniste à d’autres ;
4. Les individus qui sont essentiellement opportunistes dans un domaine peuvent être
altruistes aussi dans d’autres domaines.
La logique de l'effectuation est fondée sur la possibilité que les variations dans le
comportement humain puissent englober les trois caractéristiques suivantes (Sarasvathy et
Dew, 2008: 733) :
1. L’hétérogénéité : Les individus sont très différents les uns des autres. Si nous devons
classer les êtres humains en catégories, les variations entre les individus au sein d’une
même catégorie sont aussi significatives que les variations entre les catégories
d’individus ;
2. La labilité : Les individus changent au fil du temps. Non seulement le comportement, mais
les traits et les préférences, la culture et les institutions évoluent ;
3. La contextualité : Les individus jouent de multiples rôles. Un funambule qui marche sur
un fil entre deux gratte-ciel et sans filet peut être terrorisé par les araignées.
Néanmoins, pour Sarasvathy et Dew (2005 : 734), ces trois points sont nécessaires mais pas
suffisants pour comprendre comment un acteur devient un innovateur.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 85
En effet, la découverte d’opportunités dans des environnements complexes implique
l’interaction et la concertation avec de multiples partenaires, ne serait-ce que pour utiliser des
ressources contrôlées par des tiers (Denrell, Fang et Winter, 2003). Ces opportunités peuvent
émerger de structures relationnelles à liens faibles (Granovettter, 1973). La saisie des
opportunités est corrélée à la force du maillon le plus faible entre les parties prenantes (Knez
et Camerer, 1994). De plus, comme l’a exprimé Burt (1992), l’asymétrie d’informat ion peut
faire le jeu d’un groupe d’acteurs ou d’un acteur en particulier, en fonction de ses stratégies et
de ses tactiques personnelles.
De même, l’hétérogénéité et la contextualité, mettent selon nous en avant que l’analyse des
valeurs n’est pas suffisante pour comprendre le comportement d’un individu vis-à-vis d’une
institution. Il faut aussi contextualiser l’action et intégrer les apports de la structure
relationnelle. La labilité souligne l’importance des parcours personnels des acteurs et de leur
appartenance simultanée à des milieux culturellement différents dans la constitution de leurs
valeurs personnelles et de leurs motivations à agir. Par exemple, se demander si le désir de
réussite personnelle pousse davantage l’individu à innover que la valeur d’autonomie
n’apporterait pas une réponse suffisante. Il faudrait également savoir si l’organisation valorise
la réussite de ses membres Si tel est le cas, l’acteur peut être incité à innover pour obtenir la
reconnaissance qu’il cherche. Si, au contraire, la réussite personnelle ou collective n’est pas
perçue comme valorisée, alors c’est le désir d’autonomie qui pourrait inciter plus que d’autres
valeurs à innover. De la même manière, un collaborateur qui a tenté et réussi quelque chose
dans l’institution dans laquelle il évolue peut inciter d’autres acteurs à l’imiter dans sa prise
de risque et à lui demander un soutien si nécessaire.
2.3. Synthèse des apports d’Alter et Sarasvathy : la recherche de
soutiens politiques
Alter (2000) et Sarasvathy (2001) décrivent deux profils d’innovateurs qui divergent dans
leurs processus de décision et dans leurs rapports avec les institutions. Cependant, ils ont
comme point commun la mobilisation du réseau personnel pour aboutir à leurs fins. Ils
recherchent notamment des ressources stratégiques. Les aptitudes politiques sont rendues
nécessaires pour soutenir leurs démarches innovantes. Cette proposition est en ligne avec les
travaux d’Ancova et Caldwell (1992 : 660) qui suggèrent que les profils des relations
expliquent mieux la performance que la fréquence des communications externes.
Pour Alter et Sarasvathy, l’innovation serait une conséquence de valeurs culturelles. Alors
que Sarasvathy souligne une personnalité créative et innovante, Alter pense que l’innovateur
recherche la reconnaissance sociale, c’est-à-dire la réussite par l’accomplissement
professionnel. L’innovateur dévie ainsi de la norme pour participer à sa manière à leur
reconstruction. Ces propos rejoignent ceux de Dejours (2007) pour lequel, les travailleurs
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 86
cherchent à être reconnus dans leurs activités concrètes, par leur action sur la constitution des
règles et des normes liées à leurs activités professionnelles. Le Tableau 4 ci-dessous propose
une synthèse des points communs et différences entre l’innovateur d’Alter et celui de
Sarasvathy.
Structure du
réseau
Alter (2000) Sarasvathy (2001)
Valeurs
saillantes
Reconnaissance, Réussite Créativité, innovation
Apport Ressources stratégiques d’ordre
politique
Ressources stratégiques d’ordre politique
Type de
raisonnement
Prédictif (causal) : sélectionner
entre différents moyens pour
atteindre un but préétabli
Effectual (approche itérative): imaginer des effets
possibles à partir d’un certain nombre de moyens
Attitude face au
risque
Déviance « ordinaire », prise de
risque
Anticipation, Evitement
Mobilisation du
capital social
Réciprocité, don (intérêt pour soi
et altruisme)
Réciprocité, « altruisme intelligent »
Structure de
réseau
profitable
Trous structuraux, position
d’intermédiaire (Burt, 1992)
Trous structuraux, position d’intermédiaire (Burt,
1992)
Tableau 4: Comparaison des approches de l'innovateur selon Alter/et Sarasvathy
Dans leurs recherches, Sarasvathy et al (2005) et Sarasvathy et Dew (2008) insistent
particulièrement sur l’importance de l’analyse de la symbolique qui motive ou inhibe l’action
et l’apport des relations personnelles comme compléments indispensables de l’analyse des
valeurs personnelles pour comprendre les motivations à innover. Cette vision est selon nous
très proche de celle de Commons (1934) et confère beaucoup d’importance au capital social et
à la symbolique comme facteur d’influence.
Tout comme les écrit de Sarasvaty (2001) le suggèrent, nous pensons que l’acteur, innovateur
ordinaire, va adopter un comportement « altruiste intelligent ». Nous pensons en effet que la
rationalité limitée des acteurs, les empêche de faire des choix sur la base de calculs éliminant
les risques. La docilité permet d’agir selon les habitudes, les coutumes, la confiance que l’on
porte envers ses collaborateurs. Elle permet de faire facilement des choix « satisfaisants » et
de se concentrer sur les transactions stratégiques. En ce sens, et dans le cadre de notre thèse,
nous pensons que le contexte symbolique de l’institution et la structure des relations
personnelles médiatisent les valeurs qui motivent l’acteur à agir, dans l’adoption d’un
comportement.
L’apport du réseau personnel n’est vu, par Alter et Sarasvathy, que sous l’angle défendu par
Burt (1992) dans sa description du rôle de l’intermédiaire. L’innovateur jouirait de cette
position, ce qui lui conférerait un avantage stratégique sur les autres acteurs. Or, pour Burt
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 87
(2005 : 60), il n’y a pas de causalité entre la présence de trous structuraux et les bénéfices tirés
pour la créativité, l’apprentissage, ou toute autre chose d’ailleurs. Les réseaux sont seulement
un contexte d’action et n’agissent pas en eux-mêmes. Par exemple, Von Hippel (1987, 1996),
Dickson (1996) et Schrader (1991) mettent en avant les échanges d’informations informels
de savoir-faire entre organisations à travers les concepts « informal information trading » ou «
informal know-how trading » pour l’acquisition de nouvelles idées.
Si les trous structuraux (Burt, 2004 ; Perry-Smith, 2006) favorisent la combinaison
d’informations et la pensée flexible favorable à l’émergence d’idées nouvelles, peut-on pour
autant dire que les autres configurations de réseaux n’ont pas d’intérêts pour l’innovateur ?
2.4. Apports de la structure du réseau social pour l’innovation
2.4.1. Les effets de la densité des liens
La densité du réseau est définie par le nombre de contacts actuels entre les membres d’un
réseau rapporté au nombre de contacts possibles au sein de ce même réseau (Burt, 1992).
Ainsi, la densité augmente avec le nombre de contacts établis entre les membres du réseau.
Alors que l’argument de la redondance favorise les réseaux à faible densité, l’argument basé
sur l’appui social favorise les réseaux à densité plus élevée (Greve, 1995: 29). Dans ce sens,
(Rowley et al, 2000: 370), Reagans et McEvily (2003: 261) affirment que, dans les réseaux
denses, les membres font preuve d’un comportement coopératif. En effet, dans un réseau
dense où l’information circule rapidement, les membres savent d’avance que les informations
sur leur comportement opportuniste se diffuseraient à d’autres membres du réseau et
limiteraient leur possibilité d’interagir avec ces membres dans le futur. On pourrait alors
envisager qu’un réseau dense soit plus favorable à la génération de ressources stratégiques,
sous forme de motivation et de financement par rapport à un réseau moins dense.
Par ailleurs, Reagans et Zuckerman (2001 : 510) soutiennent que l’importance de la quantité
d’informations dans un réseau dense aide les membres à valoriser les connaissances qui
circulent dans le réseau. Aussi, Eriksson et Sharma (2003) établissent un lien positif entre la
redondance des liens et l’assimilation des connaissances par les acteurs.
2.4.2. Les effets des liens forts
L’intensité de liens réfère à la durée de la relation entre les membres du réseau, à la fréquence
des échanges entre eux ainsi qu’à leur proximité émotionnelle. La proximité émotionnelle
renvoie à la mesure du degré d’amitié qu’un acteur porte à ses relations. Les liens faibles
représentent une source importante d’informations non-redondantes (Granovetter, 1973).
L’information nouvelle circule davantage dans les liens faibles.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 88
Néanmoins, les interactions répétées entre les membres d’un réseau induisent une similarité
de leurs stocks de connaissances (Coleman, 1988 ; McFadyen, Cannella et Albert, 2004).
Cette similarité est importante pour l’acquisition de nouvelles connaissances. De plus, en
intensifiant les activités et les routines de partage de connaissances, les interactions sociales
augmentent les capacités relatives d’un individu à valoriser et à assimiler les connaissances
externes communiquées par les membres de son réseau (Yli-Renko et al, 2001 : 588). Ensuite,
lorsque l’acteur maintient les mêmes partenaires à l’échange au cours du temps, le nombre
d’expériences partagées augmente (Bouty, 2000). Ce que confirment Simon et Tellier (2008),
en ajoutant que des liens fréquemment entretenus permettent d’entrer en contact, avec des
acteurs d’un autre domaine qui seraient difficilement accessibles autrement. D’autre part, ils
servent à obtenir des informations stratégiques, et par conséquent, à augmenter les chances
que le projet soit validé. Ils réduisent l’incertitude associée à des projets d’exploration en
associant des partenaires au statut élevé avec lesquels ils ont des liens forts. La redondance
des réseaux conduit à des idées créatives incrémentales et favorise une co-construction de
l’innovation grâce au partage des représentations dans un milieu homogène, ce qui ne serait
pas possible dans un milieu hétérogène faute de parler le même langage. C’est en quelque
sorte l’idée « d’embarquement des partenaires dans un projet » (Sarasvathy, 2001) qui fait la
force de l’innovateur entrepreneurial.
2.4.3. Les effets de l’hétérogénéité
L’hétérogénéité des connaissances accédées augmente la probabilité de découvertes de
nouvelles opportunités et de nouvelles ressources. Dans cette logique, plusieurs études
montrent que les réseaux où les individus sont liés à d’autres individus ayant des profils
hétérogènes sont plus susceptibles de transférer des connaissances entre les acteurs
(McFadyen et al, 2001). En particulier, Burt (1992) affirme que l’étendue d’un réseau de
relations permet un plus grand accès aux ressources telles que l’information. De plus, la
diversité des domaines de connaissances des membres du réseau permet de soutenir les
nouvelles idées générées par ces derniers. Ce soutien est d’autant plus important que les idées
générées sont complexes. Les experts, grâce à leur réputation et à la diversité de leurs
connaissances, peuvent augmenter la crédibilité et la légitimité des idées fournies par un
individu (Rodan et Galunic, 2004 : 546 ; Simon et Tellier, 2008).
L’hétérogénéité des informations et des connaissances augmente les chances de découvrir de
nouvelles opportunités, plus rapidement. Les possibilités d’interprétation et d’analyse des
connaissances acquises augmentent par conséquent le degré d’assimilation de ces
connaissances. Ensuite, la diversité du réseau permet d’améliorer la capacité d’un individu à
mettre en œuvre ses idées et à exécuter des tâches complexes. En effet, l’hétérogénéité des
connaissances permet à l’individu d’établir des liens de causalité entre les éléments d’un
système complexe qui caractérisent certaines des connaissances qu’il a acquises (Rodan et
Galunic, 2004 : 545-546).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 89
Simon et Tellier (2008) apportent des résultats contradictoires. Tout d’abord, les auteurs
précisent bien que le temps est un facteur décisif dans l’acte d’innovation. Aussi, un réseau
composé de partenaires ayant des liens forts et cohésifs, permet de rapidement générer de
nouvelles idées ayant de la valeur. Dans ce type de réseau, les créatifs semblent
particulièrement sensibles à la reconnaissance de pairs. La redondance du réseau et
l’homogénéité des connaissances facilitent cette reconnaissance. Entre ensuite en jeu la
compétition que se livrent les différents chercheurs avec le risque de subir la fuite
d’informations encouragée par la redondance du réseau. Simon et Tellier indiquent que les
ingénieurs souhaitant être valorisés peuvent être incités à offrir des informations inédites à
d’autres experts alors que ces informations sont, par ailleurs, confidentielles.
« Ce qui est très difficile c’est l’équilibre qu’il faut bien établir car vous êtes employé par
quelqu’un donc vous défendez malgré tous des intérêts industriels, l’équilibre entre ça et
l’intérêt de communiquer avec des gens qui ont d’autres idées. » (Simon & Tellier,
2008 :156).
Nous constatons finalement que la force des liens et le degré d’hétérogénéité ont une
influence certaine sur la qualité et la nature de l’innovation comme sur le comportement de
l’innovateur. Nous constatons, selon les travaux de Simon et Tellier (2008), que
conformément à la littérature sur les effets des réseaux denses (Granovetter, 1973 ; Coleman,
1988, Burt, 1992), les réseaux fortement homogènes et redondants formeraient un terreau
fertile pour l’innovation, et seraient plus propices à l’acquisition d’informations
confidentielles. Aussi, dans le cadre de notre thèse, nous considérons que les réseaux
redondants, à liens forts, sont plus adaptés et pertinents pour l’étude des comportements des
acteurs, que les réseaux non-redondants dont l’analyse se base sur les trous structuraux.
Le tableau 5 ci-dessous synthétise les travaux réalisés sur l’effet de la structure des liens sur
l’innovation.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 90
Structure du
réseau
Intensité Effet sur le management de l’information
Densité
Forte Favorise la diffusion rapide des informations (Greve, 1995 : 29).
Favorise les comportements coopératifs et Limite les comportements
opportunistes (Rowley et al, 2000 : 370), Reagans et McEvily (2003 : 261)
Améliore la communication entre les membres (Burt (2001 : 205)
Aide les membres à valoriser les connaissances qui circulent dans le réseau
Reagans et Zuckerman (2001 : 510)
Limite l’acquisition de nouvelles informations (Greve, 1995 :6)
Faible Favorise la diffusion de nouvelles idées et à la diffusion de l’innovation
(Géraudel et al (2006) ; Rowley et al (2000); Granovetter (1982) ; Rogers
(1983) ; Burt (1992).
Favorise l’assimilation des connaissances par les acteurs Eriksson et Sharma
(2003)
Fréquence Forte Favorise le don de choses variées, personnelles et engageantes (Alter, 2009 :
103)
Les interactions répétées induisent une similarité des stocks de
connaissances des membres du réseau (Coleman, 1988 ; McFadyen,
Cannella et Albert, 2004).
Hétérogénéité Forte Favorise les innovations radicales et donc à création d’idées, de concepts en
rupture avec le présent (Bonner et Walker, 2004)
L’hétérogénéité des informations et des connaissances augmente les chances
de découvertes de nouvelles opportunités, plus rapidement et les possibilités
d’interprétation et d’analyse des connaissances acquises augmentant par
conséquent le degré d’assimilation de ces connaissances. (Rodan et Galunic,
2004 : 545-546).
Homogénéité Forte La redondance du réseau et l’homogénéité des connaissances facilitent cette
reconnaissance entre pairs (Simon & Tellier, 2008)
Intensité Forte Favorise la motivation du dirigeant (Jenssen et Koenig, 2002 : 1044, Yli-
Renko et al, 2001)
Taille Importante L’augmentation du nombre de partenaires directs accroît la quantité
d’informations, d’idées et de ressources disponibles dans le réseau
(McFadyen, Cannella et Albert, 2004 : 740)
Les experts, grâce à leur réputation et à la diversité de leurs connaissances
peuvent augmenter la crédibilité et la légitimité des idées fournies par un
individu (Rodan et Galunic, 2004 : 546 )
Tableau 5: Synthèse de l'effet de la structure des liens sur l'innovation
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 91
Avec le concept de futurité, Commons (1939) postule que tout individu cherche à anticiper les
risques dans des transactions d’échange qui sont stratégiques lorsque l’objet à échanger est
rare. Ce théoricien de l’institutionnalisme pense que l’acteur réalisant des transactions ne peut
s’affranchir du cadre réglementaire formé par les jeux de pouvoirs et l’ordre moral de
l’institution à laquelle il appartient. Les valeurs, normes et règles collectives médiatisent les
valeurs individuelles et permettent de créer des habitudes. Ces habitudes, à leur tour,
libèrent l’acteur de tout calcul rationnel inutile, afin qu’il puisse se concentrer sur les
transactions stratégiques.
Les conditions de réussite des transactions d’échange stratégiques imposent d’agir selon :
(1) des valeurs personnelles « raisonnées » dans l’intérêt de la collectivité, (2) une
rationalité limitée (Commons est en cela un précurseur de Simon [1947]).
Cependant, la recherche du bien-être collectif par les membres des institutions peut être
nuancée. Selon Sennet (2005), sous l’effet de la flexibilisation des institutions (le concept de
capitalisme flexible), la culture des salariés se distancerait de celle des institutions qui les
emploient. De même, les recherches entreprises sur le thème des échanges informels ont
souvent pour défaut d’ignorer leur composante hautement personnelle (Bouty, 1999, 2000 ;
Chollet, 2005).
L’innovateur n’échapperait pas à ses règles. Alter (2000) soutient que l’innovation est une
activité banale et prête à l’innovateur un raisonnement causal et une rationalité procédurale.
Selon lui, le processus d’innovation impose le conflit avec l’ordre et la « déviance
ordinaire ». L’innovateur, en quête de reconnaissance et de réussite, cherche à casser les
normes en vigueur pour en reconstruire de nouvelles. L’innovateur prend ainsi un risque
qu’il compte contrôler, avec le soutien de ses relations. La logique de l’échange est celle du
don/contre-don.
Le don est décrit par Caillé (2009), s’inspirant de Mauss (1950), comme un phénomène
anthropologique universel. Le don prend racine dans la quête de reconnaissance et s’articule
autour de quatre pôles de motivations à l’actions : l’intérêt pour soi, l’empathie, l’obligation et
la liberté. La reconnaissance est la recherche de la visibilité sociale qui s’exprime par la
reconnaissance par la société et par soi-même du statut de donateur libre (Caillé, 2009 : 72).
3. Ce qu’il faut retenir du chapitre 1
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 92
Ce statut donne accès à l’amitié, la gloire, le prestige, etc. Caillé (ibid. : 72), s’appuyant sur la
sociologie de Pierre Bourdieu, mentionne qu’il peut être intéressant d’être désintéressé au
sens où il est intéressant d’accomplir des actions pour soi-même, parce qu’elles sont une fin
en soi, plaisantes ou justes. L’intérêt pour l’acteur est d’être effectivement désintéressé pour
entrer dans la logique du don effectif.
Citant Mauss, Caillé (ibid. : 20) souligne que ces quatre pôles sont enchevêtrés. «L’intérêt
pour autrui ramène à l’intérêt pour soi et réciproquement ». «Non seulement, l’obligation est
celle de la liberté, mais la liberté permet de s’acquitter de ses obligations, mais il faut qu’il
en soit ainsi ». Un don obligé ne serait plus un don, un don purement altruiste serait suicidaire
et un don purement gratuit n’aurait pas de sens. De même, pour être reconnu, il faut donner ce
qui a de la valeur, sans quoi l’acte perd tout son sens.
Sarasvathy (2001) prête à l’innovateur un raisonnement effectual. Il s’appuie sur trois
piliers : (1) qui je suis, (2) ce que je connais, (3) qui je connais, qui composent son capital
culturel, symbolique, économique et social. Contrairement à Alter (2000), mais à l’image de
Commons (1934), l’innovateur ne prend pas de risque mais compte sur ses relations pour
les anticiper. L’innovateur fait preuve d’un altruisme intelligent (Simon, 1977). Il agit de
façon à ce que les autres lui viennent en aide. Il gagne ainsi selon Simon (1977), bien plus de
connaissances qu’en adoptant un comportement opportuniste.
Tant Alter que Sarasvathy reconnaissent le principe de réciprocité des échanges. Mais plus
que la confiance, ils soulignent tous les deux la valeur de l’engagement dans la relation.
Qu’est ce qui fait un innovateur ? Pour Sarasvathy et al. (2005), l’étude des valeurs
individuelles ne suffit pas. Il faut y adjoindre le contexte d’action, la nature de
l’environnement. C’est, selon nous, le cadre réglementaire qui le contraint ou l’exalte. Parce
que ce cadre réglementaire est formé pour répondre aux intérêts de la collectivité, dans ses
enjeux internes et externes.
L’innovateur s’appuie sur son capital social, son réseau de relations. Son capital social lui
permettrait de composer avec les contraintes de rationalité et le cadre réglementaire dans
lequel il évolue. Excepté pour Putman (1993), pour qui la confiance est le résultat du capital
social, l’ensemble de la communauté scientifique s’intéressant au capital social pense que la
confiance le génère, et que la réciprocité des échanges l’entretient (Coleman, 1988 ; Portes,
1998 ; Lin, 1999).
Pour Alter (2000) et Sarasvathy (2001), la position d’intermédiaire dans les réseaux sociaux,
serait un atout parce qu’elle procure des informations nouvelles (Burt, 1992).
Pourtant les réseaux fermés à liens forts permettent de faire circuler de l’information à
haute valeur ajoutée, qui nécessite de la confiance. Ils constitueraient une première étape
dans la recherche des soutiens aux projets (Coleman, 1988 ; Granovetter, 1973, Simon et
Tellier, 2008). De même, les effets de la structure des réseaux sociaux sur les
comportements opportunistes ne sont pas tranchés. A un niveau microsociologique, les
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 93
réseaux fermés et à liens forts les éviteraient (Coleman, 1988 : 107), ou au contraire les
faciliteraient (Burt, 1992 ; Portes, 1998 : 15). Putman (2001: 3) rappelle également que les
effets du capital social, de la réciprocité et de la confiance peuvent conduire à des effets
négatifs pour la société.
C’est avec ces constatations que nous avons débuté la construction d’un modèle (Figure 10)
des concepts que nous mobilisons pour comprendre ce qui interagit, entre l’innovateur et son
environnement, dans la recherche d’informations à haute valeur ajoutée. De même, selon
nous, le capital social d’un individu est l’ensemble des ressources que lui procure
l’appartenance à un ou plusieurs groupes d’individus dans l’objectif d’anticiper le futur.
Le capital social est fonction de la structure du réseau personnel, du capital culturel,
économique et symbolique de l’agent. Le capital social est actionné par les valeurs
individuelles et régulé par les valeurs et les normes collectives qui animent l’institution à
laquelle il appartient.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 94
Figure 10: Synthèse du corpus théorique des constituants et influenceurs du capital social
Dans une économie de la connaissance, les institutions se doivent de réglementer les échanges
d’informations, car ceux-ci constituent une ressource stratégique. Le cadre réglementaire
décrit par Commons, avec lequel les innovateurs composent, prend, ou doit prendre en
compte ce paramètre. Autrement dit, l’institution doit sécuriser ses ressources
informationnelles parce qu’elles constituent son patrimoine immatériel.
Typologie de l’action raisonnée (Caillé, 2009)
Obligation
Liberté
Empathie
Nécessité Devoir
Amour- propre
Amour de soi
Antipathie
Sympathie
Créativité Spontanéité
Institution
Environnement externe à
l’institution
Valeurs,
Normes,
Règles,
Habitudes
Intérêt pour soi
Valeurs individuelles, habitudes
Individu (quête de reconnaissance, futurité)
Transaction de répartition
Tra
nsa
ction
d’éch
an
ge
Transaction de direction
Force des liens
Homogénéité/Hétérogénéité
Rationalité limitée,
Altruisme intelligent
Capital
Culturel
Economique
Symbolique
Redondance
Réseau personnel de l’individu
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 95
II. Chapitre 2
Politiques et management de la sécurité de l’information
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 96
Figure 11: Architecture du chapitre 2
1 - La sécurité de l'information
- Principes généraux
- Fondamentaux de management
2- Pour un approfondissement de la recherche sur les
transformations par la culture organisationnelle
- Etude des motivations
- la sensibilisation
- La culture organisationnelle
Idée directrice du chapitre 2 :
Les effets de la culture organisationnelle et l’influence des réseaux sociaux
sur les comportements de sécurité sont encore trop négligés par les
praticiens et les chercheurs en systèmes d’information.
Ancrage atour de 2 courants
d’analyse du facteur humain : les
comportements et la
sensibilisation.
Constat d’un manque de
recherche
Mobilisation
Justification
Fondations
Inhibante et habilitante
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 97
1. La sécurité de l’information
L'expansion et le recours à des systèmes d'information hautement interconnectés a augmenté
l'exposition des organismes à des menaces diverses. Bien que certaines menaces à la sécurité
des institutions soient d'ordre technique ou le résultat de catastrophes naturelles, un grand
nombre sont d'origine anthropique, qu’il s’agisse d’erreurs, d’omissions ou d’actes
malveillants commis par les employés ou des acteurs externes, tels que des concurrents, les
pirates informatiques etc. Cette vulnérabilité accrue a obligé la plupart des institutions à
appliquer des contre-mesures fortes pour dissuader et prévenir des incidents, comme les
contrôles techniques et comportementaux. Les institutions ont mis en œuvre des politiques et
des procédures (Siponen, 2000) de sécurité des systèmes d’information, ainsi que l'éducation
à la sécurité des systèmes d’information par des programmes de formation et de
sensibilisation, des campagnes régulières de communication (Puhakainen & Siponen, 2010)
et des sanctions pour dissuader les violations des politiques (D’Arcy & al., 2009 ; Herath et
Rao, 2009b). Toutefois, ces contrôles et mesures de sécurité ne sont efficaces que dans la
mesure où les employés veulent les suivre, et ceci est particulièrement vrai lorsque les salariés
sont en dehors de l’institution et ne ressentent plus son ambiance, les contrôles managériaux,
voire les techniques mises en place.
Le 15 mars 2012, le magazine « Informatique et sécurité » publiait un article sur les risques
portés par les réseaux sociaux:
« Le réseau social LinkedIn est une source d’information pour les pirates.
Tout au long de l’année 2011, le réseau LinkedIn a fait l’objet, de critiques sur son aspect
sécurité, et de nombreux articles sur le sujet apparurent lors de son introduction en bourse
[…] »22
.
Même si notre sujet de thèse ne porte pas spécifiquement sur l’usage des médias sociaux, cet
article illustre le danger que peuvent représenter les réseaux sociaux. Les individus sont de
plus en plus interconnectés et appelés à mobiliser leurs réseaux personnels pour rechercher de
l’aide, faire preuve d’innovation, trouver du travail, exprimer ce qu’ils pensent du lieu où ils
travaillent…. Ce mouvement sociologique pose de vrais problèmes aux entreprises et plus
généralement aux institutions, qui voient l’efficacité de leurs moyens de contrôle diminuer. La
sécurité implique la confiance qui est nécessaire dans une économie organisée en réseau.
Surtout quand l’innovation est un axe majeur de compétitivité (clusters d’entreprises, pôles de
compétitivités, écosystèmes industriels…). La sécurité de l’information est un enjeu national,
qui concerne l’ensemble des acteurs de l’économie française, quel que soient leur taille ou
leur secteur d’activité23
.
22 http://www.informatique-securite.net/securite-it-les-hackers-utilisent-le-reseau-social-linkedin/, 15 mars 2012 23 Au plan militaire, on parle des réseaux numériques comme le 5ième champ de bataille. Les enjeux stratégiques
de la sécurité de l’information sont considérables, mais nous excluons ce champ d’étude de notre travail de thèse.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 98
Dans ce chapitre, nous définissons ce qu’est la sécurité de l’information et nous étudions en
détail ces composantes majeures, à savoir l’étude des menaces et des contre-mesures, le
regard que porte l’organisation sur la sécurité et les politiques de protection et les modes de
management mis en œuvre.
La difficulté à gérer les comportements humains nous conduit ensuite à explorer la littérature
qui cherche à comprendre et orienter les comportements. En particulier, les travaux menés par
le courant sociotechnique, les théories de l’action et les théories mobilisées en criminologie,
comme le contrôle social et la théorie de la neutralisation (Sikes et Matza, 1957).
L’approfondissement de la recherche sur l’influence de la culture organisationnelle, et sur les
comportements de sécurité, nous conduira finalement à clore ce chapitre par une section
portant sur les relations entre culture organisationnelle et sécurité de l’information.
1.1. Principes fondamentaux
1.1.1. Qu’est-ce que la sécurité de l’information ?
Avant de clarifier ce qu’est la sécurité de l’information, il convient de préciser ce que nous
entendons par « information » dans le cadre de cette thèse. Il ne s’agit pas de rentrer dans le
vaste débat qui consiste à déterminer ce qu’est une donnée, une information, ou une
connaissance. Pour une entreprise et les institutions en général, le qualificatif d’information
concerne les données parlées ou écrites, produites par l’activité. Il peut s’agir de données
quantitatives (un chiffre d’affaire), qualitatives (un défaut de production) ou encore
prospectives (un futur projet industriel). Par exemple, un système d’information qui contient
des données financière doit être protégé. Le tiroir du bureau du directeur financier qui contient
des documents sensibles, doit rester fermé en son absence. Le salarié qui parle, au restaurant,
de l’évitement in extremis d’un incident industriel ne devrait pas le faire…
Wood (1982 : 9) stipule que la sécurité est un sujet très vaste « qui comprend les bâtiments, la
protection incendie, des logiciels et du matériel, les politiques financières et de ressources
humaines, l’audit et de contrôle ». Von Solms (1999) explique que la sécurité des
informations est un espace multidimensionnel, qui comprend 1a gouvernance d'entreprise, la
structure organisationnelle, la politique, les meilleures pratiques, l'éthique, la certification, le
juridique, l'assurance, le personnel, la prise de conscience, la technique, les indicateurs de
mesure de l'audit. Aussi, les institutions doivent prendre en compte tous ces aspects afin de
sécuriser leurs actifs informationnels. La sécurité de l'information signifie plus que
d'empêcher les intrus d'accéder à des données confidentielles. La norme internationale ISO
I7799/27002-2005 qui définit les codes de pratiques du management de la sécurité de
l’information stipule (p.viii) que «la sécurité de l'information est la protection de
l'information à partir d'un large éventail de menaces afin d'assurer la continuité des activités,
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 99
de minimiser les risques et maximiser le retour sur les investissements et les opportunités
d'affaires».
C'est pourquoi l'information:
ne doit pas être divulguée à des personnes non autorisées,
doit être protégée contre toute modification non autorisée et,
doit être disponible à la demande des utilisateurs.
L’ISO 27001-2005 (clause 3.4, p.2) qui fournit les spécifications pour la mise en œuvre d’un
système de management de la sécurité de l’information définit donc la sécurité de
l’information comme la « préservation de la confidentialité, l’intégrité et la disponibilité des
informations. De plus, d’autres propriétés comme l’authentification, l’audit, la non
répudiation et la fiabilité peuvent être impliqués ».
1.1.2. Confidentialité, Intégrité, Disponibilité
La sécurité de l’information s'intéresse à trois aspects, qui sont la Confidentialité, l'Intégrité et
la Disponibilité (respectivement clause 3.3, 3.8 et 3.2 de la norme ISO/IEC 27001:2005 : 2).
Ces trois dimensions sont communément nommées par le triptyque CID.
La « Confidentialité », consiste à s'assurer que l'information est accessible seulement
aux personnes autorisées à y avoir accès. Le degré de sensibilité des informations
varie selon leur caractère stratégique ou légal. Les mécanismes de sécurité, tels que le
cryptage et le contrôle d'accès logique et physique, peuvent être utilisés pour assurer la
confidentialité au plan technique.
L’ « Intégrité », consiste à garantir qu’une information ne sera pas modifiée sans
autorisation préalable. Les informations doivent être exactes, complètes et protégées
contre les modifications.
la « Disponibilité », consiste à veiller à ce que les informations, le système et d'autres
ressources soient disponibles pour les utilisateurs en cas de besoin, la productivité ne
sera pas affectée. Un mécanisme de sauvegarde doit être utilisé pour assurer la
continuité des ressources disponibles.
La confidentialité a reçu le plus d'attention de la part de la communauté scientifique. Les
premiers travaux sur la sécurité ont été parrainés par le ministère américain de la Défense. Le
modèle le plus important utilisé dans cet environnement a été développé par Bell et La Padula
(1976). Ce modèle traite avec des contrôles d'accès obligatoires et discrétionnaires dont
l'objectif principal est d'empêcher la divulgation illégale d'informations.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 100
Cependant, Dhillon et Backhouse (2000 : 127-128) affirment que les principes de la CID ne
sont pas suffisants pour assurer la sécurité de l’information. En effet, ils s'appliquent à des
informations qui sont considérées comme fortement liées aux systèmes d’information. Pour
ces auteurs, la sécurité de l’information ne s’applique pas qu’aux environnements techniques,
mais doit aussi s’appliquer aux personnels des organisations dans leurs modes de relations.
Les auteurs suggèrent donc des principes supplémentaires tels que la Responsabilité, la
Confiance et l’« Éthicité » (traduit de l’anglais Ethicality).
La Responsabilité correspond à la connaissance par les employés, de leurs rôles et
responsabilités professionnelles. Cette connaissance est tout à fait indispensable pour que
les membres de l’organisation puissent développer leur activité en autonomie ;
La Confiance est nécessaire pour que la responsabilité implique des systèmes communs de
confiance.
« L’Éthicité » est le contenu éthique des normes informelles et du comportement.
Dhillon et Backhous voient également l’Intégrité comme une valeur humaine qui est une
condition d’adhésion. L’organisation doit valoriser et soutenir l’intégrité des employés, afin
qu’elle ne varie pas négativement dans le temps. D’autres objectifs de sécurité proposés par
des chercheurs et des praticiens ont également été identifiés. Le tableau 6 fournit un résumé
de vingt-deux objectifs proposés par les chercheurs et les professionnels de la sécurité de
l’information (Johnston et al, 2008: 256). Les sources de ces objectifs et des exigences
proviennent principalement de trois groupes : les praticiens, les universitaires et les
organismes de sécurité. Lors des entretiens menés avec ces groupes, six objectifs ont été le
plus fréquemment cités : La confidentialité, l'intégrité, la disponibilité, la non-répudiation,
l'authentification et l’audit. Ce qui ne semble pas étonnant, puisque nous retrouvons ces
objectifs dans la définition même de la sécurité de l’information proposée par l’ISO
17799/27001, qui est la norme internationale de référence. L’histoire ne dit pas cependant si
ce sont les professionnels qui ont influencés la norme, ou l’inverse. Néanmoins, étant donné
que les systèmes de normalisation se basent largement sur la participation collective des
acteurs (par exemple : les cercles de qualité en entreprise, les batailles que se livrent les
industriels pour imposer leurs normes à un niveau international, etc.), il est fortement
probable que la part des professionnels dans la normalisation soit majoritaire. D’ailleurs, le
tableau ci-dessous montre que les praticiens de la sécurité de l’information définissent une
liste bien plus exhaustive que les universitaires et les organismes de sécurité. Cette liste inclut
notamment les systèmes de preuve (exemple : la signature, le witnessing) et de traçabilité
(exemple: le time-stamping).
Cette liste inclut notamment les systèmes de preuve (exemple : la signature, le witnessing) et
de traçabilité (exemple: le time-stamping).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 101
Tableau 6: Liste non exhaustive des principaux des objectifs de sécurité identifiés par les praticiens et chercheurs (Johnston et al, 2008 : 254)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 102
La sécurité de l’information d'une organisation peut être définie comme la protection contre le
vol d’information ou toute autre attaque contre les systèmes d’information, et aussi contre les
disfonctionnements de ces systèmes d’information qui les rendraient indisponibles et qui
altéreraient l’intégrité des informations.
L’organisation et son système d’information doit donc faire face à un certain nombre de
menaces. Ces menaces pourraient être causées par les utilisateurs innocents, ou par
des acteurs animés de mauvaises intentions. Sur ce sujet, Anderson et Moore (2008: 11)
affirment que la vision traditionnelle des professionnels de la sécurité est plutôt dichotomique
quand il s’agit d’aborder le comportement des utilisateurs du système d’information. Il y a
d’un côté « les bons », c'est-à-dire les membres de l’organisation, et de l’autre, « les
méchants », c'est-à-dire des personnes externes à l’organisation voulant lui nuire. Pourtant
selon le rapport Computer Crime and Security Survey (2011: 20), 43,2% des répondants ont
déclaré qu'au moins une partie de leurs pertes étaient attribuables à des collaborateurs internes
malveillants. Cependant, la quasi-totalité des pertes provoquées par des atteintes à la sécurité
de l’information provenait de collaborateurs internes non malveillants. Cette tendance est
identique à celle de 2010. Le sondage des organisations indique que 59,1% d’entre elles
estiment que les pertes dues à des attaques n’étaient pas le fait de collaborateurs internes
malveillants. Parmi celles qui s’estiment victimes d’attaques internes, 87,1% évaluent que
20% ou moins de leurs pertes doivent être attribuées à des actes internes malveillants alors
que 66,1% des répondants indiquent que 20% ou moins de leurs pertes, sont le fait d’actes
internes non-malveillants. Le rapport de la NIAC (2008) conclut également que l'espionnage
économique à partir de sources internes aux entreprises constitue une menace réelle pour la
viabilité concurrentielle des entreprises. Ces chiffres montrent que jusqu’ici, trop peu d’efforts
semblent avoir été portés sur les collaborateurs de l’entreprise ou bien que l’efficience des
pratiques en matière de sécurité de l’information est difficile à atteindre lorsque la population
cible est interne. Trop d’organisations considèrent que la sécurité de l’information ne
concerne que la direction des systèmes d’informations (rapport NIAC 2008: 24).
1.1.3. Menaces, vulnérabilités et contre-mesures
Les rapports produits par les organismes spécialisés comme le Computer Crime and Security
Survey produit par le CSI (Computeur Security Institute) ou encore les rapports produits par
le CLUSIF (Club de la Sécurité de l’Information Français) classent généralement les attaques
comme intentionnelles ou non intentionnelles et internes ou externes. Loch (1992 :176, cf.
Figure 12) ajoute qu’elles peuvent aussi être internes ou externes et humaines ou non
humaines.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 103
Figure 12: Les quatre dimensions des systèmes de sécurité de l’information (Loch, 1992: 176)
Beaucoup de publications et d’enquêtes telles que Hinde (2002), Whitman (2003), Doherty &
Fulford (2005), le CSI (2009, 2011), énumèrent la variété et la conséquence des menaces qui
pèsent sur la sécurité de l’information des organisations. En voici quelques-unes parmi les
principales classées suivant qu’elles sont externes ou internes aux institutions.
Les menaces externes :
Les virus informatiques, vers et chevaux de Troie : programmes informatiques qui
ont la capacité de se répliquer automatiquement, dans l'ensemble des systèmes et
des réseaux ;
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 104
Les catastrophes naturelles : les dommages sont causés par des phénomènes tels
que les tremblements de terre, les inondations ou les incendies ;
Le spam (courriel) : envoi massif de courriers électroniques non sollicités ;
Le piratage: la pénétration des systèmes d’information de l'organisation par un
tiers non autorisé, qui sont ensuite libres d'accéder et manipuler des données (vol,
modification) ou d’interrompre les systèmes (détérioration);
Le vol d’information par des acteurs externes à l’entreprise, par l’incitation de
collaborateurs internes via des techniques de manipulation (social engineering), ou
encore suite à des négligences de collaborateurs internes qui laissent des invités se
déplacer sans surveillance dans les locaux de l’organisation ;
Les dommages délibérés.
…
Les menaces internes :
Installation / utilisation de matériel non autorisé, des périphériques ou des logiciels
: ces matériels et logiciels pourraient contenir des virus ou des systèmes de copie
des informations ;
Utilisation frauduleuse du système d’information en profitant des accès qui ont été
autorisés ;
Vol de matériel/logiciel/informations: vol de matériel précieux, les logiciels et
actifs informationnels ;
L'erreur humaine : La destruction accidentelle ou la saisie incorrecte de données.
Les dommages délibérés causés par des employés mécontents désireux de se
venger ;
Utilisation des ressources de l'organisation pour les communications illégales ou
des activités immorales (pornographie, etc.) ;
La divulgation à des organisations externes ou à des tiers internes qui n’ont pas
nécessité à les connaitre, d’informations sensibles, quels que soient les médias
associés (fichiers, transmission orale, etc.).
…
Les attaques sont fréquentes et les entreprises communiquent peu sur ce sujet. En 2011, lors
d’une session de formation à la sécurité de l’information que dispensent les spécialistes de la
DCRI (Direction centrale du Renseignement Intérieur), nous avons appris que les entreprises
du CAC 40 ont comptabilisé plus de 600 attaques importantes en trois ans. Ce chiffre est
considérable, d’autant que ces entreprises taisent le nombre et la nature des attaques très
sérieuses auxquelles elles ont dû faire face.
Les attaques externes reposent beaucoup sur les erreurs des employés. Ces derniers
permettent d'accéder au système d'information de l'organisation. Selon Brostoff & Sasse
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 105
(2001 : 43), « les brèches de sécurité sont souvent délibérées et sont donc susceptibles de se
produire encore et encore ».
Certaines vulnérabilités dans les organisations sont liées à des faiblesses dans les logiciels ou
les matériels. Ces erreurs sont par ailleurs liées à des défauts de conception, des erreurs
humaines suite à des défauts dans les processus de contrôle, ou encore des manquements dans
l’application de processus de gestion. Par exemple, lorsqu’un employé quitte une
organisation, la suppression de ses accès aux ressources peut être oubliée.
Les politiques de sécurité et les processus de gestion, sont donc des contre-mesures aux failles
de sécurité, mais à condition qu’elles soient respectées et appliquées.
Une fois les menaces et vulnérabilités identifiées, les organisations doivent savoir sur quoi et
comment investir pour sécuriser leurs informations. Dans ce cadre, il est primordial que les
organisations sachent ce qu’il faut protéger et avec quel niveau de priorité. Elles doivent
pouvoir définir les besoins de CID pour leurs actifs (Garbars, 2002; Lévêque 2006 &
Anderson 2003).
Les organisations adoptent en fait une méthode de gestion des risques (Siegel et al, 2002.). La
gestion des risques est une « clé de voûte pour une performance efficace et ciblée, des
solutions proactives aux incidents potentiels» (Henry, 2007b: 321). L'évaluation des risques
permet aux organisations de connaitre leur environnement et d’élaborer des scénarii pour
savoir comment faire face aux menaces (Swanson & Guttman, 1996). L'évaluation des risques
est de la responsabilité de l'organisation : bien qu'il n'existe pas de recette universelle pour
minimiser les risques, les professionnels devront évaluer la nature de l'environnement
organisationnel, avant d'examiner si et comment mettre en œuvre des solutions
informatiques». (Dhillon & Backhouse, 1996: 73-74). Bois (1982: 84), explique que les
organisations peuvent évaluer les risques à travers les étapes suivantes :
«Collecte des informations sur l'organisation: ce qu'elle fait, comment elle fonctionne,
ses actifs et ses ressources ;
Identifier les risques inhérents à ces actifs et les ressources et évaluer leurs impacts
et la fréquence probable ;
Identifier les contre-mesures à ces risques, leurs coûts et l'efficacité probable ;
Élaborer des programmes de sécurité et de les soumettre à la direction ;
Préparer des plans de mise en œuvre des programmes de sécurité validés au plus haut
niveau hiérarchique ;
Surveiller et évaluer l'efficacité de ces programmes ».
Toutes ces étapes ne peuvent être correctement réalisées sans une prise en compte
organisationnelle des problématiques de sécurité.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 106
1.1.4. Rôle de l’organisation
La planification est un élément essentiel de management pour mettre en œuvre les mesures de
sécurité et justifier de leur budget. O'Connor (1993 : 72-73) définit les trois composantes de la
planification de la sécurité :
La planification stratégique est le processus de reconnaissance des systèmes
d'information, qui fournissent un avantage concurrentiel. Cela implique à la fois le
management de la sécurité de l’information et le management de l'organisation ;
La planification tactique se concentre sur les priorités pour planifier les efforts de
développement. Elle établit des plans d'actions à partir des mesures de développement
et de performance qui seront utilisés lors de la planification opérationnelle. Elle est
initiée à partir des efforts de planification stratégique.
La planification opérationnelle, implique le développement de certains plans détaillés
pour chaque projet. Elle est à la charge de représentants de la direction et des
employés qui sont tenus de participer au développement du système, les livrables,
prototypes, etc.
Selon Tryfonas et al. (2001: 188), en matière de sécurité de l’information :
la planification stratégique correspond à l’élaboration de politiques,
la planification tactique est la conformité avec les standards, la conduite de l’analyse
des risques, l’audit de la performance,…
La planification opérationnelle est la mise en œuvre d’outils de sécurité comme des
antivirus, etc.
Loch et al. (1992 : 173) affirment que les préoccupations concernant la sécurité de
l’information dans les organisations sont passées de «l'entrée par effraction dans les salles
informatiques et de stockage, la destruction par le feu, le tremblement de terre, l’inondation,
et l’ouragan » à « la protection des systèmes d'information, les accès non autorisés
accidentels ou intentionnels, la divulgation, la modification ou la destruction».
De nombreuses organisations se tournent vers la technologie pour aider à consolider leurs
défenses, mais les problèmes de sécurité de l'information ne peuvent pas être traités seulement
d'un point de vue technique, mais aussi d’un point du vue organisationnel.
Loch et al. (1992 : 185) ajoutent que les managers ont besoin de :
« Devenir plus informés sur les possibilités de failles de sécurité dont les sources
sont les employés et les concurrents;
Accroître leur sensibilisation dans des domaines clés tels que les lois, et
Reconnaître que leur niveau général de préoccupation pour la sécurité sous-estime
les risques potentiels inhérents à l'environnement très interconnecté dans lequel ils
évoluent ».
Cependant, comme Straub & Welke (1998 : 441) l'expliquent, «la sécurité de l'information
continue d'être ignorée par les cadres supérieurs, les cadres intermédiaires et les employés.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 107
Le résultat de cette négligence est que les systèmes de sécurité sont beaucoup moins sûrs
qu'ils ne devraient l’être et que les failles de sécurité sont beaucoup plus fréquentes et
dommageables que ce qui est nécessaire ».
Dhillon et Backhouse (2001 :126-128) partagent cet avis. La sécurité de l’information n’est
pas un problème technique, mais social et organisationnel. La sécurité doit d’adapter aux
données manipulées, mais aussi aux contextes organisationnels dans lesquels elle est
interprétée et appliquée. Les organisations doivent développer, favoriser l’émergence de
comportement durables qui intègrent la morale, l’intégrité et l’éthique. La notion de
persistance comportementale est importante. Workman (2007: 317) affirme en effet que
«lorsque les gens perçoivent que le risque a diminué, ils vont se comporter d'une manière
moins prudente». Dix ans après Straub & Welke , les aspects organisationnels ont peu évolués
puisque Posthumus et Von Solms (2008 : 689) pensent par exemple que le management
intermédiaire et de premier niveau doit bénéficier d’un programme de formation et de
sensibilisation, ce que Workman et al, (2008 : 2800) défendent également en affirmant que les
failles de sécurité continuent à croître car quand un problème de sécurité survient, les
managers ne savent pas toujours où et comment intervenir pour le juguler. Ces propos ne sont
toujours pas démentis aujourd’hui. Dans son rapport 2012, auprès de 350 entreprises de plus
de 200 personnes, le Clusif mentionne en page 5 que « la mise en œuvre concrète des
politiques de sécurité ne décolle pas réellement..[]…Pour beaucoup la sécurité reste une
histoire de mise en place de solutions techniques ».
Il est crucial de veiller à ce qu'une politique de sécurité appropriée et efficace soit développée.
En effet, elle crée une plateforme solide de mise en œuvre des pratiques de sécurité (Von
Solms et Solms, 2004: 276). Cette politique doit comporter à minima les considérations
suivantes (Verdon, 2006: 49) :
« Tout savoir sur les politiques de sécurité de l'organisation ;
Impliquer l'équipe en charge de la sécurité et le service juridique et les faire
travailler en équipe pour évaluer la conformité avec les politiques réelles ;
Identifier les besoins de protection de l'organisation;
Connaître les exigences de la politique de classification des informations ;
Tenir informé tout le personnel sur les meilleures pratiques en matière de sécurité
de l’information ».
1.2. Fondamentaux du management
1.2.1. Politique et management de la sécurité de l'information
Pour Nijhof et al (2003: 67), la politique est «un instrument de responsabilisation au sein de
l'organisation». La politique de sécurité de l’information est étroitement dépendante du
fonctionnement de l’organisation (Baskerville et Siponen, 2002: 344). Whitman (2004: 52),
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 108
avance qu’une politique globale se compose d’une politique de base servant de chapeau à
d’autres politiques spécialisées.
Pour Tryfonas et al, (2001: 183), une politique de sécurité de l'information est une
combinaison de principes, règlements, méthodes, techniques et outils mis en place pour
protéger l'organisation contre les menaces possibles.
Ainsi, il existe :
Une politique pour l’institution (au sens de la structure comme une entreprise, une
association etc.). Cette politique s’applique à l’organisation dans son ensemble. C’est
une politique générale. Elle fixe l’engagement de la direction pour la sécurité de
l’information, et son importance pour l’organisation. Elle souligne les responsabilités
de chacun dans l'organisation, et les moyens à mettre en œuvre pour la sécurité.
Des politiques spécifiques au département des Technologies de l’Information et de la
Communication (TIC). Ces politiques couvrent les responsabilités de la direction des
systèmes d’information, dont le rôle et de maintenir les systèmes d’informations et les
réseaux de communication en sécurité. Elle dicte les conditions de choix des logiciels,
les politiques de sauvegarde, etc.
Une politique dédiée aux salariés. Cette politique définit l’ensemble des processus de
sécurité de l’information que doivent suivre les salariés (utilisation d’Internet, gestion
des mots de passe, procédure d’incident de sécurité, etc.).
La question est alors de savoir à quoi répond une politique et ce qu’elle contient.
Quels objectifs pour la politique ?
D’après David (2002: 506), « la sécurité n’est pas ce que nous faisons ni ce que nous ne
faisons pas. Ce n’est pas que nous autorisons ou ce que nous n’autorisons pas. La sécurité
n’a rien à voir non plus avec le niveau de sûreté des données et des systèmes. La sécurité
consiste en la manière dont on adhère aux politiques formelles de sécurité.»
Dans ce cas, une politique de sécurité efficiente est une stratégie dans laquelle les individus
sont capables d’accepter ce qui est attendu d’eux en matière de gestion des ressources
informationnelles. Par conséquent, selon Hone et Eloff (2002), une politique de sécurité
effective ne dépend pas seulement de ce qu’elle contient, mais aussi de la manière dont les
acteurs comprennent que ces politiques peuvent permettre d’atteindre les objectifs de sécurité
de l’institution.
L’objectif des politiques de sécurité est donc de réduire, autant que possible, les erreurs
humaines (Adams et al, 1997). Selon Hare (2007), la politique de sécurité se justifie par le
besoin de contrôle des membres de l’institution.
Ceci s’explique notamment par le fait que le déploiement des technologies de l’information
jusqu’aux bureaux des salariés, leur fournit un accès et une manipulation aisée aux ressources
informationnelles. La nécessité d’assurer la confidentialité, l’intégrité et la disponibilité des
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 109
données, s’impose par les politiques de sécurité. Les politiques « créent une vision partagée,
et une compréhension de comment des contrôles variés, sont utilisés pour protéger
l’information dans l’institution » (Dhillon, 2006 : 6).
Pour Zucato (2004) les politiques de sécurités servent à préciser ce qui doit être protégé et
comment le faire pour assurer la sécurité des biens informationnels des organisations.
Cependant, malgré ces affirmations, l’étude de Doherty et Fulford (2005) n’a pas pu
démontrer un lien statistiquement significatif entre l’existence d’une politique de sécurité et la
réduction des incidents de sécurité. Ces auteurs expliquent leur résultat par les facteurs
suivants (Doherty & Fulford, 2005 : 34-35):
1. Difficultés de mise en pratique des politiques ;
2. Difficultés à sensibiliser les employés aux politiques de sécurité. La présence de politique
ne suffirait pas et les employés doivent en avoir connaissance ;
3. Les politiques sont trop complexes pour que les employés se les approprient ;
4. Manque de moyens pour contrôler l’efficacité et renforcer les politiques ;
5. Difficultés à dimensionner les politiques. Ces difficultés peuvent naître d’une mauvaise
adaptation aux types d’informations manipulées et à la culture de l’institution.
Ces propositions nous invitent à nous interroger sur ce que doivent être les politiques si elles
veulent avoir du sens et de l’efficacité.
Que contient la politique ?
Pour Baskerville & Siponen (2002: 344), la politique de sécurité doit s’adapter aux
changements organisationnels. Selon Verdon (2006 : 48), une bonne politique « doit être
raisonnable, compréhensible pour l'auditoire, et réalisable ».
En outre, Whitman (2004 : 2) stipule qu’ « une bonne politique de sécurité doit définir les
responsabilités individuelles, les utilisations autorisées et les utilisations non autorisées des
systèmes d’information, identifier des moyens pour que les employés puissent rapporter des
menaces identifiées ou suspectées, de définir des sanctions en cas de violation, et fournir un
mécanisme pour mettre à jour la politique ... propres à une organisation et de ses systèmes».
Von Solms et von Solms (2004 : 2), sont en accord avec ces propos et ceux de (Dhillon,
2006 :6). Selon eux, toute la question est de savoir comment les intentions du management
explicitées dans les politiques peuvent se traduire dans les actions des salariés.
C’est effectivement une question clé. Il ne s’agit pas seulement de poser ce qui doit ou ne doit
pas être fait, et de fournir des procédures afin d’y parvenir. Nous pensons que cela ne peut
effectivement fonctionner vraiment que si les individus s’approprient les enjeux exposés dans
les politiques et acceptent de se plier aux règles et procédures. Von Solms et Von Solms
(2004: 3) pensent que cela est possible à condition que la culture du groupe d’individus soit
alignée avec les politiques de sécurité développées par le management. L’objectif de la
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 110
direction serait de développer un groupe culture, où toutes les actions et créations des
employés sont en ligne avec la vision de la direction. Le développement d’une culture
organisationnelle selon les principes de Schein (1984) leur paraît essentiel. Schein (1984: 3)
définit la culture d'un groupe comme : « le niveau le plus profond des hypothèses
fondamentales tacites et des croyances qui sont partagées par les membres d’une
organisation […] Un ensemble d’hypothèses de base qu'un groupe donné a inventé, découvert
ou développé en apprenant à faire face aux problèmes liés à l'adaptation externe et
d'intégration interne, et qui ont suffisamment bien fonctionné pour être considéré comme
valide, et donc être enseigné aux nouveaux membres comme une bonne façon de percevoir, de
penser et de sentir par rapport à ces problèmes ».
La culture organisationnelle se compose des valeurs collectives, des normes et des
connaissances en vigueur dans l’organisation. La culture s’exprime au travers des règles,
procédures et des modes de régulation.
Cette définition pose comme principe que les hypothèses de base doivent être définies et
enseignées à la communauté. La définition des politiques doit donc être menée de telle sorte
qu’elles soient acceptables par les membres de l’institution, en particulier les hypothèses que
forment les croyances de base. Les politiques ne doivent pas contredire les croyances
personnelles, et doivent faire l’objet d’un consensus sur leur action pour la protection des
intérêts de l’institution.
Comment ces politiques pourraient-elles effectivement être respectées ? Pour le comprendre,
von Solms et von Solms (2004 : 4) font une analogie entre l’élaboration des politiques de
sécurité des institutions et celles de la Bible (the bible métaphore). Ils concluent que :
1. Les politiques doivent provenir du plus haut niveau de management de
l’institution ;
2. Les politiques générales doivent être stables dans le temps ;
3. Les politiques générales doivent s’attacher aux concepts généraux et ne doivent
pas s’adresser à des contextes spécifiques et techniques qui sont changeant
dans le temps ;
4. Des politiques secondaires doivent appuyer les politiques générales. Ces
politiques adressent les contextes d’affaires et les contextes techniques de
manière spécifique ;
5. Des procédures doivent décrire les manières d’agir dans le respect des
politiques ;
Pour que cela fonctionne, il faut que les politiques et procédures soient régulièrement mises à
jour et régulièrement être enseignées aux membres de l’institution.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 111
1.2.2. La norme
La question de la norme est au cœur des pratiques de sécurité de l’information. La déviance
vis-à-vis des bonnes pratiques existe dès lors que l’on constate une réprobation vis-à-vis d’un
écart à la norme.
Définitions d’une norme
L’Association Française de Normalisation s’approprie la définition de la norme donnée par
l’ISO/CEI :
« Document, établi par consensus et approuvé par un organisme reconnu, qui fournit, pour
des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques,
pour des activités ou leurs résultats, garantissant un niveau d'ordre optimal dans un contexte
donné. »24
Ferréol (2007: 204) nous donne la définition sociologique de la norme :
« Règles ou modèles de conduite propres à un groupe ou à une société donnée, appris et
partagés, légitimés par des valeurs, et dont la non-observance entraîne des « sanctions » (ici
positives ou négatives). Les normes définissent le comportement approprié ou attendu dans la
vie sociale. Elles sont inséparables de l’activité de régulation qui les crée et les maintient.
Leur appropriation (apprentissage, intériorisation) au cours de la socialisation inclut non
seulement la connaissance de la prescription en elle-même, mais aussi la marge de variation
qu’elles comportent toujours. Leur affaiblissement ou leur incohérence est source d’anomie.
Elles s’inscrivent dans le contexte plus large des valeurs».
Les normes sont liées aux valeurs et sont créées pour régir nos actions au sein d’une
communauté et leur transgression est passible de sanctions.
Nous notons qu’elles sont prescriptives, mais comportent des marges de variation. Leur
appropriation est facteur du degré de socialisation. Leur affaiblissement ou leur incohérence
est source d’anomie. L’anomie est la perte des repères et des valeurs, qui fondent la
communauté ou plus généralement la société (Durkheim, 1897).
Ogien (2012 : 263) ajoute que « les normes susceptibles d’être enfreintes ne sont pas
identiques : elles peuvent être légales, morales, sociales ou logiques ». Il poursuit (ibid : 263)
en posant que la norme sociale se définit :
Soit, par un modèle normatif : comme l’intériorisation d’un système de normes et de valeurs,
imposées par la culture où la structure sociale à laquelle il appartient. L’intériorisation des
normes est ici interprétée comme l’incorporation des nécessités objectives, selon la
24 http://www.afnor.org/layout/set/print/lexique/%28lettreid%29/n
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 112
conception d’habitus de Pierre Bourdieu (1980b). La normativité est alors déterminée par une
disposition à la conformité qui fait partie de l’ordre mental d’un groupe social ;
Soit, par un modèle interprétatif : comme un choix, selon le jugement d’une situation, de
respecter ou de ne pas respecter les contraintes des différents ordres normatifs dont il actualise
les prescriptions dans l’action en commun. Contrairement à la première conception, la
normativité n’est pas liée à l’’habitus. Elle constitue un cadre qui guide l’action et qui
s’adapte dans le temps en suivant les contextes d’actions. Ce n’est en aucun cas un bloc de
prescriptions prédéterminées. La conformité est alors la mise en œuvre d’actions objectivées
et jugées comme acceptables.
Les normes orientent l’action
La définition sociologique et celle proposée par l’ISO se rejoignent sur le fait que la norme
régit l’activité et donc l’oriente.
Selon Simmel (1987: 57), toute action serait liée à la recherche d’un avantage quelconque et
le choix d’une action parmi d’autres fait l’objet d’une évaluation.
« Autant notre vie semble déterminée par les mécanismes objectifs qui régissent les choses,
autant il nous est impossible en réalité de faire un pas, ou d’avoir une pensée, sans que notre
sentiment n’attribue des valeurs, aux choses et ne dirige nos actes en fonction de ces
valeurs ».
Les actions que nous engageons seraient donc guidées par l’évaluation des avantages qu’elles
procurent ou procureront à l’avenir ; et selon Parson (1937 : 732), les actions sont
nécessairement conformes aux normes en vigueur : « Comme processus, l’action est, en fait,
le processus de changement des éléments conditionnels en direction d’une conformité avec les
normes».
Les normes sont prescriptives et se distinguent des valeurs
Contrairement aux valeurs, les normes ne comportent pas de degrés et ne dépendent pas des
émotions. Elles ont un caractère obligatoire (Ogien, 2004 : 95).
Par exemple, il est possible de considérer que l’on doit garder un secret vis-à-vis d’un
étranger, mais que l’on peut le partager avec un proche, alors qu’une norme dictée par la
direction d’une entreprise impliquant le secret professionnel s’applique, quelles que soient les
circonstances. Cependant, pour être acceptée, sa validité doit être justifiée, donc légitimée.
Les valeurs sont aussi influencées par les émotions. Par exemple une personne peut plus
facilement se sentir coupable lorsqu’elle ne mesure pas les conséquences de ses actes
(Baumeister et al. 1995 : 189).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 113
La norme ne dépend pas des émotions. Pour reprendre l’exemple de la divulgation d’un secret
à un proche, il est possible de présupposer que l’émotion est un facteur déclenchant. La
norme, cherche à éviter certains comportements par son caractère exécutoire.
En résumé, à la différence des valeurs, toute norme implique une forme d’obligation. Selon
Parson (1971: 11), les valeurs assureraient le maintien des modèles culturels et les normes
assureraient l’intégration des individus dans la société. Kluckhohn (1952) a proposé une
définition fondatrice de la valeur (Parson et al, : 395) qui énonce qu’ « une valeur est une
conception, explicite ou implicite, de ce qui est désirable, pour un individu, ou pour un
groupe d’individus, et qui l’influence dans la sélection d’une action possible, selon ses modes,
son sens, et sa finalité ».
Les normes correspondent ainsi à des règles de conduite, dont le respect est lié à des sanctions
dont le but est d’empêcher l’écart par rapport à la règle. Elles peuvent prendre une forme
explicite, c'est-à-dire des normes claires et connues de tous comme des lois ou des codes de
bonne conduite, ou elles peuvent être implicites, c'est-à-dire qui se déduisent naturellement,
par induction ou conséquence.
Le rôle de régulation et d’intégration sociale des normes
Toute activité collective nécessite de la coordination. C’est le rôle premier des processus que
mettent en place les organisations, pour arriver à produire les biens et services qu’elles
proposent à leur client.
Les processus mis en œuvre dans le cadre de la sécurité de l’information ont pour but
d’assurer que des mesures opérationnelles rendent les normes définies, applicables et gérées,
conformément à la politique voulue par le management.
Ces processus traduisent des règles qui, pour produire les effets escomptés, doivent faire
l’objet d’actions coordonnées. Pillon (2003: 12) précise ainsi que c’est le caractère
contraignant des normes qui est au cœur de la cohésion sociale parce qu’il pemet la régulation
et l’intégration : « la cohésion d’un groupe est obtenue par la limitation de ses besoins
individuels, ou par la coordination des fonctions sociales (la régulation), par le partage de
valeurs et de buts communs (l’intégration). Dans une optique de régulation sociale, la morale
constitue une réponse aux besoins sociaux. En effet, seules les normes morales canalisent les
forces destructrices des passions humaines et fixent des bornes aux désirs de chaque
individu ».
L’origine des normes : individualisme et holisme
Pour Weber (1995), l’individualisme méthodologique fait appel à la rationalisation et fait
l’objet d’un calcul coût-avantage.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 114
Cependant, selon Boudon (2002 : 10), l’utilitarisme n’est en rien nécessaire à l’individualisme
méthodologique qui fait appel à la rationalisation. Weber rejetait la sociologie holiste pour lui
préférer des fondements individualistes de l’action. Selon Weber (in Boudon, 2002 :12) : « on
ne peut au contraire négliger l’évidence selon laquelle les causes réelles des phénomènes
sociaux ont pour origine les acteurs individuels, leurs actions, choix, décisions, motivations,
attitudes et croyances. La bonne explication d’un phénomène social est donc celle qui le
ramène à ses causes individuelles, lesquelles doivent être établies par des procédures
scientifiques dûment contrôlées. » En conséquence, l’acteur ne peut pas proposer ou adhérer à
une norme sans justification.
La conception holiste des normes considère qu’elles sont présupposées, héritées, et nous sont
transmises par apprentissage et habitudes dans un environnement donné.
Bourdieu (1980b: 88-89) définit le concept d’habitus comme un « système de dispositions
durables et transposables, structures structurées disposées à fonctionner comme structures
structurantes. C'est-à-dire en tant que principe générateurs et organisateurs de pratiques et
de représentations, qui peuvent être objectivement adaptées à leur but sans supposer la visée
consciente de fins, et la maîtrise expresse des opérations nécessaires pour les atteindre.» Sans
en avoir conscience, l'individu intériorise des conduites et des comportements qui le
structurent en accord avec les exigences de sa classe sociale et de son environnement.
Comment se maintient une norme ?
Le rôle de la sanction :
L’importance d’une norme peut se mesurer au niveau des réprobations que sa transgression
suscite. Les études menées dans le champ de la sécurité de l’information ont montré que les
sanctions, dans le cadre de la théorie de la dissuasion générale (Paternoster, 1996), ont une
influence positive sur l’aptitude des membres d’une organisation à se conformer aux normes
établies.
La sanction n’est cependant pas suffisante, Weber (1922) a montré que les normes doivent
également être justifiées et légitimées.
La croyance comme justification du système normatif :
Des normes, même mauvaises, peuvent ainsi être légitimées si elles sont soutenues par des
croyances individuelles ou collectives.
Comme nous l’avons écrit précédemment, chaque personne a un parcours qui lui est propre
(milieu social, éducation, religion, etc.). Le vécu forge l’expérience. La perception de la
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 115
réalité dépend de sa capacité cognitive à appréhender la description du réel et de sa rationalité,
avec pour effet possible d’adopter une conception subjective des valeurs et la légitimation de
normes fausses. A l’opposé de la perception individuelle, les croyances partagées, bien que
fausses, peuvent aussi produire de mauvaises normes collectives. Par exemple, la croyance
que les autorités sont incapables de savoir qui échange quoi et avec qui sur Internet peut
conduire les internautes à échanger des ressources alors qu’ils n’en ont pas le droit (l’échange
de productions audiovisuelles protégées par des droits d’auteurs,…).
La légitimité comme vecteur de validité des normes
Comme nous l’avons écrit précédemment, la sanction ne peut seule garantir l’adhésion totale
d’une collectivité à des normes. Celles-ci doivent d’abord être justifiées du point de vue de
l’individu. La légitimation des normes est donc un axe essentiel pour éviter les actes déviants.
Il s’agit de savoir pourquoi ces normes sont tenues pour légitimes, c’est-à-dire acceptées.
Weber (1995 : 27) évoque la légalité :
« Cette légalité peut à son tour avoir une validité légitime, soit en vertu d’une entente des
intéressés à son propos, soit en vertu d’un octroi sur la base d’une domination de l’homme
sur l’homme et d’une obéissance valant comme légitime » ;
Qu’il complète par trois raisons (ibid.: 72) : la tradition, l’exemplarité et la rationalité par
rapport à une valeur.
« Les agents peuvent accorder à un ordre une validité légitime : En vertu de la
tradition : validité de ce qui a toujours été ;
En vertu d’une croyance d’ordre affectif (tout particulièrement émotionnelle) :
validité de la nouvelle révélation ou de l’exemplarité ;
En vertu d’une croyance rationnelle en valeur : validité de ce que l’on a jugé
comme absolument valable ; En vertu d’une disposition positive, à la légalité de
laquelle on croit ».
Ainsi, au-delà de sa réprobation, le maintien d’une norme dépend de la capacité des individus,
à la légitimer de manière objective, ou subjective (par le biais de croyance). Son acquisition
s’inscrit dans un processus de socialisation et d’apprentissage.
L’influence de la socialisation et de l’apprentissage
Bourdieu (1980b : 120-121) définit également l’habitus comme un : «système de dispositions
acquises par l'apprentissage, implicite ou explicite, qui fonctionne comme un système de
schèmes générateurs de stratégies, qui peuvent être objectivement conformes aux intérêts
objectifs de leurs auteurs, sans avoir été expressément conçues à cette fin. » L'habitus est le
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 116
fruit de l’apprentissage d’un bagage social propre à l’acteur lui permettant de s’intégrer et
d’évoluer dans son milieu social. Soulignons que le capital social est un composant du
bagage, il serait donc structuré par l'habitus, tout comme les comportements de l'individu et
les positions dans l'espace social.
Selon Bourdieu, l’acteur expérimente deux types d'habitus :
L'habitus primaire est issu de l’éducation familiale. Il se structure durant l’enfance
et jusqu’à l’adolescence, période pendant laquelle l’acteur intériorise et apprend
les normes, codes, règles de son groupe social d'appartenance.
Ensuite, l'habitus secondaire est la période qui dure jusqu’à la fin de la vie, et
pendant laquelle l’acteur apprend au travers de son environnement professionnel,
de son implication dans la vie associative etc.
Il est important de noter que l'habitus acquis poursuit l'habitus hérité, mais que ce n’est en rien
une fatalité. Un changement de groupe social peut entrainer des modifications de codes,
normes, goûts et valeurs. Néanmoins, l’habitus hérité est souvent persistant, Bourdieu parle
d’un effet d’inertie de l’habitus.
La dimension évolutive d’une norme par la structuration
Les normes et codes évoluent avec le temps. Soit c’est la norme qui évolue parce qu’elle n’est
plus en phase avec l’évolution des usages, soit, comme nous l’avons écrit à propos de
l’habitus, l’individu change de milieu social et doit donc gérer le changement d’un certain
nombre de normes qui le structurent.
A la suite de Bourdieu, Giddens (1987: 74) énonce dans sa théorie de la structuration que :
«L’étude de la structuration des systèmes sociaux est celle des modes par lesquels ces
systèmes, qui s’ancrent dans les activités d’acteurs compétents, situés dans le temps et dans
l’espace et faisant usage des règles et des ressources dans une diversité de contextes d’action,
sont produits et reproduits dans l’interaction de ces acteurs, et par elle ».
Les structures, parce qu’elles sont produites et reproduites, sont simultanément constituées et
constituantes. D’une part, la structure n’est pas « extérieure » aux individus ; elle est
constitutive de leurs actions. Pour Giddens (1987: 75), le structurel n’est pas que contrainte, «
il est à la fois contraignant et habilitant ». Cette approche, est aussi celle prônée par
Granovetter (1994: 86), pour qui les organisations économiques « sont construites par des
individus, dont l’action est à la fois facilitée et limitée par la structure et les ressources
disponibles des réseaux sociaux où ils s’inscrivent. ».
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 117
1.3. Synthèse de la sécurité de l’information
La sécurité de l’information s'intéresse à trois aspects, qui sont la Confidentialité, l'Intégrité et
la Disponibilité. Au-delà de ce triptyque, nous avons pu constater notamment au travers des
travaux de Johnston et al. (2008), que les praticiens ont une vision beaucoup plus tournée
vers les mesures technologiques qu’organisationnelles. Ils se différencient en cela des
chercheurs et organismes de sécurité (CLUSIF, CSI) qui insistent surtout sur la dimension
organisationnelle de la sécurité de l’information. Nous partageons cet avis. A quoi bon
multiplier les technologies de protections si les individus les contournent ? D’autant que la
vision des praticiens est manichéenne (Anderson et Moore (2008: 11), les individus
malveillants se trouvent à uniquement à l’extérieur de l’entreprise, or, nous avons pu constater
qu’il n’en est rien (Computer Crime and Security Survey, 2011: 20). Les incidents sont
souvent d’origines internes, et non intentionnels. Les quatre dimensions proposées par Loch
(Loch, 1992: 176) montrent que les incidents, tant d’origine interne et externe, peuvent avoir
les mêmes origines, les mêmes raisons et les mêmes effets. A ce sujet, nous ne partageons pas
l’avis de Brostoff & Sasse (2001 : 43) pour qui les brèches sont souvent délibérées. En effet,
un salarié peut très bien divulguer une information sensible sans en avoir conscience. Comme
nous l’avons expliqué au chapitre précédent, l’acteur peut agir par habitude ou faire preuve
d’un « altruisme intelligent » en pensant agir pour le bien de la communauté. Enfin il peut
exister des failles technologiques non connues dans les systèmes de protection, que personne
ne peut anticiper dans ces conditions. Il ne faut pas oublier que ces systèmes sont produits par
des humains et comportent donc un certain nombre d’erreurs de conceptions (Russel, 2000 ;
Voss, 2001).
La position de Dhillon et Backhouse (2000: 127-128 ; 2001: 126-128) nous semble en
revanche tout à fait intéressante. Elle tient compte de la dimension comportementale,
notamment au travers de valeurs comme la confiance, la responsabilité et l’intégrité. Ces deux
auteurs insistent également sur l’importance de l’éthique, c’est-à-dire du respect des normes et
de la persistance des comportements, donc de l’apprentissage. Nous rejoignons ici certains
points clés des théories du capital social et de l’institutionnalisme. L’importance de
l’apprentissage, en particulier pour le management, a été également souligné par Posthumus et
Von Solms (2008 : 689) ainsi que Workman et al, (2008: 2800).
Si Adams et al, (1997), Zucatto (2004) et Hare (2007), justifient les politiques de sécurité
comme des instruments visant à réduire et contrôler les risques humains, d’autres chercheurs
comme Nijhof et al (2003: 67), David (2002: 506), Whitman (2004 : 2), (Dhillon, 2006 : 6),
insistent particulièrement sur le rôle de ces politiques pour modeler le comportement, afin de
responsabiliser les employés sur leur rôle pour la sécurité des ressources informationnelles.
Cette posture place les politiques à la source de l’intégration de la sécurité de l’information
dans la culture organisationnelle.
Nous partageons l’avis que les politiques ont un rôle responsabilisant, ce qui est conforté par
le résultat de Doherty et Fulford (2005 : 34-35). Il ne suffit pas que la politique existe, et dire
ce qui peut ou ne peut pas être fait, pour que les comportements soient conformes à ce qu’en
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 118
attend le management de l’institution. De ce point de vue, les positions de Baskerville et
Siponen (2002: 344), et de Von Solms et Von Solms nous semblent tout à fait pertinentes
dans le cadre de notre thèse. Ils insistent en effet sur la dimension culturelle de la sécurité de
l’information du rôle que les politiques jouent dans ce contexte. von Solms et von Solms
(2004), mentionnent en particulier le rôle du management de l’organisation, de la manière
dont les politiques sont structurées, adaptées aux contextes de l’institution et comment
l’apprentissage intervient pour que celles-ci soient efficaces.
Néanmoins, ceci ne pourrait se réaliser sans un modèle de management adapté à cette fin
comme ceux proposés par l’ISO 2700X (International Organization for Standardization, 2005,
2013) ou le SOGP (Standard of Good Practices, 2011) qui s’appuient tous sur la normalisation
des pratiques. La norme apparaît donc comme un outil organisationnel de promotion et de
mise en œuvre de la sécurité.
Dans son analyse entre déviance et conformité, Ogien (2012 : 163) donne à la fois une vision
prescriptive et interprétative de la norme sociale.
La vision prescriptive implique la socialisation et l’apprentissage. Ogien (2012 : 163)
mobilise ainsi le concept d’habitus de Bourdieu (1980b). Dans notre premier chapitre,
l’habitus est un outil de sélection des comportements qui permet aux individus de se
concentrer sur ce qui est le plus stratégique à leurs yeux.
Dans le cadre de la mise en œuvre de la sécurité de l’information, la nature prescriptive des
normes entre en jeu dans la conception des politiques et les programmes d’apprentissage.
Une règle, une norme, la nature des ressources, sont également des éléments structurels
contraignants. En tant que modèle de comportements à suivre, ils sont prescriptifs et exercent
un certain pouvoir d’obligation sur les comportements des acteurs.
Ainsi la théorie de la structuration fait le lien entre - la structure : le réseau social de l’acteur,
l’institution où il exerce quotidiennement sa profession - et le structurel : les normes, les
règles auxquelles il est soumis. Notamment celles dictées par les impératifs de sécurité de
l’information.
Cependant, les acteurs œuvrent dans de multiples structures : réseaux sociaux, institutions,
etc. Comment alors interpréter qu’un type action soit toléré dans une association et pas dans
une firme ? Comment un acteur peut-il se comporter lorsqu’il est soumis à des apprentissages
contradictoires ? A ce propos, Ogien (2012 : 164) écrit que ni la conception prescriptive, ni la
conception interprétative, n’admettent l’absolue congruence entre un individu et un système
de valeurs. Nous pensons que la multiplicité des milieux dans lesquels évoluent les acteurs
peut renforcer l’écart entre un individu et des normes, un système de valeurs propre à une
institution.
Ainsi, la théorie structurationniste (Giggens, 1984), très peu citée dans la littérature consacrée
à la sécurité de l’information, suggère que la seule focalisation sur la culture et les intérêts de
l’institution n’est pas suffisante. La sécurité de l’information ne peut s’envisager sans prendre
en compte l’insertion de ses membres, dans de multiples structures sociales. D’autant que
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 119
cette insertion détermine également le potentiel de ressources auxquels les membres ont
accès.
Cette dimension structurationniste et les marges de manœuvre que peuvent s’octroyer les
acteurs posent naturellement la question de l’influence et du contrôle des comportements.
Pour comprendre et tenter d’apporter des réponses, il semble primordial de s’intéresser aux
comportements de conformité aux politiques mises en œuvre dans les organisations (Herat et
Rao, 2009 ; d’Arcy et al, 2009 ; Siponen et Puhakainen, 2010 ; Siponen et Vance, 2010 ;
Bulgurcu et al, 2010), et à la sensibilisation à la sécurité de l’information (Furnell, 2006,
Puhakainen et al, 2010, Knapp et al, 2012).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 120
2. Pour un approfondissement de la recherche sur des effets de la
culture organisationnelle
2.1. Comportement et conformité vis-à-vis de la sécurité de
l’information
Le facteur humain est souvent considéré comme le maillon faible de la sécurité de
l’information. C’est un facteur clé de protection de l’information. A titre d’exemple, nous
citons des propos rapportés par des agents de la Direction Centrale du Renseignement
Intérieur (DCRI) lors d’une session de sensibilisation à la sécurité de l’information.
Récemment, une grande entreprise française, membre du CAC 40, a mandaté un cabinet
spécialisé pour tester la robustesse de ses mécanismes de sécurité de l’information. Ce cabinet
avait pour mission de pénétrer les systèmes d’information de l’entreprise. Les spécialistes ont
mis deux heures pour pénétrer dans les systèmes d’information, alors que la gestion de la
sécurité y est réputée très rigoureuse et dotée de gros moyens techniques. La méthode est
simple, puisqu’ils ont déposé une clé USB contenant un cheval de Troie25
dans le parking de
l’entreprise. Un employé a trouvé cette clé, et l’a connectée sur son ordinateur, y installant de
fait le cheval de Troie. Les pirates occasionnels ont utilisé ce moyen pour ouvrir une porte de
l’intérieur vers l’extérieur de l’entreprise, en utilisant le même service que le navigateur
Internet présent sur tous les postes de travail. Cet exemple illustre bien le caractère
fondamental du comportement humain. Pour que la sécurité de l’information soit réellement
effective, il aurait fallu que le salarié signale la présence de la clé USB à son manager ou un
correspondant chargé de la sécurité. Son contenu aurait alors pu être vérifié sur un ordinateur
non connecté au réseau de l’entreprise, et la supercherie aurait été découverte.
La prise en compte des utilisateurs est donc impérative dans l’élaboration des stratégies de
sécurité de l'information (Vroom & Von Solms, 2004).
Le modèle de Loch (1992 : 176), adapté par Warkentin, Straub et Malimage (2012 : 2, figure
13), présente le risque humain comme externe ou interne, puis, comme intentionnel ou non
intentionnel. Comme nous l’avons mentionné, les recherches indiquent qu’une grande partie
des problèmes de sécurité sont d’origine interne, et non intentionnelle. Ces paramètres
illustrent l’intérêt de notre recherche, dans la mesure ou les salariés utilisent des supports de
communication qui peuvent être externes aux organisations et échapper à leur contrôle…
25 . Un cheval de Troie est un virus qui permet d’ouvrir une porte sur le système où il est installé. Le pirate n’a
plus qu’à exploiter cette porte pour accéder à ce qu’il désire dans l’entreprise.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 121
Figure 13: Les quatre dimensions des systèmes de sécurité de l’information (Warkentin, Straub & Malimage (2012 :2) adapté de Loch, 1992)
Le comportement des utilisateurs a besoin d'être dirigé et contrôlé pour assurer le respect des
exigences de sécurité (Vroom & von Solms, 2004; Dhillon et al, 2007; von Solms & Von
Solms, 2004a). Mieux connaitre les caractéristiques du comportement des utilisateurs peut
permettre d'améliorer et de contrôler ce comportement, en particulier dans des
environnements changeants.
De récentes études scientifiques sur les comportements individuels dans le contexte de la
sécurité du système d'information ont porté à la fois sur les comportements conformes, et non
conformes (Mahmood, Siponen, Straub, Rao, Raghu, 2010). Les comportements non
conformes peuvent être le fait d’employés ou de personnes extérieures à la firme. Ces
comportements peuvent être soit non malveillants (Guo et al, 2011), ou à l’opposé, d’intention
criminelle (Willison, et Warkentin, 2012). Warkentin, Straub et Malimage (2012 : 4-5)
proposent un inventaire exhaustif des recherches menées tant sur les comportements
malveillants que non malveillants (cf. Tableau 6 et 7).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 122
Auteurs Collecte des
données
Variable dépendante Théories mobilisées Périmètre
mesuré
Hu et al (2011) Étudiants Activités de piratage Usage des TI
Siponen &
Vance (2010)
Employés,
multiples
organisations
Intention de violer la
politique de sécurité du SI
Technique de
Neutralisation
Usage des TI
D’Arcy & al
(2009)
Employés,
multiples
organisations
Intention de ne pas se
conformer à la sécurité de
l’information
General Deterrence
Theory
Usage des TI
D’Arcy, Hovav
& Galletta
(2009)
Employés,
multiples
organisations
Intention de corrompre
des données par des accès
non autorisés
General Deterrence
Theory
Usage des TI
Zhang et al,.
(2006)
Étudiants Piratage numérique Self-Control,
Self-Efficacity, Punishment
(dissuasion)
Usage des TI
Workman et al,
(2008)
Employés Omission objective et
subjective de la sécurité
Modèle du contrôle par
la menace
Usage des TI
Higgins et al,
(2005)
Étudiants Intention de piratage de
logiciels
General Deterrence
Theory
Usage des TI
Gopal et
Sanders (1997)
Étudiants Intention de piratage de
logiciels
General Deterrence
Theory
Usage des TI
Skimmer&
Fream (1997)
Étudiants Intention de piratage de
logiciels et d’utiliser des
accès non autorisés
Social learning Usage des TI
Harrington
(1996)
Employés,
multiples
organisations
Intention de piratage
d’ordinateurs
Déni de responsabilité
(technique de
neutralisation)
Usage des TI
Hollinger
(1993)
Étudiants Intention de piratage de
logiciels et d’utiliser des
accès non autorisés
Usage des TI
Straub (1990) Employés Piratage d’ordinateurs General Deterrence
Theory
Usage des TI
Tableau 7: Recherches portant sur les comportements malveillants (Warkentin Straub & malimage, 2012 : 4)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 123
Auteurs Collecte des
données
Variable dépendante Théories mobilisées Périmètre mesuré
Bulgurcu et
al, (2010)
Employés,
multiples
organisations
Intention de se
conformer
Rationality-Based Beliefs Usage des TI
Johnston et
Warkentin
(2010)
Employés
d’Universités,
Étudiants
L’intention
comportementale
Fear Appeal Usage des TI
Herath et
Rao (2009a,
2009b)
Employés,
multiples
organisations
Intention de se
conformer à la
politique de sécurité
Protection Motivation
Theory ,
General Deterrence
Pression normative
(top management,
manager,etc.)
intentionn de se
conformer, croyance en
l’efficacité de la
SSI, peur de la
sanction
Myyry et al,
(2009)
Employés Conformité à la
politique de sécurité
Raisonnement moral et
valeurs universelles de
Schwartz
Valeurs
individuelles,
moralité
Siponen et
al, (2007)
Employés,
multiples
organisations
Intention de se
conformer à la
politique de sécurité
General Deterrence
Theory, Protection
Motivation Theory, the
Theory of Reasoned
Action,
Information Systems
Success, and Triandis’ Behavioral Framework
and Rewards.
Pression normative,
efficacité
personnelle
Siponen et
al, (2007)
Employés,
multiples
organisations
Conformité à la
politique de sécurité
de l’information
Protection Motivation
Theory,
Theory of Reasoned
Action,
the Innovation Diffusion
Theory and Rewards
Pression normative,
habitudes
Anderson &
Agarwal
(2006)
Intention de se
protéger d’Internet et
de protéger son
ordinateur
Protection Motivation
Theory,
Concept of psychological
ownership
Usage des TI
Lee and
Kozar (2005)
Utilisateurs
d’Internet
L’intention
comportementale
Technology Acceptance
Model, Self-identity
Usage des TI
Lee et al,
(2004)
Employés,
Étudiants
Intention d’adoption
des systèmes de
protection
General Deterrence
Theory
Usage des TI
Li et al.
(2004)
Employés,
multiples
organisations
Intention de se
conformer à la
politique de sécurité
concernant l’usage de
l’Internet
Rational Choice Theory Usage des TI
Kankanhalli
et al, (2003)
Employés Efficience de la
sécurité de
l’information
General Deterrence
Theory
Usage des TI
Tableau 8: Recherches portant sur les comportements non malveillants (Warkentin Straub & Malimage, 2012 :5)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 124
Les comportements individuels et leurs origines doivent être analysés sous différents angles.
Les comportements conformes ou non conformes, non malveillants ou malveillants sont
difficiles à mesurer. De nombreuses études en systèmes d’information ont mesuré et étudié
l'influence de différents facteurs qui sont les antécédents de l'intention comportementale pour
se conformer ou non aux normes applicables en sécurité de l’information, aux lois ou aux
politiques organisationnelles et aux procédures relatives à la sécurité des systèmes
d'information.
Quelques études ont également mesuré les comportements réels dans ce contexte. La plupart
des recherches existantes ont porté sur les attitudes non malveillantes telles que l'intention des
individus de se conformer aux politiques de sécurité, plutôt que sur les attitudes malveillantes.
Ces études ont eu recours à diverses théories et modèles qui se rapportent à sécuriser le
comportement en puisant dans les ressources des disciplines de référence telles que la
psychologie sociale, la criminologie, la communication.
Les théories mobilisées comprennent la théorie de la Motivation de Protection (Protection
Motivation Theory), la Théorie de la Dissuasion Générale (Theory of General Deterrence),
l'auto-efficacité (Self-Efficacity), le modèle de l’Extended Parallel Processing Model
(EPPM), le modèle de l’« Appel à la Peur » (Fear Appeal Model), le modèle du choix
rationnel (Rational Choice Model), la théorie des activités de routine (Routine Activities
Theory), la Théorie du Comportement Planifié (Theory of Planned Behavior), le modèle de
l’Acceptation des Technologies (Technology Acceptance Model), la Théorie Unifiée de
l'Acceptation et de l'Utilisation d’une Technologie (Unified Theory of Acceptance and Use of
Technology), la Théorie du Crime Situationnel (Situational Crime Prevention Theory), etc.
Plusieurs recherches récentes en sécurité de l'information ont utilisé ces théories positivistes
de mesure des intentions comportementales telles que la conformité aux politiques de sécurité
ou l'adoption de technologies de sécurité pour dissuader les menaces. Parmi les auteurs
figurent Boss et al. (2009), Herath et Rao (2009), Myyry et al. (2009), Anderson et Agarwal
(2010), Bulgurcu et al. (2010), et Johnston et Warkentin (2010).
Nous notons que seuls Myyr et al (2009) ont proposé un modèle qui associe les valeurs, le
raisonnement moral et l’adoption de comportements de sécurité. Leurs résultats montrent que
des valeurs individuelles d’ouverture (innovation, prise de risque, …) ont une influence
négative sur la conformité, alors que les valeurs de conformité (respect des règles,…) ont une
influence positive.
2.1.1. L’usage des théories de l’action
Il existe peu de travaux scientifiques qui mesurent et étudient les comportements malveillants
tels que la non-conformité avec les politiques de sécurité. Très largement, cela semble
provenir des difficultés à collecter des données, les entreprises ne souhaitant pas
communiquer autour des problèmes rencontrés à ce sujet.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 125
Toutefois, nous pouvons noter que la Théorie de l'Action Raisonnée (TRA) (Fishbein et
Ajzen, 1975) et son extension, la Théorie du Comportement Planifié (TCP) (Ajzen, 1985) ont
été appliquées dans plusieurs études liées à la sécurité de l'information. Fishbein et Ajzen
expliquent l'intention d'un individu d’adopter un comportement donné. Ils suggèrent que
l'intention d'effectuer différents types de comportements peut être prédite avec une grande
précision à partir des attitudes envers ce comportement, les normes subjectives et le contrôle
comportemental perçu. Ajzen (1991) précise, en outre, que les intentions ainsi que le contrôle
comportemental perçu représentent une part considérable de la variance dans le comportement
réel.
Comme l'attention sur la sécurité de l'information se déplace vers des perspectives
individuelles et organisationnelles, le respect des employés aux politiques de sécurité de
l’information a émergé comme une ressource socio-organisationnelle clé (Boss et Kirsch
2007; Siponen et al 2007) parce que les employés sont souvent le maillon faible de la sécurité
de l'information (Mitnick et Simon, 2002 ; Warkentin et Willison, 2009). Par conséquent, une
meilleure compréhension des facteurs qui motivent les acteurs à se conformer aux politiques
de sécurité de l’information de l'organisation est essentielle pour aider les responsables à
diagnostiquer les lacunes dans leurs efforts de management de la sécurité en leur fournissant
les moyens de résoudre les problèmes de comportement. Récemment, Pahnila et al (2007),
ainsi que Herath et Rao (2009), ont étudié les facteurs de motivation enracinés dans la théorie
de la dissuasion et la théorie de la motivation à la protection pour expliquer le comportement
des acteurs. L’étude de Bulgurcu et al (2010) vise à approfondir les connaissances sur les
raisons qu’ont les employés à se conformer aux politiques de sécurité en identifiant les
facteurs fondés sur la rationalité enracinés dans la théorie du choix rationnel. Les auteurs
concluent que l'attitude joue un rôle clé dans l'explication de la relation entre les croyances et
les intentions d'évaluation ainsi qu'entre la sensibilisation à la sécurité de l'information et
l'intention. Par conséquent, les auteurs recommandent que l’attitude soit incluse dans le
modèle théorique de la conformité à la politique de sécurité de l'information en tant que
médiateur.
Les résultats de ce travail indiquent également que la sensibilisation à la sécurité de
l’information peut altérer les perceptions qui font que l’employé fait obstacle à la conformité.
La sensibilisation à la sécurité peut, directement ou indirectement, modifier des ensembles de
croyances sur le respect de la politique de sécurité de l'information. Cela implique
l’intégration des valeurs et pratiques de sécurité de l’information dans la culture
organisationnelle.
Siponen et al (2007), ont tenté d’apporter des preuves empiriques sur l’application d’un
modèle comportemental visant à étudier la conformité aux politiques de sécurité dans les
pratiques quotidiennes. Ils ont conçu un modèle théorique combinant la PMT (Protection
Motivation Theory ; Rodgers, 1975), la Théorie de la Dissuasion Générale (William et
Hawkins, 1986), la Théorie de l’Action Raisonnée (Fishben et Ajen, 1975,1980) et la Théorie
de la Diffusion des Innovations (Rodgers, 1962) et les Récompenses qu’ils ont ensuite validé
par une enquête auprès de 971 salariés. Les résultats suggèrent que les employés doivent être
informés et se sentir capables d’agir en faveur de la protection des systèmes d’information de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 126
l’entreprise et que les mesures prises par le management soient jugées pertinentes et adaptées
à la réalité des activités par l’ensemble des collaborateurs de la firme.
Les recherches portant sur la modification des comportements ont mis en lumière l’intérêt de
la sensibilisation, et donc de l’apprentissage, ce que nous étudions dans le second paragraphe.
Globalement, il paraît regrettable qu’une large part des études porte sur les intentions et non
sur les comportements en eux-mêmes. De même, nous constatons également que les études
portant sur les aspects organisationnels de la sécurité de l’information sont récentes et la
variable dépendante est souvent évaluée par la pratique des technologies de l’information. Il
n’y a pas à notre connaissance d’études portant sur les comportements relationnels. Nous
constatons également que seule l’étude de Myyr et al. (2009) porte en partie sur la culture
organisationnelle et utilise un modèle basé sur les valeurs de Schwartz. Enfin, l’influence des
réseaux sociaux n’est pas prise en compte dans les études.
D’autres recherches sur les comportements se sont intéressées à la déviance pour expliquer les
comportements intentionnels de non-respect des politiques de sécurité Elles ont mobilisé des
théories issues de la criminologie.
2.1.2. Application des théories de la criminologie
Les recherches menées sur les comportements intentionnels se sont aussi intéressées aux
comportements déviants des utilisateurs et s’appuient sur les théories de la criminologie pour
analyser les comportements et proposer des solutions.
Pour tenter de comprendre les comportements Straub et al, (1993) ont appliqué la théorie de la
dissuasion, avec l'argument que les actions de sécurité de l'information peuvent dissuader les
utilisateurs de commettre des actes non autorisés. Cela contribue également à l'amélioration
de la qualité des politiques (Von Solms & Von Solms, 2004a), à la promotion de la
sensibilisation à la sécurité (Straub, 1990) en développant des structures de responsabilité
(Dhillon et al, 2007) et à la motivation (Workman et al., 2008). Néanmoins Panhila et al,
(2007) ne partagent pas cet avis : la sanction serait inefficace. Chacune de ces études
fournissent des informations importantes sur une question spécifique liée à l'adhésion des
utilisateurs à la politique de sécurité. Ils se réfèrent tous également, à la TRA et la TPB
(Fishbein et Ajzen, 1975; Ajzen, 1985).
La Théorie de la Dissuasion entre dans le champ du contrôle social. Elle remonte au 17ème
siècle avec Bentham (1748-1832) et Beccaria (1738-1794). Elle postule que les individus
pèsent les coûts et les bénéfices avant de commettre un crime, et choisissent le crime quand
les bénéfices qu’il procure, sont supérieurs aux coûts qu’il occasionne. Si l’individu pense que
les chances d’être sanctionné sont importantes et que la sanction sera sévère, alors il ne
commettra pas de crime.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 127
Plus récemment, d’autres chercheurs ont approfondi cette théorie, comme Grasmick et Bryjak
(1980) et Piquero et Tibbetts (1996). Parmi les plus intéressants, figurent les travaux de
Cullen (2000 : 367), qui montre que les coûts pris en considération dans la prise de décision
peuvent aussi être informels. La honte (Piquero et Tibbetts, 1996), tout comme la
désapprobation d’amis (Paternoster et Simpson, 1996) peuvent être des facteurs dissuasifs de
l’acte criminel. Néanmoins, pour Tangney (1995) le sentiment de honte affecte l’estime de
soi, d’ailleurs Paternoster et Simpson (1996), font la distinction entre les sanctions informelles
et le sentiment de honte qui selon eux, est une sanction imposée par soi-même. Cependant, la
honte a des effets similaires aux autres sanctions (Braithwaite 1989; Elis et Simpson 1995) et
peut donc être considérée comme dissuasive et être prise en compte par la théorie.
(Paternoster et Simpson, 1993). Le sentiment de honte dissuade et diminue la motivation des
acteurs à commettre une déviance (Grasmick et Bursik 1990; Nagin et Paternoster 1993 ;
Tibbetts 1997).
Siponen et Vance (2010) ont appliqué les théories de la dissuasion (Paternoster & Simpson,
1996) et de la neutralisation (Sykes et Matza 1957).
La théorie de la dissuasion développée par Paternoster et Simpson en 1996 sur la base de la
théorie du choix rationnel, dit que l’usage de la menace, de sanctions, et le sentiment de leur
application effective, est efficace pour dissuader les individus à l’encontre des intérêts d’une
organisation. Harrigton (1996) nuance ces résultats en publiant un article montrant qu’un code
éthique générique a des effets sporadiques et faibles (Harrington, 1996: 273) sur la dissuasion
des employés, mais se révèle plus efficace auprès des salariés qui invoquent fréquemment le
« déni de responsabilité », une forme de rationalisation de leurs actes.
Cependant, Straub et Welke (1998), Kankanhalli et al. (2003) ont montré que cette théorie est
efficace pour minimiser les risques de sécurité. Pour d’Arcy et al, (2009), la sensibilisation,
l’éducation à la sécurité de l’information, ont un effet positif sur le sentiment d’être
sanctionné en cas de mauvaise utilisation des systèmes d’information de l’entreprise, mais la
certitude de sanction n’influence pas l’intention de nuire à l’institution. Siponen et al. (2007),
montrent également que l’application de la théorie de la dissuasion a un effet positif sur la
décision des employés à se conformer à la politique de sécurité de l’entreprise.
Suivant Braithwaite (1989) et Paternoster et Simpson (1996), Siponen et al (2010) ajoutent le
sentiment de honte aux sanctions formelles et informelles comme facteurs influençant le
comportement des employés pour la conformité à la politique de sécurité. Néanmoins, selon
ces auteurs, le rôle des sanctions joue peu lorsque des techniques de neutralisation sont
appliquées (Sykes et Matza, 1957 ; Akers et Sellers, 2004).
La théorie de la neutralisation dérive du courant interactionniste de la sociologie criminelle
(Mead, 1934 ; Beck, 1963 ; Matza, 1964). L’interactionnisme étudie les relations entre
l'auteur d'un acte déviant ou délinquant, l'acte lui-même et la réaction qu'il provoque de la part
de la société.
Au fondement de la théorie de la neutralisation, tant les individus respectueux des lois, que les
criminels croient en général aux normes et aux valeurs de la communauté (Sykes et Matza
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 128
1957). Alors pourquoi certaines personnes ne respectent-elles pas les règles ? Sykes et Matza
pensent que les individus se rendent psychologiquement capables d’enfreindre des règles ou
de commettre une action non admise par la société en appliquant des techniques de
neutralisation qui ont pour effet de rendre inopérantes certaines normes par la justification de
comportements qui violent ces normes (Rogers et Buffalo 1974). Les techniques de
neutralisation permettent de maintenir une image « non criminelle » tout en enfreignant les
lois. Dans leur définition, Sykes et Matza identifient cinq techniques de neutralisation :
Déni de responsabilité (denial of responsibility) ;
Déni de dommage (denial of injury);
Déni de victime (denial of the victim); dans ce cas, la justification se base sur le fait
que la victime mérite ce qui lui arrive.
Accusation des accusateurs (condemnation of the condemners);
Agissement au nom d’un impératif de loyauté supérieure (appeal to higher loyalties).
Deux autres techniques sont également identifiées par d’autres auteurs :
La métaphore du « ledger » (the metaphor of the ledger, Klockars (1974)) ;
La défense de la nécessité (the defense of necessity, Minor (1981)).
Siponen et Vance (2010) pensent que la peur de la sanction ne peut pas clairement réduire les
risques parce que les membres de l’organisation appliquent des techniques de neutralisation
(Piquero et al. 2005; Sykes et Matza 1957). C’est à dire qu’ils rationalisent leurs actes pour
minimiser leur perception de l’impact sur les risques de sécurité de l’information. Dans une
étude de crimes à l’encontre des Amish, Byers et al. (1999) trouvent que les techniques de
neutralisation prévalent dans leurs justifications. Pershing (2003) a trouvé que les techniques
de neutralisation expliquent l’irrespect des règles dans un environnement militaire. Priest et
McGrath (1970) ont également montré que ces techniques sont utilisées pour justifier l’usage
de drogues illicites.
Ce comportement rationnel induit par l’application de la neutralisation réduit les effets de la
peur de la sanction préconisée par la Théorie Générale de la Dissuasion (General Deterrence
Theory).
Les techniques de neutralisation permettent de maintenir une image « non criminelle » tout en
enfreignant les lois. Par exemple, un employé peut transmettre un document stratégique à un
tiers hors de l’organisation tout en sachant que c’est interdit, mais il se justifie en prétextant
que c’était nécessaire pour obtenir en échange des informations à haute valeur ajoutée pour le
projet en cours dans lequel il est impliqué et que la balance est profitable à l’entreprise
(defense de la nécessité et loyauté supérieure).
Cette théorie est intéressante, parce qu’elle contredit la « General Deterrence Theory ». En
effet, comment les sanctions et la certitude de leur application pourraient-elles avoir un effet
positif sur les employés, si ceux-ci pensent qu’ils n’ont aucune raison d’être sanctionnés ?
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 129
Selon Eliason et Dodder (1999), quatre techniques de neutralisation sont employées le plus
fréquemment dans le contexte de la sécurité de l’information : le déni de responsabilité, la
métaphore du « grand livre », la défense de la nécessité et l’accusation des accusateurs.
Dans le contexte de la sécurité de l’information, Harrington (1996) a montré que le déni de
responsabilité est significativement corrélé avec l’intention des salariés à violer les règles
d’utilisation des ordinateurs de l’entreprise parce qu’ils jugent que cela n’est pas
répréhensible. Puhakainen (2006) a rapporté une situation où les employés rejettent leur
responsabilité à respecter les règles d’encryption des courriels confidentiels parce qu’ils
rationalisent que la politique de sécurité n’est pas claire.
Déni de responsabilité : Parker (1976) a rapporté que les programmeurs masquaient leurs
erreurs en prétextant qu’elles étaient dues aux ordinateurs.
Déni de dommage : Parker (1998) a rapporté que les pirates informatiques minimisent
fréquemment les dommages qu’ils causent. Selon ces pirates, leurs actions n’étaient pas
criminelles puisqu’elles ne causaient du tort à personne.
Défense de la nécessité : Puhkainen (2006) montre que des employés ne respectent pas les
règles de sécurité en prétextant que leur application les empêcherait de terminer leur travail
dans les temps.
Accusation de l’accusateur: Parker (1998) a rapporté que les pirates informatiques ont justifié
leurs actions en prétextant que, selon eux, la loi était injuste.
Réponse à un besoin de loyauté : Un employé peut dire qu’il doit violer la politique de
sécurité pour faire son travail (Siponen et Ivari 2006).
La métaphore du grand livre : Pour Lim (2002), les employés justifient leur temps passé à
surfer sur Internet au bureau par leur bonne performance au travail. De même des employés
peuvent justifier la violation occasionnelle des règles de sécurité par leur comportement
généralement conforme à ces règles.
Siponen et Vance (2010) mettent en évidence que la neutralisation est un excellent prédicateur
de l’intention des employés à violer les règles de sécurité de l’information et qu’elle affecte
significativement les prédispositions à violer ces règles. Ces résultats s’expliqueraient par le
fait que le mécanisme de rationalisation de l’acte porté par la neutralisation permet à l’acteur
de « casser » les règles tout en s’estimant « faiseur » de règles (Rogers et Buffalo 1974; Sykes
et Matza 1957).
Enfin, et ce résultat est important, l’étude réalisée a le mérite d’identifier des actes concrets de
violation des règles de sécurité dont la révélation d’informations confidentielles à des
étrangers à l’organisation.
On peut toutefois reprocher à ces études:
Le fait qu’elles se cantonnent à un pays (et plus généralement nordiques). Les résultats
ne sont donc pas généralisables.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 130
Le fait qu’encore une fois, elles mesurent toujours les comportements par la pratique
des technologies de l’information, mais jamais dans le cadre d’échanges informels par
exemple.
La méthode de mesure. Exceptée pour l’étude de Siponen et Vance (2010) qui utilise
la méthode de scénarii, l’ensemble des travaux adopte un mode de question directe. Il
est directement demandé au répondant s’il ferait tel ou tel acte, après lui avoir expliqué
que cet acte n’est pas conforme.
Il est donc possible de douter de la sincérité d’un grand nombre de réponses.
Les recherches portant sur la modification des comportements ont aussi mis en lumière
l’intérêt de la sensibilisation, , ce que nous étudions dans le second paragraphe.
2.2. La sensibilisation des acteurs
2.2.1. Définition
L’analyse de différentes publications montre que la sensibilisation revêt plusieurs définitions
selon qu’elles sont confondues ou se distinguent de la formation et de l’éducation.
Pour le National Institute of Standard and Technology nord-américain (NIST 800-50, 2003 :
8-9), la sensibilisation n’est pas la formation. Elle a pour but d’attirer l’attention sur la
sécurité et de permettre à chacun de sentir concerné et d’adopter un comportement adéquat.
La sensibilisation s’adresse à une audience large, alors que la formation est dispensée à de
petits groupes. Les participants d’une formation acquièrent des connaissances pratiques qui
leur permettent d’être plus performants dans leurs activités. L’éducation rassemble un
ensemble de connaissances, tant techniques que sociales, ayant pour but de produire des
spécialistes de la sécurité de l’information. Cette distinction entre sensibilisation, formation et
éducation a été adoptée par de nombreux chercheurs, comme par exemple , Chen, Shaw et
Yang (2006 : 3), Kritzinger (2006 : 300), Maeyer (2007 : 49), ou encore le Réseau Européen
sur la Sécurité de l’Information (ENISA, 2006 : 15), selon lequel, la sensibilisation et la
formation forment un mode de changement dans :1) la perception des employés, 2) la culture
organisationnelle, 3) les comportements des employés, 4) la familiarité des employés avec les
politiques et procédures de sécurité, 5) l’intérêt porté à la sécurité de l’information par les
l’ensemble des membres de l’institution.
Pour d’autres chercheurs, ces trois concepts – sensibilisation, formation et éducation- sont
confondus. C’est le cas par exemple de Stanton et al, (2005 : 130), Vroom and von Solms
(2002: 22) qui pensent que sensibiliser les employés inclut qu’ils soient éduqués à
l’importance de la sécurité de l’information. Siponen (2000: 35) considère que la
sensibilisation inclut également la formation et l’éducation.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 131
Plus récemment, pour Knapp et al, (2009), la sensibilisation à la sécurité est l’état général de
connaissance des concepts de sécurité. Knapp et al, (2012 : 68) précisent que la sensibilisation
se fait par des réunions d’informations, des formations formelles, des rappels réguliers, des
codes de déontologie ainsi que la promulgation de la politique de l'organisation décrivant
l'utilisation adéquate des ressources du système (D'Arcy, Hovav, et Galletta, 2009; Parker,
1998).
Selon le SOGP (Standard of Good Practices, 2011: CF 2.2) un programme de sensibilisation
doit promouvoir une « culture positive de sécurité ». La distinction entre sensibilisation et la
formation ou l’éducation n’est pas faite. Il s’agit de donner des formations de sensibilisation.
Ces formations doivent notamment être régulières, encouragées par la dirigeance, et
s’adresser à l’ensemble des membres de l’institution.
Une culture positive de sécurité est établie en changeant par la sensibilisation le
comportement des employés, qui est généralement spontané. Ainsi, la définition du NIST
(NIST 800-50, 2003 :8-9) fait la distinction entre plusieurs catégories professionnelles dans
l’institution. L’éducation, par exemple, s’adresse essentiellement à des professionnels de la
sécurité, qui vont devoir la penser et la mettre en œuvre dans l’institution. Peut-on alors
distinguer la sensibilisation de la formation ? En d’autres termes, peut-on sensibiliser sans
former ? A ce sujet, la définition du NIST prend en compte différentes catégories
professionnelles d’acteurs dans sa définition, sans clairement en faire la distinction. Le NIST
se focalise sur les systèmes d’information et dans ce cas, à notre avis, il est normal que la
distinction entre sensibilisation et formation soit faite, car elle représente selon nous la
distinction entre utilisateurs et concepteurs des systèmes d’information. Il est tout à fait
compréhensible de distinguer formation et sensibilisation lorsque la formation consiste à
donner à des développeurs informatiques les bonnes pratiques de programmation pour éviter
les failles de sécurité dans les logiciels que l’institution utilise. Par exemple, Chen et al,
(2006) s’approprient la définition du NIST et proposent dans leur article la création d’une
plateforme Internet de formation à la sécurité de l’information s’adaptant aux besoins de
l’ensemble des membres de l’institution, y compris des informaticiens. Ils testent ensuite cette
plateforme avec des professionnels de la sécurité de l’information.
En revanche, nous pensons que la distinction entre sensibilisation et formation n’est pas
pertinente lorsque l’on s’adresse à des utilisateurs des systèmes d’information pour deux
raisons :
Notre recherche se focalise sur les comportements d’une population hétérogène
d’individus et pas uniquement sur des spécialistes des systèmes d’information. La
sensibilisation consiste donc selon nous : (1) à faire comprendre l’intérêt d’un
comportement de sécurité, (2) à transmettre les bons raisonnements et les bons actes,
(3) à permettre à l’acteur de trouver de l’assistance si besoin.
Les concepteurs de logiciels de sécurité font en sorte que les logiciels de sécurité ne
soient pas contraignants pour les utilisateurs en termes de paramétrage. Par exemple,
je sais qu’il faut que mon ordinateur soit équipé d’un pare-feu pour me protéger des
intrusions, mais je n’ai pas besoin de savoir comment il fonctionne, ni d’avoir des
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 132
paramétrages complexes à effectuer pour l’activer (par exemple, Windows intègre un
pare-feu activé automatiquement).
Aussi dans le cadre de notre thèse, nous considérons que la sensibilisation et la formation se
confondent lorsqu’il s’agit d’éduquer à l’intérêt de la sécurité et d’adopter les comportements
que l’institution attend de ses membres. D’ailleurs, si nous prenons l’exemple de
sensibilisation (Figure 14) proposée par le NIST (2003), peut-on dire qu’il ne s’agit pas là de
formation ? Par exemple, alors que l’e-mail est devenu un outil commun de communication
professionnelle, expliquer à un salarié qu’il ne faut pas ouvrir un e-mail provenant d’une
source inconnue par risque de contamination d’un virus, c’est, selon nous, les inciter à
s’interroger sur l’impact sécuritaire de leurs actes au quotidien. La sensibilisation ne consiste
pas seulement à faire prendre conscience des risques, mais aussi également à former à un
comportement de responsabilité et de prudence dans l’usage des technologies de l’information
et de la communication, la nature des informations produites ou à échanger, l’attitude vis-à-
vis d’un tiers. Une mesure de sensibilisation peut être, par exemple, de ne pas multiplier les
supports différents tout au long du cycle de production pour une même information ou encore
de faire attention au vol d’information sur le blog (SOGP, 2011 : CF 2.3), etc.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 133
Figure 14: Exemple de sensibilisation à la sécurité de l'information (NIST, 2003: D-3)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 134
2.2.2. Quelles conditions de réussite ?
Si l’intérêt de la sensibilisation est bien de développer une « culture positive de sécurité »
dans les institutions, cette sensibilisation ne peut être effective que sous certaines conditions.
Même si nous ne pouvons pas toutes les identifier, la littérature nous donne des éléments sur
ce qui a déjà été exploré.
Tout d’abord, et cela semble évident, une formation régulière coûte de l’argent et demande
une organisation. La sensibilisation nécessite donc d’une part, un budget qu’il faut
dimensionner en fonction des objectifs à atteindre et d’autre part, une structure en charge de
son organisation. Cela peut être un responsable nommé qui s’appuie sur une équipe interne ou
une prestation externe.
La sensibilisation doit s’appuyer sur des termes simples et compréhensibles par le plus grand
nombre (ENISA, 2006; Goucher, 2008). Elle doit aussi être conforme à l’organisation de
l’institution, c’est pourquoi l’ENISA (2006) ou encore le SOGP (2011 : SG 1.1.3) précisent
qu’elle doit :
répondre aux besoins des auditeurs, sans quoi ils pourraient s’en détourner,
proposer des actions réalistes,
montrer ce que les auditeurs peuvent gagner à s’impliquer dans la sécurité de
l’information,
correspondre à la stratégie d’affaires, aux objectifs et à la vision stratégique définis par
la dirigeance.
A l’image des politiques de sécurité, la sensibilisation doit également s’appuyer sur la culture
organisationnelle (Casmir and Yngstrom, 2005). Siponen (2000) pense également que la
sensibilisation doit promouvoir la morale et l’éthique qui correspondent aux besoins de
sécurité parce qu’elles sont selon lui des vecteurs puissants de modification des
comportements.
L’implication de la dirigeance (le top management) est aussi un pré-requis à la réussite d’un
programme de sensibilisation (SOGP, 2011 : CF 2.2 ; Maeyer, 2007). Il doit s’assurer que la
promotion des bonnes pratiques est effective et que les moyens financiers, matériels et
humains nécessaires sont alloués.
Furnell (2006) remarque, à l’occasion d’une étude sur le comportement des télétravailleurs,
que la perception de la sécurité à une influence significative sur la sensibilisation. Maeyer
(2007), quant à lui, montre qu’une formation trop informelle, portant sur des sujets trop
généraux, peut être une cause d’échec de la sensibilisation.
Selon nous, les résultats de Furnell (2006) sont intéressants parce qu’ils montrent qu’un
individu, même en dehors de son contexte organisationnel, peut se comporter conformément
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 135
aux attentes de l’institution s’il perçoit que cela est important. C’est l’effet d’une pression
normative. L’acteur adopte un comportement qu’il pense juste pour ne pas s’exclure de
l’organisation. Néanmoins, cela ne signifie en rien que ces acteurs ont intériorisé les valeurs
de sécurité promues par l’organisation. Il se pourrait que leur comportement se modifie suite à
un changement pour un milieu professionnel où la sécurité sera perçue comme moins
importante. Cela met tout de même en exergue le rôle des acteurs de proximité, et en
particulier celui du manager. En effet, à notre connaissance, les effets de l’attitude du manager
de proximité sur la sensibilisation et le comportement des employés ont très peu été étudiés.
Pourtant, le manager de proximité porte localement l’autorité, la stratégie et les valeurs de
l’institution. Il est un vecteur potentiel, et peut être essentiel, de la sensibilisation et de
l’adoption de comportements conformes aux exigences de sécurité.
Plus récemment, Puhakainen et al. (2010) ont montré également qu’un processus actif et
continu était nécessaire pour améliorer l’efficacité des programmes de sensibilisat ion. Par
ailleurs, Knapp et al, (2012) insistent sur la nécessité de sensibiliser les acteurs aux contenus
des politiques de sensibilisation.
Le Tableau 9, ci-dessous reprend et complète la synthèse des articles traitant de la
sensibilisation, faite par Tsohou en 2008.
Auteurs Variable dépendante
Knapp et al (2012) Les politiques de sécurité
Puhakainen et al. (2010) La continuité de l’apprentissage. Un apprentissage interactif
Spears et al (2010) Implication des salariés dans la mise en œuvre d’un programme de
sécurité
Jhonston et Warkentin (2007) Utiliser des messages alarmistes
Maeyer (2007) Implication du top management
Peltier et al,(2005), Les procédures de travail, Les standards de sécurité
Les ressources d’informations, la gestion des risques
Security Awareness Index Report (2002),
Kritzinger (2006),
Casmir & Yngstrom (2005),
Les politiques de sécurité
Furnell (2006) La perception des acteurs
Casmir & Yngstrom (2005) Budget
Peltier et al,(2005), Casmir & Yngstrom
(2005)
La culture organisationnelle
Hansche (2001a), ENISA (2006), Peltier
(2005), Goucher (2008)
Le langage
Hansche (2001a), ENISA (2006), Peltier
(2005)
La stratégie d’affaire, les but, la vision du management, la
structure de l’organisation
Siponen (2000) La morale et l’éthique
Tableau 9: synthèse des travaux sur la sensibilisation à la sécurité de l’information (traduit et complété de Tshou, 2008: 223)
Ces études montrent une grande diversité de direction qui trahit un manque d’enracinement
théorique autour de la sensibilisation.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 136
Nous constatons que la culture organisationnelle n’a fait l’objet que d’une seule étude. De
même, si la politique et l’implication de la dirigeance ont également été peu étudiées, nous
constatons que trois dimensions importantes de la sécurité sont absentes ou quasi absentes de
la littérature :
l’influence du management de proximité est absente des études. Les études souffrent
d’un manque d’investigation sur les effets de la structure organisationnelle de sécurité.
Quels sont les effets, sur les comportements des salariés, de la présence d’un
responsable ou d’un service, dédié à la sécurité ?
Enfin, les effets de la sensibilisation sur l’acquisition interne ou externe
d’informations, alors que l’objectif de confidentialité est bien d’éviter que
l’information sensible soit accessible à des personnes non autorisées, en particulier des
concurrents.
2.3. Relations entre culture organisationnelle et la sécurité de
l’information
La sécurité fait appel à des construits sociaux complexes comme l’identité, la confiance, la vie
privée fluctuant selon le contexte. L’imbrication de ces construits avec la technologie
introduit la notion d’adaptation et de négociation de l’humain à son univers technologique
dont l’intensité est contextuelle.
Cette imbrication entre technique et culture transparaît également dans les définitions
officielles traitant de la sécurité de l’information.
Pour l’ISO, au travers de la norme ISO 17799, la sécurité de l’information est «une méthode
et un cadre pour la mise en œuvre, le maintien, la surveillance et l'amélioration de la sécurité
de l'information qui est conforme à la culture organisationnelle» ((ISO / IEC 17799, 2005),
clause 0.7, p. x). Cette définition tient bien compte des deux composantes, mais les place « au
même niveau ». La technique n’est pas plus importante que la culture organisationnelle et
inversement.
La définition de l’OCDE, prend davantage le parti de la dimension culturelle qu’elle met au
centre de l’activité de sécurité qui dépend largement du niveau de perception des acteurs : «
les gestionnaires de la sécurité devraient adopter une approche globale de gestion. Cette
gestion devrait être basée sur l'évaluation des risques et devrait être dynamique, englobant
tous les niveaux des activités des participants et tous les aspects de leurs opérations. Elle
devrait contenir des énoncés prospectifs de réponses aux menaces émergentes et de
prévention, de détection et de réponses aux incidents, la reprise des systèmes, la maintenance,
des procédures de révision et de vérification. Les politiques de sécurité des réseaux et des
systèmes d'information, les pratiques, les mesures et les procédures doivent être coordonnées
et intégrées pour créer un système cohérent de sécurité. Les exigences de la gestion de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 137
sécurité de l'information dépendent du niveau d'implication, le rôle des participants, des
risques encourus et de la configuration système requise. » (OCDE, 2002).
La norme Iso étant très répandue en entreprise, il est donc tout à fait significatif que l’accent
sur les recherches effectuées, tant sur la gestion de la sécurité que sur les mécanismes de
sécurité, ait largement porté sur les moyens de production et les produits (normes, politique,
logiciel) plutôt que sur les contextes et les motivations d’usage des produits par les acteurs.
La littérature sur le management de la sécurité se concentre quant à elle sur les
méthodologies, les cadres, les processus de cycle de vie, plutôt que sur la façon dont ils se
rapportent au contexte dans lequel ils opèrent. Les résultats sont présentés sous une forme
tangible et indépendante de leur environnement (Coles-Kemp, 2008) avec une tendance à se
fixer sur les formes (processus de gestion des incidents, audit etc.) plutôt que sur les
interprétations et les pratiques qui en découlent.
Pourtant, de nombreux chercheurs ont également suggéré que la sécurité de l’information
devrait faire partie de la culture organisationnelle (Von Solms, 2000; Schlienger, et Teufel,
2002, 2003). Knapp et al, (2006) ont constaté que, dans la plupart des institutions, la sécurité
de l’information n'est pas une partie intégrante de la plupart de la culture organisationnelle.
Plusieurs raisons peuvent être énoncées pour expliquer ce phénomène. Par exemple :
Le manque d’investissement financier pour une activité qui ne le justifie pas : Shedden
et al, (2006) ont montré que les organisations ont tendance à traiter les dépenses de
sécurité comme un coût qui ne se justifie qu’une fois qu’un incident a eu lieu, c'est-à-
dire trop tard.
Le manque d’implication des employés : certains chercheurs ont pointé le manque de
participation des salariés dans la mise en œuvre de mesures de sécurité qui reste
souvent du ressort d’un petit nombre (Chia et al, 2002; Koh et al, 2005). Les employés
ne se sentent donc pas concernés.
La mise en œuvre contrainte de mesures de sécurité : l’étude de Maynard & Ruighaver
(2006) montre que la mise en œuvre de politiques de sécurité ne découle pas des
croyances, mais de la nécessité à se conformer à la réglementation et la contrainte
d’audits externes.
La littérature montre également qu'il existe trois types de relation entre la culture
organisationnelle et la sécurité de l’information.
1. La sécurité de l’information n’est pas intégrée dans la culture organisationnelle. (Chia
et al, 2002, Knapp, Marshall, Rainer et al, 2004, Koh et al, 2005) : dans ce cas, la
direction de l’organisation n’est pas impliquée dans la sécurité de l’information. Les
membres de l’organisation ont très peu de connaissances et ne se sentent pas
responsable des problèmes de sécurité. Les organisations ont souvent tendance à
considérer les dépenses de sécurité comme un coût (Shedden et al, 2006). La
sensibilisation à la sécurité est faible. Il s'agit de la situation où l'activité de sécurité de
l'information est uniquement prise en charge par le service informatique.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 138
2. La sécurité de l’information est une « sous-culture » de la culture organisationnelle :
les membres de l’organisation au sein du département sont plus conscients des
exigences de sécurité et la formation intermittente à la sécurité est effectuée en
respectant les exigences de la politique. Certains départements des institutions
commencent à accorder de l’attention à la sécurité et la question des pratiques émerge
dans les préoccupations managériales.
3. La sécurité de l’information est intégrée dans la culture organisationnelle : les
pratiques de sécurité des organisations et le sens des responsabilités peuvent se
mesurer au niveau de chaque membre de l’institution. Les mesures de sécurité sont
mises en œuvre globalement et à un niveau relativement élevé de participation. En
outre, il y a des mises à jour régulières de la politique de sécurité. Les membres de
l’organisation se sentent propriétaires de l'information et ils sont motivés à adhérer à la
politique de sécurité. Les pratiques de sécurité deviennent des activités de routine
inconscientes (Von Solms, 2000; Vroom et Von Solms, 2004; Thomson et Von Solms,
2005; Thomson et al, 2006). Tous les membres de l'institution ont intégré les valeurs
de sécurité de l’information distillées par leur management.
Comment faire pour réaliser cette intégration ? L’objectif des cinq composants (cf. section 2
et 5) de la sécurité que nous avons identifiés est de développer de la culture organisationnelle.
Ces composants ont pour but de modifier les comportements individuels ou collectifs (cf.
tableau 7) pour les orienter conformément à la volonté de la dirigeance.
L’individu doit effectivement être pris en compte. Chaque membre d’une institution est
influencé par ses caractéristiques sociales, son parcours, ses relations, etc. S’appuyant sur la
Théorie de l’identité sociale (Tajfel, 1978; Tajfel et Turner, 1979), Straub et al, (2002) et
Galivan et Strite (2005), proposent la métaphore de l’oignon virtuel « dynamique » qui
conceptualise la culture comme un ensemble de strates culturelles résultant des différentes
identités sociales de l’individu. Straub et al,(2002 : 19) pensent que plutôt que de supposer
que les individus épousent certaines valeurs culturelles fondées sur l'appartenance à un groupe
culturel, il faut se demander si leurs valeurs sont similaires à celles d’autres groupes culturels
et si les résultats de ces valeurs sont perçus comme similaires. Comme pour les couches d’un
oignon, la culture globale d’un individu se compose d’un ensemble de sous-cultures. Selon
Straub et al (ibid. : 20), la culture doit être mesurée à un niveau individuel, même s’il s’agit
d’un phénomène de groupe. Les individus peuvent avoir des caractéristiques culturelles qui ne
font pas partie de la culture de groupe. Les différentes couchent qui constituent l’oignon
virtuel se composent de valeurs et ne sont ni figées ni imperméables, leur agencement
s’adaptant en fonction des circonstances.
Pour fonctionner, l’adaptation des individus aux besoins de sécurité de l’institution doit à la
fois s’adresser au groupe, mais aussi que les individus choisissent d’y adhérer et de modifier
leur comportement.
Cette adaptation des comportements forme la culture organisationnelle selon le schéma
proposé par Schein (1985b: 13-21). Ce schéma définit trois niveaux de culture
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 139
organisationnelle (cf. chapitre 3). Les artefacts (les produits visibles), les valeurs des
individus, les hypothèses fondamentales (ce qui est acquis).
En retour, la culture organisationnelle influence les politiques de sécurité et les programmes
de sensibilisation. Par exemple, lorsque les principes de base sont acquis, un programme de
sensibilisation peut être renforcé en traitant des problématiques plus pointues.
Le parcours de la littérature nous a permis d’identifier plusieurs variables (cf. Tableau 8) aptes
à développer la culture organisationnelle, mais leurs impacts, en particulier sur les pratiques
effectives, restent très peu étudiés.
1. Les politiques de sécurité ;
2. L’implication de la dirigeance (le top management) ;
3. La sensibilisation ;
4. La structure organisationnelle ;
5. Le budget ;
6. L’implication du management.
Selon nous, la notion de budget reste discutable, tout comme la structure organisationnelle.
Peut-on par exemple raisonnablement penser qu’un employé situé dans un laboratoire de
R&D a conscience du budget alloué à la sécurité de l’information ? De même, la structure
organisationnelle est un concept très large. S’agit-il de la structure hiérarchique, de
l’implantation physique des sites ?
Nous pensons que ces deux notions peuvent être rapprochées, notamment par l’existence
d’une organisation en charge de la sécurité de l’information. Cette organisation agit sur le
terrain, elle est visible sur l’organigramme de l’institution et nécessite un budget de
fonctionnement. Son existence prouve l’importance que revêt la sécurité de l’information
pour la direction. Aussi, nous proposons de remplacer les variables que sont la structure
organisationnelle et le budget, par l’existence d’une structure organisationnelle dédiée à la
sécurité de l’information.
Certaines mesures de sécurité agissent directement au niveau de l’organisation, c’est une
sensibilisation « de masse », pendant que d’autres agissent directement sur les individus. C’est
une sensibilisation individuelle qui cherche à modifier la culture individuelle pour l’aligner
sur la culture organisationnelle.
Le Tableau 9 ci-dessous montre comment les composants de sécurité agissent sur la culture
individuelle ou organisationnelle, dans une boucle vertueuse.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 140
Composant Groupe impacté
Culture (Schein, 1985b)
Implication et la promotion par la
dirigeance
Organisation organisationnelle
Les politiques
Organisation spécialisée de
gestion et de contrôle
Sensibilisation Individu Individuelle
Implication du manager de
proximité
Expériences passées Individu Individuelle
Tableau 10: Action des composants de sécurité sur la culture individuelle/organisationnelle
2.3.1. Synthèse sur l’étude des effets des comportements et de
sensibilisation
Ces études sur le comportement des individus sont riches d’enseignements et apportent des
éléments d’analyse intéressants pouvant permettre de faire progresser dans l’adhésion des
employés aux politiques de sécurité. Il est néanmoins nécessaire de souligner quelques limites
communes à l’ensemble de ces études. Tout d’abord, elles se focalisent sur un seul pays.
L’influence de la culture nationale n’a pas été mesurée alors que Leidner et Kayworth (2006)
ont montré que cette dernière joue un rôle important dans les pratiques des employés en
matière de systèmes d’information.
Par ailleurs, les répondants à ces études ont déclaré eux-mêmes leur intention de se conformer
aux exigences de la politique de sécurité de l'information, et il est possible que certains
cachaient leurs véritables actes ou intention de non-conformité. En effet, ces comportements
seraient perçues comme socialement indésirables. L'absence de recherches scientifiques pour
mesurer ces comportements négatifs, c'est-à-dire les comportements volontairement déviants,
peuvent être dus à plusieurs raisons. Tout d'abord à cause du biais de désirabilité sociale et un
biais d'acquiescement. Ils sont donc souvent réticents à révéler des informations négatives sur
eux-mêmes (Trevino, 1992).
Les études existantes mesurant les comportements malveillants ont utilisé la méthode
d'enquête qui oblige les répondants à déclarer s'ils ont l'intention de violer les politiques. Si
Influence
Cultive
Influence
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 141
les déclarations sont fausses, les résultats de la recherche ne valent rien. Comment récolter les
données ? Certains chercheurs comme Siponen et Vance (2010) se sont inspirés de Piquero et
al, (1996) et ont utilisé la méthode des scénarii. Néanmoins cette problématique n’a été que
partiellement abordée dans la littérature des systèmes d’information en science de gestion
(Warkentin, Straub, Malimage, 2012).
Deuxièmement, en raison de l'absence d'un cadre de méthodologique validé, dans ce contexte,
les chercheurs peuvent être réticents à s’engager et explorer les raisons de la malveillance. Il
existe bien plusieurs articles de recherches qui ont mesuré l'intention comportementale (non
intentionnelle ou non malveillante), mais la question demeure de savoir si les intentions
comportementales conduisent toujours à un comportement réel en particulier dans le contexte
de la sécurité de l’information.
Les contextes de violation des règles de sécurité devraient aussi être plus largement testés. Par
exemple, l’étude de Siponen et Vance (2010) est axée sur la formation à l’envoi de courriels
non cryptés et ses conséquences pour la sécurité de l’information. D’autres contextes
devraient être testés comme l’usage des réseaux sociaux. Plus généralement, les contextes
choisis mettent toujours en scène l’acteur dans l’usage des technologies de l’information.
Pourtant la sécurité de l’information concerne aussi des comportements plus généraux,
comme le fait de se confier à un proche, de parler dans un ascenseur etc..
Il faudrait également confirmer ou infirmer le résultat qui montre que l’implication du
management est importante pour faire adhérer les employés. Ceci est d’autant plus nécessaire
que pour Wylder (2003), le management est trop éloigné du quotidien des employés pour
avoir une influence sur leurs comportements.
Enfin, la plupart de ces études accordent peu d'attention au fait que les attitudes, les croyances
et les comportements des employés d'une organisation peuvent être influencés à la fois par la
culture nationale ou organisationnelle et leurs interactions. Par exemple, la justification par la
nécessité, d’un acte déviant comme par exemple l’échange non autorisé d’informations, peut
être dû à un environnement trop cloisonné et ne laissant pas suffisamment circuler
l’information entre les membres de l’institution.
Seule l’étude de Myyr et Al. (2009) s’intéresse aux effets des valeurs, mais seuls les effets des
valeurs individuelles sont mesurés. Les valeurs organisationnelles ne sont pas considérées
dans leur étude. Pourtant, la culture organisationnelle est généralement définie comme un
ensemble de valeurs communes, des croyances, des hypothèses et des pratiques qui façonnent
et dictent les attitudes et les comportements des employés au sein des organisations (Denison,
1990; Schein, 1992; Cameron et Quinn, 1999). Par conséquent, nous pensons que les
comportements des employés ne peuvent pas être analysés sans une compréhension fine des
contextes d’action et de la symbolique qui les prescrit.
Même si ces comportements peuvent aussi fournir un certains nombre d’indices sur les
contextes qui justifient l’action, la compréhension de la culture organisationnelle nous semble
indispensable pour comprendre pourquoi, et comment, le comportement des employés peut
avoir un impact sur les pratiques de sécurité. En effet, la relation entre la culture
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 142
organisationnelle et le comportement des employés doit être envisagée lors de la mise en
œuvre des pratiques de sécurité car elle influe sur la façon dont les employés se comportent
dans les organisations (Von Solms et Thomson, 1988 :170 ; Thomson et al, 2006).
Le développement d’une culture organisationnelle intégrant des préoccupations de sécurité de
l’information s’obtient notamment par la sensibilisation des membres de l’institution.
La sensibilisation est plus selon nous, qu’un éveil à la sécurité. La sensibilisation doit avoir
pour objectif de créer une culture organisationnelle intégrant les besoin de sécurité de
l’information. Ce n’est pas une simple information générale dispensée à l’ensemble d’une
communauté. La sensibilisation est aussi une formation, elle doit inculquer des
comportements parfois basiques mais efficaces de protection des informations, d’évitement et
de réaction face aux risques.
Parmi les composants organisationnels essentiels d’un programme de sensibilisation, nous
retenons l’implication de la dirigeance, qui est très couramment citée parce qu’elle est
également à l’origine de la conception des politiques de sécurité, et parce que, selon Schein
(1985a: 2), l’unique talent d’un leader est sa capacité à créer et à gérer la culture de
l’organisation.
La perception des acteurs (Furnell, 2006) est selon nous un concept intéressant dont l’action
sur la sensibilisation a peu été explorée jusqu’à présent. La perception de l’importance de la
sécurité de l’information pour l’institution a-t-elle une influence positive sur le comportement
des acteurs ? Par exemple, le simple fait qu’un employé sache que des sessions de
sensibilisation sont dispensées est-il de nature à influencer son comportement ?
Si la littérature identifie clairement le rôle des dirigeants, elle ne dit rien de celui que peut
jouer le manager de proximité, excepté pour l’étude de Panilha et al (2007), mais qui porte
sur l’intention à se conformer et non sur une pratique effective. Ce manager, comme tous les
salariés, doit suivre un programme de sensibilisation. Néanmoins, à notre connaissance, son
influence sur le comportement de sécurité des salariés n’a pas été explorée. De même, nous
n’avons référencé qu’une seule étude (Siponen et Vance, 2010) sur les effets des habitudes sur
le comportement actuel des acteurs. Pourtant, l’habitus (Bourdieu, 1980b) permettrait
l’intégration culturelle, ce qui conduirait le salarié expérimenté à accepter et intégrer plus
facilement les pratiques de sécurité. A l’inverse, Sellin (1938, 1983) pense dans sa théorie du
conflit de culture (cf. chapitre 3) que le refus de s’adapter à un nouveau contexte culturel est
générateur de déviance.
L’objectif de la sensibilisation - la création d’une « culture positive de sécurité » intégrée à la
culture organisationnelle – ne va pas de soi. Comment les composants de la création des
politiques et de la sensibilisation interviennent-ils dans le processus de modification de la
culture organisationnelle ? Et comment peut-on dire que la culture organisationnelle a intégré
les activités de sécurité ? Nous proposons d’apporter des éléments de réponses à ces questions
dans le chapitre suivant.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 143
En effet, selon la littérature, la culture organisationnelle ne devrait pas simplement être prise
en compte dans les politiques, mais devrait aussi irriguer les pratiques de management. Les
pratiques individuelles de sécurité de l’information devraient s’intégrer dans un ensemble de
pratiques collectives et ce sous l’influence des politiques mises en œuvre, de la promotion
exercée par le leadership, et d’une structure de gestion.
Certains composants de sécurité agissent au niveau individuel, pendant que d’autres agissent
sur la culture collective. La figure 14 ci-dessous illustre les relations entre culture
individuelle, culture organisationnelle et pratiques de sécurité. Nous introduisons l’attitude
managériale dans les pratiques de management. Nous pensons en effet que l’engagement de la
direction ne suffit pas et qu’il faut aussi que le management de proximité adopte une attitude
positive et volontaire vis-à-vis de la sécurité, ce qui n’a été que trop peu étudié jusqu’à
présent.
Figure 15: Relations entre pratiques managériales de sécurité, culture individuelle et culture collective
S’aligne sur
Culture
organisationnelle
Au niveau de
l’organisation
Dirigeance
Manager de proximité
Management de proximité
Sensibilisation
Définit
Culture
organisationnelle
Au niveau individuel
Promeut,
évalue
Promeut
Définit
Cultive
Cultive
Influence
Promeut,
évalue
Influence
Politique
Organisation
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 144
Ce chapitre nous a permis de définir la sécurité de l’information et de voir ce en quoi elle est
importante pour l'organisation.
Nous nous sommes focalisés sur l’identification des menaces et des contre-mesures, la
définition des politiques de sécurité, l’importance de la norme, les limites des études
comportementales, le produit et le processus de la sensibilisation et l’influence de la culture
organisationnelle.
L’étude des menaces et contre-mesures nous a permis d’identifier la confidentialité comme
l’une des préoccupations majeures des responsables de la sécurité de l’information dans les
organisations. Ce qui est cohérent avec notre objet de recherche car les principaux risques de
sécurité dans l’échange d’information via les réseaux sociaux, sont des risques de
confidentialité. Nous avons également constaté que les contre-mesures des menaces de
sécurité appliquées dans les institutions sont d’ordre dissuasif.
Les institutions utilisent la sécurité de l’information pour réglementer les usages des systèmes
d’information et les comportements humains en général. Elles définissent pour cela des
politiques et des programmes de sensibilisation pour éduquer et contrôler le personnel et pour
améliorer en permanence les niveaux de sécurité.
Ce travail nous a également permis d’identifier les faiblesses des organisations en matière de
sécurité de l’information. La première limitation réside dans le contrôle jugé indispensable par
de nombreux chercheurs (Vroom & Von Solms, 2004). En effet, comment contrôler ce qui
échappe à l’organisation ? Comment garantir que le comportement des employés est
conforme à la politique de sécurité de l’organisation lorsque celui-ci échange des informations
avec des membres de son réseau social ? Nous touchons les limites du contrôle technologique
et managérial. La deuxième limitation est relative au manque de connaissance sur
l’influence du management de proximité et des expériences passées sur les
comportements des employés. A notre connaissance, une seule étude s’est intéressée au rôle
que tient le manager de proximité. La troisième limitation réside dans l’absence de mesure
de l’influence des valeurs organisationnelles sur les comportements et, enfin, la
quatrième limite est relative à l’absence de prise en compte de l’influence des réseaux
personnels des acteurs, comme si les salariés étaient isolés et sans autres influence que
celle de l’institution dans laquelle ils évoluent.
Nous n’avons recensés qu’une seule étude qui considère les valeurs individuelles de
conformité (respect des règles, recherche de la stabilité, etc.) comme un facteur positif de
3. Ce qu’il faut retenir du chapitre 2
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 145
sensibilisation. De même, seulement trois publications prennent en compte, uniquement pour
mesurer les intentions à se conformer aux règles de sécurité. Par ailleurs, les mesures
effectuées portent quasi systématiquement sur les usages des technologies de l’information.
Les comportements relationnels, par exemple, ne sont que trop peu évalués.
Il n’existe pas non plus, selon nous, d’études portant, d’une part, sur l’influence des réseaux
personnels, le tissu relationnel, et d’autre part, sur les interactions entre valeurs individuelles
et valeurs collectives. Pourtant la métaphore « dynamique » de l’oignon virtuel (Straub et al,
2002 ; Galivan et Strite, 2005) propose une conception holistique de la culture, où la culture
globale d’un individu se compose de multiples sous-cultures héritées des caractéristiques
sociales et du parcours personnel et professionnel. L’acteur peut donc adopter un
comportement conforme à une culture dont il est familier, mais qui ne correspond pas aux
attentes de l’institution.
Ceci est d’autant plus important que les recherches récentes sur la sécurité de l’information
portent sur les études de comportements relatifs à l’intention non criminelle ou criminelle qui
mobilisent les théories comportementales, de l’apprentissage, et de neutralisation. Or, ces
études sont discutables car :
L’exactitude des résultats est dépendant du degré de sincérité des répondants qui, craignant
d’éventuelles sanctions, peuvent masquer leurs véritables comportements.
L’environnement dans lequel les décisions sont prises n’est pas considéré. Pourtant, une
institution où les différents départements sont fortement cloisonnés et où l’information circule
mal peut, par exemple, inciter ses membres à échanger de l’information de manière illicite
alors même qu’ils ont parfaitement intégré les normes contraignantes du milieu dans lequel ils
évoluent.
Ces limitations mettent en avant l’intérêt de la culture organisationnelle pour un ancrage
durable des comportements de sécurité qui dépasse les frontières de l’organisation et qui lui
sont favorables. La littérature relative à l’intention montre que les chercheurs ont encore
accordé peu d'attention aux effets de la culture individuelle et de la culture organisationnelle
sur les comportements de sécurité.
Les travaux menés sur la sécurité de l’information nous permettent de faire évoluer (cf. Figure
13) le modèle initial proposé en Figure 9 pour y intégrer les interactions entre les composants
de sécurité, l’individu et l’institution.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 146
Figure 16: Transaction stratégique – influences du capital social et de la sécurité de l’information
La culture organisationnelle est bien une partie intégrante de la sécurité de l’information dans
les institutions. C’est un outil à disposition du management, mais encore faut-il l’utiliser de
manière pertinente.
Typologie de l’action raisonnée (Caillé, 2009)
Obligation
Empathie
Nécessité Devoir
Amour- propre
Amour de soi Antipathie
Sympathie
Créativité Spontanéité
Institution
Environnement externe à
l’institution
Culture organisationnelle
Intérêt pour
soi
Culture individuelle
Individu (quête de reconnaissance, futurité)
Transaction de répartition
Tran
saction
d’éch
ange
Transaction de direction
Force des liens
Homogénéité/Hétérogénéité
Rationalité limitée, Altruisme intelligent
Capital
Redondance
Politiques de
sécurité
Promotion du
leadership
Sécurité de
l’information
Réseau personnel de l’individu
Attitude
managériale
Sensibilisation du
personnel
Expériences passées
Liberté
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 147
III. Chapitre 3
La culture Organisationnelle comme cadre d’analyse
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 148
Figure 17: Architecture du chapitre 3
1 - La culture organisationnelle
- Introduction
- Approfondissement de la culture
organisationnelle
2- Opérationnalisation
- Théories culturalistes de la déviance
- Mesures de la culture organisationnelle
Idée directrice du chapitre 3 :
Si la culture organisationnelle est une composante majeure de la sécurité
de l’information, elle peut aussi être à la source de la déviance. Mesurer et
comparer les effets de la culture organisationnelle et de la culture
individuelle serait un préalable pour orienter l’action.
- Ancrage atour des théories
culturalistes de la déviance :
comprendre les différences de
comportements entre groupes
d’individus
- Le choix d’une échelle de mesure
- Mobilisation
- Justification
- Fondations
Inhibante et habilitante
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 149
1. La culture organisationnelle
Cette revue de littérature sur le domaine de la culture en général et de la culture
organisationnelle nous permettra d’en révéler les principales caractérisations, les dimensions
et les différentes approches de mesures.
Nous proposons d’étudier ce que le courant sociologique de la déviance nous apprend sur les
facteurs culturels qui peuvent être à l’origine de comportements déviants en entreprise. Ces
comportements peuvent soit poser des problèmes de sécurité de l’information, soit être des
facteurs d’innovation (Alter, 2000).
1.1. Les sources de la culture
La culture est d’abord un concept anthropologique. Tylor (1876) considéré comme une
référence par la communauté scientifique, donne la définition suivante de la culture : « un tout
complexe qui inclut les connaissances, les croyances, l'art, la morale, les lois, les coutumes et
toutes autres dispositions et habitudes acquises par l'homme en tant que membre d'une
société » (in Herskovits, 1950 : 9).
Herskovits (1950 :3), lui aussi anthropologue, propose la définition suivante : « la culture est
ce qui dans le milieu est dû à l'homme. » Il commente sa définition par les mots suivants
« On reconnaît implicitement par cette phrase que la vie de l'homme se poursuit dans un
cadre double : l'habitat naturel et le milieu social. Cette définition indique aussi que la
culture est plus qu'un phénomène biologique ». La culture est le produit d’un apprentissage
qui est fonction de l’entourage et qui porte sur des croyances, des comportements, des
techniques, des normes.
Selon Herskovits (1950 : 10):
1. La culture est universelle en tant qu'acquisition humaine, mais chacune de ses
manifestations locales ou régionales peut être considérée comme unique.
2. La culture est stable, mais elle est aussi dynamique et manifeste des changements
continus et constants.
3. La culture remplit, et dans une large mesure détermine, le cours de nos vies, mais
s'impose rarement à notre pensée consciente.
Trois courants anthropologiques ont également défini le concept de culture : l’anthropologie
interprétative, l‘anthropologie cognitive et l’anthropologie structurale.
L’anthropologie interprétative est marquée par les travaux de Geertz (1972 : 21) qui définit la
culture comme : «un modèle de significations incarnées dans des symboles qui sont transmis
à travers l’histoire, un système de conceptions héritées qui s’expriment symboliquement, et au
moyen desquelles les hommes communiquent, perpétuent et développent leur connaissance de
la vie et leurs attitudes devant elle ».
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 150
Dans la culture, ce sont les formes symboliques qui vont structurer l’expérience vécue des
individus. Par exemple, un calendrier structure le temps. Mesurer la culture sur une base
symbolique, interprétative, nécessite de repérer les données, les éléments qui sont associés
aux symboles, de comprendre leur signification et d’établir les liens entre valeurs, croyances
et actions dans un contexte (Smircich, 1983: 350). Ce type de mesure a été appliqué avec
succès pour les modèles comme TAM, Technology Acceptance Model (Venkatesh, Morris,
Davis and Davis, 2003), la « Theory of Reasoned Action » (TRA, Fishbein and Ajzen, 1975)
ou la « Theory of Planned Behavior » (Ajzen, 1991 ; Walsh et Kefi, 2008 :72).
Le courant cognitif est représenté par Goodenough (1971) et Agar (1982) pour lesquels la
culture consiste en des connaissances partagées (Smircich, 1983: 348) et Rossi et O'Higgins
(1980) pour lesquels la culture est un système de cognition partagée ou un système de
connaissance et de croyances (Smircich, 1983: 348). Aussi, analyser les caractéristiques de la
culture revient à déterminer les règles qui régissent les interactions en identifiant les règles qui
guident l’action et la structure des connaissances.
Selon le courant structural et psycho dynamique, la culture est une manifestation et
l’expression du fonctionnement inconscient de l’esprit (Smircich, 1983 : 348) et cette
conception ne se révèle pas pertinente pour étudier la culture en sciences des organisations.
Smircich (1983 : 339) a déclaré que ce que nous appelons une «perspective culturelle» des
organisations recouvre en fait une série de cinq domaines de recherche : la gestion comparée,
la culture d'entreprise, la cognition organisationnelle, le symbolisme organisationnel et les
processus inconscients de l'organisation. « Dans les deux premiers domaines, la culture est
une variable organisationnelle dépendante ou, indépendante, externe ou interne ». Dans les
trois derniers domaines, la culture n'est pas une variable à tous, mais c'est « une métaphore
racine pour conceptualiser l'organisation » (Smircich, 1983 : 342).
Smircich (1983) nous fournit un cadre théorique très utile qui nous permet de diviser la
recherche sur la culture en deux volets:
L’approche « has » : la culture est considérée comme une caractéristique ou une variable
affectée ou affectant d'autres variables au sein des organisations. La culture est alors
considérée comme un mécanisme de régulation ou d'adaptation contribuant à la performance
globale de l'organisation, et l’approche « is » qui repose beaucoup plus fortement sur la
tradition anthropologique. L’organisation "est" la culture, ou la culture est une «métaphore»
pour étudier les organisations.
Les applications concrètes du «has» se rapportent à l'approche du flux sociobiologique de la
pensée étendue à la théorie des organisations, les applications concrètes de l'approche « is » se
rapportent aux perspectives cognitives, symboliques, structurelles et psycho-dynamiques sur
les études de l'organisation et de la culture (cf. Figure 18).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 151
Figure 18: Intersection entre les concepts de culture en anthropologie et en sciences des organisations (source : Smircich, 1983)
Dans le cadre de notre thèse, nous nous situons dans la perspective organisationnelle. La
culture est une variable de l’organisation. Toutes ces définitions font de la culture un
apprentissage qui s’opère par l’interaction avec l’environnement et qui structure nos
comportements. La culture est aussi représentée par la production humaine, les artefacts de
Schein (1985b). Cette approche nous permet de considérer que la culture d’un individu n’est
pas uniforme, mais peut être composée de plusieurs sous-cultures, selon la métaphore de
l’oignon virtuel (Straub et al, 2002). Cette approche nous permet également de considérer
que les règles qui régissent les comportements et les interactions, forment une culture
comprise comme un système symbolique, dont la compréhension est nécessaire pour susciter
l’adhésion.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 152
1.1.1. La culture nationale
Hofstede et al, (1990) distinguent trois niveaux de culture selon la place de la socialisation : la
culture organisationnelle, la culture occupationnelle et la culture nationale.
L’étude montre que les différences entre cultures organisationnelles ne s’expliquent pas de la
même manière qu’entre les cultures nationales.
Il peut y avoir des différences de valeurs considérables entre les employés d’une même firme
à travers le monde (exemple d’IBM pris par Hofstede comme terrain d’expérimentation),
alors dans un même pays où les employés ont des valeurs quasiment identiques, les
différences de cultures organisationnelles sont repérées dans les pratiques des salariés.
La Figure 19 schématise le travail de l’équipe d’Hofstede (1990) pour déterminer la part que
prennent les valeurs ou les pratiques dans la socialisation, suivant les trois niveaux d’analyse.
Niveau Place de la socialisation
Figure 19: Différences culturelles (Hofstede & al, 1990)
Les valeurs sont acquises depuis l’enfance dans le cercle familial, puis l’école et d’autres
lieux de socialisation.
L’analyse d’Hofstede s’appuie sur celle de Berger et Luckman (1986) distinguant tout comme
Bourdieu avec l’habitus (1980b), de la socialisation primaire (au cours de l’enfance) à la
socialisation secondaire (celle de la vie d’adulte). L’enfant devenu adulte dispose d’un bagage
de valeurs qui lui serviront à s’intégrer dans son milieu professionnel, que ce soit une
entreprise, une association, une administration publique ou autre. La socialisation passe donc
par l’apprentissage des pratiques (usages, symboles, conventions, etc.). Les pratiques
organisationnelles sont acquises dans un contexte culturel propre à l’organisation (idéologie,
histoire et missions de l’entreprise, etc.).
VALEURS
PRATIQUES
Nation
Occupation
Organisation
Famille
École
Lieu de Travail
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 153
La culture occupationnelle est un espace de développement de l’individu fortement associé
aux valeurs comme aux pratiques.
Trice (1993), quant à lui, met en avant la culture professionnelle. Selon lui, la culture
professionnelle comporte un ensemble unique d’idéologies, de croyances, et de pratiques qui
découle de l’éducation et des expériences professionnelles des acteurs d’une même
profession. La culture professionnelle est propre au métier pratiqué, à une communauté de
pratique. Selon Guzman et al (2006), ce groupe d’individus emploie les idéologies distinctes
de chaque membre pour accentuer le comportement dans le contexte de son métier. Il existe
ainsi de nombreuses sous cultures, qui forment ensemble une culture organisationnelle
globale et certaines d’entre elles sont définies par l’identité professionnelle d’un groupe
particulier (Guzman et al, 2006).
Johnson et Al. (2005) montrent via les « cadres culturels de référence » qu’il existe des
croyances et des comportements partagés au plan national, sectoriel ou fonctionnel. Selon les
auteurs, le contexte influence directement les attentes des parties prenantes. Ceci renvoie
également aux « sphères d’influences » proposées par Schneider et Baroux (1997) qui sont
relatives à la culture régionale, sectorielle, métier, fonctionnelle, etc.
D’autres facteurs culturels agissent sur les comportements professionnels. Les normes et
attentes diffèrent selon les pays ce qui n’est pas sans conséquence sur les organisations dont
l’implantation est internationale. Ces institutions doivent tenir compte des différentes cultures
nationales. Hofstede (1980) caractérise la culture nationale par quatre dimensions
constitutives :
1. l’aversion face à l’incertitude,
2. la distance hiérarchique,
3. la masculinité/féminité ,
4. l’individualisme/collectivisme.
La culture nationale à deux niveaux nationaux (Hofstede, 1980: 262), vue comme une
« programmation mentale », a fait l’objet de nombreuses recherches académiques jusqu’à
l’émergence de l’approche de la culture organisationnelle proposée par E. Schein (1984).
Pour notre part, nous considérons que l’étude de la culture nationale peut constituer un
préalable à l’étude la culture organisationnelle. Les jeunes adultes, par exemple, qui s’insèrent
pour la première fois dans une institution, une organisation comme une entreprise, une
association, n’arrivent pas dénués de culture. Ils ont acquis un certain nombre de dispositions
qui doivent leur permettre de s’insérer dans un milieu social et de s’y adapter. L’objectif de la
culture organisationnelle serait alors l’adaptation de la culture nationale à un contexte
spécifique. Les frontières ne sont pas imperméables, les cultures organisationnelles sont aussi
fortement empreintes de cultures nationales. Néanmoins, il existe des différences qu’il faut
prendre en compte. Par exemple, les salariés d’une multinationale doivent s’adapter à des
contraintes culturelles issues du pays d’origine de la firme. Des processus d’innovation, de
production sont pensés à partir du siège de la direction et sont déployés à travers le monde.
Les employés locaux ont la charge de s’y adapter.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 154
C’est pourquoi nous pensons qu’une culture nationale peut développer un ensemble de
valeurs et de comportements tout à fait valorisant du point de vue de la sécurité de
l’information. Cependant, cette culture n’est pas suffisante, compte tenu de la nécessaire
adaptation des individus aux caractéristiques, à l’identité et à l’environnement de l’institution
dans laquelle ils s’intègrent.
1.1.2. Pourquoi choisir la culture organisationnelle ?
De grands organismes internationaux comme l’ISO (2005) et l’OCDE (2003) soulignent la
nécessité d’intégrer les pratiques de sécurité de l’information dans la culture
organisationnelle des organisations.
Par ailleurs, comme l’a souligné Von Solms (2000,2006), nous sommes dans l’ère où la
sécurité de l’information bénéficie d’une structure organisationnelle et entre dans les activités
de gouvernance de l’entreprise.
Nous avons aussi pu voir que la direction devait être impliquée au plus haut niveau dans la
mise en œuvre de la sécurité de l’information dans l’entreprise et il se trouve que la culture
organisationnelle est formée par les comportements des membres dominants des organisations
comme les dirigeants (Schein, 1992).
Un autre point qui milite en faveur du choix de la culture organisationnelle dans la conception
de notre modèle de recherche est que nous nous intéressons aux usages des employés dans
leurs réseaux sociaux et à leur management dans une perspective de sécurité. Notre travail est
articulé autour de la dynamique relationnelle. La culture organisationnelle se justifie dans la
mesure où les salariés et leur management sont en interaction dans la gestion continue de la
sécurité.
Enfin, l'importance de la culture organisationnelle comme déterminant de la réussite dans la
gestion de la sécurité de l'information, a également été identifiée (Dhillon & Blackhouse,
2001). Une des principales conclusions de leur étude est que la plupart des approches en
sécurité de l'information ont tendance à offrir des solutions qui ignorent les aspects sociaux de
la sécurité et de la structure informelle des organisations. Ils suggèrent que la gestion de la
sécurité de l'information nécessite l'adoption d'une approche socio-organisationnelle
étroitement reliée aux niveaux organisationnels et individuels, plutôt que d'être dans un
contexte plus large de valeurs et d’enjeux au niveau national.
Comme nous l’avons écrit dans la section consacrée à la culture nationale, celle-ci peut
produire un « bagage de base », un ensemble de valeurs et de comportements directement
profitables aux institutions. Néanmoins, ce bagage ne pourrait probablement pas répondre à
l’ensemble des besoins, parce qu’il nécessite une adaptation, un enrichissement propre aux
caractéristiques et à l’identité de l’institution.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 155
1.1.3. La culture organisationnelle
La culture organisationnelle se réfère aux systèmes de croyances et de valeurs partagées par
l'ensemble des membres de l'organisation et qui se développent au sein d'une organisation
(Schein, 1984),. Elle oriente les comportements de ses membres pour former un
comportement coordonné afin de survivre dans l'environnement dynamique (Denison, 1990;
Schein, 1992). La culture organisationnelle est formée par les comportements des membres
dominants des organisations et en premier lieu les dirigeants (Schein, 1984, 1992, 1996).
Robbins (1989) a fait valoir que la culture organisationnelle propose un certain nombre de
fonctions au sein des organisations. Elles comprennent un rôle normatif qui établit des
distinctions entre les organisations. La culture organisationnelle facilite l'engagement des
employés pour les organisations.
Ouchi et Johnson (1978) et Ouchi (1983) considèrent dans leurs études sur les entreprises de
type « A » et « Z » que la culture organisationnelle est à la fois la tradition et le climat d’une
entreprise impliquant des valeurs et des croyances. Toutefois, Watts (2005) souligne que la
revue de la littérature en culture organisationnelle révèle un débat incessant sur la distinction
entre les significations liées aux concepts de « culture » et de « climat ». Le climat
s’intéresse aux perceptions individuelles des membres de l’organisation au sujet d’une idée ou
d’une chose particulière, tandis que la culture se rapporte aux valeurs et aux modes de
comportements généraux (Pettigrew, 1990). Reichers et Schneider (1990) pensent que le
climat est une manifestation de nature temporelle de la culture.
Selon Smirchich (1983 : 344), la culture organisationnelle est « La glue sociale ou normative
qui rassemble les individus ». L’auteur considère que selon l’approche « is », l’organisation
est une culture.
Schein (1984 : 3, 1992, 1996) se réfère à des cultures comme « le niveau le plus profond des
hypothèses fondamentales tacites et des croyances qui sont partagées par les membres d’une
organisation […] Un ensemble d’hypothèses de base qu'un groupe donné, a inventé,
découvert ou développé, en apprenant à faire face aux problèmes liés à l'adaptation externe
et d'intégration interne, et qui ont suffisamment bien fonctionné pour être considéré comme
valide, et donc être enseignés aux nouveaux membres comme une bonne façon de percevoir,
de penser et de sentir par rapport à ces problèmes ».
La culture organisationnelle serait donc un ensemble de croyances, de valeurs, de normes et
de réalisations partagées par les membres d’un groupe. Elle aurait pour conséquence d’unir
ces membres autour d’objectifs communs pour le bien de l’organisation.
Ces différentes conceptions de la culture organisationnelle s’intègrent dans le cadre théorique
de l’économie institutionnaliste et du capital social que nous avons évoqué dans le premier
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 156
chapitre. Cette culture permet à chaque membre d’une institution ou d’un réseau social d’agir
dans l’intérêt de la communauté à laquelle il appartient.
1.2. Modèle d’analyse de la culture organisationnelle selon Schein
Selon Schein (1985b), le développement de la culture organisationnelle est le fait des
dirigeants et plus généralement, des employés faisant preuve de leadership dans les
organisations. Selon lui, la culture organisationnelle existe sur trois niveaux (cf. Figure 20)
où la culture se construit de l’explicite vers l’implicite, de ce qui est observable à ce qui n’est
pas matérialisé.
1. Les artefacts sont les résultats visibles et tangibles de l’activité fondée sur des valeurs
et des hypothèses. Les artefacts comprennent le comportement des membres, les
habitudes, les rites, etc. ;
2. Les valeurs dans les organisations sont les principes sociaux, des philosophies, des
objectifs, des normes et des croyances considérés comme ayant une valeur intrinsèque
pour les membres de l'organisation.
3. Les hypothèses fondamentales représentent ce qui est pris pour acquis par les membres
d’une organisation. L’hypothèse fondamentale est une réponse à un problème connu.
Figure 20: Les trois niveaux de la culture organisationnelle (d’après Schein, 1984)
Le premier niveau est composé des hypothèses de base (« Basic Underlying Assumptions »),
qui sont des données inconscientes pour l’individu, des croyances acquises pour toujours, des
perceptions, des pensées et des manières de ressentir, non négociables, c'est-à-dire acquises
une fois pour toutes, et qu’il est très difficile de changer, au sein des organisations. Ce niveau
de réalité correspond à un besoin cognitif de stabilité, provoquant, en cas de déstabilisation,
des manifestations d’anxiété et des réactions de mécanismes de défense.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 157
Le second niveau est composé des valeurs partagées par les individus («Espoused Values»).
Ces valeurs naissent de la résolution d’un problème rencontré par une organisation, qui «
mémorise » cet événement fondateur par la promotion d’une valeur, ou, inversement, par
l’adoption, dès les origines, d’un certain nombre de valeurs fondatrices. Celles-ci servent de
guide et permettent de trouver une solution, en situation d’incertitude, ou lorsque des
événements imprévus surviennent, afin de les résoudre.
Enfin, le troisième niveau est constitué par les artefacts (« Artifacts »), c'est-à-dire les
conséquences visibles, tangibles des activités fondées sur les hypothèses de base et sur le
partage des valeurs. Il peut être (exemples cités par l’auteur) question de l’environnement
physique ou architectural, des créations artistiques, des mythes et des histoires racontées
depuis longtemps, de listes de valeurs promulguées, des rituels, des cérémonies, etc. Il s’agit
également des comportements de groupe, visibles, des processus organisationnels devenus,
tous, en général, routiniers. Toutes ces données observables ont une valeur symbolique, dont
l’interprétation n’est pas donnée une fois pour toutes, mais qui nécessitent pour être comprises
une bonne connaissance des organisations concernées.
Comme on peut le constater, les valeurs ne constituent pas le seul objet d’étude relatif à la
culture d’entreprise. Il n’en demeure pas moins fondamental. Les valeurs sont au centre du
modèle. Elles ne peuvent pas être observées sinon par les comportements.
Dans une tentative d’établir une typologie de la culture organisationnelle, Hofstede et al,
(1990) font remarquer que ces cultures peuvent être décrites partout dans le monde par
certaines dimensions typiques liées aux pratiques. Leurs travaux menés auprès de 36
entreprises danoises et néerlandaises aboutissent à la proposition d’une typologie à six
dimensions de la culture organisationnelle :
1. La culture du processus / résultat : dans la culture « processus », chacun perçoit sa
pratique en fonction de son niveau et de son rôle dans l’organisation. C’est à opposer à
la culture du « résultat » où chacun perçoit sa pratique de façon identique ;
2. La culture orientée travail / employé : dans la culture « orienté travail », la
responsabilité est orientée sur la performance du travail alors qu’à l’opposé, la culture
« orientée employé » se focalise sur le bien être des employés ;
3. La culture professionnelle / paroissiale : dans le premier cas le critère d’identification
essentiel est basé sur la profession ou dans le deuxième cas sur le lieu de travail ;
4. La culture de système ouvert/fermé : qui se réfère au style de communication
interne/externe ;
5. La culture de contrôle serré / délié : se réfère au degré de formalisation et à
l’importance accordée à l’exactitude ;
6. La culture pragmatique / normative : se réfère aux modalités de prise de considération
des signaux provenant de l’environnement.
Leidner et Kayworth (2006), tout comme précédemment Deter et Schroeder et Mauriel
(2000), ont fait l’inventaire des différentes dimensions de la culture organisationnelle. Le
tableau ci-dessous synthétise l’inventaire de Leidner et Kayworth (2006 : 361-362).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 158
Références Dimensions
Beyer (1998) Les bases de la vérité et de la rationalité dans l'organisation - la motivation - la
stabilité par rapport à un changement, une innovation, le développement
personnel, la coordination et la responsabilité.
Blake & Mouton (1964) Le souci de production ou les soucis des personnes.
Cook & Laferty (1987, 2003) Passivité, agression, constructivisme, orientation sur la production ou sur les
personnes.
Denison & Mistitra (1995) La mission, l’implication, la constance, l’adaptabilité.
Ouchi (1980); Wilkins &
Ouchi (1983)
La hiérarchie, le marché, les clans
Schein (1992) Les bases de la vérité et de la rationalité dans l'organisation ; La nature du temps et de l'horizon temporel - de motivation -d’orientation du travail, des
tâches, envers les collaborateurs ; L’isolation ou la collaboration / coopération.
Tableau 11: Dimensions de la culture organisationnelle (Leidner et Kayworth, 2006 : 361-362)
1.3. Les valeurs individuelles et organisationnelles
Les valeurs ont tour à tour été comparées à des croyances (Allport, 1961 ; Rokeach, 1973), à
des attitudes (Campbell, 1963, Rokeach, 1968), à des besoins (Maslow, 1954), à des intérêts
(Allport, 1961; Perry, 1954; Rokeach, 1973), à des traits de personnalité (Rokeach, 1973;
Roccas et al, 2002), ou encore à des standards ou des critères de choix (Rokeach, 1973;
Rosenberg, 1956 ; Smith, 1969). Nous évoquerons les différents concepts proches du concept
de valeur, principalement à partir des travaux de Rokeach (1968, 1973).
Les approches anthropologiques, sociologiques, et psychosociologiques qui comme nous
l’avons vu lors de l’analyse des fondements de la recherche sur la culture, sont en effet
complémentaires pour définir les valeurs, en particulier à partir des travaux de Kluckhohn
(1952), de Parsons (1971), de Rokeach (1968, 1973), et de Schwartz (1994).
Ceci nous amènera ensuite à travailler sur les contextes organisationnels, en particulier avec
des auteurs s’étant attachés, à décrire le fonctionnement de la culture organisationnelle
(Mitroff et Kilman, 1975 ; Ouchi, 1981 ; Quinn et Rorhbaugh, 1981, 1983 ; Deal et Kennedy,
1982 ; Mc Donald et Gandz, 1992 ; Cameron et Freeman, 1991 ; Goffe et Jones, 1998).
1.3.1. La définition des valeurs selon Kluckhohn
Kluckhohn (in Parsons et al, 1952: 395) a proposé une définition fondatrice des valeurs : «
une valeur est une conception, explicite ou implicite, de ce qui est désirable, pour un individu,
ou pour un groupe d’individus, et qui l’influence dans la sélection d’une action possible,
selon ses modes, son sens, et sa finalité ».
Pour Kluckhohn, une valeur, même si elle n’est pas toujours explicitée, est l’expression d’un
choix d’un acteur ou d’un groupe d’acteurs. Le choix se porte sur ce que l’on estime devoir
désirer, sur la base de la morale, ou d’un raisonnement influencé par une situation donnée.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 159
Un individu ne respectant pas les valeurs d’une société est considéré comme déviant ou au
mieux marginal et serait soit rapidement invité à modifier son comportement, soit tout
bonnement écarté de son groupe d’appartenance. Aussi pour Kluckhohn (1952 : 400), les
valeurs existent « parce que la vie sociale serait impossible sans elles. Le fonctionnement du
système social dans son ensemble serait mis en échec dans l’atteinte des buts collectifs ; les
individus ne pourraient pas obtenir ce dont ils auraient besoin de leurs congénères, en terme
personnel et émotionnel […] ».
Les valeurs sont un élément essentiel du fonctionnement social, car elles poussent à agir. Elles
freinent les tentatrices pour maintenir l’acteur dans son système social. Les valeurs
influencent donc l’acteur dans ses choix. Face à une situation donnée, celui-ci va choisir la ou
les valeurs les plus adéquates et les hiérarchiser pour guider son action tout en préservant ses
intérêts. Aussi les choix que nous faisons peuvent ne pas être issus d’un calcul purement
rationnel. Par exemple, un acteur se trouvant seul dans une rue et ramassant un portefeuille
qui ne lui appartient pas peut choisir de le ramener aux objets trouvés sous l’effet de la valeur
d’honnêteté et celle de la compassion, alors qu’un pur calcul rationnel l’aurait poussé à
prendre l’argent s’y trouvant.
1.3.2. La définition des valeurs selon Rokeach
Pour définir ce qu’est une valeur, Rokeach (1973: 3) s’appuie sur cinq postulats :
1. Il existe un nombre limité de valeurs pour chaque individu ;
2. Toutes les valeurs sont partagées et s’expriment à des degrés différents selon les
individus ;
3. Les valeurs sont organisées en systèmes ;
4. Il existe des lieux d’«hébergement» des valeurs comme la culture, la société, les
institutions, et la personnalité des individus. Ces lieux sont antérieurs à l’existence
des valeurs elles-mêmes, pour les individus ;
5. Enfin, les conséquences des valeurs peuvent être mises à jour, au niveau social,
rendant leur étude possible.
Chaque acteur forme son propre système de valeurs en les hiérarchisant au fur et à mesure de
leur apprentissage. Sur la base des travaux d’Allport (1961), Rokeach considère qu’une valeur
est une croyance qui permet d’agir en prescrivant ou de proscrivant les attitudes en fonction
de leur désirabilité émotive ou cognitive et nous avons vu qu’une croyance peut tout à fait être
à l’origine d’une norme de conduite.
A la suite de Lovejoy (1950), Hilliard (1950), Kluckhohn (1951), Kluckhohn et Strodtbeck
(1961), Rokeach pense que puisque les valeurs permettent d’agir, elles se réfèrent alors à un
mode de conduite qui est soit à long terme et basé sur des valeurs terminales d’ordre
idéologique (la paix sur terre), soit à court terme et qui nécessitent l’action immédiate sur la
base de valeurs instrumentales comme le courage.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 160
Les valeurs sont applicables à des degrés divers. Alors que certaines personnes ne transigent
pas sur certaines valeurs comme l’honnêteté par exemple, d’autres considèrent que voler un
voleur n’est pas si grave. Par conséquent les valeurs sont à la fois individuelles et collectives
mais ne s’appliquent pas à toutes les situations sociales dans un groupe donné. Tous les
acteurs qui sont honnêtes dans un même groupe n’ont pas tout à fait le même degré
d’application de l’honnêteté. Enfin les valeurs sont indépendantes du statut social, de l’âge et
du sexe. Par exemple, le courage s’applique dans les trois cas de figure. Ce dernier point est
cependant discuté par Cohen (1955), qui soutient au travers de la théorie de la sous culture
qu’un groupe social peut s’écarter des valeurs communes d’une société parce qu’il n’arrive
pas à faire reconnaitre ses performances dans le système de valeur institué.
1.3.3. La définition des valeurs selon Schwartz
Reprenant en particulier la définition et la classification des valeurs de Rokeach (1973),
Schwartz (1992, 1994, 2006) identifie dans la littérature six caractéristiques fondamentales
concernant les valeurs :
1. La valeur est une croyance associée de manière indissociable aux affects ;
2. Elle est terminale ou instrumentale au sens de Rokeach (1973), c'est-à-dire qu’elle
peut exprimer un état final de l’existence. Elle peut se traduire par des
comportements immédiats ou différés ;
3. Elle permet de transcender des situations spécifiques, vécues par les individus ;
4. Elles servent d’étalon ou de critère, et guident les individus dans la sélection ou,
dans l’évaluation du comportement, des personnes ou des événements.
5. Elle est organisée avec d’autres valeurs pour former un système de valeurs ;
6. L’importance relative de multiples valeurs guide l’action.
Schwartz se différencie de Rokeach en insistant sur l’importance des buts généraux qui
dépassent les situations et les objectifs concrets, poursuivis par les individus. Les valeurs
n’ont pas toutes la même importance, mais elles ont en commun de servir de révélateurs, de
principes fondateurs permettant de guider la vie des individus ou des groupes.
Nous en retenons trois concepts fondamentaux associés aux valeurs : Les besoin (ce qui est
désiré), les croyances et les attitudes.
1.3.4. Valeurs et croyances
Pour Rokeach (1968 : 113), « une croyance est une proposition, consciente ou inconsciente
qui se déduit de ce qu’un individu dit ou entreprend, et qu’il est possible d’introduire par la
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 161
phrase : ‟ je crois que… ” ». Selon l’auteur, la croyance permet de faire des choix et mène
l’action. Il existe trois types de croyances :
1. les croyances descriptives ou existentielles ( je crois qu’il fait beau),
2. les croyances évaluatives, qui se basent sur une évaluation personnelle (je crois que
cet homme est honnête), et
3. les croyances prescriptives, qui se ramènent à une forme d’exhortation (je crois qu’il
est préférable de terminer les travaux avant qu’il pleuve).
Rokeach (1968 : 113) ajoute que chaque croyance possède fondamentalement trois
composantes.
1. Une composante cognitive, qui représente les connaissances d’un individu, et qui sont
retenues en fonction de ce qui est pour lui, juste ou faux, bon ou mauvais, désirable ou
indésirable ;
2. Une composante affective, qui se rattache au vécu affectif de l’individu et qui peut être
à l’origine de conflits de valeurs.
3. Une composante comportementale.
Les valeurs, au même titre que le système total de croyances, se rapportent à la bonne manière
de se comporter (dimension instrumentale) ou de rechercher des états finaux (dimension
terminale) dans l’existence, jugés importants ou non, et qui représentent de ce fait pour
l’individu une certaine « valeur ».
Les valeurs représentent les croyances auxquelles un individu adhère, concernant des modes
de conduite ou des objectifs poursuivis, projetés à plus ou moins long terme.
A cela, Schwartz (1992, 2006 : 931) ajoute que si les valeurs sont des croyances, elles sont
inextricablement liées aux émotions et non pas à des idées ou un calcul froid. Ce qui nous
conduit à penser que le facteur émotionnel, la spontanéité de l’acte, caractériserait un
agissement cherchant à maintenir la congruence entre le comportement et les valeurs qui sont
menacées dans un contexte précis.
Nous allons maintenant traiter du rapport qui existe entre les valeurs et les attitudes
individuelles.
1.3.5. Les valeurs et les attitudes individuelles
Selon Rokeach (1968 : 112), « une attitude est une organisation relativement durable de
croyances concernant un objet ou une situation, et qui prédispose un individu à réagir d’une
certaine manière ». Les attitudes sont des prédispositions à agir qui sont:
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 162
1. Durablement installées chez les individus.
Pour Rokeach (1968), l’attitude demeure indépendante de la manière dont elle est par
ailleurs apprise par l’individu, au fil de son histoire.
2. Une organisation de croyances.
Les attitudes sont une organisation de croyances inter-reliées entre elles, orientées vers un
objet commun. Les attitudes ont de plus des caractéristiques cognitives et affectives, du fait
que celles-ci soient composées de croyances qui sont liées entre elles, et qui présentent ces
deux composantes.
Il peut exister différents types d’organisations, comme la pluralité des croyances qui
constituent une attitude, ou une pluralité d’attitudes qui constituent un système plus large
d’attitudes reliées entre elles.
De plus, il peut exister également des systèmes encore plus larges, constitués par les
croyances, les attitudes et les valeurs des individus.
Comme dans l’étude de Bulgurcu et al (2010), les attitudes sont étudiées vis-à-vis d’objets, à
travers des situations données, et rarement l’inverse. L’incidence des attitudes vis-à-vis du
type de prédisposition menant à l’action, est constituée d’un ensemble de prédispositions,
activées dans un contexte particulier. La réponse apportée permet de révéler l’attitude, qui
existe à l’état latent chez l’individu.
3. L’aspect préférentiel de la réponse, apportée par l’individu.
Cette préférence peut être guidée par l’affect ou une évaluation dans un contexte donné.
Schwartz (2006: 931) distingue les attitudes des valeurs. Les attitudes sont selon lui, tout
comme les normes, des concepts restreints qui ont trait généralement à des actions, des objets
ou des situations particulières. Les valeurs ont la particularité de permettre à l’individu de
s’adapter à différentes situations, dans différents milieux, et donc de déterminer l’attitude la
mieux à même de satisfaire les intérêts individuels ou collectifs. Nous retenons de ce principe
que la valeur précède l’attitude et donc le comportement quand celui-ci n’est pas inné,
conformément au mécanisme proposé par Schein (1984).
1.3.6. Les valeurs et les besoins
Pour Rokeach (1973 : 20), s’intéresser aux valeurs revient à s’intéresser indirectement aux
besoins des individus. Les valeurs sont spécifiquement humaines. Elles traduisent des
besoins psychologiques et l’émanation d’une demande sociale et institutionnelle. Les valeurs
sont une transformation qui les rend socialement désirables et défendables. Il précise (ibid. :
23), que les besoins sont antérieurs aux valeurs. La similarité des besoins réduit le nombre
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 163
total de variations possibles en façonnant les systèmes de valeurs de nombreuses personnes de
la même manière
L’approche de Schwartz et Blitsky (1987, 1990) concernant les valeurs, est directement axée
sur l’existence de besoins, considérés comme universels, quels que soient les contextes
culturels explorés. Ces auteurs complètent la définition de Rokeach, en cherchant à
approfondir le lien qui peut exister entre les motivations universelles des individus et leurs
« traductions » concrètes, par les valeurs. Les valeurs sont formées par les trois exigences
humaines universelles, valables quels que soient les individus ou les sociétés : les besoins en
tant qu’organismes biologiques, nécessité d’une interaction sociale coordonnée, besoin de
survie et de bien être des groupes.
De même, pour Latham et Pinder (2005 : 491), les valeurs des individus s’enracinent dans
leurs besoins mais ne leur sont pas similaires. En effet, si elles sont bien constitutives d’une
force de motivation, elles sont acquises du fait du processus cognitif et de l’expérience des
individus alors que les besoins sont innés.
Afin de satisfaire les besoins, Schwartz (1992, 2006 :931) pense que les valeurs guident la
sélection ou l’évaluation des actions, des politiques, des personnes et des événements. « On
décide de ce qui est bon ou mauvais, justifié ou illégitime, de ce qui vaut la peine d’être fait
ou de ce qui doit être évité en fonction des conséquences possibles pour les valeurs que l’on
affectionne ».
Détaillons ainsi plus précisément la relation qui existe entre les besoins et les valeurs, à partir
des travaux de Schwartz et Bilsky.
1.3.7. Les domaines de motivation universels
La théorie des valeurs de Schwartz et Bilsky (1990) s’articule autour de trois concepts
fondamentaux. Les types de buts personnels, la contribution aux intérêts personnels et les
domaines de motivation.
Les types de buts personnels correspondent à la classification proposée par Rokeach (1973),
Lovejoy (1950) et Resher (1969). Mais selon Schwartz et Bilsky (1993 : 79), cette
classification n’est pas satisfaisante. Sur un plan conceptuel, la distinction entre but et moyens
n’est pas très nette. Selon eux, un but peut devenir un moyen et inversement. A l’image du
plaisir qui peut servir à atteindre le bonheur, des valeurs terminales peuvent devenir
instrumentales pour atteindre d’autres valeurs terminales (Schwartz et Bilsky, 1993 : 79).
La contribution aux intérêts se justifie par le fait que les valeurs sont des buts. Une
caractérisation des valeurs par la contribution aux intérêts qu’elles sont censées apporter
serait plus pertinente, selon qu’elles concernent spécifiquement l’individu (comme la
recherche de «plaisir », ou l’«indépendance»), la collectivité (comme la valeur «égalité» ou la
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 164
valeur «responsabilité») ou bien qu’elles contribuent à un niveau mixte, à la fois pour
l’individu et pour la collectivité (comme la valeur « sagesse ») (ibid. : 80).
Néanmoins, citant Hofstede (1980), Schwartz et Bilsky rappellent que les sociétés varient
selon l’importance que leurs membres accordent à l’individualisme et au collectivisme. Même
si la valeur garde un sens universel, cette distinction entre individualisme et collectivisme,
peut conduire à modifier les intérêts auxquels les individus croient qu’une valeur particulière
contribue, voire à ce que les intérêts soient des caractéristiques de la notion de valeur.
Les domaines de motivation (Schwartz & Bilsky, 19990) représentent une autre facette de la
définition des valeurs. Ils expriment l’existence d’exigences individuelles universelles,
s’exprimant dans tout type de société, véritables « fondations » des systèmes de valeurs
individuelles, que Schwartz et Bilsky (1987 : 551), dans leur théorie structurelle des valeurs
humaines universelles, ont défini dans un premier dans une typologie de sept domaines, que
Schwartz (1994) portera ensuite à dix :
1. Le pouvoir : la recherche d’un haut statut social, le prestige, la domination, le contrôle;
2. L’accomplissement : la réussite, le succès personnel au travers d’une compétence
personnelle ;
3. L’hédonisme : le plaisir, la gratification sensuelle et émotionnelle;
4. La stimulation : le goût pour la nouveauté, les défis ;
5. L’autonomie : la liberté de penser et d’agir, la créativité, l’exploration ;
L’universalisme : l’appréciation, la compréhension et l’acceptation de soi, des autres,
et du monde environnant ;
6. La bienveillance : la protection active et amélioration du bien-être d’autrui ;
7. La tradition : l’attachement aux symboles, le respect des traditions, la dévotion, le
dévouement;
8. La conformité : la retenue face aux actions et impulsions susceptibles de heurter les
autres et de transgresser les normes établies ;
9. La sécurité : la stabilité de la société, des groupes d’appartenance, des relations, de
soi-même, la sécurité, l’harmonie le respect des règles et de l’autorité.
1.3.8. La structuration des domaines de motivation selon le modèle
théorique de Schwartz
Schwartz (1994 : 24) propose un agencement circulaire des valeurs pour représenter un
continuum en termes de motivations. Plus deux valeurs sont proches l’une de l’autre sur ce
cercle, plus les motivations correspondantes sont similaires ; à l’inverse, plus deux valeurs
sont distantes, plus les motivations qui les sous-tendent sont antagonistes. Il faut cependant
souligner que la partition du domaine des valeurs en dix grands types est une commodité
arbitraire.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 165
Schwartz conserve également le principe qu’il avait déjà explicité avec Bilsky (1990), d’une
continuité ou d’une opposition entre les différents domaines de motivation relatifs aux
valeurs. Ces dix domaines motivationnels s’enchaînent de la manière suivante.
Dans la continuité :
1. Le pouvoir et l’accomplissement font ressortir la considération et la supériorité
sociale ;
2. L’accomplissement et l’hédonisme font ressortir la recherche de satisfaction, centrée
sur soi-même ;
3. L’hédonisme et la stimulation font ressortir la recherche de stimulation et de plaisir ;
4. La stimulation et l’autonomie font ressortir l’intérêt intrinsèque recherché dans la
nouveauté et dans la maîtrise de l’environnement ;
5. L’autonomie et l’universalisme expriment la confiance que les personnes ont
concernant leur propre jugement et le réconfort trouvé dans les diverses situations de
l’existence ;
6. L’universalisme et la bienveillance font ressortir l’intérêt porté aux autres et le
dépassement des intérêts, perçus comme étant trop personnels, voire égoïstes ;
7. La bienveillance et la conformité font ressortir des comportements normatifs orientés
vers des relations humaines fermées et déjà jouées d’avance ;
8. La bienveillance et la tradition expriment le dévouement à l’intérieur du groupe
d’appartenance et la valorisation des relations au sein du groupe ;
9. La conformité et la tradition font ressortir le lien de subordination de l’individu à
l’égard des attentes, socialement imposées ;
10. La tradition et la sécurité expriment les aménagements consentis dans la vie sociale,
en vue d’obtenir des certitudes dans la vie ;
11. la sécurité et la conformité expriment la recherche de maintien de normes sociales, qui
apporterait une protection dans l’existence ;
12. La sécurité et le pouvoir expriment la volonté de contrôler les relations et les
ressources, afin d’éviter la menace que représenterait l’incertitude, liée à la vie.
Dans l’opposition:
Par principe, les types motivationnels qui relèvent de l’intérêt individuel, s’opposent à ceux
qui représentent les intérêts collectifs. Il faut cependant rappeler que, selon Schwartz et Bilsky
(1993 : 81), cette distinction peut être discutée, voire remise en cause :
L’autonomie s’oppose à la conformité sociale. Affirmer son action et sa pensée de manière
indépendante serait en contradiction avec la retenue liée au conformisme social.
L’orientation sociale s’oppose à l’accomplissement de soi. Se préoccuper des autres
interférerait avec la recherche du succès personnel.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 166
Alter (2000) diverge sur ce point, l’innovateur avide de reconnaissance et de réussite agit pour
le bien de l’institution à laquelle il appartient, voire pour le bien de la société dans son
ensemble, lorsqu’il s’agit aussi d’un entrepreneur comme Steve Jobs par exemple. C’est aussi
en quelque sorte le point de vue d’Alain Caillé (1992, 2006, 2009) pour qui le
désintéressement paie. Le don répondrait à la recherche de l’accomplissement de soi. Par
ailleurs, peut-on dire que l’abbé Pierre n’a pas finalement atteint une forme
d’accomplissement, en s’occupant avec succès de loger des pauvres gens ? Nous pensons que
l’examen des valeurs individuelles est nécessaire pour comprendre la nature des motivations
de l ‘accomplissement personnel. L’abbé Pierre n’était peut-être pas ambitieux, mais peut-on
en dire autant de Steve Jobs ?
L’accomplissement de soi s’oppose à la sécurité. La recherche du succès irait à l’encontre des
relations sociales présentant un haut niveau de stabilité. Cette opposition de types de
motivations est adoptée par Alter (2000) pour qui l’innovateur prend un risque qu’il essaye de
contrôler, et Sarasvathy (2001) selon laquelle l’innovateur anticipe le risque pour l’éviter.
L’hédonisme s’oppose à l’orientation sociale. Se préoccuper de son plaisir et de son confort
rentrerait en contradiction avec le souci de se préoccuper de la société.
Schwartz (1994 :24 ; 2006/4 : 964) représente la structure des domaines motivationnels de la
manière suivante (Figure 21).
Figure 21: modèle théorique figurant les relations entre les types motivationnels de valeurs les types de valeur d’ordre supérieur et les dimensions bipolaires des valeurs (Schwartz, 1994 : 24 ; 2006/4 : 964)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 167
Dans ce modèle théorique, l’autonomie et la stimulation, expriment l’ouverture au
changement et s’oppose à la dimension du conservatisme, rassemblant la sécurité, la
conformité et la tradition. La bienveillance et l’universalisme traduisent l’altruisme et
s’opposent à la dimension de recherche du développement personnel, obtenu par la recherche
du pouvoir et par l’accomplissement personnel. Enfin, l’hédonisme serait à la fois relié à
l’ouverture au changement et au développement personnel.
1.4. Synthèse sur la culture organisationnelle
L’’étude de la culture organisationnelle nous permet de la définir comme une variable de
l’organisation, un apprentissage qui s’opère par l’interaction avec l’environnement et qui
structure les comportements. Cette approche nous permet de considérer que la culture d’un
individu n’est pas uniforme, mais peut être composée de plusieurs sous cultures selon la
métaphore de l’oignon virtuel (Straub et al, 2002 ; Gallivan et Strite, 2005). Adopter cette
vision d’une culture formée de différentes couches, c’est considérer que les règles qui
régissent les comportements et les interactions forment une culture, comprise comme un
système symbolique dont la compréhension est nécessaire pour susciter l’adhésion.
Si selon nous la culture nationale peut permettre à chaque membre d’une nation d’acquérir
des comportements salutaires du point de vue de la sécurité de l’information (la Commission
Nationale Informatique et Liberté éduque à la protection de la vie privée sur Internet), cette
culture n’est pas suffisante pour garantir que les comportements individuels et collectifs
répondent aux exigences spécifiques de la dirigeance et du contexte d’affaires des institutions.
Tout comme Von Solms (2000,2006) et Dhillon & Blackhouse (2001) nous pensons que les
responsables en charge de la sécurité de l’information ne peuvent s’affranchir des aspects
sociaux de la sécurité et de la structure informelle des organisations. D’autant que la
conception de notre modèle de recherche met en scène des acteurs en interaction et le
management de la sécurité autour de la dynamique d’échange.
Les valeurs sont au centre du modèle de la culture organisationnelle proposé par Schein
(1984), que nous avons adopté. Ces valeurs sont pour nous d’un grand intérêt puisqu’elles
répondent à des besoins individuels et collectifs et déterminent les attitudes. Le modèle des
valeurs de Schwartz (1994) a retenu toute notre attention puisqu’il se propose d’être universel,
adapté à tous les individus et à toutes les sociétés.
Ce modèle met en opposition les valeurs individuelles et les valeurs collectives regroupées en
dix types motivationnels. Si nous partageons ce point de vue lorsqu’il s’agit d’opposer le
groupe motivationnel l’accomplissement de soi au groupe de sécurité, nous pensons que
l’opposition entre l’accomplissement de soi et l’orientation sociale peut être discutée. Alter
(2000) et Sarasvathy (2001) montrent que les innovateurs sont motivés par la créativité,
l’atteinte de leurs objectifs et la reconnaissance sociale, mais ils n’en font pas des acteurs
motivés par le pouvoir et l’ambition. La réussite peut très bien passer par la satisfaction
d’améliorer le bien-être de la société. L’abbé Pierre, pour reprendre un autre exemple déjà
cité, s’est probablement accompli en vouant sa vie pour le bien être d’autrui.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 168
L’étude de la culture organisationnelle et des valeurs nous permet de progresser dans la
compréhension de ce qui ferait que les institutions réussissent à limiter autant que possible les
incidents de sécurité de l’information, par une acculturation et l’apprentissage de
comportements adéquats (cf. chapitre 2). Le développement de valeurs de sécurité est un
travail de longue haleine, mais qui peut s’avérer payant pour les organisations. Mieux
connaitre les valeurs qui guident les employés, et mieux connaitre par quels moyens cette
acculturation serait effective, pourrait permettre d’améliorer la conception des programmes de
sensibilisation. Par exemple, en diffusant des messages portant sur l’importance que peut
avoir la sécurité sur la confiance qui peut s’instaurer avec les partenaires, etc.
Cependant, les incidents de sécurité peuvent être involontaires ou au contraire volontairement
provoqués (cf. Chapitre 2), et c’est ce dernier point que nous proposons d’approfondir sous
l’angle de l’approche sociologique et culturaliste de la déviance.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 169
2. Opérationnalisation
2.1. Les théories du courant culturaliste de la déviance
2.1.1. Qu’est-ce que la déviance ?
Pour Cusson (1992), « La déviance est l’ensemble des conduites et des états que les membres
d’un groupe jugent non conformes à leurs attentes, à leurs normes ou à leurs valeurs et qui,
de ce fait, risque de susciter de leur part réprobation et sanctions. […] La déviance apparaît
d’emblée comme une activité qui déçoit une attente, qui viole une norme sociale ou qui nie
une valeur. Elle présuppose l’existence d’un univers normatif». (1992, 389-390)
Selon Ogien (1995 : 6), « toute collectivité humaine se perpétue en faisant respecter un
certain ordre de valeurs par l’ensemble de ses membres ; et des normes de conduite viennent
préciser les manières de faire et de penser que ces valeurs imposent».
Selon Alter (2000), l’innovateur « ordinaire », celui qui intéresse notre propos est déviant par
nature. La déviance est un phénomène ni marginal, ni périphérique au changement. Elle en est
au contraire le principal vecteur. Elle est portée par des acteurs qui, d’une part, transgressent
les règles, les normes, les conventions ou les routines et qui, d’autre part, remettent en cause
les logiques de justice portées par les systèmes de sanction. Ces innovateurs bouleversent en
quelque sorte la hiérarchie des valeurs établies et se justifient par le bénéfice qu’ils procurent
à l’institution ou la société.
Comme le montre les trois définitions précédentes, le comportement déviant d’un individu ou
d’un groupe d’individu se définit selon nous comme « tout comportement non conforme aux
normes, dicté par les valeurs d’un groupe ou d’un agrégat plus large d’appartenance, justifié
par les avantages qu’il procure pour l’individu ou le groupe d’individus qui l’exerce ».
Selon nous, la déviance n’est pas un comportement directement non conforme aux valeurs,
mais aux normes qui en découlent. En effet, les valeurs des individus ne sont pas hiérarchisées
de la même façon. Aussi, ce qui peut sembler être une déviance pour les uns, ne l’est pas
forcément pour les autres. Au contraire, les normes découlent d’un consensus qui légitime les
limites à ne pas dépasser, aussi, « nul n’est censé ignorer les normes dans une organisation
sociale ».
Dans le cadre de la sécurité de l’information, nous avons vu que le management de
l’organisation, au plus haut niveau, édicte des politiques qui fixent des normes
comportementales afin que tous les membres de l’organisation adoptent d’une part un
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 170
comportement conforme à la législation, et d’autre part un comportement conforme à ce que
la direction juge comme important pour réduire les risques sur la sécurité de l’information.
De la même manière, un individu peut être considéré comme déviant par les membres de son
réseau social s’il ne respecte pas les règles communes. Rappelons en effet que la confiance est
un paramètre fondamental pour profiter des avantages que procure un tel réseau.
Même si l’ensemble des comportements non conformes à ce qu’une culture organisationnelle
considère comme acceptable ne sont pas intentionnels, les théories de la déviance peuvent
cependant en expliquer une grande partie.
Trois grands courants théoriques sont utilisés dans le domaine de la criminologie, le
fonctionnalisme, l’interactionnisme et le culturalisme. Nous avons choisi de nous focaliser sur
ce dernier, dans la mesure où le concept fondamental est celui de système culturel : la
déviance est définie comme un phénomène culturel ; comprendre et expliquer la déviance
conduit à s’interroger sur les phénomènes de socialisation, d'acculturation ou de déculturation.
Ce concept de système culturel s’intéresse aux différences de comportement des individus
lorsqu'ils appartiennent à divers milieux culturels, et les mécanismes de socialisation par
lesquels ils se différencient de leur culture d’origine. La déviance est envisagée par les
sociologues culturalistes, soit comme le produit d'une transmission culturelle, soit encore
comme un conflit de culture ou encore une sous-culture.
2.1.2. La théorie des associations différentielles
La théorie des associations différentielles est née des travaux d’Edwin Sutherland (1966).
Cette théorie postule, que l’apprentissage des normes et des procédés ne se déroule pas pour
tout le monde dans les mêmes contextes de relations (Robert, 2012 : 64).
Selon sa théorie, le comportement déviant est appris de la même manière que le
comportement conformiste; il n'est ni inhérent à l’individu, ni inventé par lui. Il est appris au
contact d'autres individus par un processus de communication qui limite la diffusion large des
informations (par exemple, l’e-mail serait proscrit), principalement dans des petits groupes.
Cet apprentissage comprend d'abord l'apprentissage des techniques nécessaires pour
commettre l'infraction et ensuite l'apprentissage de « l'orientation des mobiles, des pulsions,
des rationalisations et des attitudes » (Sutherland et Cressey, 1966 : 88-89) qui permettront de
la commettre.
L’association différentielle est l’interprétation favorable ou défavorable à la transgression de
la loi ou la norme.
Pour Sutherland, les associations différentielles ne sont pas toutes de poids égal et n'ont pas
toutes la même importance : certaines ont un impact, une influence plus grande que d'autres.
Ce poids varie avec la fréquence, la durée, l'antériorité et l'intensité de chaque association
particulière :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 171
la fréquence : plus on est exposé à un modèle déviant, plus le risque s'accroît de
devenir déviant,
la durée : plus les contacts avec les modèles déviants sont longs et plus le risque
s'accroît de les adopter pour son propre comportement,
l'antériorité : elle exerce une influence décisive en ce sens qu'en règle générale, le
comportement conformiste ou déviant développé dans l'enfance peut persister toute
la vie. L'apprentissage socioculturel se faisant, en premier lieu, dans le sein de la
famille d'origine, l'enfant peut être élevé, dressé à la déviance,
l'intensité : elle se rapporte au prestige du modèle déviant ou non-déviant.
Sutherland pense également que les comportements déviants et conformes sont issus des
mêmes valeurs. Par exemple, la fiabilité est une valeur qui s’exprime autant envers un chef
mafieux, qu’envers une autorité judiciaire. Dans ces conditions si la déviance est l’expression
d’un ensemble de besoins et de valeurs, l’étude des valeurs ne serait pas explicative des
comportements des acteurs.
Nous soulignons également le parallèle évident entre cette théorie et l’intérêt de l’étude des
réseaux sociaux. Ainsi, un réseau à liens forts serait effectivement propice aux comportements
déviants. Comme le soutien Coleman (1988) à l’opposé de Burt (1992), le réseau à liens forts,
pourrait être porteur d’opportunités et soutenir des comportements déviants.
2.1.3. La théorie des conflits de culture
Cette théorie causale de Sellin (1938) postule que la criminalité s'explique par les conflits de
culture, entendus comme conflits entre normes de conduite.
Tout ce qui est interdit aujourd’hui ne sera pas forcément interdit à un certain moment dans
l'avenir. C’est ce que dit Reynaud (1997) quand il énonce que la principale activité des
organisations est de supprimer, modifier ou créer continuellement de nouvelles normes.
La définition de la déviance a donc un caractère variable dans le temps, tout comme les
croyances et les valeurs des individus au fur et à mesure de leur parcours de vie, de leurs
rencontres, de la nature des interactions qu’ils opèrent avec d’autres individus et plus
globalement, des mécanismes de socialisation.
Ces idées sont donc des éléments culturels qui vont s'insérer dans des modèles - ce que Sellin
appelle des configurations d'idées- ayant tendance à se fixer, à s'incorporer dans l'esprit de
chaque individu. Un individu appartient simultanément à plusieurs groupes sociaux. Or,
chacun de ces groupes est normatif. Être accepté dans ces groupes nécessite des normes de
conduite spécifiques, qui ne sont pas toutes identiques d’un groupe à l’autre. Plus un individu
est inséré dans des groupes sociaux différents, moins il y aura de chance que les normes de
ces groupes soient uniformes, et plus il lui sera nécessaire d’adapter ses comportements.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 172
C’est ce qui pousse Sellin à dire alors qu'un conflit de normes existe chez un individu quand il
est confronté à deux normes qui s’opposent, quand la norme de conduite d'un groupe dont il
fait partie émet une réponse à une situation alors que la norme d'un autre groupe dont il fait
aussi partie permettrait une réponse complètement contraire. L’individu fait alors le choix du
comportement qui se rapproche le plus de ses propres valeurs ou expériences et risque de
dévier de la norme du groupe dans lequel il se trouve.
Selon Sellin, les conflits de culture peuvent finalement se produire dans trois types de
situations :
1. quand des codes culturels différents se heurtent à la frontière de zones de culture
contigües,
2. quand la loi d'un groupe culturel est étendue pour couvrir le territoire d'un autre
groupe culturel, et
3. quand les membres d'un groupe culturel émigrent dans un autre groupe culturel.
Sellin en arrive à distinguer deux types de conflits :
1. Les conflits primaires sont les conflits de culture qui procèdent de la migration de
normes d'une culture à une autre, ou encore qui se développent à la frontière de deux
cultures lors d'une colonisation ou encore par l'effet de migrations d'un groupe dans
d'autres ;
2. Les conflits secondaires sont les conflits internes à un même système culturel qui sont
dus à un processus de différenciation sociale engendrée par l'évolution de la culture de
différents groupes sociaux.
Le premier cas peut s’illustrer par exemple par un changement d’institution. L’individu migre
d’une petite entreprise vers une multinationale. Un certain nombre de normes changent, et ce
changement peut créer des conflits de valeurs.
Le deuxième cas peut s’illustrer par les différences normatives qui peuvent exister dans une
même institution, entre un département de R&D et un département de contrôle qualité, par
exemple.
Il existe cependant des critiques à l’égard de ce concept :
Selon Jean Pinatel (1960 : 48), l’étude de la criminologie ne peut s’abstenir de
l’analyse psychologique du délinquant. Sellin néglige les problèmes de personnalité
qui pourtant, sont fondamentaux. Le prestige des modèles culturels n'est pas le même
pour tous et dépend de variables individuelles,
Sellin n’explique pas pourquoi il existe une culture délinquante à transmettre,
pourquoi elle a tel ou tel contenu et pourquoi elle est distribuée de telle ou telle façon.
Cette théorie reste néanmoins très intéressante. Hormis entre deux groupes qui portent des
valeurs opposées, comme par exemple une organisation maffieuse et une préfecture de police,
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 173
on peut douter que les normes entre deux groupes différents divergent profondément.
Néanmoins, le passage d’une petite entreprise, où les activités sont peu formalisées, vers une
multinationale, où les procédures sont beaucoup plus lourdes, ou encore, le passage d’une
organisation à but non lucratif vers une organisation marchande, nécessite une adaptation aux
normes qui divergent forcément en partie, de par les différences de structures ou de buts.
Cette notion de conflit de normes fait appel selon nous, à l’habitus (Bourdieu, 1980b), à
l’intériorisation par l’acteur des valeurs, des normes et des comportements qui permettent son
adaptation. Ainsi, il pourrait exister selon nous, des moments, des situations où, l’acteur
acceptant difficilement une norme en vigueur, choisit d’adopter une attitude apprise, tolérée
dans un autre groupe auquel il appartient ou a appartenu, parce qu’il est plus conforme à ses
valeurs.
2.1.4. La théorie générale de la sous-culture
La théorie de la sous-culture est une théorie explicative de la déviance. Pour Cohen (1955),
chaque individu évolue dans une société basée sur un système de valeurs, et se voit assigner
une position dans la hiérarchie sociale. Des sous-cultures en marge de la culture dominante se
constituent lorsque certains groupes ne parviennent plus à faire apprécier leurs performances
ou leurs actions par rapport aux valeurs instituées. Cette différenciation d’appartenance
culturelle forme des clivages qui :
accentuent davantage, d'une part, la séparation du groupe par rapport à la société
globale, et d'autre part, la dépendance des membres du groupe les uns par rapport aux
autres,
rendent le retour à la culture dominante impossible aux individus qui s’en sont écartés.
L’acte déviant est l’aboutissement d'un processus d’interaction constante entre son auteur et la
situation. Ce processus de passage à l'acte peut donc voir son cours se modifier quand il y a
changement, soit de la personnalité de l'auteur de l'acte, soit de la situation, soit des deux.
La théorie générale de la sous-culture (Albert. K. Cohen, 1955) se définit à partir de la
délinquance juvénile. Au départ, Cohen pose comme phénomène majeur de la délinquance
juvénile l'existence d'une sous culture délinquante qu'il définit de la façon suivante :
elle est non utilitaire : par exemple, le vol est une activité valorisée par elle-même et
non pour le profit que l'on peut en retirer.
elle est mal intentionnée : les méfaits sont accomplis par défi, pour nuire ou faire
souffrir.
elle est négativiste : les conduites sont en opposition systématique avec les normes
établies ;
Pour qu'une sous-culture soit possible, il faut d'abord que les individus rencontrent les mêmes
problèmes d’adaptation à la vie sociale. Une fois regroupés, ils vont, pour parvenir à leur fin,
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 174
développer des solutions, en opposition avec la société qui les écarte, ce que Cohen appelle
des « innovations ».
Selon Cohen, il y a un processus d'élaboration commune de la nouvelle solution, un processus
d’innovation qui développe une sous-culture, dans la mesure où choisie par l'un, elle n'a de
pertinence sociale que si elle est acceptée par les autres. Ces « innovations » deviennent ce
que Cohen appelle de « nouveaux standards » du groupe, c’est-à-dire des règles qui vont
conduire leurs comportements. Ces règles perdureront tant que leur utilité sera démontrée.
Cette théorie de la sous-culture, développée pour expliquer la délinquance juvénile, pourrait
expliquer les comportements déviants de réseaux formant des cliques. Les cliques sont des
réseaux fermés rassemblant des personnes se connaissant et ayant les mêmes valeurs.
Cependant, penser que des salariés, regroupés en petits nombres, décident d’un commun
accord de faire fi des règles des institutions, nous semble osé et hasardeux. Nous serions alors
dans le cas où des employés commettraient volontairement des actes déviants par soucis de
nuire. Ce profil n’est pas adapté à celui de l’innovateur.
2.1.5. Une vision moins négative de la déviance
Un grand nombre d’études tentent de relier une forme de déviance à un contexte particulier (le
vol et le sentiment de frustration, le vandalisme…). Pour Bennet et Robinson (2004), les
travaux réalisés sur la compréhension de ces types de déviance font peu le lien entre ces
inconduites avec, d’une part, le fonctionnement de l’organisation, puis d’autre part, les
réponses de l’organisation et des salariés qui les subissent.
Les années quatre-vingts marquent le virage des considérations portées par les chercheurs sur
la déviance. Ainsi, Hollinger (1986) met davantage l’accent sur les objectifs de la déviance. Il
distingue deux types de comportements correspondant à des déviances :
Les « productions deviance », sont des comportements contreproductifs, tels le refus de suivre
les consignes et les ordres, l’adoption de cadences ralenties, etc.
Les « property deviance », sont des comportements portant atteinte au patrimoine de
l’entreprise, tels que le vol ou le vandalisme.
Vardi et Weiner (1996) s’intéressent aux « organizationals misbehaviours ». Selon eux, la
confrontation entre un individu et l’organisation peut placer l'acteur en situation de déviance
(nous retrouvons ici l’opposition entre les valeurs centrées sur l’intérêt individuel et celles
centrées sur l’intérêt collectif proposé par Schwartz (1992)) .
Ils identifient trois types d’ « organisational misbehaviour » (OMB).
Ceux qui ont pour objet la recherche d’un bénéfice pour l’individu au détriment de
l’organisation (OMB de type S). Ils visent trois catégories de cibles :
Le travail lui-même (par exemple en détournant des informations) ;
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 175
Les propriétés de l’organisation, ses ressources ou ses symboles (par exemple un
brevet) ;
L’utilisation pour soi de ce qui fait l’identité de l’entreprise comme ses logos, voire le
détournement de ses compétences.
Les OMB de type D caractérisent la volonté de nuire par la détérioration de matériels ou de
locaux.
Les OMB de type O ont pour objet la recherche d’un intérêt pour l’organisation. L’objectif est
d’obtenir un bénéfice pour l’organisation, par exemple en falsifiant des documents pour
permettre à l’entreprise d’emporter un marché.
Enfin, et nous l’avons largement évoqué, l’innovateur « ordinaire » (Alter, 2000) est un acteur
qui pratique la déviance pour le bien de l’institution.
2.1.6. Synthèse du courant culturaliste de la déviance
Le courant culturaliste pose le conflit et l’apprentissage comme des sources de déviance. Ces
théories nous semblent pertinentes dans le cadre de notre thèse. En effet, c’est bien cette
notion de conflit qui intervient dans le cas d’une déviance « positive » pour l’organisation à
l’image des agissements de l’innovateur selon Alter (2000). De plus, le fait que de nombreux
acteurs sont insérés dans de multiples structures (réseaux sociaux, associations, etc.) militerait
pour que les différences normatives, auxquelles ils doivent s’adapter, les poussent dans
certains cas à opter à un instant donné pour des comportements qui ne correspondent pas à
ceux promus par la norme en vigueur dans l’institution pour laquelle ils agissent. Par ailleurs,
leur réseau personnel peut constituer une source d’opportunité, un incitateur et un soutien
pour des actes déviants.
2.2. Mesure de la culture organisationnelle
Le concept de culture organisationnelle semble, malgré la profusion des méthodes
développées pour son évaluation (Watts, 2005 ; Müller, Kraemmergaard et Mathiassen,
2008), l’un des plus difficiles à opérationnaliser et à mesurer. C’est pour cette raison que
Schein (2004) considère les enquêtes quantitatives comme inadéquates à la mesure de la
culture organisationnelle et plaide de la sorte pour le développement des approches
qualitatives afin de pouvoir appréhender les stades les plus profonds de la culture. C’est ainsi
qu’il mobilise « the Clinical Inquiry Framework », comme une approche qualitative, pour
évaluer la culture organisationnelle en profondeur. Cette méthode s’appuie essentiellement sur
la technique des groupes de travail. Participer aux groupes de travail permet de capter les
nuances qualitatives des cultures et des sous-cultures. Cela permet aux participants
d’expliciter et de comprendre leur propre culture (Schein, 2004). Cette méthode exige
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 176
également la présence de conseillers dont le rôle est d’aider les participants à exprimer des
hypothèses tacites par la suggestion des jargons, des codes vestimentaires ou tout autre
artéfact potentiel. Une fois la culture décrite au moyen des artefacts, les employés sont invités
à exprimer les valeurs implicites à ces artéfacts.
Hofstede et al. (1990) plaident pour les études hybrides qualitatives/quantitatives. Bien que la
démarche qualitative soit plus adaptée à évaluer la profondeur de culture organisationnelle, il
s’avère nécessaire de fournir une surface quantitative aux résultats obtenus. Les résultats
empiriques d’ Hofstede et al. (1990) montrent qu’une grande partie de la différence culturelle
est expliquée par six dimensions indépendantes, reliées à des concepts tirés de la sociologie
organisationnelle. Les différences de la culture organisationnelle résident donc au niveau des
« pratiques quotidiennes perçues par les membres de l’entreprise » : « contrairement à la
littérature qui considère les valeurs partagées comme le noyau de la culture d’entreprise
(Peters et waterman, 1982), ce sont les perceptions des pratiques quotidiennes partagées qui
forment ce noyau » (Hofstede et al, 1990 : 311).
Au contraire de Schein, Denison (1996) pense qu’il est tout à fait possible d’effectuer des
mesures de la culture organisationnelle au moyen d’outils quantitatifs. O’Reilly, Chatman et
Cadwell (1991) ont développé et validé un instrument de mesure quantitatif pour évaluer
l’adhésion des employés à la culture de leur organisation.
Différents modèles d’analyse sont disponibles pour étudier la culture organisationnelle
comme celui de Mitroff et Kilmann (1975) et celui de Quinn et McGrath (1985) utilisé par
Mc Donald et Gandz (1992).
2.2.1. Le modèle de Mitroff et Kilman
Le Mitroff et Kilmann (1975, 1976) propose une typologie matricielle qui postule l’existence
de quatre types de cultures distinctes. Ces quatre types de cultures sont le « clan », la «
hiérarchie », l’« adhocracie », et le « marché » (Mitroff et Kilmann, 1975, 1976). Ces
propositions de groupes culturels sont cohérentes avec les travaux de Williamson (1975),
d’Ouchi (1980), de Mintzberg (1979), de Wilkins et d’Ouchi (1983). Néanmoins, ce modèle
ne nous semble pas convaincant dans la mesure où il oppose le fonctionnement inductif
justifié par l’individualisme, la participation, l’interaction, la spontanéité et la flexibilité au
fonctionnement déductif justifié par l'ordre, la stabilité, la linéarité, et la rationalité. Par
exemple, nous ne comprenons pas en quoi l’individualisme ne pourrait pas justifier le
fonctionnement déductif ou serait incompatible avec les valeurs d’ordre. De même
l’individualisme est a priori contraire à la participation, mais ils font tous les deux parti des
valeurs qui caractérisent le fonctionnement inductif, ce qui nous semble contradictoire.
La Figure 22 présente les 4 types de cultures distinctes :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 177
Figure 22: Les quatre types de cultures organisationnelles selon Mitroff et Kilmann 1984 :6)
2.2.2. Le modèle de Cameron et Freeman
S’inspirant des travaux de Campbell (1977), de Quinn (1988), de Smircich (1983) de Wilkins
et d’Ouchi (1983), Cameron et Freeman (1991) proposent un modèle très proche du modèle
des valeurs concurrentes. Il en reprend les mêmes variables et utilise les valeurs proposées par
McDonald et Gantz (1992). Ce modèle est plus complet que celui des valeurs concurrentes.
Il intègre trois niveaux d’analyse par cadrant- le style dominant de leadership, les bases
relationnelles et les orientations stratégiques- qui permettent certainement une analyse plus
fine de la culture organisationnelle. Néanmoins ce modèle ne nous semble pas adapté à
l’analyse de la culture individuelle qui fait aussi partie de notre étude.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 178
Processus Organique : flexibilité et spontanéité
LE CLAN : quotidien et intégration
Valeurs fondamentales :
Cohésion
Participation
Travail d’équipe
Sens de la famille Style dominant de leadership :
Mentor
Facilitateur
Bases relationnelles :
Loyauté
Tradition
Cohésion interpersonnelle
Orientations stratégiques :
Développement des ressources humaines
Engagement
L’ADHOCRATIE: compétition et différenciation
Valeurs fondamentales :
Créativité
Adaptabilité
Style dominant de leadership :
Entrepreneur Innovateur
Bases relationnelles :
Entrepreneuriat
Flexibilité
Prise de risques
Orientations stratégiques :
Innovation
Croissance
Exploitation de nouvelles ressources
LA HIERARCHIE : quotidien et intégration
Valeurs fondamentales :
Ordre
Règle
Uniformité
Style dominant de leadership :
Coordonnateur
Administrateur
Bases relationnelles :
Règles
Procédures
Orientations stratégiques : Stabilité
Prévisibilité
LE MARCHÉ : compétition et différenciation
Valeurs fondamentales :
Compétitivité
Performance
Style dominant de leadership :
Directeur
Producteur
Bases relationnelles :
Résultats
Production et compétition
Orientations stratégiques :
Avantage compétitif Supériorité
Processus mécanique : stabilité et contrôle
Tableau 12: Modèle tétra-factoriel de Cameron et Freeman (1991)
2.2.3. Le modèle des relations sociales de Goffee et Jones
Goffee et Jones (1998) analysent la culture organisationnelle en se distinguant nettement du
modèle des valeurs concurrentes et du modèle tétra factoriel. Ils proposent de mesurer la
culture organisationnelle selon deux types de relations sociales. Celles-ci peuvent être
animées par la sociabilité (la bienveillance qui existe entre les membres) et/ou la solidarité (la
détermination partagée par les membres de l’organisation, pour atteindre des objectifs
communs). La sociabilité constitue selon les auteurs le cœur des relations non instrumentales.
Elle englobe donc l’empathie et la compassion pour autrui. Concernant la solidarité, elle est à
la base des relations instrumentales permettant l’atteinte d’objectifs collectifs. Ce modèle est
très intéressant. Il relie les effets de réseau à la réussite de l’entreprise. Néanmoins, comme
pour le modèle tétra-factoriel, nous pensons que ce modèle n’est pas adapté à l’analyse de la
culture individuelle.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 179
Sociabilité élevée
Culture réticulaire : solidarité faible
Forces :
- Développement de la confiance et de la
loyauté
- Tolérance et esprit d’équipe
- Pensée créative
- Intelligence émotionnelle des leaders Faiblesses :
- Manque de confrontation dans les
discussions
- Transfert non systématique des
connaissances
- Formation de petits groupes
Culture communautaire: solidarité élevée
Forces :
- Bienveillance envers les pairs
- Passion pour le travail
- Engagement et loyauté
- Motivation à réaliser des performances
- Valeurs familiales Faiblesses :
- Difficulté à concilier sociabilité et solidarité
- Développement d’un esprit clanique et d’un
sentiment collectif de toute puissance
- Leader charismatique intimidant
Culture fragmentée : solidarité faible
Forces :
- Autonomie élevée des membres
- Diversité des membres permettant
l’exploration originale de problématiques
- Valorisation de l’intelligence
- Structuration de l’action peu coûteuse
Faiblesses :
- Peu de respect des procédures
- Présence de forces « égoïstes »
- Faible apprentissage organisationnel
Culture mercenaire : solidarité élevée
Forces :
- Energie élevée consacrée à l’atteinte des
résultats
- Rapidité d’action
- Prise de risque
- Pragmatisme et discipline
Faiblesses : - Capacité limitée à composer avec un environnement
complexe
- Intolérance à l’erreur qui défavorise la créativité et
l’innovation
- Insensibilité pour les individus
Sociabilité faible
Tableau 13: Le modèle des relations sociales de Goffee et Jones (1998)
2.2.4. Le modèle des valeurs concurrentes de Mc Donald et Gandz
Le modèle des valeurs concurrentes (Den Hartog et al, 1996; Denison et Mishra, 1995;
Hooijberg et Petrock, 1993; McDonald et Gandz, 1992; Quinn, 1998), repris de Quinn et
McGrath (1985), regroupe des valeurs fondamentales qui seraient révélatrices de types
culturels déterminés., eux-mêmes repérables par deux dimensions.
Les exigences de l’environnement externe en matière de « changement » ou de
« Stabilité » (statut quo);
l’orientation stratégique « interne » ou « externe » de l’organisation, c'est-à-dire orientée
vers la poursuite d’objectifs de performance à moyen ou à court terme, ou orientée vers la
cohésion du groupe (c'est-à-dire la valorisation des relations entre les salariés, au sein de
l’organisation) ;
Certaines valeurs sont regroupées pour déterminer des typologies culturelles distinctes :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 180
une culture de type clanique valorise les valeurs de tolérance, de considération, de
coopération, de respect, d’équité, d’humour, d’intégrité morale, de franchise, et
d’égalité sociale ;
Une culture d’ouverture au changement, valorisent les valeurs d’adaptation,
d’autonomie, de créativité, d’accomplissement personnel, de prise de risque ;
Les organisations de type « Marché » valorisent les valeurs de pugnacité, de
persévérance, et d’initiative ;
Une culture de la hiérarchie valorise les valeurs de prudence, d’économie des
ressources, de formalisme, de rationalité, de respect de l’autorité, et d’ordre.
Selon nous, ce modèle est le plus explicite et le plus complet concernant la relation qui existe
entre la culture d’entreprise et les valeurs. Néanmoins, certaines valeurs qui nous semblent
importantes n’apparaissent pas comme la préservation de la réputation par exemple. Alors que
dans un univers économique de plus en plus connecté, la réputation des institutions et la
confiance sont des valeurs de plus en plus importantes.
TYPE « RELATIONS » TYPE « CHANGEMENT »
LE CLAN : culture « clanique »
Objectif : Cohésion du groupe
Valeurs saillantes :
Ouverture d’esprit
Considération
Coopération
Marquer du respect
Équité
Tolérance
Humour
Intégrité morale
Franchise
Égalité sociale
L’ADHOCRATIE : culture « entrepreneuriale »
Objectif : Objectifs généraux
Valeurs saillantes :
Adaptabilité
Autonomie
Créativité
Accomplissement personnel
Prise de risque
LA HIERARCHIE : culture «bureaucratique »
Objectif : Processus de régulations
Valeurs saillantes :
Prudence
Économie des ressources
Formalisme
Être rationnel
Respect de l’autorité
Être ordonné
LE MARCHÉ : culture « pragmatique »
Objectif : Poursuite des objectifs
Valeurs saillantes :
Pugnacité
Persévérance
Initiative
TYPE « STATUS QUO » TYPE « TACHE »
Tableau 14: Modèle des valeurs concourantes (McDonald, P. et Gandz, J.,1992 :69)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 181
2.3. Le choix d’une échelle de mesure des valeurs
Plusieurs échelles de valeurs sont disponibles dans la littérature, nous proposons d’en détailler
quelques-unes afin de justifier notre choix.
2.3.1. L’échelle de Rokeach
Rokeach (1973) considère deux groupes distincts de valeurs. Le premier groupe est composé
d’une liste de dix-huit valeurs terminales et le second de 18 valeurs instrumentales, classées
par ordre alphabétique.
Valeurs terminales Valeurs instrumentales
Une vie passionnante Ambition
Une vie aisée Largeur d’esprit
Le sentiment d’accomplissement Compétence
Un monde en paix Entrain
Un monde beau Courage
L’égalité Pardon
La sécurité familiale Efficacité
La liberté Honnêteté
Le bonheur Imagination
L’harmonie intérieure Indépendance
L’amour mature Intelligence
La sécurité nationale Logique
Le plaisir Amour
La reconnaissance sociale Courtoisie
Le respect de soi Obéissance
L’amitié Fiabilité
La sagesse Maitrise de soi
Le salut Propreté
Tableau 15: Les 36 valeurs selon Rokeach (1973)
Deux catégories de valeurs terminales sont retenues par Rokeach (1973) :
les valeurs vécues par les individus et relevant des convictions intimes sans relation
immédiate avec l’entourage intime comme la « recherche de salut »,
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 182
les valeurs terminales interpersonnelles, c'est-à-dire tournées vers la société dans son
ensemble comme par exemple la « fraternité ».
L’auteur propose aussi de retenir deux catégories de valeurs instrumentales :
Une première catégorie de valeurs liées à la morale, et
Une seconde catégorie de valeurs liées à la compétence des individus.
Il est important de retenir qu’un conflit de valeur peut naître entre deux valeurs du même
groupe ou entre les deux groupes.
Figure 23: Catégories de valeurs selon Rokeach (1973)
Le modèle proposé par Rokeach a été critiqué, pour plusieurs raisons. Tout d’abord, les
valeurs terminales de « plénitude amoureuse », « le salut », « un monde en paix » et « un
monde de beauté » semblent peu adaptées au contexte professionnel (Finegan, 2000). Le
même reproche peut être fait à propos des valeurs instrumentales « l’amour », le « pardon »,
le fait d’ « être gai », ou d’être « propre » ou « aimant ». De plus au plan méthodologique :
le classement des valeurs opéré peut être sujet à variation compte tenu que les critères de
choix des individus peuvent changer dans le temps,
le classement des valeurs demande un certain temps, ce qui peut décourager les individus
sondés, avec le risque qu’ils abandonnent leur participation. Pour finir, le nombre
important de valeurs, 36 au total, peut, lui aussi, être complexe à mesurer.
2.3.2. L’échelle des valeurs de McDonald et Gandz
Pour élaborer ce modèle, les auteurs ont posés les trois questions suivantes à un panel de
quarante-cinq dirigeants lors d’entretiens directifs.
1. Quelle importance accordez-vous au concept de valeurs partagées ?
2. Quelles dimensions liées aux valeurs partagées, vous semblent-elles importantes ?
3. Quelles stratégies et quelles techniques, peuvent être, selon vous, appliquées afin
d’utiliser ces valeurs dans le management ?
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 183
Une liste de vingt et une valeurs est retenue à l’issu des entretiens. Trois autres valeurs ont été
rajoutées, après échange auprès d’experts et après comparaison avec les échelles d’England
(1967) et de Rokeach (1973). Ces valeurs sont « l’autonomie », «l’obéissance », et le
«respect de l’autorité ». L’ensemble des valeurs proposées par les auteurs est rassemblé dans
le tableau suivant.
Tableau 16: Les valeurs selon McDonald et Gandz (1992: 68)
Cette échelle est tout à fait intéressante dans la mesure où elle propose vingt-quatre valeurs,
ce qui semble tout à fait exploitable dans un travail de recherche. Les auteurs ont, de plus,
effectué un travail critique de comparaison des valeurs avec celles proposées par Allport
(1960), par England (1967) et par Rokeach (1973). Enfin, cette échelle a été construite dans
Valeurs Définitions proposées par McDonald & Gandz
L’adaptabilité Être flexible et pouvoir changer, en fonction de circonstances
nouvelles
La pugnacité Être accrocheur et poursuivre ses objectifs avec vigueur
L’autonomie Être indépendant et être libre d’agir
L’ouverture d’esprit Accepter différents points de vue et opinions
La prudence Être prudent et minimiser l’exposition au risque
La considération Être bienveillant, bon et prévenant
La coopération Être coopératif et savoir travailler avec les autres
Marquer du respect Être poli et respecter la dignité individuelle
La créativité Développer de nouvelles idées et appliquer des approches innovantes
L’accomplissement personnel S’accomplir en progressant, en apprenant et en se développant
La persévérance Travailler longtemps et avec intensité afin d’atteindre les résultats
La préservation des ressources Être économe et attentif aux dépenses
La prise de risque Adopter une approche par essais et erreurs, pour résoudre des problèmes
L’équité Être juste et fournir la récompense adaptée, en fonction du mérite
La tolérance Être tolérant et compréhensif quand des erreurs se produisent
Le formalisme Faire respecter les protocoles, maintenir la tradition
L’humour Savoir mettre de l’ambiance et être enjoué
L’initiative Saisir les opportunités et prendre des responsabilités sans hésiter
Être rationnel Raisonner et prendre des responsabilités sans hésiter
L’intégrité Avoir de l’honneur et respecter des valeurs éthiques
Le respect de l’autorité Suivre les directives et se conformer aux règles
La franchise Être droit, sincère et franc, dans les discussions
Être ordonné Être soigneux, ordonné et bien organisé
L’égalité sociale Être l’égal des autres et éviter les différences de statut
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 184
le cadre des recherches menées sur la culture organisationnelle, en particulier à partir des
travaux de Quinn et Rohrbaugh (1981, 1983), qui s’inscrivent eux-mêmes dans ceux de
Mintzberg et suivent en cela une approche systémique.
2.3.3. L’échelle Schwartz et Bilsky (1992, 1994) et de Schwartz (2012)
Schwartz et Bilsky (1992, 1994) proposent la mesure de cinquante-six valeurs nécessaires,
selon eux, pour traduire les dix types motivationnels fondamentaux et universels que nous
avons mentionnés précédemment. Ces valeurs sont regroupées autour de deux dimensions. Le
conservatisme, s’opposant à l’ouverture et au changement et le développement personnel,
s’opposant à l’altruisme (cf. Figure 24).
Les cinquante-six valeurs sont classées et énoncées ci-dessous : le premier classement est
réalisé par type motivationnel, le second énumère les valeurs et propose leur définition.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 185
Type motivationnel Définition Valeurs
Pouvoir (interaction,
groupe)
Statut social, prestige, contrôle et
domination des personnes et des
ressources
Le pouvoir social, l’autorité, la fortune, préserver
son image publique, la reconnaissance sociale
Accomplissement
(interaction, groupe)
Succès personnel, compétence, en
accord avec les standards sociaux
en vigueur
La réussite, être capable, l’ambition, l’influence,
l’intelligence, le respect de soi
Hédonisme
(organisme)
Plaisir et gratification personnelle Le plaisir, profiter de la vie
Stimulation
(organisme)
Besoin d’excitation, de nouveauté
et de défi
La hardiesse, une vie variée, une vie excitante
Auto-orientation
(organisme,
interaction)
Indépendance de pensée et
d’action
La créativité, la liberté, l’indépendance, la
curiosité, choisir ses propres buts
Universalisme
(groupe, organisme)
Compréhension, appréciation, la
tolérance et la protection du bien-
être de tous les hommes et de la
nature
L’ouverture d’esprit, la sagesse, la justice sociale,
l’égalité, un monde en paix, un monde de beauté,
l’harmonie, avec la nature, la protection de
l’environnement, l’harmonie personnelle
Bienveillance
(organisme,
interaction, groupe)
Préservation et amélioration du
bien-être des personnes avec
lesquelles on est en contact
personnel fréquent
Être serviable, l’honnêteté, le pardon, la loyauté,
être responsable, l’amitié authentique, un amour
profond, une vie spirituelle, un sens à la vie, le
détachement
Tradition (groupe)
Respecter ou se conformer aux
idées, aux coutumes, que la culture
ou la religion impose à l’individu
L’humilité, accepter son sort dans la vie, être
pieux, le respect des traditions, être modéré
Conformité
(interaction, groupe)
Freiner les actions, inclinations et
pulsions contraires aux normes et
attentes sociales
La politesse, l’obéissance, l’autodiscipline, le
respect des parents et des personnes âgées
Sécurité (organisme,
interaction, groupe)
Sécurité, harmonie, stabilité dans
la société
La sécurité familiale, la sécurité nationale, l’ordre
social, la propreté, l’échange des services, le sens
de l’appartenance, la santé
Tableau 17: Source: Schwartz S.H. (1994 : 2)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 186
Valeur Définition
Égalité Disposer des mêmes chances que les autres
Harmonie intérieure Paix avec soi-même
Pouvoir social Contrôle sur les autres, domination
Plaisir Satisfaction des désirs
Liberté Liberté d’action et de pensée
Vie spirituelle Les questions importantes sont d’ordre spirituel
Sentiment d’appartenance sentiment que les autres se soucient de moi
Ordre social Stabilité de la société
Une vie passionnante Avoir des expériences stimulantes
Avoir des buts dans la vie Avoir des buts dans la vie
Politesse Courtoisie, politesse
Richesse Argent, biens matériels
Sécurité nationale Protection de la nation contre les ennemis
Respect de soi Croyance en sa propre valeur
Réciprocité Éviter l’endettement, rendre les services
Créativité Imagination
Un monde en paix Un monde sans guerre et sans conflit
Respect de la tradition Respect des coutumes
Amour adulte Profonde intimité émotionnelle et spirituelle
Autodiscipline Maîtrise de soi, résistance à la tentation
Détachement Se désintéresser de préoccupations mondaines
Sécurité familiale Sécurité pour les proches
Reconnaissance social Témoignage de respect des autres envers soi
Unité avec la nature Se sentir proche de l’environnement
Une vie variée Une vie de nouveautés, de changements
Sagesse Expérience du vécu, Compréhension profonde de la vie
Autorité Le droit de diriger, de commander
Amitiés profondes Soutien sincère des amis
Un monde de beauté Une grande place pour la nature et les arts dans la vie
Justice sociale Correction des injustices, plus d’égalité
Indépendant Autonome, auto-suffisant
Modéré Rejeter les idées et comportements extrêmes
Fidèle Fidèle à ses amis, son groupe d’appartenance
Ambitieux Désireux de s’élever dans l’échelle sociale
Tolérant Accepter les idées des autres
Humble Modeste, effacé
Audace Amour du risque, de l’aventure
Protection de l’environnement Protection de l’environnement
Influent Avoir un impact sur les autres et sur les évènements
Honorant les anciens Respect des parents et des ainés
Choisir ses propres objectifs Disposer de son libre arbitre
Être en bonne santé Ne pas tomber malade
Être capable Être compétent, efficace et efficient
Accepter ma part dans la vie Se soumettre aux évènements, être résigné
Honnête Sincérité
Protéger son image publique Être soucieux de son apparence, de l’image que l’on renvoie.
Obéissant Tenir ses obligations, être dévoué
Intelligent Être capable de raisonner, faire preuve de logique
Utile Travailler pour le bien être des autres
Profiter de la vie Jouir des plaisirs de la vie
Pieux Croire en dieu, laisser une grande place à la religion
Responsable Fiable
Curieux Explorer, s’intéresser à tout
Pardonnant Être prêt à pardonner aux autres
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 187
Valeur (suite) Définition (suite)
Avoir du succès Réussir ses objectifs
Propre Être propre, méticuleux
Tableau 18: Définition des 56 valeurs individuelles, Schwartz, 1994: 61)
Figure 24: Structure de valeurs individuelles par types motivationnels (Schwartz, 1994 : 24 ; 2006/4:964)
Ce modèle peut être critiqué pour les mêmes raisons que celui de Rokeach (1973) dont il est
inspiré. Il contient lui aussi des valeurs difficilement mesurables dans un cadre professionnel
comme « un monde en paix » ou « la vie spirituelle », etc. De même, la mesure de cinquante-
six valeurs nous semble problématique.
Néanmoins, ces travaux sont parmi les plus utilisés par les chercheurs en sciences de gestion.
La liste des valeurs proposées peut tout à fait être adaptée au contexte de l’étude pour en
écarter les moins adaptées.
Récemment, Schwartz et al. (2012) ont proposé une mise à jour de cette liste de valeurs, suite
à une étude menée dans quinze pays. En conservant le concept phare de continuum, ces
auteurs ont cherché à simplifier son échelle et à en améliorer la validité interne. Le nombre de
valeurs est considérablement réduit puisqu’il passe de cinquante-six à dix-neuf. Cependant
cette simplification pose, selon nous, des problèmes d’interprétation et d’opérationnalisation.
Par exemple : la valeur d’autonomie regroupe les valeurs d’apprentissage, de créativité et de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 188
choix des objectifs. De même, la valeur de conformité regroupe les valeurs d’obéissance, de
respect des règles et de l’autorité. Ainsi, pour comprendre, ce qui finalement, motive l’acteur,
il faut déterminer qu’elles « sous-valuers » sont dominantes. Par exemple, l’acteur est-il
autonome parce qu’essentiellement créatif ou parce qu’il cherche surtout à déterminer lui-
même ses objectifs. En somme, établir cette nouvelle liste de dix-neuf valeurs individuelles ne
suffit pas. Il faut toujours poser cinquante-six questions et déterminer avec le plus de
précisions possibles, quelles valeurs agissent précisément.
2.3.5. Synthèse sur la mesure de la culture organisationnelle
Dans ce chapitre, nous avons proposé un balayage arbitraire de quelques principaux modèles
d’analyse de la culture organisationnelle. Tous ces modèles se basent sur une contingence
2x2. A partir du croisement de deux variables, ils proposent quatre modalités culturelles pour
expliquer la manière dont les institutions forment leurs conditions d’existence.
Nous avons opté pour le modèle des valeurs concurrentes. Ce modèle est explicite et complet
pour mesurer la culture organisationnelle, même si selon nous certaines valeurs méritent
d’être revues. De plus, nous pensons que ce modèle, contrairement aux autres, est utilisable
pour mesurer les valeurs individuelles.
Quelle échelle joindre au modèle ? Notre travail de recherche nous permet d’écarter celle de
Rokeach (1973) dont la mise en œuvre en suivant une méthodologie quantitative nous semble
trop complexe. Nous estimons que le travail sur les valeurs de Schwartz est très complet et
doit être utilisé. Néanmoins les cinquante-six valeurs identifiées ne peuvent toutes être
utilisées. Un rapprochement avec l’échelle de Mc Donald et Gantz nous permettra d’effectuer
ce travail pour définir une liste de valeurs pertinentes dans le cadre de notre thèse.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 189
Le travail de recherche nous a permis de comprendre les liens entre la culture
organisationnelle et la sécurité de l’information.
La sécurité de l’information s’exprime avant tout dans les pratiques des individus et en
l’occurrence des employés des organisations.
Ces pratiques répondent à des exigences normatives qui traduisent les valeurs qui comptent
pour l’organisation et donc sa culture organisationnelle. Néanmoins, les normes pour être
appliquées, doivent être légitimées, ce qui justifie l’intervention de la dirigeance et du
management en général, mais aussi une adaptation des normes aux contextes d’action. Par
ailleurs, le mode de fonctionnement de certains managers et la nature changeante de normes
peuvent laisser place à des interprétations ou des croyances se traduisant par des
comportements contraires aux attentes de l’institution.
La culture organisationnelle se mesure par le système de valeurs qu’elle porte, mais aussi par
les pratiques que l’on peut observer (Hofstede, 1990).
L’étude des théories de la déviance nous a permis d’établir que toute organisation doit aussi
faire face à des attitudes déviantes qui sont le corollaire de l’ordre imposé pour la cohésion
des groupes et l’atteinte des objectifs de l’organisation, et ce, même si ces comportements
déviants ne sont pas toujours négatifs pour les institutions.
La littérature parcourue nous donne des clés d’analyse de la culture organisationnelle et de
son implication dans la formation des comportements des acteurs. Ces derniers peuvent ne
plus se reconnaitre dans la culture commune, et se rapprocher d’autres groupes partageant un
autre système de valeurs. Ils peuvent aussi faire partie d’autres structures sociales qui
fonctionnent sous un autre système de culture, comme les réseaux personnels et plus
généralement les réseaux sociaux, dont on peut dire, par exemple, qu’ils ne sont pas motivés
par l’atteinte d’objectifs financiers. Ainsi, les acteurs peuvent être confrontés à des conflits
culturels internes, et donc faire des choix qui ne sont pas toujours favorables aux
organisations. Ces choix peuvent aussi être dus à une interprétation favorable ou défavorable
de la transgression d’un règlement et n’aurait rien à voir avec l’expression de besoins ou de
valeurs. Cette dernière explication implique que pour agir, le déviant a besoin d’opportunités,
de soutiens et d’exemples, qu’il trouve dans son réseau social.
Le parcours de la littérature nous a également permis de sélectionner les échelles de mesure
des valeurs individuelles et systémiques proposées par Schwartz (1994), mais aussi celle de
3. Ce qu’il faut retenir du Chapitre 3
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 190
McDonald et Gandz (1992) afin de les recouper pour mesurer les valeurs individuelles et de
groupes. Ces échelles sont complémentaires et il est tout à fait judicieux de les croiser
(Finegan, 2000: 164) pour avoir une liste la plus exhaustive de valeurs applicables à
l’environnement professionnel.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 191
Chaque individu cherche à anticiper le futur, ce que Commons dans la théorie
institutionnaliste, conceptualise par « la futurité ». Cette anticipation conduit à la recherche et
l’acquisition de ressources rares, dans des opérations que Commons (1934) nomme des
transactions d’échange. Ce comportement fait de chaque individu, un innovateur « ordinaire »
(Alter, 2000). Un entrepreneur du quotidien qui, soit entrerait en conflit avec les institutions,
soit chercherait à anticiper les risques (Sarasvathy, 2001) pour les éviter, mais qui, dans tous
les cas, s’appuierait sur son réseau social pour maximiser ses chances de réussite.
Ce comportement d’anticipation pose la question de la manière dont sont acquises les
ressources rares que mentionnent Commons.
A l’heure de l’économie de la connaissance, ces ressources sont principalement immatérielles,
des informations, qui font la richesse, la particularité, la compétitivité des institutions qu’elles
soient à but lucratif comme des firmes ou des associations caritatives.
Pour comprendre comment un acteur peut obtenir ces informations, nous nous sommes
intéressés à la théorie du capital social. Le parcours des définitions, l’étude des conditions
d’action, des facteurs d’influences ainsi que des avantages et des risques nous conduisent à
poser que le capital social d’un individu peut être présenté comme :
L’ensemble des ressources que lui procure l’appartenance à un ou plusieurs groupes
d’individus, dans l’objectif d’anticiper le futur. Il est fonction de la structure du réseau
personnel, du capital culturel, économique et symbolique de l’agent. Le capital social, est
actionné par les valeurs individuelles et régulé par les valeurs et les normes collectives,
qui animent l’institution à laquelle il appartient.
Pour paraphraser Commons (1934), l’individu ne peut s’affranchir du cadre moral et
réglementaire dans lequel il évolue. En somme, l’individu doit composer avec la culture de
son environnement. L’habitus, lui permet d’acquérir des automatismes pour mieux se
concentrer sur ce qui est stratégique. Néanmoins les études sur les effets de la structure des
réseaux ne proposent pas de positions franches sur le caractère opportuniste des individus. De
même, tant Alter (2000) que Sarasvathy (2005, 2008), pensent que les innovateurs ont tout
intérêt à faire preuve d’altruisme. Pour Alter, c’est la logique du don qui domine (Caillé,
2009) alors que Sarasvathy (2005), mobilise un concept très proche, né de l’esprit d’Herbert
Simon (1977) : « l’altruisme intelligent », un comportement docile apte à convaincre nos
interlocuteurs de nous aider.
Conclusion de la 1er
partie
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 192
Selon Alter et Sarasvathy, la question de l’opportunisme ne serait pas judicieuse. Les
échanges se font dans une réciprocité différée pour satisfaire des intérêts mutuels.
Ensuite la question reste posée de savoir, si les échanges d’information dans les réseaux
sociaux, mettent à l’abri les institutions de la diffusion incontrôlée, et donc de la
dévalorisation de leurs ressources informationnelles. Cette interrogation nous incite à
comprendre la manière dont les institutions protègent leur information.
Dans le chapitre 2 consacré à la sécurité de l’information, nous avons parcouru la littérature
sur les fondamentaux de cette pratique et sur les travaux de recherches. Nous avons découvert
que bien que la culture organisationnelle soit identifiée comme une composante à part entière
de cette discipline, cette dimension reste encore fortement négligée. Les travaux de recherche
sont récents et s’intéressent principalement, d’une part aux intentions et d’autre part, aux
usages des technologies de l’information. Pourtant, si l’humain est le maillon faible du
système, c’est son comportement de manière générale qu’il faut éduquer. Différents travaux
ont évalués un grand nombre de variables comme la sensibilisation, les mauvaises habitudes,
la peur de la sanction, etc. Néanmoins, nous soulignons que les effets des valeurs, de la
présence d’une structure organisationnelle, des changements d’environnements ou encore du
management de proximité, sont des variables organisationnelles qui n’ont pas, ou très peu été
évaluées. De même, l’influence du réseau social (que nous considérons comme le réseau
personnel de l’acteur) n’est pas prise en compte.
Finalement, la figure ci-dessous représente les 3 anneaux des bases théoriques qui fondent
notre raisonnement. La culture est un maillon, un lien entre capital social et sécurité de
l’information (SSI). Nous nous appuyons sur la métaphore de l’oignon virtuel (Straub et al,
2002) pour montrer que les multiples influences culturelles d’un individu peuvent le conduire
à faire des choix contraires aux intérêts des institutions.
Figure 25: Entrelacement des bases théoriques: Capital social - Sécurité de l'information- Culture
Organisationnelle
Ce constat amène naturellement à s’interroger sur le comment d’une culture organisationnelle
et les causes culturelles de la déviance. Les sociologues identifient les conflits de culture
(Sellin, 1938) et les sous-cultures (Cohen, 1955) qui trouvent leur source dans un manque de
reconnaissance. Sutherland (1962), avec la théorie de l’association différentielle, écarte les
valeurs de la responsabilité de la déviance pour leur préférer les opportunités que crée un
réseau de relations.
Capital social
Culture Organisationnelle
SSI
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 193
Ces différentes théories, nous conduisent à penser, que l’enrichissement des recherches sur la
culture organisationnelle est d’actualité. Nous proposons d’étudier les effets de cette culture,
dans ses interactions avec la culture individuelle et l’enchâssement des salariés dans de
multiples structures relationnelles.
A l’issu de ces trois chapitres théoriques, nous proposons le modèle de recherche suivant :
Figure 26: Transaction stratégique – influences du capital social et de la sécurité de l’information
Force des liens
Redondance
Typologie de l’action raisonnée (Caillé, 2009)
Obligation
Liberté
Empathie
Nécessité Devoir
Amour- propre
Amour de soi
Antipathie
Sympathie
Créativité Spontanéité
Institution
Environnement externe
à l’institution
Culture
organisationnelle
Intérêt pour
soi
Culture individuelle
Individu (quête de reconnaissance, futurité)
Transaction de répartition
info
rm
atio
ns
con
fiden
tielles
con
fiden
tielles
Transaction de direction
Rationalité limité,
Altruisme intelligent
Capital
Politiques de
sécurité
Promotion du
leadership
Sécurité de
l’information
Le capital social
Attitude
managériale
Sensibilisation
du personnel
Expériences passées
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 194
PARTIE 2
ETUDE EMPIRIQUE ET RESULTATS DE LA RECHERCHE
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 195
IV.CHAPITRE IV
CHAPITRE IV: METHODOLOGIE ET CONCEPTION DE
L’ETUDE EMPIRIQUE
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 196
Figure 26: architecture du chapitre 4
1 - L'approche opérationnelle
1- Construction des hypothèses
2- Opérationnalisation des hypothèses
2- Approche méthodologique
1- Méthodologie d'investigation
2- Méthodologie de test et d'analyse
Idée directrice du chapitre 4 :
Le design de la recherche : hypothèses, opérationnalisation et
méthodologie de la recherche
Le choix du terrain et des
méthodes d’analyse
Le questionnement et sa
traduction opérationnelle
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 197
Suite à la revue de la littérature présentée dans les chapitres précédents, nous proposons un
modèle conceptuel de l’obtention d’informations à valeur commerciale, stratégiques,
organisationnelles et opportunes. Les informations à valeur commerciales sont généralement
sensibles pour les institutions (MaRS26
). Les informations stratégiques concernent les choix
stratégiques de l’institution ou de son environnement. Les informations organisationnelles
sont relatives à l’organisation de l’institution, ses processus, etc.
Les informations stratégiques et organisationnelles permettent à l’acteur de mieux
appréhender son environnement global et d’anticiper l’avenir. Les informations opportunes
sont celles que le demandeur de l’information ne devrait pas obtenir. Elles constituent un
avantage dans la mesure où elles enrichissent le portefeuille d’informations en possession et,
améliorent la compréhension de l’acteur de l’environnement qui l’entoure.
Ce chapitre, décrit la méthodologie de mise en œuvre de la recherche, pour tester les liens
entre les construits constitutifs de ce modèle.
Nous avons constaté que les recherches sur les facteurs d’acquisition d’informations sensibles
ou opportunes n’existent pas. D’autres en revanche s’en approchent, en structurant leurs
travaux sur des paradigmes positivistes et, sur la base de recueils d’informations de terrain.
Leur visée est explicative, par l’analyse des relations causales entre différents types de
variables.
Nous suivons également cette méthodologie afin de produire une connaissance actionnable,
de nature objective et a-contextuelle.
Dans ce chapitre, nous commençons par élaborer nos hypothèses de recherche. (Section 1,
paragraphe 1.1), puis la manière dont nous avons opérationnalisé les différents construits du
modèle proposé (section 1 paragraphe 1.2). Ensuite, nous exposons nos choix
méthodologiques d’investigation (section 2 paragraphe 2.1) Nous expliquons les raisons qui
sous-tendent le choix d’une enquête auprès de salarié, et des objets d’étude et de la procédure
de recueil des données puis, nous distinguons les variables réflexives des variables formatives
(section 2 paragraphe 2.2). Enfin, nous présentons la méthodologie de développement et de
validation des instruments de mesure et celle du test des hypothèses de recherche (section 3).
26 http://www.marsdd.com/articles/confidential-information-and-trade-secrets/
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 198
1. L’approche opérationnelle
1.1. Construction et justification des hypothèses de recherche
En nous basant sur la revue de la littérature, nous exposons dans cette section le processus de
développement du modèle conceptuel ainsi que les hypothèses de la recherche.
Selon nous, aucune recherche n’a combiné le capital social, l’influence des valeurs
individuelles et organisationnelles et la sensibilisation à la sécurité de l’information. De plus,
à notre connaissance, aucune recherche n’a encore porté sur l’influence de la sécurité de
l’information sur l’acquisition d’information stratégique par les individus.
Ce modèle se compose de trois axes :
1- le capital social et en particulier les théories structurales (Granovetter, 1973 ; Burt,
1992) et la théorie des ressources sociales (Lin, 1999),
2- la théorie des valeurs universelles de Schwartz (1994),
3- Les mesures organisationnelles de sécurité de l’information pour lesquelles aucun
fondement théorique et modèle n’existe actuellement.
1.1.1. Le modèle conceptuel
Le modèle conceptuel est construit en prenant en compte diverses échelles puisées dans la
littérature. Ces échelles mesurent le capital social, les valeurs individuelles, les valeurs
organisationnelles et les indicateurs organisationnels de sécurité de l’information.
L’apport du capital social
Les effets du réseau social sur l’acquisition des informations stratégiques, organisationnelles,
commerciales et opportunes se traduisent par les trois dimensions que nous avons détaillées
dans notre revue de littérature
Le contenu des liens : la Théorie de la force des liens faibles (Granovetter, 1973),
dont les variables sont la fréquence d'interaction, la proximité émotionnelle, l’objet de
l’échange,…
La structure du réseau : la théorie des trous structuraux (Burt, 1992) qui s’évalue par
la taille, la densité, la contrainte,…
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 199
Les attributs des acteurs : la théorie des ressources sociales (Lin, 1999) qui considère
l’organisation, le niveau hiérarchique, la localisation géographique,…
Ces trois théories proposent des axes complémentaires explicatifs de l’accès à des ressources
informationnelles. La théorie des liens faibles s’attache au contenu des liens. Les dimensions
affectives, temporelles ou fréquentielles de la relation expliquent les bénéfices qu’une
personne obtient de ses relations. Même si cette approche est parfois contestée, la force des
liens conduirait à augmenter la densité des réseaux et par voie de conséquence, le nombre
d’informations y circulant, leur vitesse de circulation et leur caractère officieux.
Comme nous l’avons déjà mentionné dans le premier chapitre, la combinaison de ces trois
théories nous permet de prendre en compte l’ensemble des informations, simples ou
complexes, que l’acteur peut obtenir, soit grâce à ces liens forts (connaissances complexes),
soit grâce à ses liens faibles (connaissances simples, mais rares). En combinant la théorie des
liens faibles et celle des trous structuraux, nous pouvons aussi bâtir des hypothèses sur le
contenu émotionnel des échanges (l’amitié permettrait d’obtenir des informations officieuses),
et sur les stratégies adoptées par les individus (la position d’intermédiaire permet d’obtenir
des informations d’ordre politique).
Ces deux premières théories, permettent de répondre à la question que se pose l’innovateur
selon Sarasvathy (2001) : « Qui je connais » ?
La troisième théorie, celle des ressources sociales (Lin, 1999), souligne que l’acteur, de par
ses attributs, c’est-à-dire ses caractéristiques sociaux économiques, est un « aimant qui attire
des relations par le potentiel de ressources qu’il représente ». Comme l’a écrit Lazega
(2006), disposer de capital social, c’est avoir quelque chose à échanger.
Cette théorie suppose également, que par effet miroir, les membres d’un réseau disposent de
ressources. Aussi, la diversité des ressources peut constituer un atout précieux pour l’accès à
des informations variées.
Cette théorie répond, selon nous, entièrement à la deuxième question de
l’innovateur (Sarasvathy, 2001) : « Ce que je sais ». Cependant elle ne répond que
partiellement à la troisième et dernière question : Qui je suis ?
La réponse partielle à cette question souligne l’absence d’une composante essentielle à
l’analyse du capital social et relative à la personnalité de l’acteur : sa culture et celle de
l’environnement dans lequel il évolue.
La littérature identifie bien des valeurs comme l’amitié ou la confiance comme des éléments
essentiels du capital social. Cependant, les effets des valeurs, dans leurs interactions avec le
milieu environnent, ne sont que partiellement pris en compte. Or les valeurs sont d’une part au
centre de la culture individuelle et organisationnelle (Schein, 1984), et d’autre part, elles sont
à l’origine des motivations du don (Caillé, 2009).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 200
L’apport des théories culturalistes de la déviance, de la théorie des valeurs
universelles et du modèle des valeurs concurrentes
La culture organisationnelle facilite l’engagement des membres pour le bien des organisations
(Robbins, 1989). Schein (1984), place les valeurs au centre de son modèle de la culture
organisationnelle. Les valeurs sont les principes sociaux, des philosophies, des objectifs, des
normes et des croyances considérés comme ayant une valeur intrinsèque pour les membres de
l'organisation.
Or, si des valeurs communes peuvent avoir pour fonction de préserver les organisations en
général, elles peuvent également être à la source de comportements déviants.
Un conflit de culture (Sellin, 1938) par exemple, peut naître lorsqu’un individu n’accepte pas
les nouvelles normes qu’on lui impose et préfère agir selon les normes auxquelles il est
habitué. Une sous-culture (Cohen, 1955), « méchante », peut naître dans un groupe se sentant
rejeté par la société. Par ailleurs, les délinquants communiquent rarement par des médias de
masse. Cette information est importante parce qu’elle peut caractériser un comportement
d’échange d’information volontaire et donc conscient.
Il y a donc du sens à bâtir un modèle confrontant valeurs individuelles et valeurs
organisationnelles. Un tel modèle permet d’étudier les convergences ou les divergences de
comportement entre une personne et une institution.
La théorie des types motivationnels des Schwartz adaptée au modèle des valeurs concurrentes
(Den Hartog et al, 1996; Denison et Mishra, 1995; Hooijberg et Petrock, 1993; McDonald et
Gandz, 1992; Quinn, 1998) permet de proposer une typologie par type de cultures
dominantes, pour les organisations et les individus :
Cette typologie traduirait la perception que peuvent avoir les acteurs, des valeurs
organisationnelles en phase ou en opposition avec leurs valeurs individuelles, dans le but
d’obtenir de l’information. Ce comportement pourrait faire courir un risque à l’institution,
selon le degré de sensibilité des ressources informationnelles échangées.
L’objectif de la sécurité de l’information, par la sensibilisation, consiste alors en l’orientation
des valeurs organisationnelles afin que celles-ci inculquent des comportements responsables
dans la manipulation des informations.
L’apport des travaux sur la sensibilisation à la sécurité de l’information
Les travaux sur la sensibilisation à la sécurité de l’information sont relativement récents et
peux nombreux (environ 15 études, publiées dans des revues de rang 1 et 2 au classement
CNRS 2011). Il n’existe pas de modèles disponibles des effets de la sensibilisation sur
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 201
l’acquisition d’informations. Nous pouvons cependant, utiliser et compléter des indicateurs
communément admis par la communauté scientifique.
Compte tenu de notre objet de recherche, nous avons retenu les indicateurs de sensibilisation,
d’implication de la dirigeance, d’existence de politiques et d’existence d’un service de
gestion. Nous avons ajouté deux autres variables à un indicateur : l’attitude du manager et
l’expérience antérieure de la sécurité de l’information.
1.1.2. Le cadre conceptuel général et variables principales
Notre parcours de la littérature a mis en évidence plusieurs variables relatives aux
comportements d’échange d’informations des acteurs sous l’influence du capital social, des
valeurs et des mesures organisationnelles de sécurité (SSI).
Le contenu des liens, la redondance structurale et la redondance d’attributs des acteurs, lui
donnent accès à des fournisseurs d’information qui n’offrent pas tous les mêmes services,
mais qui font partie du réseau social de l’acteur.
La culture organisationnelle médiatise la culture individuelle. Les mesures organisationnelles
de sécurité de l’information influencent les valeurs organisationnelles.
Le concept d’habitus (Bourdieu, 1980b) incite à penser que l’expérience antérieure de la
sécurité influence le comportement des acteurs.
La nature sensible ou non de l’information, influence le choix du support de communication
utilisé. Le type de média, la sécurité organisationnelle de l’information et le capital social,
agissent sur l’acquisition d’informations.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 202
Figure 26: cadre conceptuel général de la recherche
Variables
d’environnement
Variables du capital social
Variables de la SSI
Variables culturelles
Culture
Individuelle
Culture
Organisationnelle
SSI
Organisationnelle
Redondance
structurale
Acquisition
d’information de valeur Cible de
l’information
Contenu
des liens
Redondance
d’attributs
Ressources
d’anticipation
Expérience de l SSI
Média de
communication
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 203
A présent, nous nous intéressons au développement des hypothèses de recherche relatives aux
variables étudiées. Nous proposons par la suite un modèle conceptuel global précisant les
relations entre les différents construits identifiés.
1.1.3. Les hypothèses de recherche
Nous présentons dans cette sous-section les hypothèses de recherche en distinguant les
hypothèses relatives aux variables centrales du modèle conceptuel. Le modèle conceptuel
global proposé est présenté à la fin de la sous-section.
Les hypothèses relatives aux variables principales du modèle
Les effets du capital social
Dans certains cas, le capital social des individus peut bénéficier à la collectivité, l’institution à
laquelle ils appartiennent. Burt (1997a) montre par exemple que le capital social permet les
activités de courtage qui apportent des informations émanant d'autres acteurs à l'acteur
central. Dans la mesure où cette activité de courtage se fonde sur une sortie réciproque
d'informations, l'ensemble du réseau bénéficiera de la diffusion de l'information. Dans son
étude sur l'industrie du vêtement, Uzzi (1997: 46) a constaté que le transfert d'informations à
grain fin entre les entreprises leur permet de mieux prévoir les demandes futures et d'anticiper
les préférences des clients. Hansen (1999) montre que les liens faibles facilitent la recherche
efficace et à faible coût de nouvelles informations par des équipes de développement de
produits. Ces auteurs suggèrent que des liens forts facilitent la recherche à moindre coût,
d’informations complexes et le transfert de connaissances tacites.
La littérature sur le capital social foisonne de résultats montrant que les trous structuraux ont
un impact positif sur l’actualité et la pertinence de l’innovation (Adler et Know, 2002 :29 ;
Boxman et al, 1991; Burt, 1992; Fernandez & Weinberg, 1997; Granovetter, 1973; Lin et al,
1981; Meyerson, 1994 ; Burt, 1987; Coleman, Katz, et Menzel, 1966; Rogers, 1995). Il en est
de même pour l’innovativité ou la créativité (Galunic 2001, Burt 2004, Rodan et Galunic
2004), ou encore la performance individuelle (Burt 2004, Rodan et Galunic 2004).
Néanmoins, ces études ne disent rien sur le caractère opportun des informations qui transitent
par le trou structural.
Or, même si Coleman (1988) écrit que la fermeture dess réseaux diminue les effets
d’opportunités, la littérature montre plus généralement le contraire. Burt (1992) ou Portes
(1998 : 15), suggèrent que les réseaux fermés facilitent l’opportunisme pour satisfaire les
intérêts privés.
De même, une forte densité n’est pas toujours synonyme de liens forts. Nous avons aussi
souligné qu’Alter (2009) écrit que plus les individus échangent des connaissances et des
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 204
savoir-faire, plus ils échangent de l’émotion, des représentations et des valeurs, et plus les
individus acceptent de donner des choses variées, personnelles et engageantes.
Par ailleurs, le principe de confidentialité de l’information, qui vise à protéger la compétitivité
des institutions, implique de ne pas diffuser des informations de valeur à l’extérieur de ses
murs, et en particulier vers la concurrence. Or le principe de non-redondance d’attribut (Lin et
al, 1981 ; Lin, 1999) suggère que plus un acteur dispose de contacts géographiquement
dispersés, plus il obtient des informations riches et variées.
Dans ces conditions, nous posons les hypothèses suivantes :
Les effets de la culture organisationnelle et individuelle
Caillé (2009), écrit que les valeurs sont aux sources des motivations à agir. Si l’on se réfère à
la littérature sur la culture organisationnelle (Schein, 1985b, 2004), le leadership est une
condition essentielle pour forger une culture organisationnelle et faire respecter une culture
organisationnelle et les règles associées. Dans ses conditions, une forte valeur de leadership
impliquerait le respect des règles de sécurité si elles sont promues au plus haut niveau
hiérarchique de l’organisation.
Myyr et al. (2009) ont réalisé un des rares recherches portant sur les effets des valeurs
individuelles et sur la conformité aux règles de sécurité de l’information des entreprises. En
mobilisant la théorie universelle des valeurs de Schwartz et celle du raisonnement moral, ils
montrent que les valeurs individuelles d’ouverture au changement (innovation, audace,
autonomie, etc.), favorisent l’adoption de comportements non conformes aux règles de
sécurité de l’information. Alors qu’à l’opposé, les valeurs individuelles de conformité incitent
les salariés à les respecter. Cependant, nous pouvons regretter que cette étude ne considère ni
les valeurs organisationnelles, ni les types motivationnels liés à l’accomplissement ou le
dépassement de soi. Nous pouvons néanmoins trouver des éléments, nous permettant d’étayer
nos hypothèses sur les effets de la culture organisationnelle:
Von Hippel (1987:4-5) déclare que les ingénieurs de firmes différentes, mais qui fabriquent
des produits similaires en suivant des processus proches, s’échangent des informations. Ces
échanges s’appuient sur le mécanisme de réciprocité (Mauss, 1950; Caillé, 2006 et 2009).
Les protagonistes révèleraient si nécessaire les savoir-faire propriétés de leur firme. Shrader
(1991), à partir des travaux de Von Hippel, montre que des informations techniques sont
H1 Le réseau personnel permet d’avoir accès à des informations stratégiques,
organisationnelles, commerciales, opportunes et confidentielles
H1a Un réseau fermé (clique) favorise l’accès à des ressources (humaines)
d’informations stratégiques et organisationnelles.
H1b Les ressources (humaines) d’informations stratégiques et organisationnelles de
l’acteur lui fournissent de l’information stratégique, organisationnelle,
commerciale, opportune et confidentielle.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 205
échangées de manière informelle entre les firmes, y compris entre compétiteurs. Les employés
cherchent à satisfaire les intérêts économiques de leur firme. C’est pourquoi ils ne participent
pas à l’échange s’il comporte un risque pour sa santé économique. La nature de leurs relations
personnelles serait secondaire. Shrader (1991 :12-13) insiste également sur les effets
amplificateurs de la réciprocité perçus par les acteurs pour qui, plus l’information reçu a de
valeur, plus le récepteur est redevable de l’émetteur. L’échange d’informations qui procurent
un avantage compétitif est possible si :
le récepteur n’est pas en compétition directe avec l’émetteur ou s’il n’est pas membre
d’une firme rivale,
les domaines d’applications des informations échangées sont différents. Dans ce cas,
le bénéfice peut même être conséquent pour les deux firmes.
Le compétiteur peut acquérir ces informations par d’autres sources.
Kreiner et Shultz (1993: 197-198) précisent que quand les rivaux coopèrent et échangent de
façon informelle des idées qui ne constitues pas en l’état des savoirs
commercialisables (« sellable truth »), la valeur de l'information supplémentaire acquise dans
l’échange est supposée dépasser la perte de valeur occasionnée par son partage. Le partage de
cette idée prometteuse est peu coûteux, et les parties prenantes de l’échange peuvent tirer des
dividendes substantiels de son développement et de son exploitation.
Toujours dans le secteur de la R&D, Simon et Tellier (2008 : 158) relèvent la relation entre la
recherche de la reconnaissance sociale et la divulgation d’informations confidentielles. Les
effets des liens forts cités précédemment (Alter, 2009), indiquent également que l’amitié
permettrait d’outrepasser les règles de sécurité. Pour souligner à nouveau ce fait, Chollet
(2005 : 177) recueille le témoignage d’ingénieurs en R&D qui confient ne pas respecter les
règles de confidentialité au nom de l’amitié qu’ils portent à leurs relations. Cependant plus
largement, ce même auteur pense que la collaboration entre membres d’un même réseau
social implique le respect des règles professionnelles.
Compte tenu de ces éléments, nous postulons que :
H2 Les valeurs individuelles incitent à capter de l’information opportune ou
confidentielle.
H3 Les valeurs individuelles incitent à capter de l’information provenant de l’extérieur
de l’organisation.
H4 Les valeurs individuelles influencent le capital social pour l’obtention
d’informations stratégiques, organisationnelles, commerciales, opportunes ou
confidentielles.
H5 Les valeurs organisationnelles perçues incitent à capter de l’information provenant
de l’extérieur de l’organisation.
H6 Les valeurs organisationnelles perçues n’incitent pas à capter de l’information
opportune ou confidentielle.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 206
Les effets des médias de communication
Nous avons également relevé de la littérature sur la déviance (Cohen, 1955) que les groupes
déviants évitent d’utiliser des médias de communication de masse. Cela implique une possible
conscience de l’acte qui doit rester discret compte tenu de son caractère hors norme. Cette
dimension de l’échange est importante. La plupart des études sur la sécurité de l’information
s’intéressent aux comportements des salariés dans leurs usages des Technologies de
l’Information et de la Communication (Vance et Siponen, 2010 ; Bulgurcu et al, 2010; Straub
Welke, 1998 ; Straub, 1990). Nous n’avons relevé dans la littérature que la sécurité
organisationnelle sensibilise sur les risques relatifs aux usages des outils de communication
électronique comme les virus les chevaux de Troie, etc. (Vance et Siponen, 2010 ; D’Arcy et
al, 2009,). Nous posons donc l’hypothèse suivante.
H7 L’obtention d’informations opportunes ou confidentielles se fait de préférence via
des rencontres physiques ou des supports physiques (clés USB, CDROM, etc.).
Les effets des mesures organisationnelles de sécurité de l’information
La littérature sur les effets des mesures organisationnelles de sécurité de l’information montre
que, dans l’esprit de la théorie de la culture organisationnelle, toutes les mesures promues par
l’autorité hiérarchique ont des effets positifs sur le respect des règles de sécurité : la
connaissance des politiques de sécurité (Knapp et al, 2012 ; D’Arcy et al, 2009), la
sensibilisation (D’Arcy et al, 2009, Dinev et Hu, 2007, ENISA, 2006, Doherthy et Fulford,
2005), l’implication de la dirigeance (SOGP, 2011 ; Peltier et al, 2005,NIST 800-50, 2003 ),
la structure de l’organisation (Peltier, 2005 ; ENISA, 2006 ; Hansche, 2001a). Néanmoins, les
mesures effectuées portent essentiellement sur les usages des technologies de l’information et
de la communication. Elles portent aussi sur les comportements ou plutôt les intentions de
comportement, et non sur les valeurs individuelles ou organisationnelles. Aussi, nous posons
que :
H8 La culture organisationnelle médiatise les effets des mesures organisationnelles de
sécurité de l’information contre l’obtention d’informations opportunes ou
confidentielles.
La littérature ne met pas non plus en avant le rôle du manager de proximité, qui selon nous,
compte tenu de la théorie de la culture organisationnelle, devrait être un acteur majeur de la
sécurité de l’information. Parsons (1951) écrit que Les rôles prescrivent aux individus
comment ils doivent se comporter. Ainsi le manager endosse le rôle de leader et montre à son
entourage ce que son rôle exige de lui. Dans une vision classique, le rôle du manager est
fonctionnel orienté sur la tâche (Fayol, 1916) ou interactionniste (Mintzberg, 1973).
Cependant la théorie de la structuration (Giddens, 1984) apporte un nouvel éclairage. Selon
Willmott (1987), le concept de dualité du structurel de Giddens permet d’envisager le rôle du
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 207
manager dans une perspective institutionnelle et stratégique. L’activité du manager s’inscrit
dans une perspective structurationniste et récursive de l’action. Il contribue à construire la
stratégie des organisations, à donner du sens aux actions et à le transmettre autour de lui
(Rouleau, 2005). En suivant ce raisonnement, le manager donne du sens à la sécurité de
l’information et le transmet à ses collaborateurs.
Aussi, nous postulons que :
H9 La culture organisationnelle médiatise les effets du manager de proximité contre
l’obtention d’informations opportunes ou confidentielles.
Nous remarquons également que les effets de l’expérience ne sont pas explorés dans la
littérature. Pourtant, la vision prescriptive implique la socialisation et l’apprentissage Ogien
(2012 : 163). L’étude de Puhakainen et al. (2010) porte sur les méthodes d’apprentissages, et
montre des effets positifs sur l’intention de respecter les règles. Vance (2010) a montré que
les habitudes pouvaient expliquer des mauvais comportements non-intentionnels, mais il ne
dit rien concernant l’inverse.
La théorie du conflit de Culture de Sellin (cf. Chapitre 3, section 3.1.2), nous incite cependant
à prendre en compte les changements qui interviennent dans la carrière d’un acteur. En
particulier, ceux qui impliquent un changement d’environnement et de culture de travail.
Aussi, nous posons l’hypothèse que :
H10 L’expérience antérieure de la sécurité de l’information accentue les effets des
pratiques actuelles de sécurité de l’information.
Les effets de l’orientation interne/externe des flux d’informations
Nous ne trouvons pas de traces, dans la littérature consacrée à la sécurité de l’information, de
l’influence que peut avoir l’objectif de l’information pour celui qui la demande, sur son
comportement. Pourtant, March et Simon (1958) ont démontré que la prise en compte de
l’incertitude est un comportement clé des organisations. Thompson (1967) suggère qu’une des
activités principales des firmes est de s’adapter aux incertitudes de son environnement. Les
petites et moyennes entreprises exportatrices par exemple, sont à la recherche d’informations
sur leur environnement externe. Une grande part d’entre elles mobilisent leurs ressources
internes, mais aussi leurs partenaires (Amabile et al, 2012 :105) pour capter des informations
stratégiques pour leurs activités. Aussi nous postulons que :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 208
H11 La collecte d’informations opportunes concerne essentiellement les informations
relatives aux activités externes à l’institution
Les variables de contrôle.
Après avoir présenté les hypothèses de recherche relatives aux construits, nous passons à
présent à l’exposé concernant les variables de contrôles qui peuvent avoir un effet direct sur la
variable latente endogène, ou modérer les effets des variables prédictives.
Les caractéristiques sociodémographiques des salariés.
Les effets de l’âge :
L’âge peut avoir une influence sur la composition du capital social. Il est aussi en partie lié à
l’expérience. Selon Bridges et Villemez (1986) le capital social tend à diminuer avec l’âge.
Cependant d’autres chercheurs trouvent une relation inverse (Coleman, 1990, Kalmijn, 2003;
Wellman et al, 1997), alors qu’Erickson (2003) et Lambert et al, (2006) démontrent que les
effets de l’âge produisent une augmentation puis une diminution du capital social sous l’effet
du vieillissement. Ces derniers sont rejoints par McDonald et Mair (2010 : 347), dont l’étude
menée auprès de 2995 personnes de nationalité américaine montre que les ressources sociales
augmentent avec l’âge, puis déclinent à partir de 50 ans. La relation entre l’âge et
l’accumulation de capital social suivrait donc une courbe curvilinéaire.
De même, l’âge a une influence sur le contenu des liens. Pour Kalmijn (2003) ou encore
(Wellman et al, 1997), l’âge tend à réduire les effets de l’amitié dans la composition des
réseaux. Cornwell et al, (2008) et Kalmijn (2003), montrent que les liens forts sont plus
présents dans les populations jeunes, mais moins fréquents que les liens faibles quand il s’agit
d’expliquer l’élévation du statut social. De plus, différentes études sur la sécurité de
l’information considèrent que l’âge est un facteur important de non-conformité aux règles de
sécurité, et l’utilise comme variable de contrôle (Gattiker et Kelley 1999 ; Leonard et Cronan,
2001 ; Leonard et al, 2004 ; D’Arcy et al, 2009 ; Vance et Siponen, 2010). Par ailleurs, le
concept d’habitus (Bourdieu), nous incite à penser que l’individu jeune, est moins sensible à
la sécurité de l’information alors qu’un individu plus âgé sera plus expérimenté.
Les effets de l’ancienneté :
La variable ancienneté correspond à la notion « d’organizational tenure » dans la littérature
sur capital social (Uzzi, 1999 ; Leana et van Buren, 1999 ; Ahuja et Galetta, 2003 ; Rodan et
Galunic, 2004 ; Perry-Smith, 2006). Ces recherches relient l’ancienneté à la réussite
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 209
professionnelle parce qu’elle implique une stabilité des relations avec les collaborateurs. Par
ailleurs l’ancienneté dans l’entreprise favorise l’adhésion aux mesures organisationnelles de
sécurité.
Les effets du statut social :
Le statut de l’individu a aussi une importance plusieurs fois soulignée dans la littérature, le
débat consistant à déterminer si un cadre dirigeant gravit les sommets grâce à son capital
humain ou à son capital social (Lin, 2008 ; Lin, 1999 ; Marsden & Hurlbert, 1988 ; Lin et al,
1981). Toutes ces études concluent que le capital social aide considérablement la progression
sociale. Cependant le recensement effectué par Lin (1999) montre un résultat mitigé avec sept
études sur onze, selon lesquelles ; le capital social est lié à l’élévation sociale. Par ailleurs,
plus un acteur monte les échelons de la hiérarchie, plus il se doit d’adopter un comportement
de leader en phase avec les exigences de la dirigeance.
La taille de l’institution
Plus la taille d’une institution est petite, moins l’acteur dispose de ressources internes pour se
constituer un capital social, et moins l’institution dispose de moyens pour mettre en œuvre la
sécurité de l’information. Le Clusif (2012) mentionne à chaque rapport annuel que les petites
et Moyennes Entreprises (PME) connaissent de graves carences de mise en œuvre de mesures
organisationnelles de sécurité. Plusieurs raisons expliquent cela ; manque de moyens
financiers, manque d’expertise, manque de personnel.
Le tableau 19 ci-dessous synthétise nos questions de recherche, s’en suit le schéma conceptuel
global en figure 27.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 210
Influences des variables du capital social, de la culture organisationnelle et de la SSI
H Intitulé
Eff
ets
du
capit
al s
oci
al H1a Un réseau fermé (clique) favorise l’accès à des ressources (humaines) d’informations
stratégiques et organisationnelles.
H1b Les ressources (humaines) d’informations stratégiques et organisationnelles de l’acteur lui
fournissent de l’information stratégique, organisationnelle, commerciale, opportune et
confidentielle.
Eff
ets
des
val
eurs
indiv
iduel
les
H2 Les valeurs individuelles incitent à capter de l’information opportune ou confidentielle.
H3 Les valeurs individuelles incitent à capter de l’information provenant de l’extérieur de
l’organisation.
H4 Les valeurs individuelles influencent le capital social pour l’obtention d’informations
stratégiques, organisationnelles, commerciales, opportunes et confidentielles
Eff
ets
des
val
eurs
org
anis
atio
nnel
les H5
Les valeurs organisationnelles perçues incitent à capter de l’information provenant de
l’extérieur de l’organisation.
H6 Les valeurs organisationnelles perçues n’incitent pas à capter de l’information opportune
ou confidentielle.
Eff
ets
des
méd
ias
de
com
mu
nic
atio
n H7 L’obtention d’informations opportunes ou confidentielles se fait de préférence via des
rencontres physiques ou des supports physiques (clés USB, CDROM, etc.).
L’e
ffet
des
mes
ure
s
org
anis
atio
nnel
les
de
sécu
rité
H8 La culture organisationnelle médiatise les effets des mesures organisationnelles de
sécurité de l’information contre l’obtention d’informations opportunes ou confidentielles.
L’e
ffet
du
man
ager
de
pro
xim
ité
H9 La culture organisationnelle médiatise les effets du manager de proximité contre
l’obtention d’informations opportunes ou confidentielles.
L’e
ffet
de
l’ex
pér
ience
anté
rieu
r d
e
la S
SI
H10 L’expérience antérieure de la sécurité de l’information accentue les effets des pratiques
actuelles de sécurité de l’information.
Eff
ets
de
l’ori
enta
tion d
e
l’in
form
atio
n
H11 La collecte d’informations opportune concerne essentiellement les informations relatives
aux activités externes à l’institution.
Tableau 19: Hypothèses des construits centraux
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 211
Figure 27: Modèle conceptuel
Culture
Valeurs
Organisationnelles
Valeurs individuelles
SSI
SSI Organisationnelle
Managers
Expérience de la SSI
VAR
DEPENDANTE
Structure
Ressources Capital Social
Variables de contrôle
Caractéristiques
individuelles
Taille de l’entreprise
Obtention
d’informations
Média de
communication
Média
H2, H6
H7
H1a
H8, H9
H1b
H10
Orientation du flux
d’information
Orientation
H3, H5
H11
Liens direct Liens indirect Contrôle
H4
Ressources
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 212
1.1.4. Synthèse de la construction des hypothèses
L’objectif de cette première section était d’établir un modèle conceptuel et une liste
d’hypothèses de recherche.
En nous appuyant sur l’analyse de la littérature scientifique, nous avons adopté une approche
multi-méthodes (triangulation méthodologique) qui a permis de mieux comprendre
l’influence et le statut des différentes variables identifiées dans la revue de la littérature.
Nos résultats montrent que trois types de facteurs influencent le comportement des individus
dans l’échange d’information : ceux liés au capital social, ceux liés aux valeurs individuelles
et organisationnelles, et ceux liés aux mesures organisationnelle de sécurité de l’information.
Les construits centraux de notre modèle - le capital social, les valeurs individuelles et
organisationnelles, les mesures organisationnelles et l’expérience antérieure de sécurité de
l’information - sont supposés avoir une influence directe ou indirecte sur la variable
dépendante : la nature des informations obtenues par le salarié.
Les variables individuelles, les caractéristiques sociodémographiques des salariés et les
variables environnementales ont une influence directe sur les construits ou une influence
modératrice sur les relations entre les construits.
Ensuite nous avons proposé un modèle conceptuel général qui montre qu’il y a plusieurs
facteurs principaux qui influencent le comportement des salariés dans leur démarche
d’obtention d’informations.
Pour les construits centraux de notre modèle :
Le capital social : redondance structurale et d’attributs du réseau personnel, force des
liens, ressources informationnelles disponibles ;
Les valeurs individuelles et organisationnelles d’ouverture au changement, de
conformité, d’affirmation et de dépassement de soi ;
L’utilisation des médias de communication ;
Les mesures organisationnelles de sécurité de l’information : la sensibilisation,
l’implication de la dirigeance, l’existence d’une structure de gestion, l’existence de
politiques ;
La perception que revêt la sécurité de l’information pour le manager de proximité ;
L’expérience antérieure de sécurité de l’information.
Nous avons sélectionné des variables de contrôle couramment utilisées dans la littérature :
les caractéristiques des répondants : l’âge, le statut, l’expérience dans l’entreprise et
dans la fonction
La taille de l’institution.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 213
Nous avons également proposé, onze hypothèses sont formulées, dont une se décline en sous-
hypothèse. Elles correspondent à des liens directs ou indirects entre les variables étudiées.
1.2. Opérationnalisation des construits
Pour tester et valider notre modèle, nous avons choisi la méthode PLS. Selon Chin
(1998), l’approche PLS (Partial Least Square) est une méthode prédictive et de construction
de la théorie dont l’un des objectifs est la mesure du pouvoir prédictif de la variable
dépendante (Hsieh, Lai et Shi, 2006). Chin et Newsted (1999 : 337) identifient cinq raisons
majeures d’utilisation de PLS: un objectif de recherche prédictif, la construction d’un
nouveau modèle, un changeant de modèle théorique, des mesures non ou partiellement
établies, un modèle complexe. Il faut également noter qu’à la différence de Lisrel, PLS
manque d’un indice de validation globale du modèle (Henseler et al. 2009 : 297).
Les construits d’un modèle sont inobservables directement, et il est nécessaire de proposer
une manière concrète de les appréhender. C’est la phase d’opérationnalisation.
Selon Crié (2005), un construit peut être réflexif ou formatif. Un construit est réflexif si l’on
considère que les variables manifestes sont un effet (reflet) de la variable latente, alors qu’un
construit est formatif lorsque ses indicateurs en sont la cause. Dans un construit formatif les
indicateurs ont des conséquences communes (Diamantopoulos, 2011 : 340).
Le choix d’un modèle formatif n’est pas une alternative équivalente à un modèle réflexif
(Howell et al, 2007 ; Bagozzi, 2007), mais dépend de la manière dont sont liés les indicateurs
(Edwards et Bagozzi 2000). Par ailleurs, le travail sur des indicateurs formatifs est bien plus
complexe que sur des indicateurs réflexifs (Diamantopoulos, 2011). Le choix de la méthode
doit s’appuyer sur une définition conceptuelle claire (Barki, 2008; MacKenzie, 2003). En
effet, selon Crié (2005 : 20) « une mauvaise spécification du sens causal entre un construit et
ses mesures conduit inévitablement à des conclusions erronées en ce qui concerne les
relations structurelles avec les construits ».
Dans cette recherche, nous utilisons des construits réflexif et formatifs. En effets, pour
prendre un exemple, la force des liens regroupe trois mesures qui ne sont pas nécessairement
corrélées : l’ancienneté de la relation, la fréquence des contacts et la proximité émotionnelle
des liens.
Nous utiliserons également des mesures à la fois subjectives et objectives (Nunnally, 1978) et
des échelles ordinales de type Likert, largement acceptées pour la mesure d’opinions, pour sa
facilité de compréhension et pour sa faible sensibilité au mode collecte (Vernette, 1991 ;
Evrard, Pras et Roux, 2009).
Conformément au procédé de Schwartz (1994), nous avons choisi une échelle à neuf barreaux
pour la mesure des valeurs. Les mesures relatives à la variable dépendante, aux variables
individuelles et d’environnement sont effectués sur une échelle à sept barreaux qui seraient
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 214
plus faciles à mémoriser, posent moins de problème de normalité et semblent donc être
meilleures en termes de validité, de fiabilité et de pouvoir de discrimination (Preston et
Colman, 2000). Pour la mesure des variables relatives à la sécurité de l’information, nos
échelles varient de trois à cinq barreaux car nos questions attendent parfois une réponse
précise et, une échelle fixe et trop détaillée pour tous les items n’aurait pas été adaptée.
Nous nous intéressons d’abord à la mesure des construits centraux (2.1), avant d’aborder la
mesure des construits individuels (2.2)
1.2.1. La mesure des construits centraux
La mesure des effets du capital social
Pour les calculs, nous avons utilisé le logiciel E-Net (Borgatti, 2003) spécifiquement étudié
pour mesurer les réseaux personnels. Ce logiciel gratuit permet de calculer les degrés de
redondance structurale et d’évaluer les indicateurs de la redondance d’attributs et de la force
des liens. Les calculs peuvent se faire soit, sur des variables continues, ou soit, sur des
variables catégorielles.
La limite du réseau personnel étudié.
Lors de notre parcours de la littérature, nous avons retenu qu’un individu ne se confie qu’a
deux à trois de ses relations (Degenne et Forsé, 2004). Or, c’est bien cette caractéristique qui
nous intéresse. En effet, l’un des indicateurs de notre variable dépendant est l’acquisition
d’information opportune. Cela impliquerait des relations à liens forts, parce qu’elles
permettraient de faire circuler rapidement de l’information engageante (Granovetter, 1985).
Pour notre travail de recherche, nous limiterons donc la taille du réseau personnel à trois
individus maximum.
L’élaboration d’un générateur de nom
A notre connaissance, il existe trois types de générateurs : le générateur de position, le
générateur de ressources et le générateur de nom.
Lin, Fu et Hsung (2001) propose un générateur de position qui consiste à demander aux acteurs
de sélectionner dans une liste toutes les catégories sociales pour lesquelles ils connaissent
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 215
quelqu’un. Ce type de générateur n’est pas adapté à notre besoin parce qu’il ne permet pas
d’effectuer des mesures des effets de la structure des relations.
Van der Gaag et Snijders (2004) ont également mis au point un générateur de ressources. Il
est demandé aux répondants d’énumérer les professions de leurs contacts. Là encore, ce
générateur n’est pas adapté parce qu’il ne contient pas de données structurales. Néanmoins,
nous précisons que notre questionnaire contient des questions non pas relatives aux types de
ressources, mais plus précisément aux types d’informations que les membres du réseau
fournissent.
Un générateur de nom opère un échantillonnage du nombre de contacts réels (Marsden 1990 :
458). Il permet au chercheur d’aider les répondants à construire leur réseau personnel. La
première question consiste à demander à la personne de réfléchir avec qui elle a eu des
relations dans les derniers mois. Une fois que les personnes identifiées par des noms, initiales
sont à l’esprit des répondants, nous pouvons poser les autres questions relatives à la structure
et au contenu des liens. Cette méthode introduit des biais, parce qu’il est important que les
individus se souviennent bien des contacts qu’ils ont eu les mois précédents. Sinon, ils ont
tendance à référencer des contacts qu’ils ont vus récemment et à reconstituer des réseaux à
liens forts (Brewer et Webster, 1999). Cependant, Ce biais ne constitue pas un problème dans
le cadre de notre étude, puisque nous nous focalisons justement sur le réseau « de confiance »
qui serait à liens forts.
Pour Bernard, Killworth et Sailer 1982: 30) : « ce que disent les gens sur leurs
communications n’a aucune ressemblance avec leur comportement ». Lors d’une étude
portant sur différentes population, Ces auteurs ont effectivement noté que prêt de 50% des
répondants prétendaient avoir des relations qui n’existaient pas. Cependant, un générateur de
nom basé sur des données observables ne donnerait pas nécessairement un meilleur résultat.
Rien n’indiquerait effectivement qu’un individu rencontre l’ensemble de ses contacts
importants durant la période d’observation.
En synthèse, nous optons pour le générateur de noms qui est le seul adapté à notre contexte
d’étude.
La construction du générateur de noms :
Les membres d’un réseau personnel peuvent être source de multiples types de ressources et
nous nous intéressons à deux d’entre-elles : les apports stratégiques (l’anticipation) et le
soutien aux initiatives (la politique). Il paraît donc judicieux de constituer une échelle multi
indicateur. C’est d’ailleurs l’approche de Poldony et Baron (1997) et de Burt (1997) qui pense
que cette échelle donne de meilleurs résultats qu’une échelle mono-indicateur.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 216
Pour bâtir notre générateur de nom, nous avons adapté celui proposé par Burt (1992) et
Podolny et Baron (1997), dont les générateurs ont été utilisés dans plusieurs études
importantes (Galunic, 2001 ; Rodan et Galunic 2004). Nous nous distinguons, cependant, des
deux sources principales à plusieurs points de vue. Nous avons conservé les éléments qui
nous paraissaient pertinents pour notre étude, et supprimé ce qui nous semblait au contraire
peu judicieux, comme par exemple toutes les questions relatives aux liens négatifs, , aux
domaines extra-professionnels, et aux relations d’amitiés, etc.
Nous avons porté notre attention sur les apports en informations qui sont stratégiques pour les
acteurs et sur les soutiens aux initiatives que leurs relations peuvent produire. Ces deux
notions ressortent clairement de la littérature (Alter, 2000 ; Sarasvathy, 2001; Akritch et al,
2002a ; Akrich et al, 2002b ; Sarasvathy et Dew, 2005 ; Callon et Ferrary, 2006 ; Sarasvathy
et al, 2008). Les individus recherchent des collaborateurs qui les soutiennent, qui ont la
volonté et la capacité de défendre leurs projets. Les informations stratégiques sont celles qui
sont utiles à l’anticipation, comme par exemple un changement à venir dans l’organisation
managériale, le développement d’un nouveau produit dans l’institution ou chez un concurrent,
etc.
Notre générateur porte donc sur trois membres du réseau et sur deux types de ressources
produites :
GENERATEUR DE NONS
Question : Inscrivez les initiales ou le diminutif de 1 à 3 de vos
contacts à l'extérieur ou dans votre entreprise et qui représentent
pour vous des:
Adaptée de
sources d'informations stratégiques – STRAT Poldony et Baron(1997)
soutiens de vos initiatives – SOUTIEN Burt (1992)
Tableau 20: le générateur de noms
Afin d’aider les répondants, nous avions apportés les précisions suivantes :
Les conseils stratégiques vous aident à comprendre ce qui se passe dans votre
environnement et à anticiper l'avenir (quels sont les projets qui seront financés dans
les prochains mois ? ...).
Les soutiens de vos initiatives font la promotion de vos idées (vous encouragent à
proposer des projets,....).
La mesure de la force des liens
En plus de la définition donnée par Granovetter (cf. Chapitre 1, Section 1.31.), Lincoln (1982)
définit la force des liens dyadiques comme : « une propriété inclusive qui reflète le degré de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 217
stabilité d’un lien exigeant en terme d’investissement en temps et en ressources ». D’après
Marsden et Campbell (1984), il existe plusieurs façons de mesurer la force des liens :
La proximité émotionnelle :
Il s’agit de l’intensité émotionnelle telle que définie par Granovetter (cf. Chapitre 1, Section
1.3.3). Cette notion de la force des liens a fréquemment été utilisée (Lovas et Sorenson, 2005 ;
Rodan et Galunic, 2004 ; Hansen, Podolny et Pfeffer, 2001 ; Seibert, Kraimer et Liden,
2001 ; Galunic, 2001 ; Podolny et Baron, 1997 ; Burt 1992).
Mardsen et Campbell (1984 : 494) ont évalué les indicateurs de la force des liens et
l’influence que peuvent avoir ses indicateurs prédictifs, selon eux, la proximité est le meilleur
indicateur possible. En effet, la proximité émotionnelle serait en moyenne l’indicateur le
mieux corrélé à la force des liens et le moins corrélé aux variables prédictive d’un construit.
La fréquence:
La fréquence est le nombre d’interactions dans un temps donné. Cette notion est aussi
abondamment utilisée dans la littérature (Reader et al, 2011 ; Levin et Cross, 2004 ; Hansen,
Podolny et Pfeffer, 2001 ; Podolny et Pfeffer, 2001 ; Gargiulo et Benassi 2000 ; Burt 1992).
Cependant, Mardsen et Campbell (1984 : 493), prenant l’exemple des relations de voisinage,
trouvent que la fréquence est un indicateur moyennement corrélé à la force des liens, peu
corrélé à la proximité émotionnelle et inversement corrélé à l’ancienneté, mais surtout,
fortement pollués par les indicateurs prédictifs.
L’ancienneté :
L’ancienneté figure la durée de la relation. Cette notion est peu utilisée par les différents
auteurs recensés (Shi et al. 2009 ; Perry-Smith, 2006 ; Levin et Cross, 2004 ; Hansen, 1999).
Récemment, dans une étude marketing sur l’industrie de service Shi et al. (2009 : 665)
utilisent l’ancienneté come mesure de la force des liens, parce qu’elle reflète selon eux : « La
mesure dans laquelle les partenaires sont liés… la capacité de la relation de résister à la fois
des défis internes et externes ». Ces auteurs définissent trois caractéristiques de la force des
liens : « affective » (attachement émotionnel), « cognitive» (croyance que la relation est et
restera rémunératrice) et « conative » (engagement à soutenir la relation, même face à des
mesures d'incitation à l'interrompre). Cette approche est conforme à la définition de la force
des liens proposée par Lincoln (1982).
Certains auteurs utilisent ces différentes variables de manière distincte comme, par exemple,
Podolny et Baron (1997) qui utilisent séparément la fréquence et la proximité. Ces deux
notions ne sont effectivement pas nécessairement corrélées. D’autres auteurs, comme Levin et
Cross (2004) par exemple, raisonnent à l’inverse de Poldony et Baron et combinent la
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 218
proximité et la fréquence moyennes. Reagans et McEvily (2003) choisissent, eux, d’utiliser le
produit de ces deux indicateurs. Notons que l’ensemble de ces exemples révèlent la
préférence des auteurs pour ces indicateurs au détriment de l’ancienneté et que, récemment,
Mardsen et Campbell (2012 : 20) ont de nouveau souligné la pluri-dimensionnalité de la force
des liens.
Synthèse sur le choix des indicateurs de la force des liens :
Bien que les travaux récents soulignent la pertinence de la fréquence comme indicateur de la
force des liens, nous pensons qu’il faut rester prudent à son égard. Dans un milieu
professionnel, la fréquence peut simplement signifier que les acteurs sont dans un même
service, un même bureau. Il s’agit alors de la conséquence de la proximité géographique ou
d’activité professionnelle. A l’inverse, l’ancienneté et la proximité des liens nous semblent
plus proches. Elles symbolisent deux dimensions de la relation qui dépasse les obligations du
quotidien. La durée et la proximité de la relation impliquent des choix personnels. On choisit
de rester longtemps en contact ou de rompre la relation. On choisit aussi ses amis. On ne
choisit pas avec qui on partage un bureau.
Dans ces conditions, la fréquence n’est peut-être pas un indicateur pertinent de la force des
liens, mais elle peut très bien être une source d’informations précieuse pour les individus.
Aussi nous décidons de ne pas l’écarter du questionnaire dans un premier temps.
Notre questionnaire portant sur la force des liens se compose des questions suivantes, posées
pour chaque contact enregistré par le générateur de noms. Les échelles sont notées de 1(le
moins) à 4 (le plus).
CONSTRUIT: LIENS
Indicateur Question Source
Proximité
PROX
Est-ce que vous vous sentez
Pas du tout
proche
Un peu proche Proche Très proche
Inspiré de Burt
(1992
Fréquence
FREQ
A qu’elle fréquence échangez-vous…
Tous les ans Tous les mois Toutes les
semaines
Tous les jours
Inspiré de Burt
(1992)
Ancienneté
ANC
Depuis combien de temps connaissez-vous…
Moins de 6
mois
De 6 mois à 1
an
De 1 à 3 ans Plus de 3 ans
Inspiré de
Perry-Smith
(2006)
Tableau 21: mesure du construit LIENS
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 219
La mesure d’une valeur unique pour tout le réseau :
Parmi l’ensemble des relations qu’entretient chaque répondant, comment obtenir une valeur
de la mesure de la force des liens pour l’ensemble du réseau ? La littérature nous propose
deux méthodes.
1. Le décompte du nombre de liens faibles et de liens forts. Cette méthode permet de
traiter l’échantillon de manière dichotomique, en fonction de l’orientation que l’on
souhaite lui donner (les apports de la force ou de la faiblesse des liens). Cette méthode
nous interroge cependant parce qu’elle peut par exemple lier la réussite ou l’échec à
un nombre de liens forts ou faible, sans tenir compte de la dimension du réseau.
2. Une conception continue de la force des liens, ou la moyenne des variables produits
une valeur indicative de la force du lien. Cette méthode nous semble porter moins de
contradictions que la première et nous décidons pour cette raison d’appliquer un score
moyen des indicateurs. Par exemple, une personne ayant trois contacts qu’elle connait
depuis un an (valeur 2), depuis un à trois ans (valeur 3) et plus de trois ans (valeur 4)
aura un score moyen d’ancienneté de (2+3+4)/3 = 3.
La mesure de la redondance structurale
La littérature identifie plusieurs mesures disponibles de la redondance structurale.
La taille du réseau :
La taille est donnée par le nombre de liens. L’usage de cette variable se fonde sur l’idée, que
plus les contacts sont nombreux, plus l’acteur a de chance d’obtenir ce qu’il veut. Cette
assertion peut être vraie, suivant la théorie des trous structuraux les liens ne sont pas
redondants, c’est-à-dire que le réseau forme une étoile ou ego (l’acteur principal) est
positionné au centre du réseau et ses alter (ses contacts) ne se connaissent pas. Cette mesure
ne tient donc pas compte des effets de la redondance des liens. Utiliser cette variable nous
priverait des informations relatives à la fermeture des réseaux. La faiblesse de cet indice a
conduit Burt (1992) à développer les mesures structurales suivantes :
La densité du réseau :
La densité reprend la notion de taille, mais en y intégrant les liens qui existent entre toutes les
relations. Plus un réseau est dense, plus il est redondant. La formule de calcul est la suivante :
soit N, le nombre de liens, la densité D se calcule par la formule suivante :
Burt, 1992 (50-56) propose également deux notions supplémentaires : l’effet de taille et la
contrainte.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 220
La taille effective :
L’effet de taille prend en compte le nombre d’interconnexions entre chaque acteur. Il est
fortement lié à la densité. Plus la densité est élevée, plus la taille effective est élevée. Plus les
acteurs sont interconnectés entre eux, plus le réseau est redondant et moins l’acteur central a
du pouvoir sur ces relations puisqu’il n’est pas nécessairement dans une position
d’intermédiaire.
La contrainte :
La contrainte est aussi une mesure qui considère le nombre de contacts et la densité du réseau.
Elle mesure la part que prend un alter (un contact) dans l’ensemble des relations. A l’inverse
de la taille effective, la contrainte diminue quand le nombre d’alter croît, quel que soit le niveau
de densité.
Le choix de la variable à utiliser :
Selon nous, la contrainte et la taille effective ont l’avantage sur la densité de prendre en
compte un effet taille. Ce sont des mesures plus complexes, qui donnent une vision plus juste
de la structure des relations. La contrainte étant la plus utilisé dans la littérature (Burt, 2010,
2007, 2004, 1997, 1992, Reagans et Zuckerman, 2003; Seibert, Kraimer et Liden, 2001).
Une technique supplémentaire offerte par le logiciel E-net (Borgatti, 2003) consiste à
pondérer les calculs de redondance par des paramètres de la force des liens. Un tel choix
nécessite de postuler qu’un indicateur du contenu de la relation en particulier, serait plus
contraignant que les autres pour l’acteur central. Or la littérature sur la force des liens
témoignent de leurs effets positifs. L’intensité des relations n’est donc en rien une contrainte.
Suivant ce constat, nous décidons de ne pas pondérer les liens.
La mesure de la variable à utiliser :
Cette mesure consiste à établir des liens en fonction du degré de connaissances que les
membres d’un réseau ont entre eux.
Cette méthode est, à notre connaissance, la seule disponible. Elle a cependant été critiquée
puisqu’elle suppose que le répondant a une vision suffisamment précise des relations qu’il
entretient alors que sa réponse est soumise à sa perception de la réalité.
En nous inspirant de la méthode de Burt (1992), nous posons les questions suivantes : soit A,
B et C, les trois noms saisis par un répondant.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 221
CONSTRUIT: NRS
Indicateur Question Source
Contrainte
NR_S
Est-ce que A connait bien B et C ?
B C
McEvily et Marcus (2005)
Inspiré de Burt
(1992)
Est-ce que B connait bien C ?
C
Tableau 22: mesure du construit NRS
Lorsqu’on utilise un générateur de noms, il n’est pas d’autre méthode possible que celle que
nous avons présentée. Elle peut toutefois être critiquée. Sa principale limite renvoie à la
capacité qu’elle suppose du répondant à évaluer les liens entre les alters, que plusieurs auteurs
ont mis en doute (Krackhardt et Kilduff, 1999 ; Marsden 1993).
Selon Krackhardt et Kilduff (1999), deux biais de perception sont identifiables. Le premier est
émotionnel (Krackhardt et Kilduff 1999 : 771-772) et le second est cognitif (ibid. : 774).
Le biais émotionnel relève de la dissonance cognitive. Un individu qui est très proche de 2
personnes souhaiterait qu’elles soient aussi proche l’une de l’autre. Il a donc tendance à
exagérer le degré émotionnel de la relation de ses alters. Le biais cognitif agit dans la
situation inverse. Quand un individu ne sait pas vraiment si deux de ses relations se
connaissent, il a tendance à exagérer l’état de la relation.
Les travaux de Burt (2010 : 290) confirment cette analyse, mais tout de même, 87,5% de son
échantillon reportent l’état des relations de leurs contacts avec exactitude. Les erreurs
d’appréciations se situent aux extrêmes, suivant la même logique que les biais émotionnels et
cognitifs.
L’outil reste donc selon nous valide pour notre étude. En effet, nous ne demandons pas aux
répondants d’indiquer avec précision le degré d’intensité que leurs relations entretiennent
entre elles, si elles sont très proches ou au contraire très distantes. Nous leur demandons
simplement si elles se connaissent bien.
La mesure de la non-redondance organisationnelle
Le choix et la mesure des attributs :
Il existe plusieurs indicateurs de mesure la non-redondance d’attributs.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 222
La non-redondance hiérarchique : l’écart des responsabilités assumées dans
l’institution entre l’acteur central et ses relations.
La non-redondance organisationnelle : la dispersion organisationnelle.
La non-redondance technique : la distance relative aux savoir-faire.
La non-redondance géographique : l’éloignement physique.
Il nous semble pouvoir écarter facilement la distance géographique. En effet, l’objet de notre
étude porte sur l’échange d’informations sous l’effet de la sécurité de l’information et les
réseaux de petite dimension procurant le plus d’avantages pour l’acteur central. Ces
conditions impliquent soit une proximité géographique, soit un moyen d’échange numérique
qui annule l’effet de la distance physique.
De même, nous n’observons pas dans la littérature consacrée à la sécurité de l’information,
que les effets du statut social ne sont pas considérés. Nous avons même constaté que la
position hiérarchique ne figure pas non plus dans les variables de contrôle (Pahnila et
Siponen, 2007 ; Jhonston et al, 2009 ; D’Arcy et al, 2010 ; Puhakainen et Siponen, 2010 ;
Siponen et Vance, 2010, Bulgurcu et al, 2010). Par ailleurs, selon le principe de réciprocité
(Caillé, 2009), la valeur du don est liée à la valeur de l’objet donné (qu’il s’agisse d’un bien
physique ou immatériel). Ce qui sous-entend que les deux parties de l’échange sont capables
de faire des dons de valeurs équivalentes et qu’ils se trouvent très probablement dans des
positions hiérarchiques similaires.
En revanche, les principes fondateurs de la sécurité de l’information (cf. chapitre 2,
Introduction) nous indiquent que leur objectif étant de préserver, voire d’améliorer leur
compétitivité, les institutions sont très fortement préoccupées par la protection de leurs savoir-
faire vis-à-vis du monde extérieur et en particulier bien sûr de la concurrence. La plupart des
études (Straub, 1990, Straub et Welke, 1998 ; Pahnila et Siponen, 2007 ; Jhonston et al, 2009 ;
D’Arcy et al, 2010 ; Puhakainen et Siponen, 2010 ; Siponen et Vance, 2010 ; Bulgurcu et al,
2010) cherchent les effets de la sensibilisation sur les comportements. Les mesures
s’appuient sur les usages des technologies de l’information et de la communication. Ils
évaluent en fait, l’intention de respecter, ou le respect effectif des règles d’usage, notamment
via les pratiques de communications électronique. Or, un salarié communique avec des
personnes dont la profession n’est pas nécessairement identique à la sienne. Par exemple, un
technicien, échange avec des commerciaux, des techniciens commerciaux, des consultants,
etc. En conséquence, nous retenons la non-redondance organisationnelle et technique dans le
cadre de notre thèse.
La non-redondance organisationnelle :
Comme nous le mentionnons dans la justification du choix de nos attributs, les études
consacrées à la sécurité de l’information font peu cas de la répartition organisationnelle des
acteurs. Ceci s’explique par une vision dichotomique des types de malveillance qui sont
classifiées comme internes ou externes aux institutions, puis comme malveillantes ou non
malveillante (cf. figure 11, loch 1992 et figure 12, Warkentin et al, 2012). La fonction
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 223
qu’exerce un salarié est parfois utilisée comme variable de contrôle (D’Arcy, 2009), mais le
principe de confidentialité et donc le devoir de discrétion qu’imposent les règles de sécurité
de l’information implique que le risque se situe bien dans la diffusion non contrôlée de
l’information vers l’environnement extérieur. Nous considérons donc que, dans le cadre de
notre étude, la non-redondance organisationnelle se situe dans l’opposition interne/externe à
l’organisation. Cependant, il faut tout de même garder à l’esprit que plus une information
sensible se diffuse dans une organisation, plus elle s’expose à des défaillances humaines et à
une « fuite » vers l’extérieur.
Le tableau 23 ci-dessous expose notre mesure de la redondance d’attribut organisationnel.
Soit A, un contact identifié du répondant :
CONSTRUIT : NRO
Indicateur Question Source
Non-Redondance
organisationnelle
NR_O
Est-ce que A appartient à la même organisation que vous (entreprise,
service publique,…)
Oui Non
Inspiré de
Burt (1992)
Tableau 23: mesure du construit NRO
La non-redondance technique :
Dans leur étude consacrée à la diversité des domaines techniques des réseaux personnels à
mesurer, Rodan et Galunic (2004) développent une échelle de mesure de la distance
euclidienne entre les différents membres du réseau. Cette technique implique que chaque
membre évalue la distance technique qui le sépare d’un autre, puis la distance euclidienne est
calculée à partir de toutes les distances entre paires. Cette technique nous semble bien trop
complexe à utiliser et inadaptée à nos choix méthodologiques.
Nous développons donc une échelle basée sur la distance moyenne (comme pour les mesures
de la force des liens) en conservant, comme Rodan et Galunic, une échelle à 4 degrés.
Cette méthode a cependant une limite. Dans le cas d’un acteur ayant deux membres dans son
réseau pratiquant des spécialités techniques proche de la sienne, la distance technique est
égale à 3 (3+3/2) alors qu’une personne ayant deux relations ayant des spécialités techniques
différentes et identiques aura le même score (4+2/2=3). Pourtant le niveau de redondance est
très différent.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 224
CONSTRUIT : NRT
Indicateur Question Source
Non-Redondance
Technique
NR_T
Le domaine de spécialité de A est-il proche du votre ?
Très différent
(1)
Différent (2) Proche (3) Identique (4)
Inspiré de Rodan et
Galunic (2004)
Tableau 24: mesure du construit de non-redondance technique (NRT)
La mesure des effets des valeurs individuelles et organisationnelles
Nous consacrons cette section à l’élaboration d’une échelle de mesure des valeurs
individuelles et organisationnelles, dans un contexte de travail et dans le respect (ou non) des
pratiques organisationnelles de sécurité de l’information. Dans un premier temps, nous
présentons l’échelle proposée par Wils et al, (2007), inspirée des travaux d Schwartz (1994,
2006). Nous proposons l’adaptation de cette échelle à notre contexte d’étude, que nous
confrontons à celle de Mac Donald et Gantz (1992) et une la nouvelle échelle de Schwartz et
al, (2012).
Le choix d’une échelle de mesure
Plusieurs études proposent des échelles des valeurs. Notre analyse de la littérature nous
conduit (cf. chapitre 3, section 2) à identifier l’échelle des valeurs organisationnelles de Mc
Donald et Gantz (1992) et l’échelle des valeurs individuelles de Schwartz (1994). Nous
souhaitons confronter leurs résultats pour ainsi augmenter la force de notre échelle.
L’étude des valeurs a été menée par Schwartz (2006) dans 70 pays, ce qui lui confère une
grande validité empirique (Wach et Hammer, 2003) et un caractère universel. En
conséquence, nous souhaitons conserver cette dimension qui donne un caractère plus
généralisable à notre étude. Cependant, elle se consacre aux valeurs individuelles et à notre
connaissance, seule l’étude de Wils et al, (2007) conduite auprès de 174 professeurs
québécois propose un modèle une échelle des valeurs au travail basée sur ces travaux, à partir
des quatre pôles de valeurs (cf. tableau 25 ci-dessous).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 225
Les quatre pôles de valeurs :
Pôle Type motivationnel Définition
Affirmation de
soi (AFS)
Pouvoir (interaction,
groupe)
Statut social, prestige, contrôle et domination des personnes et des ressources
Accomplissement
(interaction, groupe)
Succès personnel, compétence, en accord avec les standards sociaux en
vigueur
Dépassement
de soi (DES)
Bienveillance (groupe,
organisme)
L’intérêt porté aux autres
Universalisme
(groupe, organisme)
Compréhension, appréciation, la tolérance et la protection du bien-être de
tous les hommes et de la nature
Ouverture au
changement
(OUV)
Stimulation
(organisme)
Besoin d’excitation, de nouveauté et de défi
Auto-orientation
(organisme,
interaction)
Indépendance de pensée et d’action
Hédonisme
(organisme)
Plaisir et gratification personnelle, sensuelle et émotionnelle
Conformité
(CON)
Bienveillance
(organisme,
interaction, groupe)
Préservation et amélioration du bien-être des personnes avec lesquelles on est
en contact personnel fréquent
Tradition (groupe) Se conformer aux idées, aux coutumes, que la culture ou la religion impose à
l’individu
Conformité
(interaction, groupe)
Freiner les actions, inclinations et pulsions contraires aux normes et attentes
sociales
Sécurité (organisme,
interaction, groupe)
Sécurité, harmonie, stabilité dans la société
Tableau 25: les 4 pôles de valeurs (Schwartz, 2006: 8)
Ces auteurs proposent la correspondance entre les valeurs individuelles (VI) et les valeurs
individuelles au travail (VIT) que nous avons regroupés selon leurs recommandations (ibid. :
313) dans les pôles suivants (cf. tableau 25, 26, 27 et 28). Quarante-deux valeurs sur
cinquante-six valeurs sont conservées. Ce nombre de valeurs est selon nous bien trop élevé
pour les exploiter telles quelles dans notre questionnaire. Un second travail d’épuration en
ligne avec nos objectifs est nécessaire.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 226
La seule étude pourtant sur l’influence des valeurs individuelles (Myyr et al, 2009) montre
que les types motivationnel d’ouverture au changement et de conformité ont une influence
respectivement négative et positive sur le respect des règles de sécurité. Cependant cette étude
ne dit rien, ni sur les valeurs sélectionnées pour la mesure, ni sur les effets des autres types
motivationnels.
Les types motivationnels d’hédonisme, d’auto-orientation et de stimulation constituent le pôle
de valeurs d’ouverture au changement.
L’hédonisme comprend le plaisir (ici au travail) et la jouissance de la vie. Rien dans la
littérature relative aux réseaux sociaux, aux comportements des innovateurs ou à la sécurité de
l’information, nous indiques que ces valeurs ont un rapport avec l’échange d’information. Il
nous semble également difficile de justifier que ces deux valeurs peuvent avoir un effet sur
l’obtention ou le don d’informations opportunes. En conséquence nous décidons d’écarter ces
deux valeurs.
La stimulation comprend l’audace, la passion du travail et le goût pour des activités variées. Il
nous semble que la passion du travail ou la variété des activités peuvent difficilement être
liées aux pratiques de diffusion d’informations.
Au contraire, nous conservons l’audace, c’est-à-dire la prise de risque, qui nous semble en
lien directe avec la décision de ne pas respecter des règles ou au contraire de s’y conformer.
D’ailleurs, tant Sarasvaty (2001) qu’Alter (2000) montrent que la gestion du risque est
centrale et conditionne le succès de l’innovateur. De même ces deux auteurs soulignent que la
créativité est une valeur qui caractérise l’innovateur et qui nécessite d’avoir un regard critique
et une capacité à concevoir la nouveauté. Ce qui implique une certaine autonomie d’action.
Compte tenu de ces éléments, nous décidons d’écarter également les valeurs « passion du
travail » et « activités variées ».
Ouverture au changement
Définition VI (Schwartz, 1994) VIT (Wils et al,
2007)
VIT
retenues
Satisfaction des désirs Plaisir Plaisir au travail
Liberté d’action et de pensée Liberté Liberté Retenu
Avoir des expériences stimulantes Une vie passionnante Passion du travail
Imagination Créativité Créativité Retenu
Une vie de nouveauté, de
changement
Une vie variée Des activités variées
Amour du risque, de l’aventure Audace Audace Retenu
Disposer de son libre arbitre Choisir ses propres objectifs Autonomie d’action Retenu
Jouir des plaisirs de la vie Profiter de la vie Non applicable
Saisir des opportunités sans hésiter Initiative Initiative Retenu
Explorer, s’intéresser à tout Curieux Auto-apprentissage Retenu
Tableau 25: valeurs individuelles d'ouverture au changement (d’après Wils et al, 2007:313)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 227
Le pôle de valeurs de conformité (cf. tableau 26) se compose des types motivationnels de
tradition, de bienveillance, de conformité et de sécurité.
Nous écartons « la politesse », « le respect de la tradition », « le respect des anciens », « la
modération », « l’humilité », « la santé » « le sentiment d’appartenance » et « la propreté »,
qui ne sont pas des valeurs en liens avec l’échange d’information et le respect des normes au
travail.
Nous avons souligné (cf. chapitre 1) à quel point la valeur de réciprocité est importante pour
le développement et le maintien du capital social. Compte tenu de l’abondante littérature sur
ce sujet, qui tend unanimement à faire de la réciprocité un principe de fonctionnement des
réseaux sociaux, nous considérons que cette valeur est présente de façon importante dans les
valeurs individuelles. Néanmoins, la réciprocité n’est pas une valeur au travail. On ne se rend
pas service, mais on fait ce que l’on à faire dans l’intérêt de la communauté. Ce principe reste
valable pour expliquer le fonctionnement des échanges dans les réseaux personnels, mais ne
sera pas analysé en termes de valeur lors de cette thèse.
Nous conservons l’obéissance (le respect des règles) puisque cette valeur est au cœur des
attentes des managers de la sécurité de l’information (cf. chapitre 2). Nous conservons
également la sécurité familiale (la stabilité) qui est liées aux valeurs de travail par la stabilité
de l’emploi. Ce choix s’explique par l’impact sur la pérennisation de l’emploi que pourrait
avoir un manquement aux règles d’entreprise.
Tableau 26: valeurs individuelles de conformité (d’après Wils et al, 2007:313)
Conformité
Définition VI (Schwartz, 1994) VIT (Wils et al, 2007) VIT
retenues
Sentiment que les autres se soucient de moi Sentiment d’appartenance Sentiment
d’appartenance
Stabilité de la société (règles) Ordre social Ordre social
Courtoisie, politesse Politesse Politesse
Protection de la nation contre les ennemis Sécurité nationale Non applicable
Éviter l’endettement, rendre les services Réciprocité Non applicable
Respect des coutumes Respect de la tradition Respect de la tradition
Sécurité pour les proches (stabilité de
l’emploi, des relations)
Sécurité familiale Sécurité familiale Retenu
Rejeter les idées et comportements extrêmes Modération Modéré
Modeste, effacé Humilité Humble
Respect des parents et des ainés Honorant les anciens Non applicable
Ne pas tomber malade Être en bonne santé Non applicable
Se soumettre aux évènements, être résigné Accepter ma part dans la vie Non applicable
L’obéissance Le respecter des règles Retenu
Dévotion La dévotion Non applicable
Spiritualité - Laisser une grande place à la
religion
Piété Non applicable
Être propre, méticuleux – conditions de
travail
Propreté Consciencieux
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 228
Le pôle de valeurs « affirmation de soi » (cf. tableau 27) se compose des types motivationnels
de pouvoir et d’accomplissement.
Nous pensons pouvoir écarter les valeurs « intelligence », de « richesse » et le « respect de
soi » des préoccupations qui nous semblent être des valeurs trop éloignées pour expliquer les
comportements qui nous intéresse.
« La compétence » peut avoir un lien avec l’échange d’information, mais nous nous
focalisons sur l’échange d’informations de nature prospective et commerciales liées aux
pratiques organisationnelles internes et externes aux institutions et qui ne concernent pas le
savoir-faire propre à l’individu. Nous faisons également le choix d’écarter l’ambition. En
effet, contrairement à « la réussite », cette valeur, n’a pas été identifiée par Alter (2000) et
Sarasvathy (2001) comme une valeur motrice de l’innovation. L’innovateur n’est pas motivé
par l’ambition personnelle, mais par la réussite et la créativité. Il en est de même avec
l’influence. Certes, les travaux de Sarasvathy (2001) montrent que le succès de l’innovateur
dépend de sa capacité à entrainer des soutiens dans ses projets, mais cela relève selon elle
d’un « altruisme intelligent » qui s’appuie au sur la docilité, c’est-à-dire le respect des
normes. En ce sens, l’innovateur n’utilise pas son savoir-faire ou la manipulation pour
influencer son entourage Au contraire, il attire vers lui des soutiens grâce à sa capacité à
montrer qu’il agit pour le bien d’un collectif et donc que les produits de son projet
bénéficieront à l’ensemble.
Nous conservons les autres valeurs que sont « le pouvoir social », « la reconnaissance
sociale », « le respect de l’autorité » et « la réussite sociale ». En effet, nous l’avons écrit à
maintes reprises, l’innovateur est motivé par la réussite et la reconnaissance sociale
(Sarasvathy, 2002 ; Alter, 2000). S’attirer les soutiens politiques dont il a besoin pour
défendre ses projets nécessite de respecter l’autorité, la hiérarchie. Sinon l’acteur s’exposerait
à des rejets systématiques de la part des décideurs. La « préservation de la réputation » est
aussi une valeur qui nous semble centrale. Elle traduit la capacité d’un individu à mener à
bien un projet et à entrainer des soutiens (mobilisation du capital social). Enfin, la direction de
projets, l’entrainement de soutiens nécessitent une capacité de leadership (le pouvoir social).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 229
Affirmation de soi
Définition VI (Schwartz, 1994) VIT (Wils et al, 2007) VIT
retenues
Contrôle sur les autres, domination Pouvoir social Pouvoir social Retenu
Argent, biens matériels Richesse Salaire décent
Croyance en sa propre valeur Respect de soi Respect de soi
Témoignage de respect des autres envers
soi
Reconnaissance
sociale
Reconnaissance sociale Retenu
Le droit de diriger, de commander Autorité Le respect de l’autorité Retenu
Désireux de s’élever dans l’échelle
sociale
Ambitieux Ambitieux
Avoir un impact sur les autres et sur les
évènements
Influence Influence
Être compétent, efficace et efficient Être capable Être capable
Être soucieux de son apparence, de
l’image que l’on renvoi.
Protéger son image
publique
Protéger sa réputation Retenu
Être capable de raisonner, faire preuve de
logique
Intelligent Intelligent
Réussir ses objectifs Avoir du succès Avoir du succès Retenu
Tableau 27: valeurs individuelles d’accomplissement de soi au travail (d’après Wils et al, 2007: 313)
Le pôle de valeurs de dépassement de soi se compose des types motivationnels de
bienveillance et d’universalisme. Nous supprimons les valeurs de « justice », de « tolérance »,
d’égalité », le pardon et l’honnêteté.
Nous conservons les valeurs « d’amitié ». Cette valeur est directement en lien avec
l’altruisme, un moteur du don. La « responsabilisation » est aussi selon nous une valeur
importante pour l’innovateur parce qu’elle indique une capacité à assumer la réussite comme
l’échec, ce qui est de nature à rassurer des partenaires. La « collaboration » se réfère à la
capacité à travailler en groupe et donc à trouver des compromis dans la négociation pour la
construction collective d’un projet. La « loyauté » n’est autre que la fidélité. Cette valeur est
un indicateur de fiabilité de l’innovateur pour son entourage. Elle signifie que l’on peut
compter sur lui, qu’il intègre les objectifs et les valeurs collectives. La loyauté est intimement
liée à la confiance. En effet, pour Caillé (2009), on ne peut avoir confiance en quelqu’un qui
pourrait se détourner de la relation si une autre opportunité plus alléchante se présente à lui.
C’est le principe d’engagement dans la relation qui implique la fidélité.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 230
Dépassement de soi
Définition VI (Schwartz, 1994) VIT (Wils et al, 2007) VIT
retenues
Disposer des mêmes chances que les autres Égalité Égalité
Paix avec soi-même Harmonie intérieure Non applicable
Satisfaction des désirs Plaisir Non applicable
Les questions importantes sont d’ordre
spirituel
Vie spirituelle Non applicable
Avoir des expériences stimulantes Une vie passionnante Non applicable
Un monde sans guerre et sans conflit Un monde en paix Non applicable
Profonde intimité émotionnelle et spirituelle Amour adulte Non applicable
Se désintéressé de préoccupations mondaines Détachement Non applicable
Se sentir proche de l’environnement Unité avec la nature Non applicable
Une vie de nouveauté, de changement Une vie variée Non applicable
Expérience du vécu, compréhension profonde
de la vie
Sagesse Non applicable
Soutient sincère des amis Amitiés profondes Amitiés profondes Retenu
Une grande place pour la nature et les arts
dans la vie
Un monde de beauté Non applicable
Correction des injustices, plus d’égalité Justice sociale Justice sociale
Accepter les idées des autres Tolérant Tolérant
Protection de l’environnement Protection de
l’environnement
Non applicable
Loyauté Fidélité Etre fidèle à ses
collaborateurs Retenu
Sincérité Honnête Honnête
Travailler pour le bien être des autres Utile Collaborer Retenu
Jouir des plaisirs de la vie Profiter de la vie Non applicable
Assumer des responsabilités Responsable Responsable Retenu
Être prêt à pardonner a autrui Pardonnant Pardonnant
Tableau 28: valeurs individuelles de dépassement de soi (d’après Wils et al, 2007: 313)
Finalement, nous conservons 17 valeurs que nous validons en les confrontant à la nouvelle
proposition des types motivationnels de valeurs Schwartz (2012), puis, suite à leur
transformation au niveau organisationnel, aux travaux de Mc Donald et Gantz (1992).
Suite à une étude menée auprès des entreprises, Mc Donald et Gantz (1992) propose en effet
un ensemble de vingt-quatre valeurs organisationnelles fortement inspirées de l’échelle de
Rockeach (1973), qu’ils classent selon la typologie proposée par Quinn et McGrath (1985).
Dans leurs récents travaux, Schwartz et al. (2012: 669) proposent également une nouvelle
échelle de valeurs, née de différents constats. Tout d’abord, le concept de continuum (la
représentation circulaire) des valeurs reste selon eux une conception tout à fait pertinente, et
largement négligée par la communauté scientifique. Cependant, les nombreux travaux menés
sur la base de leur échelle de valeur datant de 1994 montrent parfois des problèmes de
mesure, et en particulier de la multi-colinéarité entre valeurs adjacentes et une validité interne
parfois faible sur certains facteurs, puisque dix valeurs se situes dans des frontières floues
(ibid. : 668). Leur étude auprès de 6000 personnes réparties dans dix pays les conduit à
proposer dix-neuf valeurs au lieu de cinquante-six, et à recomposer le continuum circulaire.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 231
Certaines valeurs sont décomposées en sous-types, de manière à réduire « le flou aux
frontières des types motivationnels» et à redéfinir les complémentarités et les oppositions
entre valeurs. Par exemple « l’autonomie de faire » (self-direction-action) s’opposerait au
respect des règles parce qu’elles contraignent les acteurs dans leurs actions. Le tableau ci-
dessous permet d’établir la comparaison entre notre échelle, la nouvelle échelle de Schwartz
(2012) et celle de McDonald et Gantz (1992).
Correspondance entre notre échelle de valeurs individuelles et organisationnelles, les valeurs individuelles
de Schwartz (2012 : 669) et les valeurs organisationnelles de Gantz (1992 : 68)
Echelles proposée Schwartz (2012 : 669) Mc Donald Gantz (1992)
Liberté d’agir et de
penser
Liberté d’agir et de penser
Autonomie d’action Autonomie d’action Autonomie d’action
Innovation (Créativité) Stimulation Etre innovant
Risque (Audace) Agir avec précaution, minimiser les risques
Initiative Prendre des initiatives
Auto-apprentissage Développement personnel
Sécurité familiale Sécurité personnelle et de
l’environnement proche
Agir avec précaution, minimiser les risques
Respecter des règles Respect des règles Respecter les règles
Pouvoir social Contrôle sur les autres personnes
Respect de l’autorité Respect de l’autorité Même valeur que pour le respect des règles
Reconnaissance
sociale
Reconnaitre sur la base du mérite
Protection de sa
réputation
Assurer sa sécurité et du pouvoir par la
protection de son image publique
Réussite Réussir en respectant les normes
sociales
Atteindre ses buts
Amitiés profondes Etre un acteur de disponible et de confiance dans les groupes
Loyauté Intégrité morale
Collaborer Etre coopératif
Se responsabiliser Se responsabiliser
Tableau 29: comparaison de notre échelle avec celle de Schwartz (2012) et McDonald et Gantz (1992)
La nouvelle échelle proposée par Schwartz nous permettrait d’utiliser moins d’indicateurs, ce
qui allégerait le questionnaire. Cependant, elle manque de validité empirique compte tenu de
sa publication récente. Par ailleurs, les regroupements ne facilitent pas nécessairement
l’analyse. Par exemple, il peut être utile de savoir que la prise de risque conduit à s’écarter
d’avantage des règles que le désir d’autonomie, parce qu’elle pourrait être mieux contrôlée
par le management, par exemple en installant des environnements de test qui permettent à
chaque salarié d’évaluer des solutions avant de les mettre en production, etc.
Il est également frappant de constater que l’échelle de McDonald et Gantz (1992) bannie des
valeurs organisationnelles. La liberté d’action et de pensée et l’amitié sont des valeurs
absentes de leur échelle. Cela rejoint le cadre transactionnel de Commons (1934). Un membre
d’un collectif ne peut agir en dehors du cadre qui régit la vie commune ; Il doit agir dans
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 232
l’intérêt collectif et non strictement le sien. De même, l’amitié n’est pas nécessaire pour
travailler ensemble. Cette échelle lie aussi le respect des règles au respect de l’autorité, nous
comprenons cette logique. Si les règles viennent du sommet de la pyramide, alors ne pas les
respecter revient à ne pas respecter la hiérarchie.
Compte tenu que l’amitié et la liberté d’action sont des valeurs importantes, identifiées dans
la littérature comme facteurs d’influence des comportements non conformes aux règles de
sécurité (Alter, 2009 ; Myyr et al, 2009), nous décidons néanmoins de les maintenir. De plus,
il nous semble trop réducteur d’adopter une démarche dichotomique en ce qui concerne le
respect des règles et de l’autorité. Il est selon nous tout à fait possible de respecter la
hiérarchie, mais de ne pas respecter certaines règles, parce qu’elles nous semblent par
exemple, inappropriées à une situation donnée.
Aussi nous décidons de conserver notre propre échelle, dont il faut définir les modalités de
codage (cf. Tableau 30), les questions qui s’y rapporte (cf. Tableaux 31 et 32) et les modalités
d’évaluation (cf. Tableaux 33).
Variables des pôles et valeurs individuelles et organisationnelles
Pôles Echelles proposée Valeur
individuelle
Valeur
Organisationnelle
OUV (Ouverture)
Choix des objectifs (Autonomie
d’action)
VI_Cob VO_Cob
Auto-apprentissage VI_App VO_App
Initiative VI_Ini VO_Init
Innovation (Créativité) VI_Inn VO_Inn
Liberté d’agir et de penser VI_Lib VO_Lib
Risque (Audace) VI_Ris VO_Ris
CON (Conformité) Respecter des règles VI_Reg VO_Reg
Stabilité (Sécurité familiale) VI_Sta VO_Sta
AFS
(Affirmation de soi)
Pouvoir social VI_Pou VO_Pou
Protection de sa réputation VI_Rep VO_Rep
Reconnaissance sociale VI_Rec VO_Rec
Respect de l’autorité VI_Aut VO_Aut
Réussite VI_Reu VO_Reu
DES (Dépassement de soi) Amitiés profondes VI_Ami VO_Ami
Collaborer VI_Col VO_Col
Loyauté VI_Loy VO_Loy
Se responsabiliser VI_Resp VO_resp
Tableau 30: variables des valeurs individuelles et organisationnelles
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 233
CONSTRUIT: VALEURS INDIVIDUELLES
Pôles des
valeurs
individuelles
Valeurs
individuelles
Questions : Ce qui me semble important c’est…
I_OUV VI_Cob choisir mes propres objectifs
VI_App apprendre par moi-même
VI_Ini prendre des initiatives
VI_Inn apporter de la nouveauté
VI_Lib avoir une liberté d’action et de pensée
VI_Ris oser de nouvelles choses
I_CON VI_Reg respecter les règles
VI_Sta avoir des relations stables
I_AFS VI_Pou être un leader
VI_Rep préserver ma réputation
VI_Rec être apprécié à ma juste valeur
VI_Aut respecter l'autorité
VI_Reu atteindre mes objectifs
I_DES VI_Ami avoir des relations amicales avec les membres de mon
réseau
VI_Col collaborer avec les membres de mon réseau
VI_Loy être digne de confiance
VI_Resp assumer des responsabilités
Tableau 31: questions relatives aux valeurs individuelles
CONSTRUIT: VALEURS ORGANISATIONNELLES
Pôles
organisationnels
Valeurs
Organisationnelles
Questions
O_OUV VO_Cob que les employés choisissent leurs propres
objectifs
VO_App que les employés apprennent par eux-mêmes
VO_Ini que les employés prennent des initiatives
VO_Inn que les employés fassent preuve d’innovation
VO_Lib que les employés soient libres d’action et de
pensée
VO_Ris oser de nouvelles choses
O_CON VO_Reg que les employés respectent les règles de
l'entreprise
VO_Sta proposer des emplois à long terme
O_AFS VO_Pou pratiquer un management basé sur le contrôle
VO_Rep préserver la réputation de l'entreprise
VO_Rec apprécier les compétences des employés à leur
juste valeur
VO_Aut que les employés respectent l'autorité hiérarchique
VO_Reu que les employés atteignent leurs objectifs
professionnels
O_DES VO_Ami que les employés aient des relations amicales dans
l'entreprise
VO_Col que les employés collaborent entre eux
VO_Loy que les collaborateurs soient fiables
VO_Res que les employés se responsabilisent par eux-
mêmes
Tableau 32: Questions relatives aux valeurs organisationnelles
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 234
Le choix du questionnaire et des indicateurs
Schwartz (1994, 2006,2009, 2012) propose deux types de questionnaires pour mesurer les
valeurs.
Le Schwartz Value Survey (SVS) :
Le SVS est le premier type de questionnaire utilisé en 1992. Ce questionnaire affiche deux
listes d’éléments de valeur. Le premier contient 30 questions qui décrivent les états finaux
potentiellement souhaitables sous forme de substantif, le second contient 26 ou 27 questions
qui décrivent des moyens potentiellement souhaitables d'agir sous la forme d’adjectif. Chaque
question exprime un aspect de l'objectif de motivation d'une valeur. Une phrase explicative
fournit les éléments de compréhension pour chaque question posée.
Les répondants évaluent l'importance de chaque élément de valeur « comme un principe
directeur dans leur vie ». L’échelle est construite sur une base de 9 points marqués 7 (d'une
importance extrême), 6 (très important), 5, 4 (neutre), 3 (important), 2, 1 peu important), 0
(pas important), -1 (contraire à mes valeurs). Les répondants répondent généralement dans
une fourchette allant de « un peu important » à « très important ». L'échelle permet aussi aux
répondants d'indiquer leur opposition aux valeurs.
Le Portrait Value Questionnaire (PVQ) :
Ce questionnaire a été développé pour s’adresser à des enfants de onze ans (Schwartz et al,
2001). Chaque répondant se voit assigner un questionnaire de 40 items. Ces items
représentent les aspirations, les objectifs, les vœux qui correspondent aux valeurs d’une
personne fictive, de même sexe que le répondant. Ce dernier doit dire à quel point cette
personne lui ressemble. Par exemple : « cette personne aime toujours décider de ce qui doit
être fait ou ne pas être fait, à quel point cette personne vous ressemble-t-elle ?. L’échelle
proposée compte 8 degrés.
Le choix du questionnaire :
Compte tenu que le QVS oblige à respecter le sexe des répondants et que notre méthodologie
d’enquête ne le permet pas, nous choisissons la méthode SVS, par ailleurs fortement
éprouvée.
La distinction faite entre le substantif et l’adjectif est héritée de Rokeach (1973). Néanmoins,
les recherches de Schwartz que cette distinction n’a pas d’importance quant au fond
(Schwartz, 2009 : 8). Nous décidons donc ne pas utiliser cette méthode pour alléger notre
questionnaire.
Notre questionnaire des valeurs, dont nous proposons un exemple ci-dessous (voir l’annexe
15 pour les détails complets), compte deux volets de dix-sept questions, l’un dédié aux
valeurs individuelles et l’autre aux valeurs organisationnelles. Le nombre et le contenu des
construits dépendent de l’analyse factorielle confirmatoire. Nous avons prévu quatre
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 235
construits pour les valeurs individuelles et organisationnelles, correspondant aux quatre pôles
de valeurs (I_OUV, O_OUV) OUVERTURE, (ICON, O_CON) CONFORMITE, (I_AFS,
O_AFS) AFFIRMATION DE SOI et (I_DES, O_DES) DEPASSEMENT DE SOI. S’il
s’avère que certaines valeurs soient non factorisables, mais justifiées par la théorie, alors le
construit portera le nom de la valeur en majuscule. Comme par exemple : VI_APP, le
construit de la valeur individuelle d’apprentissage I_APP, non factorisable.
Indicateur Question Source
Valeurs individuelles
Ce qui me semble important c’est…
Abs pas N Tout à fait
Schwartz
(1994)
Valeurs
organisationnelles
Dans mon entreprise, ce qui est important c’est…
Abs pas N Tout à fait
Schwartz
(1994)
Tableau 33: mesure des valeurs individuelles et organisationnelles
La mesures des indicateurs de la sécurité organisationnelle
La littérature (cf. chapitre 2) décrit plusieurs axes possibles de protection des informations
selon que l’acte est intentionnel ou non.
Les pratiques organisationnelles de sécurité de l’information
Les mesures concernant les actes non intentionnels sont éducatives et consistent en un
ensemble de mesures organisationnelles regroupées sous l’acronyme SETA (user awareness
of Security policies; Security Education, Training, and Awareness (D’Arcy et al, 2009 : 79).
La sensibilisation est considérée comme le moyen d’assurer la sécurité de l’information. Son
contenu dépend des politiques en vigueur. Elle s’appuie sur une structure interne de gestion
des activités de sécurité. Les mesures concernant les actes intentionnels sont dissuasives et
axées sur la sanction.
La sensibilisation :
Nous ne revenons pas sur le débat portant sur la distinction entre sensibilisation, formation et
éducation. Nous avons considéré (cf. Chapitre 2, Section 2.2), que la formation et l’éducation
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 236
s’adresse à des populations spécifiques qui ont besoin d’une certaine expertise (les
développeurs de logiciels par exemple). La sensibilisation constitue une formation générale
ayant pour but de susciter l’intérêt et de donner les bons réflexes de prudence et de protection.
La sensibilisation est considérée et organisée comme une formation, soit de groupe et plus ou
moins interactive (Siponen et Puhakainen, 2010), soit virtuelle, sur une plateforme de
formation de l’intranet (Chen, 2006). Elle constitue :
Soit un sujet en elle-même (Siponen et Puhakainen ; Puhakainen, 2006 ; Peltier 2005 ;
Enisa, 2006, NIST, 2003).
Soit une sujet secondaire, un outil au service d’une finalité autre (Knapp, 2012 ;
D’arcy et al, 2009 ; Stanton et al, Knapp, 2004)
Les politiques de sécurité :
Les politiques peuvent être définies comme des guides nécessaires à l’atteinte des objectifs
de sécurité de l’information (Gaston, 1996 : 175). Elles définissent, clarifient ce qui est
acceptable ou ne l’est pas, et c’est pour cela que Knapp et al, (2012) suggèrent que donner la
connaissance des politiques aux salariés peut réduire le nombre d’incidents de sécurité. Ces
auteurs suivent ainsi Straub et Welke (1998), selon lesquels l’efficacité des politiques dépend
de la qualité de leurs applications. Par exemple, un salarié peut ignorer que la politique de
sécurité interdit de transporter des documents sur une clé USB, à l’extérieur de l’institution.
Une connaissance à jour de politique permettrait de limiter la fréquence de ce genre de
situation (Myyry et al, 2009 ; Doherty et Fulford, 2003; Straub et Welke, 1998).
L’implication du management :
La littérature montre que la dirigeance est à l’origine des politiques de sécurité, elle légitime
les règles et impulse la dynamique organisationnelle pour que les individus agissent dans
l’intérêt de l’institution (von Solms et von Solms, 2004 : 176). La dirigeance, peut influencer
l’efficacité des mesures de sécurité : sensibilisation, culture organisationnelle, adéquation des
politiques aux besoins et le renforcement des politiques (Knapp et al, 2007). Ces travaux
montrent que l’implication du management semble nécessaire à la réduction des risques ;
néanmoins, nous n’avons pas identifié de publications relatives à l’influence que peut avoir le
manager de proximité sur les comportements des employés. Ceci nous semble pourtant
important, d’autant que Rainer et al, (2007 : 101) montrent que parmi les dix préoccupations
des managers en matières de sécurité, le support de la dirigeance arrive en première position;
l’existence de politiques est classée sixième, juste devant la culture organisationnelle
positionnée en septième position.
De même, si l’expérience passée dans l’institution est un facteur d’adhésion aux pratiques de
sécurité de l’information (Herat et Rao, 2009 ; Pahanila et Siponen, 2007), à notre
connaissance, rien n’est dit sur l’influence que peut avoir l’expérience dans une autre
institution, et donc potentiellement, une autre culture.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 237
Les mesures concernant les actes intentionnels
Les mesures de sécurité concernant les actes intentionnels ont un objectif dissuasif. La
recherche c’est intéressée aux effets d’une structure de gestion de la sécurité et de la sanction
(D’Arcy et al, 2009 ; Straub et Welke , 1998 ; Sykes et Matza, 1957).
La structure de gestion de la sécurité de l’information :
Une structure de gestion de la sécurité met en œuvre et gère les outils nécessaires à la
protection de l’information. Selon Richardson (2007, 2010), plus des deux tiers des
entreprises réalisent des audits de sécurité. Straub et Welke (1998) montre que les contrôles
effectués grâce à ces outils ont un effet dissuasif des comportements déviants, si tant est que
les acteurs ont conscience de l’existence de ces contrôles électroniques. Les travaux de
Jhonston et al, (2004) vont dans le même sens, la surveillance des supports électroniques de
communication dissuade les comportements non conformes aux exigences de sécurité.
La théorie de la dissuasion enracinée (Gibbs, 1975) postule qu’une sanction sévère dissuade
les actes déviants. Plusieurs études ont montré que la sanction peut avoir un effet dissuasif sur
les actes non conformes aux règles de sécurité de l’information (Straub, 1990, Straub et
Welke, 1998, Siponen et Pahnila, 2007), mais elle aurait peu d’effets lorsque les salariés
agissent sous l’influence des techniques de neutralisations (Siponen et Vance, 2010). Par
ailleurs, la perception génèrerait également plus d’effets positifs que la certitude de la
sanction (D’Arcy et al, 2009).
Le choix des mesures des effets des pratiques organisationnelles de
sécurité de l’information
La conception des programmes de sensibilisation n’étant pas en lien avec notre sujet, nous
écartons la littérature la concernant.
De nombreux auteurs mesurent les effets de la sensibilisation, des politiques ou de l’existence
d’une structure de gestion, en se basant sur la perception des acteurs (Knapp et al, 2012 ;
Bulgurcu et al, 2010 : A1; Herat et Rao, 2009 :123 ; D’Arcy et al, 2009 : 95 ; Choi et al,
2008 : 493). Ces chercheurs interrogent les acteurs sur leur perception de l’existence de
politiques relatives à la gestion des mots de passe, de l’existence de sessions de
sensibilisation, de l’implication de la dirigeance ou du sentiment de surveillance de toutes les
modifications faites sur les données stockées dans les systèmes d’informations.
D’autres auteurs mesurent les effets des pratiques organisationnelles en évaluant les effets des
pratiques effectives des acteurs (Johnston et Warkentin, 2010 : A2 ; Dinev et Hu, 2006 : 407,
Stanton et al, 2004 :8).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 238
Les questionnaires axés sur les pratiques effectives s’appliquent à un contexte d’usage des
technologies de l’information. Par exemple, Choi et al,(2006), utilisent une variable fondée
sur le suivi que portent les acteurs au développement des antivirus, Jhonston et Warkentin
(2010) utilisent une variable mesurant la compétence des acteurs à utiliser un antivirus. Nous
pensons que cette méthode n’est pas adaptée à notre sujet de thèse.
A l’inverse, travailler sur la perception des acteurs nous semble tout à fait pertinent et adapté à
notre contexte. Les nombreuses études qui ont utilisé cette méthode obtiennent des résultats
probants. De plus, cela permet d’alléger le questionnaire, tout en cherchant à obtenir une
vision holistique de l’importance que prend la sécurité de l’information dans la culture
organisationnelle.
Nous avons également fait le choix de ne pas mesurer les effets de la sanction. En effet, nous
pensons que ce type de mesure nécessite d’être contextualisé et de comprendre les
motivations des acteurs. Est-ce un acte intentionnel ou non-intentionnel ? Pratiqué sous
l’influence des techniques de neutralisation ? La complexité de l’interprétation qui en découle
ne nous autorise pas à introduire une mesure des effets de la sanction dans notre questionnaire
qui manipule une combinaison de facteurs complexes. Le tableau 34 ci-dessous liste les
questions posées pour le construit des variables organisationnelles de sécurité, le tableau 35
correspond au construit relatif à l’influence du manager de proximité, le tableau 36 présente le
construit de l’expérience précédente de la sécurité.
Par ailleurs, Nous avions prévu d’utiliser deux indicateurs pour mesure les effets de
l’expérience de la sécurité de l’information : L’expérience précédente dans une autre
institution et l’expérience précédente dans une autre fonction professionnelle. Cependant
seulement 120 participants ont déclaré avoir exercé d’autres fonctions professionnelles.
Compte tenu de la faiblesse des réponses, nous décidé d’écarter cet indicateur de notre
modèle. Le construit Sec_PREC ne compte donc qu’un seul indicateur, celui de l’expérience
dans une précédente institution.
CONSTRUIT: SEC_ORGA
Indicateur Question Source
Existence de
politiques
SEC_POL
Mon entreprise possède des politiques de sécurité de l’information
Oui Non Je ne sais pas
Inspiré de
D’Arcy et al,
(2009)
Implication de la
dirigeance
SEC_TOP
Le top management communique sur l’importance de la sécurité de
l’information …
jamais Moins de 1 fois/ an Au moins 1 fois/an
Choi et al. (2006)
Bulgurcu et al,
(2010)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 239
Sensibilisation
SEC_SENSIB
Mon entreprise propose à ses salariés une sensibilisation à la sécurité
de l’information
Pas du tout
Probablement non Probablement oui Tout à fait
Inspiré de
D’Arcy et la,
(2009)
Structure de gestion
SEC_SERV
Mon entreprise dispose d’un service dédié à la sécurité de
l’information
Oui Non Je ne sais pas
Choi et al. (2006)
Bulgurcu et
al,(2010)
Tableau 34: mesure du construit SEC_ORGA
CONSTRUIT : SEC_MANAGER
Indicateur Question
Perception du manager
SEC_MANAGER
Pour mon manager, la sécurité de l’information est …
Pas du tout
importante
Un peu important
Assez importante
Importante Très
importante
Tableau 35: mesure du construit SEC_MANAGER
CONSTRUIT : SEC_PREC
Indicateur Question
Expérience précédente
SEC_PREC_ENSE
Dans la précédente entreprise que j'ai fréquentée, la sécurité de l'information était
appliquée de manière…
Beaucoup moins
stricte
Moins stricte identique
Plus stricte Beaucoup plus stricte
Tableau 36: mesure du construit SEC_PREC
La mesure des effets des médias de communication
Cet usage des supports électroniques amovibles, par sa discrétion, est potentiellement
révélateur d’un comportement de déviance (Cohen, 1955). En effet, dans son explication de la
théorie de la sous-culture, Cohen suggère que les délinquants évitent les médias de masse,
pour leur préférer des moyens de communication discrets. Le choix d’un média de
communication plutôt qu’un autre pourrait donc soit révéler une intention malveillante, soit
démontrer que les acteurs ont conscience de la nature de leurs actes.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 240
La littérature consacrée à la sécurité de l’information abonde de travaux consacrés à l’étude
des comportements des salariés dans l’usage des technologies de l’information et de la
communication (Vance, 2010 ; Vance et Siponen, 2010 ; Dinev et al, 2009). L’usage d’une
clé USB, par exemple pose problème parce qu’il permet de véhiculer des virus très facilement
d’un ordinateur à un autre. De même, si la clé n’est pas cryptée, sa perte ou son vol permet à
l’acquéreur d’accéder à des documents potentiellement confidentiels.
La clé USB permet de sortir discrètement des documents hors de l’organisation, et de les
répliquer en quelques secondes. A l’inverse, la messagerie électronique est surveillée, les
messages sont archivés et ce ne serait donc pas un moyen discret d’échanger de l’information.
La simple rencontre physique est une autre solution, mais sans support électronique ayant une
capacité de stockage importante comme la clé USB, les informations échangées le sont soit
sous forme papier, soit verbales. Dans ce dernier cas, elles sont nécessairement brèves et
simples.
Le tableau 37 ci-dessous présente notre construit MEDIAS relatif aux moyens de
communications employés pour l’échange d’informations.
CONSTRUIT : MEDIAS
Indicateur Question
Expérience
précédente
MED_PHY
MED_MAIL
MED_SUP
J’obtiens de l’information de la part de mes contacts via...
Très
rarement
Parfois Très
fréquemment
Des rencontres physiques
Des échanges d’emails
Des supports physiques
(USB, CDROM,…)
Tableau 37: mesure du construit MEDIAS
La mesure des effets de l’orientation interne/externe de l’information
Dans le cadre de ses activités, l’acteur est amené à recevoir de l’information en provenance de
l’intérieur de l’organisation, ou de la concurrence (extérieur à l’organisation) et plus
généralement l’environnement externe (partenaires, clients, fournisseurs,…). La quantité le
sens du flux et la nature de l’information reçue dépendent de la position dans l’institution. Un
cadre dirigeant aura plus d’information sur les mouvements de la concurrence, un acheteur
connaitra les fournisseurs, etc.
Le sens du flux d’information est aussi dépendant du réseau de relations qu’entretient le
salarié, les contacts externes que cet individu maintient peuvent le fournir en informations
utiles. C’est le principe du courtier en information, des trous structuraux (Burt, 1992).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 241
Le sens du flux est aussi dépendant des valeurs de la personne. Une personne curieuse,
créative sera plus intéressée par des informations nouvelles et variées qui pourraient faire
germer des nouvelles idées.
Le sens du flux d’information modifie aussi la portée stratégique de l’information. Un
commercial peut être intéressé de savoir quels concurrents vont répondre aux mêmes appels
d’offre que lui. Un chef de projet peut lui, vouloir savoir quel sera le projet phare sur lequel il
pourrait se positionner.
Le sens du flux d’information a donc une importance très lourde sur la nature de
l’information parce qu’il lui donne du sens. Nous considérons donc que ce paramètre
constitue une variable explicative de la réception d’information. En conséquence, nous avons
créé un construit ORIENTATION (cf. tableau 38) pour prendre en compte le sens du flux
d’information.
CONSTRUIT : ORIENTATION
Indicateur Question
Cible de
l’information
ACT_ENSE
ACT_CONCU
Les informations que j’obtiens au travail concernent les activités…. de l’entreprise
Très
rarement
Parfois Très fréquemment
Internes
De la concurrence
Tableau 38: mesure du construit ACT
La mesure de la variable dépendante
Quelle méthodologie adopter pour limiter les biais de réponse :
Demander à un individu s’il commet des actes qu’il ne devrait pas commettre n’est pas une
chose aisée. Les travaux menés jusqu’à présent en sécurité de l’information proposent deux
méthodes :
Demander directement au répondant s’il commet des actes répréhensibles. Dans ce cas, les
réponses peuvent être faussées par la volonté de l’acteur de masquer ses actes pour
paraître plus acceptable (le biais de désirabilité ; Trevino, 1992). Cette méthodologie est
appliquée dans les travaux de recherche des pays scandinaves. Nous considérons
cependant que franchise qu’elle requiert de la part des répondants la rend difficilement
applicable dans les pays latin comme la France.
Utiliser la méthode des scénarios (Paternoster, 1996). Cette méthode limiterait les biais
de désirabilité. Cependant sa complexité alourdirait considérablement notre questionnaire.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 242
Pour développer notre méthodologies, nous avons répondu à deux questions : à quels types
d’informations s’intéresser, et faut-il s’intéresser au don ou à la demande ?
A quels types d’informations s’intéresser ?
Qualifier le degré de sensibilité et les types d’informations que les individus collectent est
essentiel à notre travail de recherche.
L’un des principes fondamentaux de la sécurité de l’information est de préserver la
confidentialité des informations (cf. chapitre 2). La préservation de la confidentialité inclut
que la plus grande discrétion soit observée dans l’échange des informations sensibles et que
ces informations ne soient pas distribuées à n’importe qui, mais aux seuls destinataires
légitimes. D’après MaRS27
, une organisation Canadienne dont l’objectif est de mener des
missions d’innovation, une information devient confidentielle, quand elle a d’abord une
valeur commerciale. Nous retenons de cette définition que la nature commerciale de
l’information est par nature sensible. Comme le notent différentes recherches, l’innovateur
peut également être intéressé par d’autres types d’informations. Sarasvathy (2001) montrent
bien que les innovateurs cherchent à améliorer l’existant, à prédire l’avenir et à obtenir des
soutiens à leurs projets. Ils cherchent donc les informations organisationnelles et stratégiques,
qui leur permettent d’une part de savoir comment l’institution fonctionne, mais aussi
comment elle évolue dans son environnement. Ils peuvent ainsi anticiper en se rapprochant
par exemple des personnes clés, en se positionnant avant leurs collaborateurs sur des projets
majeurs. Ces informations peuvent avoir une importance de premier plan pour les institutions.
En effet, au-delà des informations ayant une valeur commerciale, le projet de loi sur la
sécurité des affaires fourni une typologie de six autres types d’informations : « économiques,
industrielles, financières, scientifiques, techniques ou stratégiques ».
Nous nous intéressons à l’influence de la sécurité de l’information et du capital social sur les
stratégies individuelles des acteurs. Dans notre contexte, seules les informations stratégiques
relatives à l’institution nous intéressent. A un niveau individuel, l’information stratégique
peut être relative aux positions stratégiques de l’organisation (implantation dans un nouveau
pays, cessation d’une activité, orientation (de recherche et de développement, …). Toutefois,
toutes les informations permettant de connaître le fonctionnement d'une organisation, ainsi
que ses mécanismes de coordination et/ou utiles à l’anticipation peuvent se révéler
particulièrement pertinentes pour initier ou conduire un projet d'innovation. Par exemple, pour
un individu, il peut s’agir de la connaissance du calendrier des réunions au cours desquelles
les projets sont décidés, de la mise en place d'un nouveau processus de recherche, sur lequel
l’acteur concerné pourrait se positionner, de connaitre quel manager sera prochainement
nommé à la tête du service, etc. De même, cette définition ne mentionne pas la dimension
27 http://www.marsdd.com/articles/confidential-information-and-trade-secrets/
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 243
organisationnelle des institutions. Selon nous, cette dimension qui correspond par exemple à
un changement de management, de mode de collaboration, de processus de productions, etc.,
est au centre de l’activité quotidienne des salariés, quelque soit leur profession. D’ailleurs,
Alter (2000) en a fait le cœur de son sujet sur l’innovation ordinaire.
Compte tenu de ces éléments, nous considérons, dans le cadre de notre thèse, que dans leurs
activités quotidiennes et quelque soit leur profession, les individus recherchent de
l’information ayant une valeur commerciale, nouvelle et n’étant pas censée leur
parvenir, nécessitant de la discrétion, concernant l’organisation ou la stratégie de leur
institution et de son environnement.
Faut-il s’intéresser au don où à la demande d’informations ?
Dans le premier chapitre, notre parcours de la littérature nous a permis d’une part, de
caractériser l’innovateur comme un individu cherchant à prévoir ou à anticiper le futur, et
d’autre part, à définir le capital social d’un individu comme : « l’ensemble des ressources
que lui procure l’appartenance à un ou plusieurs groupes d’individus dans l’objectif
d’anticiper le futur. Le capital social est fonction de la structure du réseau personnel, du
capital culturel, économique et symbolique de l’individu. Le capital social est actionné par
les valeurs individuelles sous la contrainte des valeurs collective qui animent l’institution à
laquelle il appartient ».
Ainsi selon Commons (1934), les individus seraient tous des « innovateurs ordinaires »
cherchant à prévoir l’avenir (Alter, 2000), ou à l’anticiper (Sarasvathy, 2001).
Cette innovation passe par l’acquisition d’informations, qui constitue notre variable
dépendante. Cette acquisition d’informations peut stimuler l’innovation par la génération de
connaissances et l’adhésion de soutiens relationnels. Comme l’exprime Alter (2000) et
Sarasvathy (2001), l’innovateur s’entoure de relations qui l’aident à bâtir son projet.
L’innovation est donc dépendante du capital social et des facteurs culturels qui lui sont liés.
Dans cette perspective, l’innovateur apparaît comme un « demandeur d’informations ». Il a
besoin de connaissances pour développer et mener ses projets à termes. La capacité à capter
de l’information est pour lui, une compétence majeure qui implique la réciprocité des
échanges. En effet, ces échanges fonctionnent selon la théorie du don (Mauss, 1950 ; Caillé,
2009). Cette théorie postule que tout individu est motivé par la quête de reconnaissance ;
laquelle se traduit par des actions motivées par l’intérêt pour soi, l’intérêt pour autrui, la
liberté et l’obligation d’agir.
Par ailleurs, le don n’est jamais désintéressé et suppose d’engager des offrandes de valeurs.
Le premier intérêt à donner résiderait sans la satisfaction de soi. Satisfaire à une demande,
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 244
c’est être reconnu par le demandeur. Le deuxième intérêt consisterait à rendre son
interlocuteur dépendant et redevable (Caillé, 2009).
Pour Alter (2000), l’innovateur est un altruiste motivé par la réussite, alors que pour
Sarasvathy (2001), l’innovateur est un créatif, qui fait preuve d’un altruisme intelligent, c'est-
à-dire qu’il se met en disposition pour satisfaire les autres afin d’être lui-même satisfait à son
tour.
In fine, il apparaît que l’innovateur commence à donner, afin de pouvoir être à son tour
demandeur. Ainsi, le don pourrait être motivé par la recherche du pouvoir (Caillé, 2009) ou
par la réponse à une demande. Le don et la demande cherchant tous deux à satisfaire des
valeurs individuelles communes, comme l’illustre le schéma suivant:
Figure 28 : Demander - donner
Nous faisons partie du même réseau, nous
partageons les mêmes valeurs.
Nous voulons être reconnu et anticiper l’avenir.
Je donne parce que
- Je veux te rendre redevable
- Je te suis redevable
- Je partage ton objectif,
- Je veux partager ta réussite
- J’ai confiance
- Je t’apprécie
- …
Je demande parce que
- Tu m’es redevable
- Je veux atteindre mon
objectif,
- Je t’apprécie
- J’ai confiance
- …
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 245
Ainsi, il apparaît dans de nombreuses recherches (Caillé, 2009 ; Alter, 2009 ; Lazega, 2006)
que le don est étroitement associé à la demande. De fait, chercher à savoir si des informations
sortent d’une institution alors qu’elles ne le devraient pas, revient pour une large part à
demander à ses membres s’ils donnent, ou s’ils reçoivent différents types d'informations.
Dans cette perspective, Chollet (2005 : 174-175), mentionne deux attitudes intéressantes des
ingénieurs en R&D, dans l’usage de leur réseau personnel.
Premièrement, ils ne demandent pas d’informations confidentielles, parce que cela peut être
interprété comme un faible niveau de bienveillance, puisque : « la demande constitue une
invitation explicite à ne pas respecter ses obligations professionnelles et, in fine à se mettre
en danger ». Deuxièmement, la valeur, la nouveauté de l’objet de l’échange proposé par le
donneur incite les deux parties à échanger. Chollet (2005 : 174) précise, en ce sens que la
durabilité et la qualité des échanges d'information dépendent très étroitement de ce que les
acteurs concernés apportent: S’ils mettent toujours des banalités, cela signifie qu’ils ne
veulent pas se dévoiler. (…) Ils parlent avec vous comme on joue au poker : ils donnent le
minimum requis pour voir ce que les autres joueurs ont, mais ils ne donneront pas plus. Au
contraire, quand quelqu’un commence à parler de choses nouvelles, intéressantes, quand il
les met sur la table, les commente,... quand il n’hésite pas à faire ça, c’est pour moi une
incitation à faire pareil ».
Ces différents exemples illustrent, selon nous, deux points essentiels.
Premièrement, l’individu semble avoir conscience de l’importance et de la nature de ce qu’il
demande. Il ne le demande pas, parce que cela l’engagerait trop par la suite. Cette dimension
de l’échange est importante. En effet, la protection de l’information confidentielle a pour
objectif de protéger la compétitivité de l’institution face à la concurrence (cf. introduction du
chapitre). Il faut protéger l’information confidentielle. Il ne faut pas la donner. La
sensibilisation porte sur la non-divulgation d’information, un acte de don.
Pourtant, cette illustration montre qu’un individu peut se mettre en danger, non pas en
donnant, mais aussi en demandant une information. En effet, Alter (2009), Chollet (2005),
Bouty (2000), Shrader (1993) et Von Hippel (1987) montrent bien que le donneur répond à
une demande, il donne ce qu’attendent les demandeurs qui s’engagent alors dans l’échange.
De plus, et c'est un argument central pour notre recherche, l’évaluation du respect de la
confidentialité par les individus est très difficile à mesurer. Premièrement, la nature
répréhensible d’une violation de la règle rend l’aveu difficile. Deuxièmement, le biais de
désirabilité (Trevino, 1992) peut inciter les acteurs à masquer ce qui les marginaliserait plutôt
que de dire la vérité. Enfin, interroger les acteurs pour savoir s’ils demandent de l’information
confidentielle suppose qu’ils sachent la définir et l’identifier, c’est-à-dire d’en extraire un sens
(Thiétart, 1990).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 246
Ce dernier point est particulièrement important dans la mesure où, comme le précise, par
exemple, l’article 2 de la proposition de loi française sur la protection des affaires28
, sont
considérées comme pouvant être confidentiels et donc protégés : « des documents ou
renseignements de nature économique, commerciale, industrielle, financière, scientifique,
technique ou stratégique, ne présentant pas un caractère public dont la divulgation serait de
nature à compromettre gravement les intérêts d’une entreprise, en portant atteinte à son
potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou
financiers ou à sa capacité concurrentielle, notamment ceux ayant fait l’objet de mesures de
protection spécifiques prévues à l’article 325-1 du code pénal. »
Cette définition entre dans le cadre de documents précis et structurés, qui devront faire l’objet
d’un estampillage indiquant leur degré de confidentialité. Elle ne s’applique donc pas à des
informations formulées, par exemple, par quelques phrases ou notes. Pourtant, les travaux de
Von Hippel (1987) ou Shrader (1991) montrent que les échanges informels peuvent conduire
à des fuites d’informations qui ont une importance stratégique pour les institutions. Bouty
(2000) ajoute que le niveau de confidentialité des informations serait bien souvent laissé à la
discrétion des ingénieurs. A ce propos, le Clusif29
(2012 :5) mentionne dans son rapport
annuel que « pour beaucoup d’entreprises, la sécurité reste une histoire de mise en place de
solutions techniques ». En l’absence de politiques de sécurité qui comprennent la
classification de l’information par degré de sensibilité, il est probable que les propos de Bouty
soient encore fréquemment d’actualité de nos jours dans de nombreuses institutions.
Comment alors évaluer la propension d’un acteur à ne pas donner ou demander des
informations sensibles ? Pour répondre à cela, nous nous référons à Von Solms (2004), selon
lequel, la culture organisationnelle prend en compte la sécurité de l’information, quand les
acteurs se sentent responsables des informations qu’ils manipulent. Aussi, selon nous, le
premier acte de responsabilité, serait soit que le donneur ne diffuse pas une information à une
personne quand celle-ci ne lui est pas destinée, ou soit, que le demandeur ne cherche pas à
obtenir une information qui ne lui est pas destinée.
Par ailleurs, se concentrer sur la demande permet non seulement de déterminer quels types
d’informations recherchent les membres d’une organisation, et donc quels types d’innovations
ils peuvent produire, mais aussi de comprendre comment la sécurité de l’information agit sur
l’innovateur : si elle l’inhibe, le stimule, ou l’incite à rechercher un type information plutôt
qu’une autre, et donc à produire un type d’innovation plutôt qu’un autre.
Compte tenu de ses développements, dans le cadre de notre thèse, nous retenons qu’un
individu commet une « faute de sécurité » s’il demande à un tiers, des informations
confidentielles ou qu’il ne devrait pas recevoir.
La qualification du type d’informations :
28 http://www.senat.fr/leg/ppl11-284.pdf 29 Club de la Sécurité de l’Information Français
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 247
Les informations nécessitant de la discrétion (INFO_DIS) sont confidentielles par définition.
Leur divulgation à de mauvais destinataires peut causer du tort à son bénéficiaire. Nous
rappelons que la confidentialité est l’un des principes fondateurs de la sécurité de
l’information.
Les informations ayant une valeur commerciale (INFO_COM), qui sont généralement
sensibles et considérées comme confidentielles et à protéger (MaRs, agence canadienne de
l’innovation).
Les informations stratégiques (INFO_STRAT), elles sont définies dans le questionnaire
comme étant des informations relatives aux choix stratégiques de l’institution ou de son
environnement.
Les informations organisationnelles (INFO_ORG), dont la définition fournie aux répondants
indique qu’elles sont relatives à l’organisation et aux processus de l’institution et de son
environnement.
Les informations qui ne devraient pas normalement parvenir à l’acteur (INFO_NDP), que
nous nommons également des informations OPPORTUNES. C’est-à-dire des informations
qui ne regardent pas directement l’activité de l’individu qui en bénéficie. Une culture
organisationnelle ayant intégrée les principes de la sécurité de l’information, éduque les
membres des institutions à une gestion responsable de l’information (Von Solms, 2001: 507 et
2010 : 484). Ne pas fournir à quelqu’un une information qui ne le regarde pas est le premier
niveau qui révèle un comportement responsable. D’autant que selon le principe de rationalité
limitée (Simon, 1947), les acteurs ne déterminent pas toujours avec précision la portée des
informations qu’ils manipulent. Sans une classification précise des informations, l’acteur se
fiant à son expérience peut commettre des impairs. Le tableau 37 ci-dessous présente notre
construit de la variable dépendante.
CONSTRUIT : INFO
Indicateur Question
INFO_STRAT
INFO_DIS
INFO_NDP
INFO_ORG
INFO_COM
Les informations que j’obtiens au travail ...
Très
rarement
Parfois Très
fréquemment
Nécessitent de la discrétion
Ont une valeur
commerciale
Concernent la stratégie de
mon entreprise ou de son
environnement
Concernent l’organisation
de mon entreprise ou de
son environnement
Ne devraient pas
normalement me parvenir
Tableau 39: mesure du construit de la variable dépendante
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 248
1.2.2. La mesure des construits individuels et environnementaux
La mesure des construits individuels
La mesure des caractéristiques individuelles
Comme cela a déjà été mentionné lors de l’élaboration des hypothèses, le capital social et le
respect des règles relatives à la sécurité de l’information évoluent avec l’âge, l’ancienneté et
le statut social.
Nous distinguons l’ancienneté dans l’entreprise de l’ancienneté dans la fonction. En effet, ces
deux types d’ancienneté sont complémentaires pour influer sur le degré de redondance des
réseaux personnels. Le tableau ci-dessous décrit les variables individuelles
CONSTRUIT : CARACTERISTIQUES (contrôle)
Indicateur Question
Age
AGE
Mon âge
(-) 31 ans 31-46 ns (+) 46 ans
Ancienneté dans
l’entreprise
ANC_ENSE
Mon ancienneté dans l’entreprise
(-) de 6 mois
6 mois - 1 an 1-3ans 3-10 ans (+) 10 ans
Ancienneté dans la
fonction
ANC_FONC
Mon ancienneté dans la fonction
(-) de 6 mois
6 mois - 1 an 1-3ans 3-10 ans (+) 10 ans
Statut
STATUT
Mon statut
Non cadre Cadre Cadre supérieur Cadre dirigeant
Tableau 40: mesures du construit CARACTERISTIQUES
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 249
La mesure des construits environnementaux
Nous avons défini la taille de l’entreprise et l’objectif de l’information comme des variables
environnementales.
L’objectif de l’information fait référence aux types d’informations qui intéressent les
individus en fonction de leur activité. Un technicien de maintenance des bâtiments peut
naturellement recevoir plus d’informations interne qu’externe alors que ce serait l’inverse
pour un cadre commercial. Le tableau ci-dessous décrit les variables environnementales.
CONSTRUIT : T_ENSE (contrôle)
Indicateur Question
Taille de
l’institution T_ENSE
Nombre de salariés dans mon entreprise
(-) 10 11-50 51-250 251-500 501-1000 (+) 1000
Tableau 41: mesure des construits T_ENSE
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 250
2. Approche méthodologique
2.1. Méthodologie d’investigation
Nous présentons successivement le choix d’une enquête auprès des salariés (3.1), les choix
liés au terrain d’étude (3.2) et les choix liés à la méthode de recueil des données (3.3).
2.1.1. Le choix d’une enquête auprès des salariés
Nous avons choisi de mener une enquête auprès des salariés, du secteur privé, public ou
associatif (cf. questionnaire en annexe 15).
D’une part, notre étude s’intéresse à l’usage des réseaux personnels au service de stratégies
individuelles, au sens de l’acteur stratégique de Crozier (1977), et d’autre part, le facteur
humain est en effet reconnu comme le maillon faible de la sécurité de l’information (Mitnick ;
2002 ; NIST, 2003).
Plusieurs études sur les usages des réseaux personnels et sur la sécurité de l’information ont
été menées, mais aucune à notre connaissance n’associe les deux concepts en les liants à un
facteur commun : la culture.
Ce constat justifie notre étude auprès des salariés, confrontés d’un côté à la nécessité
d’anticiper, d’améliorer l’existant, de créer de la nouveauté, et de l’autre à la nécessité de
protéger la compétitivité de leurs firme, ou plus généralement de leur institution, terme
générique que nous utilisons pour faire référence aux travaux de Commons (1934) et pour
rassembler dans une référence unique, toute organisation, marchande ou non marchande.
Les objectifs de notre recherche consistent à étudier les facteurs explicatifs de l’accès à de
l’information de valeur, entre opportunité et règles de sécurité de l’information. Plus
précisément il s’agit pour nous de mieux comprendre le comportement des acteurs dans
l’acquisition d’informations : à quelles informations accèdent-ils, qui mobilisent-ils pour y
parvenir, sous l’influence de quelles valeurs agissent-ils, par quels moyens échangent-ils
l’information et comment les règles de sécurité de l’information interviennent-elles dans ce
processus ?
En conséquence, une étude à destination d’un panel large de salariés nous semble appropriée.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 251
2.1.2. Le choix du terrain et la méthodologie de recueil des données
Le choix du terrain
Le terrain est constitué de salariés de diverses spécialités, en provenance de divers secteurs
d’activités :
Les entreprises adhérentes du PRIDES30
Chimie de la région Provence Alpes Côtes
d’Azur (NOVACHIM Chimie).
Le pôle de compétitivité aéronautique PEGASE31
qui regroupe de grands industriels
(tels que Eurocopter, Dassault, Thalès Alenia Space ou encore Areva et des
institutions de recherche (ONERA, INRIA, Université Paul Cézanne Marseille, Ecole
Centrale Marseille) et de PME.
Des salariés du secteur de l’énergie, PME et grandes entreprises.
Des salariés de grandes entreprises du secteur des télécommunications,
Des salariés du secteur public d’Etat et territorial (ministères, conseils généraux, etc.).
Des salariés de la grande distribution.
Des salariés de PME et du secteur associatif et de l’informatique.
Nous obtenons ainsi un échantillon diversifié et homogène, regroupant plusieurs domaines de
spécialité dans plusieurs secteurs d’activités, ce qui, nous le pensons, donnera plus de force à
nos résultats et à nos propositions.
La méthodologie de recueil des données
Compte tenu de la population que nous ciblons, nous avons choisi la méthode
d’administration du questionnaire par Internet, que nous avons hébergé sur la plateforme
Internet de l’université Aix-Marseille. Cette université dispose en effet d’un service de
création de questionnaires en ligne, ainsi que d’un système de diffusion en masse (courriels)
qui comprend un mécanisme de relance. Les données sont ensuite exportables au format texte,
tableur Excel, SPSS ou R.
Selon Dillman (2000 :400), « il n’existe pas de méthodes d’enquête qui offre autant
d’avantages pour un si faible coût ». Selon Thiétart et al., (2007 : 233), le défaut de ce type
de questionnaire réside dans l’absence du contrôle de l’échantillon. Cette objection est peu
recevable dans le cadre de notre étude. En effet, notre base de mails est massivement
composée d’adresses professionnelles, donc individualisées. Non seulement, nous savons à
qui nous nous adressons, mais nous savons aussi que c’est bien cette personne qui va
30 Les « PRIDES » sont des réseaux d’entreprises qui maillent l’ensemble du territoire et représentent la plupart des filières de compétences des acteurs économiques, http://www.critt-chimie-paca.com/critt-portal/cms/60/accueil.dhtml 31 http://www.pole-pegase.com/
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 252
répondre. De plus, les outils de gestion disponibles sur la plateforme de gestion nous
permettent de nous assurer que les personnes ont répondu et qu’elles ne peuvent le faire
qu’une fois deuxième fois grâce à l’attribution à chaque participant, d’une clé de connexion
personnelle et à usage unique.
Le questionnaire que nous avons diffusé auprès d’une base de 4000 courriels, est anonyme.
Les questions sont accompagnées d’une aide à la compréhension et nous avons laissé la
possibilité à chaque participant de revenir sur ces réponses tant qu’il ne les a pas validées.
L’élaboration du questionnaire
Le questionnaire est une technique d’interrogation individuelle, standardisée, composée d’une
suite de questions présentées dans un ordre prédéfini. Il se doit d’être simple, précis et concis,
pour en faciliter la compréhension et éviter les abandons et les erreurs de mesure.
Dans notre questionnaire (disponible en annexe 15), nous abordons pour chaque participant :
La constitution de son réseau personnel ;
Ses valeurs individuelles et sa perception des valeurs organisationnelles de
l’institution où il travaille ;
Les informations qu’il obtient dans le cadre de ses activités professionnelles ainsi que
l’objet de l’information : activités internes à l’instittution ou relative à la concurrence ;
Les médias d’échange d’informations qu’il utilise ;
Sa perception des mesures organisationnelles de sécurité de l’information en œuvre
dans son institution ;
Les variables individuelles et environnementales.
La formulation des questions doit d'être simple et précise, pour être sûr que tous les
participants comprennent bien les questions posées de la même façon. Nous avons opté pour
des questions fermées, conformément aux objectifs de la recherche. Pour nous en assurer,
nous avons pré-testé le questionnaire auprès d’un échantillon de la population de 20
personnes et de quelques universitaires. Leurs remarques ont été intégrées avant sa diffusion à
l’ensemble des 4000 participants potentiels.
Le questionnaire est structuré en 4 parties :
La première partie est consacrée à la description du réseau personnel.
La première question, le générateur de nom, est la plus délicate, il faut identifier, puis
nommer jusqu’à trois personnes particulièrement utiles pour les activités professionnelles.
Nous avons précisé que des initiales ou un diminutif suffisait. En effet, cette question s’est
avérée être une source de rejet pendant la phase de pré-test.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 253
Cette partie est mesurée sur une échelle de Likert à 4 degrés conformément à la méthode
préconisée par Burt (1992).
La deuxième partie interroge les participants sur leurs valeurs individuelles et leur perception
des valeurs organisationnelles. Cette partie est mesurée sur une échelle de 9 point suivant les
préconisations du Schwartz Value Survey (1994).
La troisième partie concerne les comportements des participants : quelles sont les
informations captées, de quel périmètre interne/externe de l’institution proviennent-elles, par
quels médias sont-elles obtenues? Cette partie est mesurée sur une échelle de Likert à 7 degrés
(de très rarement à très fréquemment).
La quatrième partie intègre les questions relatives à la perception de la sécurité
organisationnelle de l’information, les caractéristiques des répondants et les données
environnementales. La section consacrée à la sécurité de l’information est mesurée sur des
échelles différentes, selon que l’on demande une réponse catégorielle (oui/non) ou une
évaluation perceptuelle (comment se comporte votre manager). La perception du manager et
de l’expérience de la sécurité de l’information est évaluée sur une échelle à 5 degrés, la
sensibilisation sur une échelle à 4 degrés, l’existence de politique et d’un service de gestion
sur 2 degrés et l’implication du top-management sur 3 degrés.
En effet, la théorie et les ouvrages spécialisés en sécurité de l’information énoncent
clairement que les politiques de sécurité doivent être diffusées auprès des salariés (Clusif,
2012 ; CSI, 2011 ; ENISA, 2006 ; ISO/27000, 2005). C’est une pratique essentielle. Dans
l’absolu, un salarié doit savoir si une politique existe ou pas. Nous avons suivi le même
raisonnement pour la question portant sur l’existence d’un service de gestion de la sécurité.
Un tel service est présent sur l’organigramme, doté d’un budget et composé de professionnels
qui se rendent visibles, se déplacent, etc. Par ailleurs, nous avons choisi de demander aux
participants d’évaluer le nombre d’intervention du « top management » (la dirigeance). Une
réponse précise permet de signaler le degré d’attention que le salarié peut porter à ce type de
communication.
2.2. Choix d’une mesure réflexive ou formative
Un modèle de mesure peut être soit réflexif, soit formatif (Bollen et Lennox, 1991; Edwards
et Bagozzi, 2000) ou mixte (Diamantopoulos et Winklhofer, 2001). Une erreur de
modélisation conduit à une mauvaise spécification du modèle.
La méthode réflexive s’applique quand une variation d'un indicateur « I » est associée à
variation d'un construit latent « C ». En conséquence la variation de « I » reflète un
changement dans « C ». Les flux de causalité vont du construit (la variable latente) à
l’indicateur. Ceci sous-tend que les construits peuvent être représentés par des indicateurs
corrélés positivement (Bollen et Lennox, 1991; Edwards et Bagozzi, 2000; Fornell, 1982)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 254
Dans une relation formative, les indicateurs se combinent sans que leur corrélation soit
nécessaire. Les flux de causalité vont alors des indicateurs vers le construit (Blalock, 1964;
Diamantopoulos et Winklhofer, 2001; Edwards et Bagozzi, 2000) Bien que les modèles
réflexifs dominent en psychologie et en sciences de gestion, les modèles formatifs sont
communs en économie et en sociologie. Coltman et al. (2008 : 5) proposent une synthèse des
différentes arguments qui permettent de faire le choix d’une relation réflexive ou formative
entre les variables latentes et les indicateurs.
Considérations Modèle réflexif Modèle formatif Références
Considérations théoriques
Nature du construit Le construit latent existe
indépendamment des
indicateurs
Les indicateurs forment
le construit
Borsboom et al. (2003, 2004)
Sens de la causalité entre indicateur et variable
latente
Des variations dans le construit impactent les
indicateurs. L’inverse est
faux
Des variations dans les indicateurs impactent le
construit. L’inverse est
faux.
Bollen et Lennox (1991).
Edwards and Bagozzi (2000);
Rossiter
(2002); Jarvis et al. (2003)
Caractéristiques des
indicateurs
Les indicateurs partagent
un thème commun.
Les indicateurs sont
interchangeable, en
retirer ou en ajouter ne
modifie pas
conceptuellement la
variable
Les indicateurs ne sont
pas liés
conceptuellement.
Les indicateurs ne sont
pas interchangeables. Un
ajout ou un retrait
d’indicateur modifie
conceptuellement la
variable
Rossiter (2002) ; Jarvis et al.
(2003)
Considérations empiriques
Corrélations inter-item Les indicateurs doivent
être fortement corrélés
(des tests de validité sont nécessaires)
Les indicateurs ne sont
pas corrélés, mais ils vont
dans la même direction
Cronbach (1951); Nunnally et
Bernstein (1994); Churchill
(1979);
Diamantopoulos et Siguaw
(2006). Relations entre les
indicateurs et les
antécédants/conséquences
de la variable
Les indicateurs évoluent
dans le même sens que
les
antécédants/conséquences
de la variable.
Les indicateurs peuvent
ne pas évoluer dans le
même sens que les
antécédants/conséquences
de la variable.
Bollen and Lennox (1991);
Diamantopoulos and
Winklhofer (2001);
Diamantopoulos and Siguaw
(2006)
Erreurs de mesures et
colinéarité
Les termes d’erreurs
peuvent être évalués
Les termes d’erreurs ne
peuvent être évalués dans
un modèle uniquement
formatif. Le test de vanishing tetrad
peut être conduit pour vérifier
si la variable est formative ou
réflexive.
Un test de colinéarité doit
être mené.
Bollen and Ting (2000);
Diamantopoulos
(2006)
Tableau 42 : Choix d’un modèle réflexif ou formatif (d’après Coltman et al, 2008: 5)
Compte tenu de ces éléments, les variables des valeurs individuelles et organisationnelles sont
réflexives. Par exemple, le retrait de la valeur de réussite n’affecte pas conceptuellement le
pôle de valeur d’affirmation de soi. Il en est de même pour les variables de la sécurité de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 255
l’information. Compte tenu de l’importance du point précédent, il nous a semblé pertinent
d’apporter une confirmation plus large à notre approche. Nous nous sommes donc
directement adressés à Shalom Schwartz. Sa réponse nous indique que les valeurs humaines
ne sont bien des indicateurs réflexifs (cf. en annexe 16, l’échange de mail avec S. Schwartz).
Seule la variable CARACTERISTIQUES pose un problème de délimitation conceptuelle.
En effet, il n’y pas de raison par exemple, que l’âge soit lié au statut social. Cependant les
indicateurs peuvent être fortement corrélés. Un test de vanishing tetrad (Bollen et Ting, 2000)
sera conduit pour déterminer la nature de cette variable. Le test du tetrad détermine la nature
de la variable par la différence entre le produit de deux paires de covariances et le produit
d’autres paires de covariances tirées aléatoirement. Un résultat nul indique que la variable est
réflexive.
Les variables du capital social NRA et LIENS sont formatives. La proximité, l’ancienneté de
la relation et la fréquence des contacts forment le concept de la force des liens mais ne sont
pas liés entre eux. Il en est de même pour la proximité géographique et la proximité
technique.
La variable dépendante INFO est formative. Une information sensible n’est pas la même
chose qu’une information que l’on ne doit pas recevoir. Il en est de même pour :
Les flux d’informations internes/externes (variables ORIENTATION). La
récupération d’informations concernant l’activité interne de l’institution ou les
activités de la concurrence ne sont pas corrélées.
Les supports de communication (MEDIAS). Il n’y a pas nécessairement de
corrélation entre l’usage de courriel, de médias amovibles ou de rencontres physiques.
Le tableau 43a précise lesquelles de nos variables latentes (ou construits) sont formatives.
Indicateurs Variable
Variables du capital social
NRO NRA (non-redondance
d’attributs)
NRT
PROX LIENS (force des liens)
ANC
FREC
Variable ORIENTATION
ACT_ENSE ORIENTATION
ACT_CONCU
Variable MEDIAS
MED_PHY MEDIAS
MED_SUP
MED_MAIL
Variable dépendante INFO
INFO_DIS INFO
INFO_NDP
INFO_STRAT
INFO_ORG
INFO_COM
Tableau 43a: Variables formatives du modèle
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 256
A l’inverse les variables : des valeurs individuelles, des valeurs organisationnelles et de la
sécurité de l’information sont réflexives.
En effet, et nous l’avons déjà évoqué, les valeurs humaines forment des construits réflexifs.
De même, la conception des mesures de sécurité de l’information impliquent un construit
réflexif. La présence de politiques et d’un service de gestion découlent directement de
l’implication du management. L’existence de programmes de sensibilisation est corrélée à
l’implication du management et à la présence de politiques.
Le tableau 43b précise lesquelles de nos variables latentes (ou construits) sont réflexives.
Indicateurs Variable
Variables des valeurs individuelles
Suivant analyse multi
variée
Suivant analyse multi
variée
Variables des valeurs organisationnelles
Suivant analyse multi
variée
Suivant analyse multi
variée
Variable du manager de proximité
SEC_Manager SEC_MANAGER
Variable Expérience de la sécurité de l’information
SEC_Exp_Prec SEC_EXP_PREC
Variable de sécurité organisationnelle
Suivant analyse multi
variée
SEC_ORGA
Tableau 44b: Variables réflexives du modèle
2.3. La méthodologie de développement et de validation des échelles de
mesure et celle de test des hypothèses de recherche
2.3.1. La méthodologie de développement et de validation des échelles de
mesure
La méthodologie de développement et de validation des instruments de mesure est basée sur
le paradigme de Churchill (1979). Cependant, nous avons aussi pris en compte sa version
mise à jour (Gerbing et Anderson, 1988) et ses critiques (Rossiter, 2002).
Le développement des échelles de mesure
Dans cette recherche, nous avons aussi pris en compte les travaux de Gerbing et Anderson
(1988) qui ont adapté le paradigme de Churchill (1979) en considérant qu’il convient : pour
les construits réflexifs, de s’assurer de l’unidimensionnalité des blocs d’indicateurs de mesure
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 257
des concepts par l’analyse factorielle confirmatoire et pour les construits formatifs, de vérifier
l’absence de multi-colinéarité. Nous pourrons ainsi nous assurer de la validité et de la fiabilité
des instruments de mesure.
La validation et l’épuration des instruments de mesure
Nous nous intéressons à quatre points dans la phase de validation des instruments de mesure :
les conditions préalables à l’analyse multi-variée, l’analyse factorielle exploratoire, la fiabilité
et la validité des instruments et l’analyse factorielle confirmatoire. Une présentation plus
détaillée de ces points est donnée en annexe 10. Nous réalisons toutes les analyses multi-
variées avec le logiciel SPSS 17.0.
Les conditions préalables à l’analyse multi-variée
Des conditions préalables sont nécessaires aux méthodes d’analyse multi-variée qui sont
utilisées dans la validation des instruments de mesure Kline (2010).
L’absence de valeurs manquantes et de valeurs extrêmes :
Les valeurs manquantes ou extrêmes peuvent avoir un impact significatif sur les résultats.
Les valeurs manquantes doivent être traitées, soit par la suppression de l’observation
(méthode listwise), soit par le remplacement par la moyenne de la série (ou entre deux points
voisins).
Les valeurs extrêmes doivent être détectées grâce aux graphiques de la boite à moustaches, au
test de la distance de Mahalanobis et à la distance de Cook.
La multi-normalité des données :
Les données doivent suivre une distribution normale multi-variée pour que les analyses
puissent être effectuées de manière valide. Nous réalisons une analyse graphique à l’aide des
histogrammes affichant les courbes gaussiennes et la mesure des coefficients d’asymétrie
(skewness) et d’aplatissement (kurtosis) dont les coefficients doivent respectivement être
compris entre [-1 et 1] et [-1,5 et 1,5]. Nous réalisons également un test de Kolmogorov-
Smirnov.
Néanmoins, en nous basant sur l’expérience de Schwartz (2009), nous pensons que les
données de mesures des valeurs ne seront pas normales. Dans la majeure partie des cas, les
réponses sont réparties entre le quatrième et le neuvième barreau de l’échelle. Le niveau
d’asymétrie de ces mesures sera très certainement au-dessus de 1,5.
L’absence de multi-colinéarité entre les variables :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 258
Etant donné que notre modèle utilise des construits formatifs, nous devons être
particulièrement attentifs à la présence de multi-colinéarité. La multi-colinéarité est la forte
dépendance linéaire entre deux variables. Elle peut entraîner des résultats non souhaités
(matrice non définie positive, variances négatives, instabilité des paramètres estimés, etc.).
Pour évaluer la multi-colinéarité, nous nous basons sur les VIF (Variances Inflation Factor),
qui ne doivent pas dépasser 10 et sur la tolérance qui doit être supérieur à 0,3.
L’homogénéité des échantillons :
Le test de Levene permet de mesurer l’homogénéité des échantillons sur l’ensemble des
variables individuelles et environnementales. Ce test doit être concluant pour éviter
d’attribuer la variance de l’acquisition d’informations à une variable donnée, alors qu’elle
serait due à une répartition non homogène des valeurs de cette variable.
Fiabilité et validité des variables réflexives
L’analyse factorielle exploratoire
L’analyse factorielle exploratoire (Analyse en Composantes Principales) est une méthode qui
permet de résumer les variables étudiées en un nombre réduit de facteurs, d’identifier et
d’interpréter les dimensions conceptuelles des variables initiales.
Les conditions de factorisation des données :
Il est recommandé d’examiner d’abord les corrélations entre les variables qui doivent être
significatives et comprises entre 0,3 et 0,7 de préférence. Si ces conditions sont remplies, il
convient de s’intéresser à deux tests :
- Le test de sphéricité de Bartlett : ce test vérifie si la matrice de corrélation est
statistiquement différente d’une matrice d’identité. Une valeur élevée, significative à p<0,001
est favorable au rejet de l’hypothèse nulle de non corrélation entre les variables.
- Le test de KMO (Kaiser-Meyer-Olkin) : le KMO indique dans quelle proportion les
variables ou énoncés retenus forment un ensemble cohérent et mesurent de manière adéquate
un concept. Une valeur supérieure à 0,7 est requise.
Le nombre d’axes à retenir :
Il convient de faire la distinction entre les critères de rétention (scree, Kaiser, % de variance
extraite). Les indicateurs utilisés habituellement sont les suivants :
Le critère du scree de Cattel (1966) et le critère du coude : ce sont des solutions
graphiques basées sur les valeurs propres.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 259
Le critère de Kaiser (1960) : il postule que seuls les facteurs ayant des valeurs propres
supérieures à 1 doivent être retenus.
Le pourcentage de variance extraite : dans cette recherche, nous avons la préférence
pour un seuil minimum de 50%/
L’interprétation des axes :
L’interprétation des axes est basée sur l’examen des communautés (communalities) et des
coefficients de corrélation entre les variables initiales (loadings).
Les communautés : elles mesurent la part de variance de la variable expliquée par les facteurs
retenus. Nous supprimons tous les énoncés ayant des communautés faibles (inférieures à 0,5).
Les coefficients de corrélation ou loadings : Ils permettent de voir la contribution factorielle
des variables sur les facteurs retenus. Comme pour les communautés, nous supprimons les
énoncés ayant des valeurs inférieures à 0,5.
Le choix de la rotation :
En cas de corrélation des variables, la rotation oblique (Promax) est souvent préférée (Evrard,
Pras et Roux, 2009). En l’absence de corrélations entre les variables, la rotation orthogonale
(Varimax) est effectuée. Une fois les facteurs déterminés, il faut s’assurer de leur fiabilité,
c’est-à-dire de leur validité, leur cohérence interne.
La fiabilité et la validité des instruments de mesure
La fiabilité :
La fiabilité ou validité interne décrit dans quelle mesure les items qui composent une échelle
sont pertinents pour le construit sous-jacent.
Nous utilisons l’alpha de Cronbach qui vérifie si les énoncés d’une échelle mesurent
conjointement le même construit. Un alpha de Cronbach inférieur à 0,7 doit être rejeté
La validité des instruments de mesure
Un instrument de mesure valide permet d’appréhender de manière satisfaisante le phénomène
que l’on cherche à mesurer.
La validité faciale et la validité de contenu :
C’est le degré auquel l’opérationnalisation d’un construit représente bien toutes les facettes du
concept.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 260
La validité de trait (de construit) :
Elle indique si les indicateurs d’un construit sont une bonne représentation du concept étudié.
Elle comprend la validité convergente de la validité discriminante.
La validité convergente:
Elle indique si les indicateurs mesurant le même construit sont bien corrélés. La méthode de
calcul se base sur le critère du pourcentage de variance extraite (AVE) entre les variables
latentes et leurs indicateurs qui doivent être supérieurs à 0,5 (Fornell et Larcker, 1981).
La validité discriminante:
Elle consiste à vérifier si les indicateurs mesurant des construits différents sont faiblement
corrélés. Selon Fornell et Larcker (1981), la variance partagée entre deux variables latentes (le
carré de leur corrélation) doit être inférieure à la variance partagée entre chacune de ces
variables et ses indicateurs.
La Validité nomologique :
Elle évalue à quel degré les prévisions basées sur un concept qu’un instrument est censé
mesurer sont confirmées. C’est un type de validité externe qui concerne les relations entre les
concepts. Avec PLS, la validité nomologique peut être évaluée par un le test du Q² (Stone et
Geisser, 1975) des blocs de variables par la méthode du blindfolding. Le test de blindfolding
n’est pas applicable aux variables formatives ou réflexives à un seul indicateur. La validité
externe d’un modèle mixte Réflexif/formatif ne peut être que partiellement testée. En effet,
elle ne se mesure qu’à partir des variables réflexives ayant plusieurs indicateurs. Dès lors, son
interprétation devra être menée avec précaution.
Validité des instruments de mesure pour des construits formatifs
Contrairement aux modèles réflexifs, ni la validité de contenu, ni l’unidimensionnalité du
construit ne peuvent être utilisées pour valider un modèle formatif ou sa qualité (Bollen et
Lennox, 1991; Cohen et al. 1990; Chin et Gopal, 1995).
Alors qu’un modèle réflexif exige que les indicateurs soient fortement corrélés, la validité
d’un modèle formatif peut être remise en cause par la présence de colinéarité.
(Diamantopoulos et Winklhofer 2001: 272).
Les modèles formatifs sont en effet basés sur l’analyse de régressions multiples et la présence
de multi-colinéarité augmente significativement le taux d’erreurs standard (Backhaus et al.
2003 : 88).
Le test du VIF (Variance Inflation Factor) est utilisé pour mesurer la multi-colinéarité entre
deux indicateurs ou construits. Il n’existe pas de seuils clairement définis pour statuer sur le
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 261
niveau de multi-colinéarité, cependant, une règle communément admise fixe que sa valeur ne
peut dépasser 10 avec un seuil de tolérance supérieur à 0,3.
Construction du modèle structurel
La construction du modèle dans la phase confirmatoire est basée sur les équations
structurelles et s’appuie sur plusieurs points. Evrard, Pras et Roux (2009) proposent quatre
étapes : spécification, identification, estimation et test du modèle.
Nous justifions notre choix de méthode d’équation structurelle avant d’apporter des précisions
sur les points suivants, qui sont indispensable à la justification de nos résultats: l’estimation
des paramètres, l’identification du modèle et l’interprétation des résultats.
Le choix de la méthode d’équations structurelles
Selon Chin (1998), les modèles d’équations structurelles donnent plus de flexibilité dans
l’interprétation entre théorie et données (Chin, 1998). Ces méthodes permettent d’analyser des
modèles causals mettant en relation des variables latente donc observables, explicatives et à
expliquées. Nous distinguons deux méthodes d’équations structurelles, LISREL et PLS
(Partial Least Square). Ces deux méthodes sont fréquemment appliquées aux études en
systèmes d’information. Siponen et Vance (2010), Bulgurcu et al (2010), D’Arcy et al,
(2009), pour ne citer qu’eux, ont validé leurs modèles en utilisant LISREL.
Cependant, LISREL impose la normalité des données, or cette normalité est rarement
constatée dans les études cherchant à mesurer les valeurs humaines (Schwartz, 2009), ce qui
est le cas pour notre échantillon. La méthode LISREL n’est donc pas adaptée à notre étude.
Faut-il pour autant utiliser PLS ?
Selon Jöreskog et Wold (1982), la méthode PLS est particulièrement adaptée au
développement théorique et aux applications prédictives. L’usage de PLS se justifie lorsque le
chercheur tente d’expliquer des relations entre des variables multiples. Les modèles
d’équations structurelles examinent la structure des corrélations dans une série d’équations
reflétant les relations entre les différents construits du modèle étudié. Par ailleurs l’approche
PLS : (1) ne présente pas de problèmes d’identification, (2) ne distingue pas les indicateurs
formatif et réflectif, contrairement à l’approche LISREL, (3) valide des construits à un seul
indicateur, contre 3 à 4 pour LISREL et (3) elle est moins sensible à la taille des échantillons
(Hair et al, 2006 : 878).
Plusieurs logiciels proposent le PLS : Amos, PLS-Graph, R, SmartPLS. Dans cette étude,
nous utiliserons SmartPLS 2.0 M3 (Ringle et al, 2005).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 262
Ce logiciel dispose d’une interface graphique, de la possibilité de traiter des modèles mixtes
réflexifs et formatifs, ainsi qu’un système de production de rapports utiles à l’analyse et de
l’option Blindfolding, permettant de valider le caractère prédictif du modèle.
Estimation du modèle
L’estimation des paramètres dans les équations structurelles conduit à s’intéresser à trois
points :
Le choix de la matrice de données :
Nous avons choisi d’utiliser la matrice de variances-covariances qui est davantage indiquée
lorsqu’on cherche à tester une théorie et à la généraliser (Roussel et alii, 2002).
La taille de l’échantillon :
Selon Chin (1998), la taille maximale de l’échantillon de mesure se calcule en multipliant par
dix le nombre d’indicateurs composant la variable latente sélectionnée selon l’une des deux
options suivantes : soit la variable latente avec le plus grand nombre d’indicateurs formatifs
(c’est-à-dire la plus grande équation de mesure), soit la variable latente dépendant du plus
grand nombre de variables.
La méthode d’estimation :
SmartPLS propose une solution d’estimation du modèle par bloc de variables avec la
procédure du blindfolding (Wold, 1982)
D’une manière générale, la qualité du modèle de mesure peut être appréhendée sur la base de
son pouvoir explicatif. Ce dernier est évalué par le coefficient de détermination (R²) des
variables endogènes. La qualité globale du modèle peut être évaluée par l’intermédiaire d’un
coefficient de détermination (R²) général (Lohmöller, 1989). Il correspond à la moyenne des
coefficients de détermination observés sur les variables dépendantes.
Notre revue de la littérature portant sur l’utilisation de l’approche PLS dans différents
domaines, suggère de faire la distinction entre la qualité globale et la qualité de mesure pour
chaque bloc de variables.
La qualité globale du modèle : le test d’adéquation (GoF)
Tenenhaus et al, (2005) suggère l’utilisation d’un GoF (Godness of Fit ; Amato et al, 2004)
obtenu par le produit de la moyenne géométrique de la variance expliquée (R²) des différents
construits, de l’indice de la redondance et de la communalité. La redondance et R² ne sont pas
calculés pour les construits exogènes.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 263
L’indice GoF peut être obtenu par la formule suivante : GoF = √ [(Moyenne (R²)) ×
Moyenne (Communality)]
La valeur de l’indice GoF doit être supérieure à (0,30) puisque celle-ci représente le seuil
limite recommandé (Tenenhaus et al, 2005).
La qualité de chaque bloc de variable
La qualité de mesure pour chaque bloc de variable peut être examinée à la lumière des
résultats de la procédure de Blindfolding sous SmartPLS. L’approche de Blindfolding,
proposée par Wold (1982) a été adoptée pour calculer les « cv-communality » et « cv-
redundancy ». L’indice (H²) de « cv communality » mesure la qualité du modèle de mesure
pour chaque bloc de variables. La moyenne des indices de « cv-communality » peut être
utilisée pour mesurer la qualité globale du modèle de mesure s’ils sont positifs pour tous les
blocs de variables. La qualité de chaque équation structurelle est mesurée par l’indice de « cv-
redundancy ». La moyenne des indices de « cv-redundancy » (F²) liée aux blocs endogènes
peut être utilisée pour mesurer la qualité globale du modèle structurel, s’ils sont positifs pour
tous les blocs endogènes.
La valeur 0,30 est considérée comme seuil limite pour ces deux indices.
Les limitations de l’estimation du modèle :
L’indice GOF ne peut être calculé lorsque des variables sont formatives ou ne contiennent
qu’un seul indicateur (Henseler, Marko et Sarstedt, 2012 :570). Pour pallier ce problème,
Esposito, Vinzi et al, (2010) recommandent de ne calculer le GOF que sur les variables ayant
plusieurs inficateurs réflexifs. Néanmoins, on peut s’interroger sur la pertinence de ce calcul
lorsque ces indicateurs ne représentent qu’une faible partie du modèle globale. Chin (2010 :
687) suggère de réaliser l’estimation globale d’un modèle formatif à partir d’un modèle
réflexif équivalent. Ce que nous ne pouvons pas faire dans le cadre de cette thèse, compte
tenu de l’originalité de notre modèle.
De même, l’utilisation du blindfloding (calcul du Q²) proposé par Tenehaus (2005),
disponible dans SmartPLS, ne fonctionne pas sur des construits formatifs ou des construits
réflexifs à un seul indicateur (Ringle, Sarstedt et Guericke, 2012)32
.
Or, notre variable dépendante et certaines variables explicatives sont justement des
construits formatifs ou réflexifs à un seul indicateur. Les résultats des analyses factorielles
peuvent également nous contraindre à créer d’autres variables à un indicateur s’il s’avère
qu’ils sont théoriquement justifiés.
32 http://www.pls-sem.com/doc/AMS-WMC-2012-Atlanta-PLS-SEM-Ringle_Sarstedt.pdf
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 264
Identification du modèle
Identifier un modèle consiste à calculer une estimation unique de ses paramètres (Roussel et
alii, 2002). Même avec un modèle complexe, la méthode PLS n’est pas contrainte par des
besoins d’identification (Hair et al, 2011). En effet, l’analyse de modèles avec les méthodes
CBSEM (LISREL) basées sur la covariance nécessite d’identifier le modèle. Cependant, la
méthode PLS à une approche basée sur des composants qui ont une estimation explicite
(loadings, weights). Le chercheur doit seulement spécifier les d’indicateurs représentant les
variables latentes (ou construits) et les liens structurels qui les lient (Chin, 2010 : 668).
La méthodologie de test des hypothèses de recherche
D’abord, nous présentons la méthode de test des hypothèses liées aux relations structurelles
directes. Ensuite, nous abordons la méthodologie de test des hypothèses concernant les effets
indirects. Enfin, nous mettons l’accent sur la méthodologie de test des hypothèses liées aux
variables individuelles continues ou catégoriques.
La méthode du test sous équations structurelles
Pour tester nos hypothèses de recherche entre les construits centraux, nous nous basons sur les
trois points suivants (Roussel et alii, 2002 ; Kline, 2010) :
- La significativité des coefficients de régression non standardisés : la valeur du test en t de
Student est associée à chaque coefficient pour vérifier que la relation hypothétique est
statistiquement différente de zéro. La valeur du t (two-tailed) doit être de :
1.96 pour un seuil de significativité de 5%,
2.58 pour un seuil de significativité de 1%,
3.11 pour un seuil de significativité de 2‰
3.29 pour un seuil de significativité de 1‰.
- La force des coefficients de régression standardisés : les coefficients standardisés, qui
permettent d’estimer l’importance relative des « chemins », sont compris entre 0 et 1. Plus la
valeur de ces coefficients est élevée, plus le lien entre les variables latentes est fort.
- Le pourcentage de variance de la variable endogène (R²) ou corrélation multiple au carré :
ce pourcentage équivaut au R² de la régression. Il se calcule en soustrayant à 1 le carré du
coefficient standardisé du terme d’erreur associé à la variable latente. Chin (1998 : 323)
suggère qu’un R² de 0,67 ; 0,33 et 0,19, peut être considéré respectivement comme
« substanciel », « modéré » et « faible ».
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 265
Ce chapitre avait pour objectif de détailler la méthodologie et la conception de l’étude
empirique.
La première section a été l’occasion de présenter la construction et la justification des
hypothèses de recherche, l’opérationnalisation des construits, la méthodologie d’investigation
ainsi que la méthodologie de développement et de validation des échelles de mesure et celle
de test des hypothèses de recherche.
En l’absence de travaux cherchant à mesurer l’influence des réseaux sociaux sur la conformité
aux règles de sécurité dans les institutions, nous avons proposons un modèle de l’acquisition
d’informations de valeurs, sous l’influence de la sécurité de l’information, des réseaux
sociaux et des valeurs individuelles et organisationnelles. Les échelles proposées sont
inspirées de la littérature consacrées aux réseaux sociaux (Granovetter, 1973, Burt 1992, Mc
Evily et al, 2005), aux valeurs universelles (Schwartz, 1994, 2006, 2009, 2012, Mc Donnald
et Gantz, 1992) et à la sécurité de l’information (D’Arcy et al, 2009, Choi et al, 2006).
La troisième section nous a permis de présenter les choix méthodologiques d’investigation.
Nous avons fait le choix d’une étude auprès des salariés de divers secteurs d’activités et de
diverses tailles d’institution (entreprises, secteur public, associations). Cette diversité de
population nous assure, du moins nous l’espérons, une grande homogénéité des participants.
Nous avons également présenté la méthode de recueil des données, un questionnaire
« accessible en ligne » administré par Internet, que nous avons validé auprès d’un panel de 20
salariées et deux professeurs d’université.
La quatrième section été l’occasion d’aborder la méthodologie de développement et de
validation des échelles de mesure et de test des hypothèses de recherche. Nous avons opté
pour la réalisation d’une analyse multi-variée, suivi d’une analyse prédictive basée sur la
méthode PLS.
3. Ce qu’il faut retenir du chapitre 4
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 266
V.CHAPITRE V
Validation des instruments de mesure des construits
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 267
Figure 29: architecture du chapitre 5
Test des hypothèses de recherche
Présentation descriptive
Validation du modèle structurel
Test des hypothèses
Discussion et mise en perspective
A propos...
du capital social
des valeurs
de la sécurité de l'information
des variables de contrôle
Idée directrice du chapitre 5 :
Validation des instruments de mesure et des hypothèses
Mise en perspective des
résultats qui font la plus-
value de la recherche
Validation de la pertinence
du construit et de
l’approche conceptuelle
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 268
Ce chapitre est consacré à la validation des instruments de mesure des variables utilisées dans
notre modèle de recherche. La validation des instruments de mesure des variables latentes est
basée sur le paradigme de Churchill (1979) et sa version mise à jour (Gerbing et Anderson,
1988). Il s’agit d’une phase importante de la recherche car sans des instruments de mesure
fiables et valides, il est impossible de tester le modèle global de recherche (Evrard, Pras et
Roux, 2009).
Pour chaque échelle de mesure, nous conduisons d’abord une analyse factorielle exploratoire
des variables réflexives pour déterminer la structure factorielle du construit sous-jacent.
Ensuite, nous réalisons une analyse factorielle confirmatoire avec la méthode des équations
structurelles.
L’analyse factorielle confirmatoire est importante dans la mesure où elle permet d’évaluer la
fiabilité (cohérence interne) et la validité des construits. Les tests relatifs à la fiabilité et à la
validité sont donc abordés. Dans le souci d’éviter les redondances, la présentation détaillée
des résultats est fournie en annexes 10.
Ce chapitre est composé de trois sections :
La section 1 présente les échantillons utilisés et les analyses préliminaires de l’adéquation des
données à l’analyse multi-variée.
La section 2 présente la validation des échelles de mesure des construits centraux du modèle
de recherche.
La section 3 aborde la validation et la mesure des variables individuelles du modèle de
recherche.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 269
1. Présentation des échantillons et analyses préliminaires
L’objectif principal de cette recherche est de comprendre les interactions entre la mobilisation
du capital social et le respect des règles de sécurité de l’information, dans l’acquisition
d’informations par les acteurs. Nous avons collecté 335 questionnaires, dont 25 étaient
incohérents. Ensuite, nous avons écarté tous les questionnaires pour lesquels les participants
déclaraient ne pas avoir eu une expérience précédente dans une autre institution. Finalement,
près de 300 réponses ont été retenues.
1.1. Présentation du jeu de données
Nous présentons la répartition des répondants dans les variables sociodémographiques.
1.1.1. Les variables sociodémographiques
En termes d’âge, 47% des échantillons sont compris entre 31 et 46 ans. 29% des participants
ont plus de 46 ans et 24% ont moins de 31 ans.
En termes de statut, 18% des échantillons sont non cadres, 56% sont cadres, 13% sont des
cadres supérieurs et 13% sont des cadres dirigeants. La proportion de personnes
« encadrantes » est relativement importante. Un test de Khi² (khi²=105,844, phi=615,
v=0,355, p<001) montre que la population non cadre provient essentiellement des secteurs de
l’agroalimentaire (14%), de l’informatique et des télécoms (14%) et de la distribution (12%).
Les cadres dirigeants exercent plutôt dans le secteur juridique et comptable (20%), l’énergie
et les déchets (17%) et la recherche et le développement (12%).
Par ailleurs, 15% des répondants ont moins de un an d’ancienneté dans l’institution, 21% ont
une ancienneté de un à trois ans, 32% sont dans l’institution depuis au moins trois ans et 32%
y sont salariés depuis plus de dix ans. Les répondants sont donc globalement fidèles à leur
institution. Ils sont aussi 16% à avoir récemment changé de fonction (depuis moins de un an),
environ 31% à occuper le même poste depuis moins de trois ans, 31% depuis moins de dix
ans et 21% depuis plus de dix ans. Les participants se montrent donc globalement peu mobiles
dans leurs activités au sein de leur institution. 77% des échantillons ont un emploi à durée
indéterminée.
La moyenne de la taille des institutions représentées est assez élevée, 55% d’entre elles
comptent en effet plus de 1000 salariés, environ 13% ont de 250 à 500 salariés, 12% sont des
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 270
PME moyennes (de 50 à 250 personnes) 9% sont des PME de petite taille (11 à 50 personnes)
et 11% sont des TPE (moins de 10 salariés).
Les secteurs d’activités représentés sont pour une grande part l’informatique et les télécom
(22%), l’énergie et les déchets (14%), suivis de l’administration publique et le secteur
associatif (7%) puis l’aéronautique et l’automobile (7%), la distribution (7%) et la recherche
et le développement (6%).
37% des répondants sont spécialisés en informatique et télécom, 16% travaillent dans une
fonction de recherche et de développement. Enfin, la direction d’entreprise, la gestion et le
commerce représentent chacun environ 10% de nos échantillons.
Synthèse
Nos échantillons sont globalement assez homogènes avec un taux très majoritaire de cadres et
d’institutions de grandes tailles, réparties dans des secteurs variés, mais à dominante
informatique, télécom et industrielle. Les tableaux récapitulatifs sont donnés en annexe 1.
1.1.2. Comparaison globale des valeurs individuelles et
organisationnelles perçues
Les valeurs, tant individuelles qu’organisationnelles, restent globalement perçues comme
supérieures à la moyenne.
Les salariés semblent particulièrement sensibles aux valeurs individuelles de réputation de
leur image publique, de loyauté, de pouvoir, de liberté d’action et de pensée, d’initiative et
d’amitié.
L’analyse des valeurs moyennes montrent que les salariés jugent leurs valeurs individuelles
comme plus importantes que les valeurs organisationnelles. La tendance s’inverse cependant
pour les valeurs de collaboration, de respect des règles, de respects de l’autorité et le respect
de la réputation, qui semble être considérés comme des valeurs fortes des organisations.
Nous observons un équilibre relatif des perceptions individuelles et organisationnelles sur les
pôles de dépassement et d’affirmation de soi. En outre, les individus se perçoivent comme
plus ouvert au changement et moins attachés aux règles que les organisations.
L’organisation (l’institution) semble donc être perçue comme un lieu de coordination exerçant
plutôt une forte contrainte normative.
L’écart le plus important (2 points) entre les valeurs individuelles et la perception des valeurs
organisationnelles s’observe sur les valeurs d’autonomie de direction et la liberté d’action et
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 271
de pensée. Le salarié souhaiterait à priori, être plus autonome et libre que l’organisation le lui
autorise.
Figure 30: Courbes de comparaison des valeurs individuelles et organisationnelles
,00
1,00
2,00
3,00
4,00
5,00
6,00
7,00
8,00
9,00
Rec Pou Rsk Lib Inn Ami Cob App Ini Loy Col Res Reg Aut Rep Sta Reu
Comparaison des Valeurs Individuelles et organisationnelles
Valeurs Individuelles Valeurs Organisationnelles
Valeurs Individuelles (Mini) Valeurs Organisationnelle (Mini)
8,18 7,93 7,77 7,77 7,71 7,49 7,26 6,91 6,73 6,71 6,55 6,38 6,37 6,36 6,29 5,75
5,17
Classement des valeurs Organisationnelles
valeurs Organisationnelles
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 272
Figure 31: Classement par la moyenne des valeurs individuelles et organisationnelles
8,50 8,31 8,17 8,11 7,80 7,61 7,44 7,44 7,36 7,32 7,16 7,12 7,05 6,97 6,83 6,72 6,25
Classement des valeurs Individuelles
valeurs Individuelles
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 273
Affirmation de soi Ouverture au Changement
Conformité Dépassement de soi
Figure 32: Comparaison des pôles de valeurs selon le modèle de Quinn et Mc Grath (1985)
Reconnaissance Réputation Autorité Pouvoir
8,31 7,32 6,72 6,25 6,73
7,93 7,73
5,75
Comparaison des pôles de valeurs d'affirmation de soi - Individu / Organisation
Valeurs Individuelles Valeurs Organisationnelles
8,11 7,80 7,44 7,44 7,05 6,82 6,29 6,55 6,71 6,37 5,17 6,36
Comparaison du pôle de valeurs d'Ouverture au Changement - Individu/Organisation
Valeurs Individuelles Valeurs Organisationnelles
Stabilité Règle
7,36 7,16 6,91
8,18
Comparaison des pôles de valeurs de conformité - Individu / Organisation
Valeurs Individuelles Valeurs Organisationnelles
8,50 8,17 7,61 7,12 6,97 7,71 7,77 7,26 6,38 7,49
Comparaison des pôles de valeurs de Dépassement de soi - Individu / Organisation
Valeurs Individuelles Valeurs Organisationnelles
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 274
1.1.3. Comportement des salariés dans l’échange d’information
Les tableaux ci-dessous présentent les données descriptives des indicateurs des informations
reçues, puis du sens du flux d’informations (c’est-à-dire de l’activité de la concurrence ou de
l’activité interne).
Indicateurs N Minimum Maximum Moyenne Ecart type
INFO_DIS 280 1 7 4,47 1,641
INFO_NDP 280 1 7 2,39 1,496
INFO_STRAT 280 1 7 4,39 1,756
INFO_COM 280 1 7 4,23 1,973
INFO_ORG 280 1 7 4,95 1,603
Tableau 45: Analyse descriptive des indicateurs d’échange d’information
Indicateurs N Minimum Maximum Moyenne Ecart type
ACT_ENSE 280 2 7 6,19 1,058
ACT_CONCU 280 1 7 3,74 1,888
Tableau 46: Sens du flux d'informations interne/externe
Nous nous sommes intéressés aux comportements des répondants dans l’échange
d’informations (les tableaux détaillés figurent en annexe 4).
En moyenne, les participants à l’étude reçoivent « de parfois à assez fréquemment » de
l’information stratégique, organisationnelle, commerciale et, nécessitant de la discrétion. Les
informations qu’ils reçoivent leur sont plutôt bien destinées puis qu’ils déclarent en moyenne
recevoir de l’information opportune de « rarement à assez rarement ».
Par ailleurs, l’examen de l’orientation interne/externe des flux d’informations montre que les
acteurs sont plutôt intéressés par l’information interne qu’ils reçoivent en moyenne
« souvent ». En revanche, ils captent de l’information sur la concurrence, en moyenne de
« assez rarement à parfois ».
40% des salariés reçoivent parfois de l’information nécessitant de la discrétion et 14% en
reçoivent très souvent alors que 6% n’en reçoivent que « très rarement ». Ils sont 75% à en
recevoir de « parfois à très fréquemment ».
25% des salariés reçoivent parfois de l’information opportune. Ils sont 42,5% à n’en recevoir
que très rarement et 1% à en recevoir très fréquemment.
30% des salariés reçoivent « parfois » de l’information stratégique, 8% « très rarement » et
13% « très fréquemment ». Globalement, ils sont 76% à recevoir de « parfois à très
fréquemment » de l’information stratégique.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 275
Ils sont 17% à recevoir « parfois » de l’information à valeur commerciale. 14,5% n’en
reçoivent que « très rarement » et 13% en reçoivent « très fréquemment ». Ils sont 68% à
recevoir de « parfois à très fréquemment » de l’information à valeur commerciale.
Les salariés sont 19,5% à recevoir « parfois » de l’information organisationnelle. 4% n’en
reçoivent que « très rarement » et 15,5% en reçoivent « très fréquemment ». Ils sont 85% à
recevoir de « parfois à très fréquemment » de l’information organisationnelle.
La figure 33, ci-dessous, schématise la fréquence de réception en fonction de la nature des
informations. Nous remarquons que la réception d’informations opportunes (celles qui ne
doivent pas normalement parvenir au récepteur) suit une tendance inverse à la réception
d’informations confidentielles. Ceci tend à dire que ces types d’informations sont inversement
corrélés et que le respect de la confidentialité des informations (les informations nécessitant
de la discrétion) est globalement respecté. Néanmoins, nous remarquons également un pic
commun à l’information stratégique, confidentielle et opportune (zone de fréquence : parfois),
qui laisserait entendre que les informations confidentielles et opportunes concerneraient
essentiellement les informations stratégiques. Cependant, la figure 34 montre que les
informations opportunes ou confidentielles sont aussi en relation avec les informations ayant
une valeur commerciales et l’activité de la concurrence (figure 34). Nous remarquons
également que la courbe de réception d’informations opportunes et celle relative à l’activité
de la concurrence suivent un cheminement quasi parallèle (figure 34).
Figure 33: Flux de réception d'informations
01020304050
Très rarement Parfois Trèsfréquemment
Réception d'informations
Confidentielle Opportune Stratégique Commerciale Organisationnelle
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 276
Figure 34: Flux de réception d'information: objet et orientation
1.1.4. Perception de la sécurité de l’information
Le tableau ci-dessous présente les données descriptives de la sécurité de l’information
N Minimum Maximum Moyenne Ecart type
SEC_SENSIB 280 1 4 3,03 1,139
SEC_POL 280 1 2 1,85 ,339
SEC_TOP 280 1 3 2,324 ,814
SEC_MANAGER 280 1 5 3,85 1,191
SEC_SERV 280 1 2 1,65 ,463
Tableau 47: Valeurs descriptives des indicateurs de sécurité de l'information
Les répondants sont en moyenne conscients de l’existence de programmes de sensibilisation à
la sécurité de l’information, de l’existence de politiques et d’une structure de gestion de la
sécurité de l’information. Cependant, la dirigeance (SEC_TOP) semble peu s’impliquer dans
la sécurité de l’information puisqu’elle communique, en moyenne, moins d’une fois par an.
Les participants perçoivent que la sécurité de l’information est importante pour leur manager.
Ils jugent également qu’il n’y a pas de différence entre la manière dont est gérée la sécurité de
l’information dans leur institution et celle qui était en vigueur dans leur institution précédente.
0
10
20
30
40
0
20
40
60
Trèsrarement
Parfois Trèsfréquemment
flux de réception d'informations interne/externe à l'institution (orientation)
Confidentielle Opportune Stratégique Commerciale
Organisationnelle Activités Internes Activités Externes
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 277
1.1.5. Médias d’échanges d’informations
Les participant à l’enquête échange assez fréquement par des rencontres physiques ou leur
messagerie électronique. Ils échangenten moyenne peut fréquement via des supports
physiques.
N Minimum Maximum Moyenne Ecart type
MED_SUP 280 1 7 3, 4 1,926
MED_PHY 280 1 7 5,81 1,278
MED_MAIL 280 1 7 5,53 1,542
Tableau 48 : valeurs descriptives des indicateurs des médias d'échanges d'informtions
1.1.6. Le réseau personnel des participants
Nous avons limité le nombre de contacts à trois. Nous obtenons ainsi les trois contacts
maximum qui apportent le plus d’avantages aux répondants.
Avec une contrainte de 0,68 en moyenne et un écart type de 0,22, le réseau personnel des
répondants est plutôt fermé, mais la contrainte n’étant pas maximale, il ne constitue pas une
clique. Par ailleurs la contrainte n’étant pas nulle, le répondant n’est jamais totalement en
position de négociateur. L’ancienneté, la proximité, et la fréquence des relations sont assez
importantes. Les répondants voient leurs contacts au moins une fois par semaine en moyenne,
et se connaissent depuis un à trois ans. Ils sont aussi assez proches de leurs relations.
L’indicateur de non-redondance organisationnelle (NR-O) montre également que le réseau
personnel de proximité est composé de personnes évoluant dans la même institution avec des
activités professionnelles assez proches mais non identiques. Environ la moitié des contacts
fournissent un soutien aux initiatives ou un soutien en apport d’informations stratégiques. Les
informations stratégiques sont ici des informations tant organisationnelles que relatives à
l’environnement externe ou à la stratégie de l’institution. Elles permettent à l’acteur
d’anticiper les évolutions (changement de management, arrivée d’un nouveau projet, nouvelle
implantation de site, etc.) interne et externes (activité de la concurrence, des partenaires et
fournisseurs, etc.).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 278
Indicateurs N Minimum Maximum Moyenne Ecart type
NR_S_C 280 ,33 ,93 ,6843 ,228
ANC 280 1 4 3,29 ,830
FREQ 280 1 4 3,10 ,639
PROX 280 1 4 2,88 ,696
NR_O 280 1 2 1,64 ,385
NR_T 280 1,000 4,000 2,780 ,694
SOUTIENS 280 ,000 1,000 ,420 ,286
STRAT 280 ,000 1,000 ,431 ,265
Tableau 49: valeurs descriptives du réseau personnel
1.2. Analyses préliminaires d’adéquation des données pour l’analyse
multi-variée
1.2.1. Traitement des valeurs manquantes
Sur 335 questionnaires récoltés, 25 étaient incomplets et 30 ont été écartés parce les
répondants n’ont pas d’expérience de la sécurité de l’information dans une entreprise autre
que celle où ils évoluent actuellement.
Nous avons testé les 280 réponses valides pour notre étude. L’ensemble des questions portant
sur les valeurs ne comportait pas plus de 2% de valeurs manquantes. Les questions portant sur
la sécurité de l’information en comptaient au maximum 10%. Nous avons remplacé les
valeurs manquantes par la moyenne aux points voisins (cf. annexes 2.3 ; 3.3 ; 4.3 ; 5.3 ; 6.3 ;
7.3).
1.2.2. Les valeurs extrêmes ou aberrantes
Nous avons effectué une recherche des valeurs extrêmes ou aberrantes sur les variables
quantitatives en nous basant sur la boîte à moustaches (cf. annexes 2.1 ; 3.1 ; 4.1 ; 5.1 ; 6.1 ;
7.1). La boîte à moustaches n’a décelé l’existence de valeurs extrêmes ou aberrantes que sur
trois échantillons de la variable SEC_POL. Cette variable est catégorielle (Oui/Non). En
conséquence, et après vérification, nous rejetons l’hypothèse de valeur aberrante sur cette
série.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 279
1.2.3. Normalité et absence de multi-colinéarité
Pour évaluer la normalité des données (cf. annexes 2.2 ; 3.2 ; 4.2 ; 5.2 ; 6.2 ; 7.2), nous avons
d’abord tracé la courbe gaussienne de normalité pour chaque variable étudiée et les résultats
indiquent une absence de normalité des données. Ensuite, nous avons utilisé les tests de
Kolmogorov-Smirnov.
Pour les valeurs individuelles et organisationnelles, les résultats obtenus rejettent l’hypothèse
de normalité des données (cf. annexe 3.2). Les données d’asymétrie et d’aplatissement
dépassent fréquemment les bornes admises pour une quasi normalité des données,
respectivement [-1 ; +1] et [-1,5 ; +1,5]. Rien d’étonnant à cela, Schwartz (2009) indique que
les résultats des sondages sur les valeurs sont très fréquemment concentrés sur la partie droite
de l’échelle (de neutre à tout à fait).
Les variables concernant la réception d’informations rejettent également la normalité, mais la
quasi-normalité est admissible compte tenu des données d’aplatissement et d’asymétrie, tout
comme les indicateurs des médias de communication, et ceux de la sécurité de l’information.
Les données relatives à la force des liens sont elles aussi à la quasi-normalité.
Les données de multi-colinéarité sont exposés lors de l’analyse structurale concernant les
construits formatifs.
1.2.4. Homogénéité de la variance
Un test de Levene (cf. annexe 8) a été effectué entre les variables prédictives et la variable
dépendante. L’absence de résultats significatifs montre que l’hypothèse de non homogénéité
de la variance peut être rejetée.
2. Validation des échelles de mesure des construits centraux du
modèle
Pour chaque construit réflexif, nous procédons à l’analyse factorielle exploratoire (en
composantes principales) sur SPSS 17.0 pour évaluer la validité convergente et/ou la validité
discriminante des construits.
Les échelles de mesure des valeurs individuelles de Schwartz sont réputées pour leur faible
taux de validité interne ((Schwartz, 1999, 2012).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 280
2.1. Le test de vanishing tetrad sur la variable CARACTERISTIQUES
Bollen et Ting (2000) ont développé le test de vanishing tetrad pour valider le caractère
réflexif ou formatif d’une variable.
Le test du tetrad détermine la nature de la variable par la différence entre le produit de deux
paires de covariances et le produit d’autres paires de variables tirées aléatoirement. Nous
effectuons le test en utilisant les covariances entre les quatre indicateurs STATUT,
ANC_ENSE_ANC_FONC et AGE. Le résultat nul obtenu indique que la variable latente
est réflexive (cf. annexe 10.1)
2.2. Examen de la matrice de corrélation
Avant d’effectuer l’analyse du modèle structurel, Haenlein et Kaplan (2004), Brunhn & al.
(2008), et Sosik & al (2009) recommandent d’examiner les statistiques descriptives et les
corrélations afin de valider l’existence des liens postulés.
L’examen des corrélations (annexes 10.3 et 10.5 ), montre que les indicateurs des valeurs
individuelles VI_Loy, VI_Cob, VI_Rec, VI_Lib et VI_Ami, ne sont pas corrélés avec les
indicateurs de la variable dépendante. Il en est de même pour les indicateurs des valeurs
organisationnelles VO_Lib, VO_Cob et VO_Ami. Nous n’utiliserons donc pas ces indicateurs
lors de l’analyse factorielle exploratoire.
Nous vérifions également l’existence de relations entre les variables des valeurs
organisationnelles et celles de la sécurité de l’information (cf. annexe 10.6), ainsi qu’entre les
variables du capital social (cf. annexe 10.7). Les résulats montrent que des liens existent bien.
En outre nous constatons que les corrélations significatives entre les variables réflexives sont
toutes au dessus du seuil de 0,3 (cf.annexes 10.14 à 10.19). Ces variables peuvent donc être
factorisées.
2.3. Analyse Factorielle Exploratoire
Pour analyser les résultats des analyses factorielles, nous avons retenu les principales
composantes correspondant à des valeurs propres supérieures à 1, selon le critère de Kaiser, et
un pourcentage de variance expliquée supérieur ou égal à 50%. Dans nos analyses factorielles,
nous avons suivi une démarche itérative en éliminant au fur et à mesure les indicateurs une
communalité inférieure à 0,4 et en retenant ceux dont la contribution factorielle est supérieure
à 0,5 (Evrard et al, 2003).
L’analyse factorielle par rotation promax montre que les variables des valeurs
individuelles ne sont pas corrélées entre elles. Nous obtenons le même résultat avec les
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 281
variables de valeurs organisationnelles (cf. annexes 10.10 et 10.11). En conséquence, nous
appliquons une rotation varimax pour les factorisations des valeurs individuelles et
organisationnelles.
2.3.1. Echelle de mesure des valeurs individuelles
Le test de sphéricité de Bartlett est significatif à (p < 0,001) et le KMO est de 0,79.
L’hypothèse d’absence de corrélation entre les indicateurs est donc rejetée. Nous obtenons
une proposition de trois facteurs qui explique 59% de la variance totale (cf. annexe 10.10). Le
test du scree et celui du coude confirment cette solution.
Il faut maintenant valider leur cohérence interne. L’alpha de Cronbach montre une cohérence
interne satisfaisante, supérieure à 0,7 pour les deux premières dimensions, mais la troisième
dimension à une cohérence interne inférieure à 0,5. Dans ce cas, nous conservons les
indicateurs de la troisième dimension, VI_Pou et VI_Rep, mais nous les utiliserons chacun
dans un construit à un indicateur. Le tableau ci-dessous résume les résultats obtenus.
KMO= 0 ,790
(p<0,001)
FVI1 FVI2 FVI3 α Cronbach
VI_Reg 0,841 0,767
VI_Aut 0,836
VI_Sta 0,652
VI_Col 0,535
VI_Reu 0,509
VI_Rsk 0,851 0,777
VI_Inn 0,830
VI_In 0,723
VI_Pou 0,776 0,408
VI_Rep 0,701
Variance Totale
Expliquée
59,1%
% Variance
24,680
% Variance 20,741 % Variance
13,680
Tableau 36 : ACP des valeurs individuelles
2.3.2. Echelle de mesure des valeurs organisationnelles
Le test de sphéricité de Bartlett est significatif à (p< 0,001) et le KMO est de 0,867
L’hypothèse d’absence de corrélation entre les indicateurs est donc rejetée. Nous obtenons
une proposition de deux facteurs qui expliquent 59% de la variance totale (cf. annexe 10.11).
Le test du scree et celui du coude confirment cette solution.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 282
L’alpha de Cronbach montre une cohérence interne satisfaisante, supérieure à 0,7 pour la
première dimension et très proche de 0,7 pour la deuxième dimension. Le tableau ci-dessous
résume les résultats obtenus.
KMO= 0 ,867
(p<0,001)
FVO1 FVO2 α Cronbach
VO_Ini ,844
0,888
VO_Inn ,832
VO_Rec ,805
VO_Rsk ,768
VO_Col ,741
VO_Res ,700
VO_Loy ,601
VO_Sta ,574
VO_Rep ,819 0,690
VO_Aut ,770
VO_Reg ,708
VO_Pou ,577 Variance Totale Expliquée 53,9%
% Variance 35,75
% Variance 18,19
Tableau 37: ACP des valeurs organisationnelles
2.3.3. Echelle de mesure de la sécurité organisationnelle de l’information
Le test de sphéricité de Bartlett est significatif à (p< 0,001) et le KMO est de 0,888
L’hypothèse d’absence de corrélation entre les indicateurs est donc rejetée. Nous obtenons
une proposition d’un facteur qui explique 59% de la variance totale (cf. annexe 10.12). Le test
du scree et celui du coude confirment cette solution.
L’alpha de Cronbach montre une cohérence interne satisfaisante, supérieure à 0,7. Le tableau
ci-dessous résume les résultats obtenus.
KMO=
0 ,888(p<0,001)
FSEC α Cronbach
SEC_SENSIB ,723 0,718
SEC_POL ,522
SEC_TOP ,605
SEC_SERV ,541
Variance Totale
Expliquée
59,75%
Tableau 38 : ACP des indicateurs de sécurité organisationnelle
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 283
2.3.4. Echelle de mesure des variables sociodémographiques
Le test de sphéricité de Bartlett est significatif à (p< 0,001) et le KMO est de 0,770.
L’hypothèse d’absence de corrélation entre les indicateurs est donc rejetée. Nous obtenons
une proposition d’un facteur qui explique 56% de la variance totale (cf. annexe 10.13).
L’alpha de Cronbach montre une cohérence interne satisfaisante, supérieure à 0,7. Le tableau
ci-dessous résume les résultats obtenus.
KMO=
0 ,770(p<0,001)
FSEC α cronbach
AGE ,824 0,720
ANC_FONC ,801
ANC_ENSE ,785
STATUT ,547
Variance Totale
Expliquée
55,9%
Tableau 39: ACP des caractéristiques sociodémographiques
2.4. Evaluation du modèle structurel de mesure
Le modèle de mesure, appelé aussi modèle externe (outer model), représente les relations
linéaires supposées entre les variables latentes et les variables manifestes. Les annexes 13 et
14 fournissent respectivement les résultats des poids et niveaux de significativité des
indicateurs de la variable dépendante et des variables formatives explicatives.
Notre modèle est mixte, il compte à la fois des construits réflexifs et formatifs. Nous opérons
donc via deux méthodes. L’une pour les construits réflexifs est basée sur l’analyse de la
validité convergente et discriminante ; l’autre, pour construits formatifs, consiste à valider
l’absence de multi-colinéarité par un test de VIF.
En figure 35, nous présentons le modèle structurel interne (Inner) global, qui donnera lieu à
l’analyse des hypothèses. Ensuite nous exposons les indices de fiabilité des indicateurs des
variables explicatives et de la variable à expliquer.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 284
2.4.1. Procédure
Notre objectif est d’évaluer l’impact des mesures de sécurité de l’information sur les
comportements de réception (et donc d’émission) d’informations. Après avoir testé
globalement l’absence de multi-colinéarité entre les variables, nous procédons en deux temps.
1. Mesure du modèle structurel sans les variables latentes de sécurité de
l’information (SSI). Cette étape nous permet d’analyser les effets des variables
prédictives sur la variable à prédire sans l’influence de la sécurité de l’information ;
2. Introduction des variables latentes de sécurité de l’information. Cette deuxième étape
nous permet de mesurer les effets de la sécurité de l’information sur les variables
prédictives et sur la variable à prédire.
Pour chaque étape, nous testons la fiabilité des indicateurs de mesure ainsi que la validité
convergente et discriminante des variables latentes réflexives. Enfin, nous rappelons qu’en
raison de la conception mixte formative/réflexive du modèle et de la méthode PLS choisie, la
validité externe, c’est-à-dire la validité du caractère reproductible et valide des résultats
(Churchill, 1979 ; Evrard, Pras et Roux, 2009) ne peut être testée. Cette validité peut être
partiellement évaluée en réalisant un test de blindfloding sur les variables prédictives
endogènes ayant plusieurs indicateurs. Cependant notre modèle ne propose que trois variables
latentes éligibles à ce test, sur neuf variables au total. Nous suggérons donc d’interpréter ces
résultats avec une extrême précaution.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 285
Figure 35: Modèle structurel (Inner)
SSI_ORGA
ORIENTATION
MEDIA
O_OUV-DES-AFS
SSI_MANAGER
I_AFS-DES-CON
CARACTERISTIQUE
SS
I_OUV
O_AFS-CON
INFO
SSI_PREC
I_REP I_POU
RESSOURCES
NR
S
Contrôle
Réflexif
1 seul
1ndicateur
Formatif
Var Dépendante
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 286
2.4.2. Test d’absence de multi-colinéarité
L’absence de multi-colinéarité a été testée sur l’ensemble des variables du modèle (cf. annexe
11.1).
Toutes les mesures de VIF sont inférieures à 3. Les scores de tolérance étant proches de 1 et
donc largement au-dessus de 0,3, nous pouvons conclure à l’absence de multi-colinéarité, et à
la validité des variables formatives.
2.5. Etape 1 : Analyse du modèle structurel sans les variables de
sécurité de l’information
2.5.1. Fiabilité des indicateurs réflexifs
La fiabilité des indicateurs (cf. annexe 11.2) s’évalue par l’examen des loadings, de la
variance moyenne extraite (AVE) et de l’indice de concordance (Composite Reliability).
Lors de l’examen des variables latentes, nous avons constatons que tous les indicateurs
réflexifs ont un loading supérieur à 0,5. Nous conservons donc tous ces indicateurs. En effet,
selon Hulland, (1999 : 198, in Chin, 2010 : 695), les loading inférieurs à 0,4 doivent être
retirés du modèle.
2.5.2. Validité convergente
En plus de l’alpha de Cronbach, les méthodes d’équations structurelles proposent un calcul de
l’indice de concordance (composite reliability) qui présente l’avantage de prendre en compte
les erreurs de mesure. La fiabilité des échelles de mesure est utilisée à côté de l’AVE
(Average Variance Extracted) pour évaluer la validité convergente des construits.
L’AVE est la moyenne au carré des contributions factorielles d’un bloc d’indicateurs pris
séparément. Il mesure la valeur de la variance capturée par le construit et ses indicateurs par
rapport aux erreurs de mesure. Le seuil généralement admis est de 0,5 selon Fornell et
Bookstein (1981).
Nous pouvons observer dans le tableau ci-dessous que les indices de concordance sont tous
au-dessus du seuil limite de 0,7 (cf. annexe 11.3).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 287
Facteurs Indicateurs Loadings Composite Reliability Average Variance
Extracted (AVE)
I_POU VI_Pou 1 1 1
I_REP VI_Rep 1 1 1
I_OUV-AFS VI_Ini 0,844 0,843 0,687
VI_Inn 0,783
VI_Risk 0,854
I_AFS-DES-CON VI_Aut 0,813 0,681
VI_Col 0,564
VI_Reg 0,759
VI_Reu 0,688
VI_Sta 0,701
O_AFS-CON VO_Aut 0,807 0,827 0,621
VO_Reg 0,807
VO_Rep 0,693
O_OUV-DES-AFS VO_Col 0,757 0,909 0,686
VO_Ini 0,826
VO_Inn 0,833 VO_Rec 0,830
VO_Rsk 0,788
VO_Sta 0,668
T_ENSE T_ENSE 1 1 1
Tableau 40: Données de fiabilité et de validité convergente
2.5.3. Validité discriminante
La validité discriminante se mesure à l’aide de l’AVE. La racine carrée de l’AVE doit être
supérieure aux corrélations du construit avec les autres. Cette situation indique que la variance
partagée entre le construit et ses indicateurs est supérieure à celle partagée avec les autres
construits. Nos résultats sont concluants. Les critères de validité discriminante sont satisfaits
(cf. tableau 41 et annexe 11.3).
VARIABLES
ENSE
I_AFS-
DES-CON I_OUV-AFS I_POU I_REP O_AFS-CON
O_OUV-
DES-AFS
ENSE 1 0 0 0 0 0 0
I_AFS-DES-CON 0,046 0,463 0 0 0 0 0
I_OUV-AFS -0,046 0,075 0,477 0 0 0 0
I_POU -0,099 0,088 0,262 1 0 0 0
I_REP 0,098 0,443 0,081 0,257 1 0 0
O_AFS-CON 0,053 0,390 0,178 0,3226 0,309 0,3 0
O_OUV-DES-AFS -0,156 0,269 0,206 0,2383 0,164 0,169 1
Tableau 41 : Validité discriminante du modèle sans les variables de SSI
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 288
2.5.4. Le modèle structurel sans les variables latentes de SSI
Les effets directs
Le modèle structurel, ou modèle interne (inner model), représente les relations entre les
variables latentes explicatives et les variables latentes expliquées.
Conformément à la recommandation de Hair et al, (2011), la significativité statistique des
coefficients a été testée avec un bootstrap de 5000 itérations pour la totalite de nos 280
échantillons. Une relation est significative quand le résultat du T-test est au moins égal à 1,96
(bi-directionnel). Le R² moyen est de 0.414. Le tableau ci-dessous liste les résultats obtenus.
INFO Coefficient ᵦ T-Test R²
ENSE -0,1719 2,5906**
I_OUV-AFS -0,0157 ns
I_POU 0,1377 2,1464*
I_REP 0,1674 2,1015* 0,414 MEDIAS 0,1997 3,3122*
CARACTERISTIQUES -0,0118 ns
ORIENTATION 0,3647 5,8353***
O_AFS-CON 0,2017 2,879** Seuil de
O_OUV-DES-AFS 0,0765 ns significativité
RESSOURCES_CS 0,1712 2,443* * : 5%
I_AFS-DES-CON -0,1206 ns ** : 1%
I_POU 0,1377 2,1464* *** : 1‰ MEDIAS 0,1997 3,3122***
ORIENTATION 0,3647 5,8353***
ORIENTATION
I_AFS-DES-CON 0,0783 ns
I_OUV-AFS 0,1583 2,3215*
I_POU 0,1023 ns
O_AFS-CON -0,0097 ns
O_OUV-DES-AFS 0,2303 3,4342***
RESSOURCES_CS -0,0326 ns
LIENS -0,0278 ns
NRA -0,0326 ns
NRS 0,21 2,5725**
MEDIAS
ORIENTATION 0,1885 3,2241***
NRS -0,0326 ns
I_POU 0,139 2,212*
LIENS -0,0203 ns
NRA 0,2911 4,327***
NRA -0,0326 ns
LIENS -0,4959 10,4013
Tableau42: Coefficients structurels et T-Test du modèle sans SSI
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 289
Nous remarquons que l’orientation des flux d’informations interne/externe (ORIENTATION)
est la variable la plus influente dans l’acquisition d’informations. Elle se place devant les
valeurs organisationnelles d’affirmation de soi et de conformité (O_AFS_CON), puis les
médias (MEDIAS) et les ressources du capital social (RESSOURCES_CS). Nous notons
également que les valeurs individuelles ayant une influence significative sur l’acquisition
d’informations sont la valeur de pouvoir (I_POU) qui reflète l’intérêt de l’acteur pour le
leadership et la valeur de réputation (I_Rep) Enfin la taille de l’institution (T-ENSE), une
variable de contrôle, a un effet significatif et négatif sur l’acquisition d’informations. Par
ailleurs, même si la relation n’est pas significative, il est intéressant de noter que la variable
des valeurs individuelles d’affirmation de soi, de dépassement de soi et de conformité
(I_AFS-DES-CON) a également une influence négative sur l’acquisition d’informations.
Variables ayant une
influence sur la
varibale dépendante
Coefficient
ᵦ
T-Test
ORIENTATION 0,365 P<0,001
O_AFS-CON 0,202 P<0, 01
MEDIAS 0,200 P<0,001
RESSOURCES_CS 0,171 P<0, 05
I_REP 0,167 P<0, 05
ENSE -0,172 P<0, 01
I_POU 0,138 P<0, 01
Tableau 43: Classement des variables les plus influentes sur l'acquisition d'information (modèle sans SSI)
Les effets indirects
Le tableau ci-dessous liste l’ensemble des relations ayant un effet indirect positif sur les
variables endogène et la variable à expliquer en particulier.
La variable organisationnelle d’ouverture au changement, de dépassement de soi et
d’affirmation de soi (O_OUV-DES-AFS) est médiatisée par la variable ORIENTATION et
devient significative (ᵦ=0,174, p<0 05). Inversement, l’influence des valeurs
organisationnelles d’affirmation de soi et de conformité (O_AFS-COM) diminue légèrement
et devient moins significative (ᵦ=0,197, p<0 05).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 290
INFO Coefficient ᵦ T-Test Seuil de
significativité
I_POU 0,1878 3,904***
O_AFS-CON 0,1976 2,277*
O_OUV-DES-AFS 0,1736 2,186*
ORIENTATION 0,4214 6,803***
RESSOURCES_CS 0,1712 2,443* * : 5%
ORIENTATION ** : 1%
I_OUV-AFS -> ORIENTATION 0,2067 2,981** *** : 1‰
Tableau 44 : Effet total (modèle structurel sans SSI)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 291
Figure 36: Modèle structurel sans SSI (Inner)
0,044
ns
-0,171 **
ORIENTATION
0,134
MEDIAS
0,066
O_OUV-DES-AFS
0,044
I_AFS-DES-CON
CARACTERISTIQUE
SS
I_OUV
O_AFS-CON
0,244
INFO
R²=0,41
I_REP I_POU
RESSOURCES_CS
Contrôle
Réflexif
1 seul
1ndicateur
Formatif
Var Dépendante
* p<5%
** p<1%
*** p<1‰
ns = non sig
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 292
2.5.5. Qualité globale du modèle
D’une manière générale, la qualité du modèle de mesure peut être appréhendée sur la base de
son pouvoir explicatif. Ce dernier est évalué par le coefficient de détermination (R²) des
variables endogènes (Chin, 2010 : 674).
Tenenhaus et al. (2005), ont développé un indice non paramétrique, le GOF (Goodness Of
Fit) dont la formule est la suivante : GoF = √ [(Average communality) x (Average R²)].
L’application de cet indice n’est possible que pour les modèles réflexifs. Chin (2010: 687),
suggère de valider un modèle formatif à partir d’un modèle réflexif existant de mesure de la
variable dépendante. Nous ne disposons pas d’un tel modèle et nous ne pouvons pas valider la
qualité globale du modèle
2.5.6. Qualité par blocs de variable
La qualité de mesure pour chaque bloc de variable peut être examinée par la procédure de
Blindfolding proposée par Wold (1982) et disponible sous SmartPLS. Le blindfolding produit
une mesure du Q² de stone et Geisser (1975).
Selon Chin (2010 : 699) cette procédure permet d’évaluer la validité externe ou nomologique
d’un modèle réflexif et de donner une indication de cette validité pour les modèle mixtes
réflexifs/formatifs (ou MIMIC, Multiple Indicator, Multiple Cause).
L’indice (H²) de cv-communality mesure la qualité du modèle de mesure pour chaque bloc de
variables. La moyenne des indices de cv-communality peut être utilisée pour mesurer la
qualité globale du modèle de mesure s’ils sont positifs pour tous les blocs de variables. La
qualité de chaque équation structurelle est mesurée par l’indice de cv-redundancy. La
moyenne des indices de cv-redundancy (F²) liée aux blocs endogènes peut être utilisée pour
mesurer la qualité globale du modèle structurel, s’ils sont positifs pour tous les blocs
endogènes.
Cependant, cette procédure ne fonctionne pas, ni pour les variables à un indicateur, ni pour
les variables formatives (Chin, 2010, Hair et al, 2006). Notre mesure sera donc très partielle.
Avec seulement deux variables éligibles à ce calcul, nous suggérons une extrême précaution
dans l’interprétation des résultats.
Seules les variables des valeurs organisationnelles sont éligibles à ce calcul. Les résultats33
indiquent une prédictabilité modérée de la variable des valeurs organisationnelles
33 La prédictabilité du bloc de variables est nulle sous le seuil de 0,2, faible entre 0,2 et 0,15, moyenne de 0,15 à 0.35 et
bonne au-dessus de 0,35.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 293
d’affirmation de soi et de conformité et faible de la variable organisationnelle d’ouverture, de
dépassement et d’affirmation de soi.
Construit SSO SSE 1-SSE/SSO Q²
O_AFS-CON 1120 947,0274 0,1542 0,1542
O_OUV-DES-AFS 1400 1296,2404 0,0741 0,0741
Tableau 46: calcul du Q² pour les blocs de variables (modèle sans SSI)
2.6. Etape 2 : Analyse du modèle structurel avec les variables de
sécurité de l’information
Cette étape consiste en l’introduction des variables latentes de sécurité de l’information :
SEC_ORGA, SEC_MANAGER et SEC_PREC.
Nous effectuons les mêmes tests que dans l’étape précédente. Pour éviter des redondances, les
résultats détaillés figurent en annexe (11.4 et 11.5).
2.6.1. Critères de validité
Les tests de la fiabilité (loadings > 0,5, Compositte Reliability > 0,7, cf. annexe 11.4) des
indicateurs, de validité convergente (AVE > 0,5) et discriminante (corrélations inter construit
> √AVE) sont concluants (cf. annexe 11.5). Nous pouvons donc examiner la structure du
modèle.
2.6.2. Evaluation de la robustesse du modèle par blocs de variables
L’introduction des variables de sécurité de l’information introduit une nouvelle variable
éligible au test de blindfolding, la variable SEC_ORGA Les résultats obtenus sont similaire à
l’étape 1.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 294
Construit SSO SSE 1-SSE/SSO Q²
SEC_ORGA 740 863,3117 0,0913 0,0913
O_AFS-CON 1120 947,0274 0,1542 0,1312
O_OUV-DES-AFS 1400 1296,2404 0,0741 0,0741
Tableau 50: calcul du Q² pour les blocs de variables (modèle avec SSI)
2.6.3. Evaluation du modèle structurel avec les variables de sécurité de
l’information
Les effets directs :
Lestest sont encore réalisés avec un bootstrap de 5000 itérations pour la totalite de nos 280
échantillons (Hair et al, 2011). L’introduction des variables de sécurité de l’information
modifie très légèrement la variance globale du modèle qui est maintenant de 0.43. Les
changements sont essentiellement visibles dans les transformations opérées dans les
coefficients et la significativité des liens.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 295
INFO Coefficient ᵦ T-Test R² Moyen
ENSE -0,1815 2,6951**
I_AFS-DES-CON -0,0814 0,9521 0,43 I_OUV-AFS 0,0036 0,0542
I_POU 0,1411 2,3318*
I_REP -0,0856 1,2628 Seuil de
MEDIAS 0,1994 3,1771*** Significativité
CARACTERISTIQUES -0,0338 0,5141 * : 5% ORIENTATION 0,3182 5,0602*** ** : 1%
O_AFS-CON 0,1651 2,1613* *** : 1/1‰
RESSOURCES_CS 0,1712 2,3528*
SEC_MANAGER 0,1315 1,5442
SEC_ORGA 0,0802 0,9082
SEC_PREC 0,0066 0,1079
O_AFS-CON
SEC_MANAGER 0,2515 3,1955***
SEC_ORGA -0,0447 0,5668
O_OUV-DES-AFS
SEC_MANAGER 0,1811 2,1217*
SEC_ORGA 0,0282 0,3147
ORIENTATION
I_AFS-DES-CON 0,0837 1,0439
I_OUV-AFS 0,1614 2,3588*
I_POU 0,0994 1,3971
I_REP -0,0313 0,3991
O_AFS-CON -0,0062 0,0897
O_OUV-DES 0,2254 3,128***
RESSOURCES_CS
I_OUV-AFS -0,1282 1,7269 I_POU 0,0215 0,3621
LIENS -0,0253 0,3099
NRA -0,0337 0,4561
NRS 0,2122 2,7465**
ORIENTATION 0,1265 1,6309
MEDIAS
ORIENTATION 0,1903 3,1097***
NRS
I_POU 0,130 2,141**
LIENS -0,0204 0,267
NRA 0,2911 4,0026***
NRA
LIENS -0,4959 11,0754*
SEC_MANAGER
SEC_ORGA 0,61 13,8427***
SEC_PREC 0,0208 0,4014
SEC_ORGA
SEC_PREC -0,368 7,0251*
Tableau 51: Coefficients structurels et T-Test du modèle avec SSI
Nous remarquons que les variables de sécurité de l’information n’ont pas d’effets directs sur
la variable dépendante. En outre, la valeur individuelle de réputation I_REP n’a plus d’effet
direct significatif sur la variable dépendante. Nous observons également que la hiérarchie des
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 296
variables les plus influentes a évoluée. La variable ORIENTATION est toujours la plus
influente. Tandis que l’influence de la variable des valeurs organisationnelles O_AFS-CON
décroît, l’influence négative de la taille de l’institution augmente très légèrement.
Variables ayant une
influence sur la
varibale
dépendante
Coefficient
ᵦ
T-Test
ORIENTATION 0,318 P<0,001
MEDIAS 0,199 P<0,01
ENSE -0,181 P<0,01
O_AFS-CON 0,165 P<0,05
RESSOURCES_CS 0,157 P<0,005
I_POU 0,141 P<0,005
Les effets indirects
Le tableau ci-dessous liste l’ensemble des relations ayant un effet indirect positif sur les
variables endogènes et la variable à expliquer en particulier.
Les variables de sécurité de l’information SEC_MANAGER (ᵦ=0,198, p<0,05) et
SEC_ORGA (ᵦ=0,199, p<0,05) deviennent également influentes et significatives.
SEC_ORGA est médiatisée par SEC_MANAGER alors que cette variable est médiatisée par
les valeurs organisationnelles d’affirmation de soi et de conformité (O_AFS-CON).
L’influence des valeurs individuelles d’ouverture au changement et d’affirmation de soi
(I_OUV-AFS) sur l’orientation du captage des informations augmente. La relation est aussi
plus significative (ᵦ=0,204, p<0,01). Cette relation est médiatisée par la variable O_OUV-
DES-AFS.
Nous observons également une nouvelle influence significative mais très faibles (ᵦ=0,04,
p<0 05) de la variable O_OUV-DES-AFS sur l’usage des médias de communication
(MEDIAS).
La variable des valeurs organisationnelles d’ouverture au changement, de dépassement de soi
et d’affirmation de soi (O_OUV-DES-AFS) est médiatisée par la variable ORIENTATION et
devient significative (ᵦ=0,174, p<0,05). Inversement, l’influence des valeurs
organisationnelles d’affirmation de soi et de conformité (O_AFS-COM) diminue légèrement
et devient moins significative (ᵦ= 0,197, p<0 05).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 297
Nous remarquons que le coefficient et la significativité de la relation entre la valeur
individuelle de pouvoir (I_POU) et l’acquisition d’information augmentent (ᵦ= 0,246
p<0,001). La valeur individuelle est médiatisée par les variables latentes ORIENTATION et
NRS.
Il en est de même pour la variable ORIENTATION dont l’influence sur la variable
dépendante augmente (ᵦ= 0,421, p< 0,001).
Les effets des valeurs individuelles d’ouverture au changement et d’affirmation de soi
(I_OUV-AFS) sont amplifiés et plus significatifs (ᵦ= 0,206, p<0,01).
INFO Coefficient ᵦ T-Test Seuil de
significativité
ENSE -0,1815 2,6951**
I_POU 0,246 3,933***
MEDIAS 0,1994 3,1771***
ORIENTATION 0,3182 5,0602***
RESSOURCES_CS 0,1712 2,3528*
SEC_ORGA 0,1981 2,3583*
SEC_MANAGER 0,1986 2,4243*
MEDIAS
O_OUV-DES-AFS 0,0429 2,1046*
ORIENTATION
I_OUV-AFS 0,2045 3,2089*** * : 5%
NRS ** : 1% I_POU -> NRS 0,1142 2,0924* *** : 1/1‰
Tableau 52: Effet total (modèle structurel avec SSI)
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 298
Figure 37: Modèle structurel avec SSI (Inner)
0,130 *
ns
ns
* p<5%
** p<1%
*** p<1‰
ns = non sig
-0,181**
SSI_ORGA
0.144
ORIENTATION
0,134
MEDIA
0,066
O_OUV-DES-AFS
0,083
SSI_MANAGER
0,386
I_AFS-DES-CON
CARACTERISTIQUES
SS
I_OUV
O_AFS-CON
0,287
INFO
R²=0,43
SSI_PREC
I_REP I_POU
RESSOURCES
Contrôle
Réflexif
1 seul
1ndicateur
Formatif
Var Dépendante
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 299
2.7. Test des hypothèses de recherche
Pour mener à bien ces tests, nous reprenons les données structurelles exposées aux points
précédents en précisant, s’il a lieu, l’impact de l’introduction des indicateurs de sécurité de
l’information. Nous examinons également les « loadings » des indicateurs des variables
réflexives, et les « poids » des indicateurs des variables formatives. Ces poids ont l’avantage
de fournir des informations actionnables pour les managers. Les mesures des poids et de la
significativité des variables formatives figurent en annexe 13 (variable indépendantes) et 14
(variables explicatives).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 300
Influences des variables du capital social, de la culture organisationnelle et de la SSI
H Intitulé
Eff
ets
du
capit
al s
oci
al H1a Un réseau fermé (clique) favorise l’accès à des ressources (humaines) d’informations
stratégiques et organisationnelles.
H1b Les ressources humaines d’informations stratégiques et organisationnelles de l’acteur lui
fournissent de l’information stratégique, organisationnelle, commerciale, opportune et confidentielle.
Eff
ets
des
val
eurs
indiv
iduel
les
H2 Les valeurs individuelles incitent à capter de l’information opportune ou confidentielle.
H3 Les valeurs individuelles incitent à capter de l’information provenant de l’extérieur de l’organisation.
H4 Les valeurs individuelles influencent le capital social pour l’obtention d’informations
stratégiques, organisationnelles, commerciales, opportunes et confidentielles
Eff
ets
des
val
eurs
org
anis
atio
nnel
les H5
Les valeurs organisationnelles perçues incitent à capter de l’information provenant de
l’extérieur de l’organisation.
H6 Les valeurs organisationnelles perçues n’incitent pas à capter de l’information opportune ou
confidentielle.
Eff
ets
des
méd
ias
de
com
mu
nic
atio
n
H7 L’obtention d’informations opportunes ou confidentielles se fait de préférence via des
rencontres physiques ou des supports physiques (clés USB, CDROM, etc.).
L’e
ffet
d
es
mes
ure
s
org
anis
atio
nnel
les
de
sécu
rité
H8 La culture organisationnelle médiatise les effets des mesures organisationnelles de sécurité
de l’information contre l’obtention d’informations opportunes ou confidentielles.
L’e
ffet
du
man
ager
de
pro
xim
ité
H9 La culture organisationnelle médiatise les effets du manager de proximité contre l’obtention
d’informations opportunes ou confidentielles.
L’e
ffet
de
l’ex
pér
ience
anté
rieu
r de
la
SS
I
H10 L’expérience antérieure de la sécurité de l’information influence le comportement des
salariés
Eff
ets
de
l’ori
enta
tion d
e
l’in
form
atio
n H11 La collecte d’informations opportunes concerne les informations relatives aux activités
externes à l’institution.
Tableau 53: Récapitulatif des hypothèses de recherche
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 301
2.7.1. Hypothèses H1a et H1b
Nos résultats montrent que la structure du réseau (variable NRS) a un effet direct, qui permet
l’acquisition de contacts qui sont des ressources informationnelles (ᵦ = 0,212, p<0,01)
quelques soit l’intensité des mesures organisationnelles de sécurité de l’information. Un test
de Khi²= (Khi²=17137, phi=0,249, V=0,144, p<0,05) montre que plus la contrainte sur le
réseau de l’acteur est forte, plus il y a des contacts qui lui apportent des informations
stratégiques.
La variables RESSOURCES_CS étant formative, nous pouvons dire que les ressources
apportent essentiellement des informations stratégiques et organisationnelles (ᵦ = 0,922,
p<0,001), tandis que l’apport en soutiens aux initiatives n’est pas significatif.
L’hypothèse H1a est validée.
Nous constatons également que la relation entre la présence de ressources (humaines)
stratégiques et l’obtention d’informations est significative :
Lorsque les mesures organisationnelles de sécurité de l’information sont absentes
(0,151, p<0,05). Dans ce cas, nous observons que l’acteur reçoit des informations
ayant une valeur commerciale (ᵦ= 0,578, p<0,001), stratégiques (ᵦ = 0,325), p<0,01),
organisationnelles (ᵦ = 0,308, p<0,005) et opportunes (ᵦ = 0,3597, p<0,05). En
revanche, la réception d’information nécessitant de la discrétion n’est pas
significative.
Lorsque les mesures organisationnelles de sécurité de l’information sont présentes (ᵦ = 0,157), p<0,05). Dans ce cas, l’acteur ne reçoit plus que de l’information ayant une
valeur commerciale (ᵦ = 0,526, p<0,001) et de l’information organisationnelle (ᵦ
= 0,401, p<0,001). Nous constatons donc que la présence de mesure de sécurité de
l’information modifie le comportement des acteurs en faisant en sorte qu’hormis les
informations commerciales, seules les informations organisationnelles sont captées. Le
« poids » de l’information organisationnelle augmente d’ailleurs considérablement.
L’hypothèse H1b est donc partiellement validée. Les tableaux ci-dessous présentent
les résultats.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 302
Sans SSI Avec SSI
Information Poids T-test Poids T-test
Commerciale (INFO_COM) 0,578 4,465*** 0,5268 4,5727***
Confidentielle (INFO_DIS ) 0,066 0,5736 ns 0,1655 1,1601 ns
Opportune (INFO_NDP) 0,3597 2,2439* 0,2836 1,7284 ns
Organisationnelle (INFO_ORG) 0,3083 2,1784* 0,4011 2,8379**
Stratégique(INFO_STRAT) 0,3225 2,5537** 0,2651 1,8881 ns
Tableau 54: Comportement de collecte d'information par les salariés en présence ou non de mesure de SSI
H Intitulé Sans SSI Avec SSI
1a
Un réseau fermé (clique) favorise l’accès à des
ressources (humaines) d’informations
stratégiques et organisationnelles
Validée Validée
1b Les ressources humaines d’informations
stratégiques et organisationnelles de l’acteur lui
fournissent de l’information stratégique,
organisationnelle, commerciale, opportune et
confidentielle.
Partiellement
Validée
Partiellement
Validée
Tableau 55: Validation des hypothèses H1a et H1b en présence ou non de mesure de SSI
2.7.2. Hypothèses H2, H3 et H4
H2
Notre modèle compte quatre variables relatives aux valeurs individuelles.
Seules les variable I_POU et I_REP qui contiennent respectivement les seuls indicateurs de la
valeur de pouvoir (ou de leadership) et de préservation de sa réputation se sont révélées
significatives.
Sans la présence de mesures de sécurité de l’information, la valeur de pouvoir et de
préservation de la réputation agissent positivement pour l’obtention d’informations
opportunes, mais pas confidentielles (ᵦ= 0,141, p<0,05 et ᵦ= 0,167, p<0,05). Par contre si la
variable individuelle de pouvoir reste significative en présence de sécurité de l’information (ᵦ
= 0,137), p<0,05), les informations obtenues ne sont ni confidentielles, ni opportunes.
En marge de l’effet direct de cette variable, nous avons aussi constaté qu’elle exerce un effet
indirect qui amplifie sont intensité, via la variable ORIENTATION (ᵦ = 0,181), p<0,001).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 303
En outre, la valeur de préservation de la réputation n’est plus significative en présence de
mesures de sécurité de l’information. L’hypothèse H2 est partiellement validée enl’absence
de SSI et non validée en sa présence.
H3
Quel que soit l’état des mesures organisationnelles de sécurité de l’information en place dans
l’institution, la relation est positive et significative (ᵦ =0,204, p<0,001) entre les valeurs
individuelles d’ouverture au changement et d’affirmation de soi (I_OUV-AFS) et la
variable d’orientation du flux d’information (ORIENTATION).
L’examen des poids de la variable ORIENTATION montre que les informations qui
intéressent les répondants concernent l’organisation (ᵦ =0,494, p<0 ,001) et surtout la
concurrence de l’organisation (ᵦ =0,829, p<0,001). L’Hypothèse H3 est validée quelque soit
létat desmesures organsiationnelles de SSI en œuvre dans l’institution.
H4
La valeur individuelle de pouvoir à une influence positive et significative sur la constitution
d’un réseau fermé de relations (ᵦ =0,130, p<0,05). L’Hypothèse H4 est validée quelque soit
létat desmesures organsiationnelles de SSI en œuvre dans l’institution.
Le tableau ci-dessous syntétise les résultats des hypothèses H2, H3 et H4.
H Intitulé Sans SSI Avec
SSI
2 Les valeurs individuelles incitent à capter de
l’information opportune ou confidentielle.
Partiellement
validée
Non
validé
3 Les valeurs individuelles incitent à capter de
l’information provenant de l’extérieur de l’organisation.
validée validé
4 Les valeurs individuelles influencent le capital social
pour l’obtention d’informations stratégiques,
organisationnelles, commerciales, opportunes et
confidentielles
validée Validée
Tableau 56: Validation des hypothèses H2, H3 et H4en présence ou non de mesure de SSI
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 304
2.7.3. Hypothèses H5, H6
H5
Quelques soient les mesures organisationnelles de sécurité de l’information, les valeurs
organisationnelles d’ouverture au changement, dépassement de soi et d’affirmation de soi
(O_OUV-DES-AFS) incitent à capter de l’information (ᵦ = 0,230), p<0,001) concernant
l’extérieur de l’organisation. L’hypothèse H5 est validée.
H6
En l’absence de sécurité de l’information, la relation directe entre les variables O-AFS-CON
et la variable dépendante est significative. Les valeurs organisationnelles perçues
d’affirmation de soi et de conformité (O_AFS-CON) incitent à capter de l’information
commerciale, organisationnelle, stratégique et opportune (ᵦ = 0,165, p<0,05). La présence de
la sécurité de l’information ne diminue pas l’intensité et la significativité de la relation, mais
la réception d’informations opportunes n’est plus significative.
L’hypothèse H6 n’est pas validée en l’absence de SSI, mais validée en sa présence.
H Intitulé Sans SSI Avec
SSI
5 Les valeurs organisationnelles perçues incitent à capter de
l’information provenant de l’extérieur de l’organisation.
validée validée
6 Les valeurs organisationnelles perçues n’incitent pas à capter de
l’information opportune ou confidentielle.
Non
validé
validée
Tableau 57: Validation des hypothèses H5 et H6 en présence ou non de mesure de SSI
2.7.4. Hypothèse H7
La variable ORIENTATION exerce un effet direct et positif sur la variable MEDIAS (ᵦ
= 0,190), p<0,001). L’hypothèse H7 est validée.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 305
H Intitulé Sans SSI Avec
SSI
7 L’obtention d’informations opportunes ou confidentielles se fait
de préférence via des rencontres physiques ou des supports
physiques (clés USB, CDROM, etc.).
validée validée
Tableau 58: Validation de l’hypothèse H7 en présence ou non de mesure de SSI
2.7.5. Hypothèse H8 et H9
H8
La variable SEC_ORGA comprenant les indicateurs de mesures organisationnelles de sécurité
de l’information n’exerce aucun effet direct sur la variable INFO.
SEC-ORGA exerce bien une influence positive et significative sur cette variable de manière
indirecte. Cependant, cette variable n’est pas médiatisée par les valeurs
organisationnelles, mais par la variable SEC_MANAGER.
La relation entre SEC_ORGA et INFO est « indirectement » significative. Le manager
médiatise complètement les mesures organisationnelles de sécurité de l’information (ᵦ
= 0,610, p<0,001). L’effet total des mesures de sécurité est alors indirect et significatif (ᵦ
= 0,198, p<0,05). L’hypothèse H8 n’est pas validée.
H9
La variable SEC_MANAGER n’a pas d’effet direct significatif sur la variable dépendante,
mais un effet indirect (ᵦ = 0,198, p<0,05) via la variable O-AFS-CON (ᵦ = 0,251, p<0,001).
L’hypothèse 9 est validée.
H Intitulé Statut
8 La culture organisationnelle médiatise les effets des mesures
organisationnelles de sécurité de l’information contre
l’obtention d’informations opportunes ou confidentielles.
Non validée
9 La culture organisationnelle médiatise les effets du manager de
proximité contre l’obtention d’informations opportunes ou
confidentielles.
Validée
Tableau 59: Validation des hypothèses H8 et H9 en présence ou non de mesure de SSI
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 306
2.7.6. Hypothèse 10
La variable SEC_PREC a un effet négatif et significatif sur la variable SEC_ORGA (ᵦ = -
0,379, p<0,001) et elle a un effet indirect et aussi négatif sur la variable SEC_MANAGER (ᵦ
= -0,203, p<0,001), Cependant cet effet est neutre. L’expérience précédente de la sécurité de
l’information n’influence pas les effets des pratiques courantes de sécurité de l’information.
L’hypothèse est donc rejetée.
H Intitulé Statut
10 L’expérience antérieure de la sécurité de l’information
accentue les effets des pratiques actuelles de sécurité de
l’information.
Non validée
Tableau 60: Validation de l’hypothèse H10 en présence ou non de mesure de SSI
2.7.7. Hypothèse H11
La variable ORIENTATION exerce la plus forte influence significative sur la variable
dépendante (ᵦ =0,318, p<0,001), quelques soient les mesures organisationnelles de sécurité de
l’information.
Nous avons déjà souligné que l’examen des poids de la variable ORIENTATION montre que
les informations qui intéressent les répondants concernent fortement l’extérieur de
l’organisation (ᵦ =0,830, p<0,001), mais aussi les affaires internes ((ᵦ =0,509, p<0,001).
L’hypothèse H11 n’est donc pas validée.
H Intitulé Sans SSI Avec SSI
11 La collecte d’informations opportunes concerne les
informations relatives aux activités externes à l’institution.
Non validée
Tableau 61: Validation de l’hypothèse H11 en présence ou non de mesure de SSI
2.7.8. Test des variables de contrôle
Nous avons définis deux variables de contrôle : les caractéristiques sociodémographiques du
répondant (âge, statut, ancienneté dans l’entreprise, ancienneté dans la fonction) et la taille de
l’entreprise.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 307
Seule la taille de l’entreprise à un effet significatif et négatif sur la variable INFO (ᵦ = 0,181,
p<0,001). La taille de l’entreprise tend à réduire l’obtention d’informations.
Un test de khi² (khi= 78,398, phi=529, V=0.237, p=0,002) montre que globalement quel que
soit la taille de l’institution, les salariés reçoivent plutôt de l’information qui concerne
l’activité interne. Plus l’institution est grande, plus ses membres sont sensibilisées à la
sécurité de l’information (khi= 65,813, phi=485, V=0.217, p=0,02) et plus elle dispose de
politiques de sécurité (khi= 103,746, phi=609, V=0.272, p<0,001).
Le manager est aussi plus fortement concerné par la sécurité de l’information, quelques soit la
taille de l’institution (khi²=81,207, phi=539, V=0.241, p<0,05). Les petites organisations ne
disposent pas de structures de gestion de la sécurité de l’information (khi²=125,671, phi=670,
V=0.335, p<0,001). Les participants jugent également leur expérience de sécurité de
l’information identique aux mesures actuelles (khi²=100,853, phi=600, V=0.268, p=0,03).
L’analyse des corrélations montre que la taille de l’entreprise est négativement corrélée à la
réception d’informations stratégiques (ᵦ=-0,160, p<0,01) et ayant une valeur commerciale (ᵦ
=-0,209, p<0,001). C’est-à-dire que plus l’institution est grande, moins les salariés reçoivent
ce type d’informations.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 308
3. Discussion et mise en perspective des résultats
Dans cette section, nous réexaminons la formulation de nos hypothèses et leurs fondements
théoriques en fonction de nos résultats et ceux des recherches antérieures. Trois dimensions
intéressent notre propos : le capital social, la culture organisationnelle et la sécurité de
l’information. Tout d’abord, nous rappelons nos résultats :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 309
Influences des variables du capital social, de la culture
organisationnelle et de la SSI
Validé
H Intitulé Sans
SSI
Avec
SSI
Eff
ets
du c
apit
al
soci
al
H1a Un réseau fermé (clique) favorise l’accès à des ressources
(humaines) d’informations stratégiques et organisationnelles.
V V
H1b Les ressources humaines d’informations stratégiques et
organisationnelles de l’acteur lui fournissent de l’information
stratégique, organisationnelle, commerciale, opportune et
confidentielle.
PV (PV)
Eff
ets
des
val
eurs
indiv
iduel
les
H2 Les valeurs individuelles incitent à capter de l’information
opportune ou confidentielle.
PV NV
H3 Les valeurs individuelles incitent à capter de l’information
provenant de l’extérieur de l’organisation.
V V
H4 Les valeurs individuelles influencent le capital social pour
l’obtention d’informations stratégiques, organisationnelles,
commerciales, opportunes et confidentielles
V V
Eff
ets
des
val
eurs
org
anis
atio
nnel
le
s
H5
Les valeurs organisationnelles perçues incitent à capter de
l’information provenant de l’extérieur de l’organisation.
V V
H6 Les valeurs organisationnelles perçues n’incitent pas à capter de l’information opportune ou confidentielle.
NV V
Eff
ets
des
m
édia
s
de
com
mu
nic
atio
n
H7 L’obtention d’informations opportunes ou confidentielles se fait
de préférence via des rencontres physiques ou des supports
physiques (clés USB, CDROM, etc.).
V V
L’e
ffet
d
es
mes
ure
s
org
anis
atio
nnel
le
s d
e sé
curi
té
H8 La culture organisationnelle médiatise les effets des mesures
organisationnelles de sécurité de l’information contre l’obtention
d’informations opportunes ou confidentielles.
NV
L’e
ffet
du
man
ager
de
pro
xim
ité H9 La culture organisationnelle médiatise les effets du manager de
proximité contre l’obtention d’informations opportunes ou
confidentielles.
V
L’e
ffet
d
e
l’ex
pér
ience
anté
rieu
r d
e la
SS
I
H10 L’expérience antérieure de la sécurité de l’information accentue
les effets des pratiques actuelles de sécurité de l’information
NV
Eff
ets
de
l’ori
enta
tion
de
l’in
form
atio
n
H11 La collecte d’informations opportunes concerne les informations
relatives aux activités externes à l’institution.
NV NV
V=validée, PV=partiellement validée, NV=non validée
Tableau 62: Résultats des hypothèses
Nous remarquons que les hypothèses H1a et H1b montrent que la sécurité de l’information
n’a pas d’influence sur le recours au capital social.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 310
De même les valeurs individuelles et organisationnelles incitent les acteurs à capter de
l’information à l’extérieure de l’organisation.
3.1. A propos du modèle
Notre modèle explique 43% de la variance de la variable dépendante. Comme le montre le
tableau 53 ci-dessous, ce résultat est satisfaisant quand on le compare aux travaux de
recherches les plus récents sur la sécurité de l’information, publiés dans des revues
internationales de tout premier rang (classement 1 et 1g, CNRS, 2011). L’étude de Myyr et al.
(2009) est conceptuellement la plus proches de la nôtre et la variance obtenue est significative
mais faible (Chin, 1998).
Référence Objet R²
Bulgurcu et al.
MIS Quaterly, (2010)
Intention de se conformer aux mesures de sécurité
(Rationaliy Based Belief, théorie du choix rationnel)
35%
Jhonston et Warkentin
MIS Quaterly (2010)
Dissuasion (Appel à la peur) 27%
Vance et Siponen
MIS Quaterly (2010)
Théorie de la neutralisation 44%
D’Arcy et al. Information System Research
(2009)
Sensibilisation et effets de la sanction 30%
Myyr et al.
European Journal of Information
Systems (2009)
Effets des valeurs d’ouverture au changement et de
conformité (Schwartz, 1994) et du raisonnement moral sur le
respect des règles de sécurité
12%
Herat et Rao
European Journal of Information
Systems (2009b)
Conformité aux règles de sécurité (protection Motivation
Theory)
47%
Tableau 63: Variances obtenues sur la variable dépendante dans différentes études portant sur la SSI
3.2. A propos du capital social
L’élaboration de nos hypothèses sur le capital social se justifie par sa mobilisation par les
innovateurs et par l’absence de constat clair sur les effets de la fermeture des réseaux sur les
comportements opportunistes.
Alter (2000) cite relativement peu les usages des réseaux sociaux dans son ouvrage sur
l’innovation ordinaire. Sarasvathy (2001: 254) cite Burt comme théoricien des réseaux
sociaux dont elle s’est inspirée. Nous avons, en effet, souligné que la découverte
d’opportunités dans des environnements complexes implique l’interaction et la concertation
avec de multiples partenaires, ne serait-ce que pour utiliser des ressources contrôlées par des
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 311
tiers (Denrell, Fang, et Winter, 2003). Ces opportunités peuvent émerger de structures
relationnelles à liens faibles (Granovettter, 1973). Nous retrouvons ce principe chez Von
Hippel (1987) ou, encore, chez Shrader (1991). Ces auteurs montrent que des informations
techniques sont échangées de manière informelles entre les firmes, y compris entre
compétiteurs. Selon Shrader (1991), c’est la nature de l’information qui prime. Le structure et
l’intensité des relations son secondaires. Kreiner et Shultz (1993: 197-198) précisent que
quand des rivaux coopèrent et échangent de façon informelle des idées qui ne constituent pas
en l’état des savoirs commercialisables (« sellable truth »), la valeur de l'information
supplémentaire acquise dans l’échange est supposée dépasser la perte de valeur occasionnée
par son partage. Le partage de cette idée prometteuse est peu coûteux et les parties prenantes
de l’échange peuvent tirer des dividendes substantiels de son développement et de son
exploitation.
Les liens faibles qu’entretiennent les innovateurs seraient un atout précieux dans leur
démarche d’innovation. Cependant, Simon et Tellier (2008) suggèrent que les liens forts sont
d’abords mobilisés par les innovateurs pour trouver les ressources nécessaires dont ils ont
besoin. Les réseaux fermés à liens forts permettent de faire circuler de l’information à haute
valeur ajouté, qui nécessite de la confiance. Ils constitueraient une première étape dans la
recherche des soutiens aux projets (Coleman, 1988 ; Granovetter, 1973, Simon et Tellier,
2008). La démarche des innovateurs consiste alors à solliciter leurs contacts avec qui ils
entretiennent des liens forts pour trouver des ressources dont ils ont besoin. Dans son étude
sur les réseaux personnels des ingénieurs en R&D, Chollet (2005) montre également que les
réseaux personnels sont surtout composés de liens forts.
Les résultats de notre recherche vont dans ce sens. Nous nous sommes focalisés sur les effets
de la fermeture des réseaux. Nous montrons ainsi que les réseaux où la contrainte
structurale est forte offrent plus de contacts disposant d’informations stratégiques. Dans
notre étude, la force des liens (proximité émotionnelle, fréquence des interactions et
ancienneté de la relation) n’a pas d’effet direct indirect sur la fermeture du réseau. Cette
fermeture s’explique plutôt par la redondance d’attribut (ᵦ= 0,29, p<0,001). En effet, les
contacts sont plutôt situés dans la même institution. Nous constatons donc que cette
fermeture du réseau serait d’avantage due à des alliances stratégiques qu’à l’intensité
des relations. Cette proposition est conforme à celle de Sarasvathy (2001) pour qui
l’innovateur s’appuie sur des alliances stratégiques.
Nos résultats suggèrent que l’acteur recherche plutôt des soutiens locaux. En effet, ces
soutiens connaissent l’environnement dans lequel évolue l’acteur. Ils seraient donc mieux à
même de lui apporter une aide politique, de le conseiller ou encore de l’orienter vers les
bonnes personnes à l’intérieur de l’institution. La théorie des trous structuraux (Burt, 1992,
2007, 2010) que mobilise Sarasvathy (2001) ne serait donc pas suffisante pour comprendre le
comportement des individus dans la mobilisation de leur capital social.
Nous avons identifié la structure du réseau apportant des bénéfices au salarié, il nous faut
maintenant déterminer si le réseau personnel formé est un lieu qui permet l’adoption de
comportements contraires aux intérêts des institutions.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 312
Dans le domaine de la R&D également, Von Hippel; (1987:4-5) déclare que les ingénieurs de
firmes différentes, mais fabriquant des produits similaires en suivant des processus proches,
s’échangent des informations en révélant, si nécessaire, les savoir-faire propriétés de leurs
firme. Ces ingénieurs jugent du degré de sensibilité de l’information. Si celui-ci leur paraît
acceptable pour autoriser l’échange alors l’information est donnée au contact qui en a besoin.
C’est aussi ce que suggère Bouty (1999) : les ingénieurs ne confient pas d’informations
confidentielles et ils se fient à leur appréciation pour juger de leur degré de sensibilité.
Nous avions également souligné que Coleman (1988) suggère que les réseaux fermés offrent
une protection contre les comportements opportunistes. Ce raisonnement tient dans le fait que
dans un réseau fermé, les informations circulent vite et un comportement non conforme aux
règles communes serait vite connu de l’ensemble des membres du réseau. La structure joue
alors un rôle dissuasif et protecteur. Coleman s’opposait alors à Burt, selon qui les réseaux
fermés favorisaient les comportements opportunistes tandis que les réseaux ouvert les
réduisaient. Son explication tient dans le fonctionnement des trous structuraux. Un individu
tire un maximum d’avantages à se situer à l’intersection de différents réseaux. Cela lui
procure en effet une position d’intermédiaire, de négociateur. Il peut alors déployer des
stratégies personnelles en choisissant à qui il demande, ou relaye des ressources.
Burt (2010 : 163) écrit aussi que les réseaux fermés favorisent la réputation et la stabilité des
relations. Néanmoins, la protection de la réputation et la stabilité des relations ne garantissent
pas que les comportements des membres d’un réseau seront au bénéfice d’un groupe plus
large ou d’une société. Nous l’avons mentionné, Putman (2001) cite les groupuscules
terroristes dont la cohésion et les objectifs forment un exemple des effets néfastes du capital
social pour la société toute entière. Il rejoint ainsi Sutherland (1962) dont la théorie de
l’association différentielle postule que les actes déviants sont le fruit de la saisie
d’opportunités offertes par le tissu de relations. Selon lui, les liens forts, les réseaux fermés
expliquent les comportements déviants.
Nos résultats montrent que les ressources (humaines) de l’acteur lui fournissent de
l’information qu’il ne devrait pas obtenir, mais ne lui fournissent pas de l’information qui
nécessite la discrétion. Le réseau personnel, même plutôt fermé, permet donc d’accéder à de
l’information variée. Ce résultat est conforme à ceux d’Ouchi (1980 : 129), qui fait valoir que
les organisations de type « clan » avec de fortes normes partagées bénéficient de coûts de
contrôle inférieures et d’un engagement supérieur. De même, Krackhardt et Hanson (1993)
soulignent qu’un réseau de confiance peut transmettre des informations plus sensibles et plus
riches que les autres types de réseaux en raison de la solidarité qu'il engendre.
La fermeture du réseau permettrait donc aux acteurs de s’engager d’avantage dans
l’échange d’information de valeur, mais sans se compromettre. C’est aussi ce qu’identifie
Chollet (2006) selon qui, les ingénieurs de demande pas ce qu’il n’aimerait pas avoir à
donner. Simon et Tellier (2008) montrent également que le respect de la confidentialité est
une règle dans les échanges d’informations, tout comme Sharder (1993) qui identifie la
sensibilité comme barrière à l’échange d’information.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 313
Synthèse sur les apports du capital social
Notre étude suggère que le réseau de proximité de l’acteur est un réseau plutôt fermé et
composé de personnes appartenant à la même institution. Ce sont des personnes accessibles et
assez proches de l’acteur, qu’il connait en moyenne depuis au moins un an. Nous n’avons pas
établi d’influence significative concernant la force des liens. Cependant, plus le réseau est
fermé, plus il se compose de contacts qui approvisionnent l’acteur en informations
stratégiques. Cela signifierait que l’acteur adopte une démarche stratégique (au sens de
Crozier, 1977) en se constituant un réseau de relation resserré qui l’approvisionne en
informations de valeurs. En outre, ces ressources informationnelles l’approvisionnent
parfois en informations qu’il ne devrait pas obtenir. Nous remarquons une situation
intermédiaire ou le réseau est fermé, mais est composé de liens faibles. C’est un
paradoxe que nous ne retrouvons pas dans la littérature. La théorie de la force des liens
développée par Granovetter suggère que plus les individus connaissent une même personne,
plus ils ont de chance de se connaitre et de former un réseau cohésif à liens forts. La théorie
des trois structuraux (Burt, 1992) postule que ce type de réseau est non-redondant, donc à
faible contrainte pour l’acteur central. Notre étude tend à montrer que l’intérêt peut
conduire à choisir ses partenaires, sans pour autant développer l’intensité des relations
(cf. Hypothèses4).
3.3. A propos des valeurs
Sarasvathy et Dew (2008) postulent que chercher à savoir comment les acteurs deviennent des
innovateurs au travers des profils psychologiques ou des valeurs humaines (opportunisme,
aversion au risque, etc.) peut être trompeur.
Dans cette perspective, nous avons fait le choix de bâtir un modèle qui confronte les valeurs
de l’individu à celle qu’il perçoit de son institution. En effet, le choix de la culture
organisationnelle dans la conception de notre modèle de recherche se justifie parce que notre
travail est articulé autour de la dynamique relationnelle. Les salariés et leur management sont
en interaction dans la gestion continue de l’innovation et de la sécurité de l’information.
Selon Schein (1985b), le développement de la culture organisationnelle est le fait des
dirigeants et, plus globalement, des employés faisant preuve de leadership dans les
organisations.
Selon le modèle de Schein (1984) à trois niveaux, notre proposition de recherche consiste à
confronter les hypothèses de base, soit les valeurs individuelles de la personne, aux valeurs
partagées par l’institution pour ensuite analyser les artefacts produits, notamment dans les
comportements d’échanges d’informations et leur prise en compte de la sécurité de
l’information.
Selon Alter (2000 : 15), reprenant Callon (1986), l’innovation est une activité banale d'acteurs
qui remettent les normes en questions et qui enrôlent d’autres acteurs dans leur stratégie.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 314
Cependant l’innovateur ne peut s’abstenir de l'adhésion de la direction qui est la seule à
pouvoir légitimer les évolutions des règles qui en découlent. Précisément, Callon (1986 : 19)
suggère que le processus d’innovation suit « deux lois principales ; celle de l’existence de
réseaux d’influence, et celle de l’inversion des normes ».
L’innovateur devrait donc, à un moment ou à un autre, dévier de la norme. La prise de risque
lui permet d’acquérir l’autonomie vis à vis des règles, et des normes contraignantes imposées
par l’organisation.
Nous souhaitons alors comprendre dans quelle situation l’innovateur peut être amené à dévier
des normes quand il s’agit de capter de l’information.
La réponse provient de la théorie de la rationalité limité et procédurale des travaux de Simon
(1947).
Quand une situation est complexe (rationalité procédurale), le but est extérieur à la rationalité
de l’innovateur. L’incapacité à discerner les buts précédant l’action et à prendre une décision
incite l’acteur à entrer dans une délibération progressive avec les parties prenantes
(Sarasvathy et Simon, 2000).
Le salarié a donc besoin d’échanger de l’information avec des partenaires pour construire le
chemin qui mène à l’innovation. Il se heurte alors aux règles, symbolisées dans notre étude
par les pratiques de sécurité de l’information. Ces règles limitent les ressources
informationnelles auxquelles l’acteur doit accéder.
Ce postulat a justifié, notre hypothèse selon laquelle l’innovateur capte de l’information utile
à ses projets. Nos résultats (cf. Hypothèses H2, H3 et H4) montrent que les salariés captent
de l’information ayant une valeur commerciale, stratégique et organisationnelle.
L’information peut être opportune, c’est-à-dire qu’elle ne leur est pas initialement
destinée. Cependant, elle ne présente pas un caractère confidentiel.
Nous avons également identifié que l’acteur obtient de l’information sous l’effet de la valeur
de pouvoir (leadership), et de la valeur de réputation. Le leadership est lié à la capacité
d’entrainer des partenaires dans son sillon (Sarasvathy, 2001). La réputation agit également
sur l’obtention d’informations. Les effets de la réputation sont très fréquemment illustrés dans
la littérature. Le maintien de la réputation est directement lié à l’établissement de la confiance
nécessaire à l’activation du capital social (Coleman, 1988 ; Burt, 1992 ; Portes, 1998 ;
Reagans et Zuckerman, 2008). Ce résultat est conforme à la littérature. Cependant, la valeur
individuelle de réputation n’a plus d’effet lorsque des mesures de sécurité de l’information
sont présentes. Nous interprétons ce résultat par le fait que les normes en vigueur dans
l’organisation permettent aux acteurs d’adopter un comportement qui préserve leur réputation.
Les normes de sécurités permettent aux salariés d’agir sans avoir à se demander si ses actions
peuvent nuire à leur réputation. Ce résultat est conforme à ce qu’avance Commons (1934).
Par ailleurs, d’autres valeurs, fréquemment citées dans la littérature portant sur les réseaux
d’innovation telles que la réussite, la reconnaissance ou la créativité, n’ont pas, dans notre cas,
d’effets significatifs sur la nature des informations échangées. Toutefois, elles influencent
positivement le comportement des acteurs dans l’intérêt qu’ils portent aux informations
internes relatives à l’institution ou aux activités de la concurrence.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 315
L’acteur cherche donc à enrichir sa compréhension de l’environnement dans plusieurs
directions. Les valeurs d’ouverture au changement : la prise de risque, l’innovation et
l’initiative, la valeur de reconnaissance et la valeur de collaboration le motivent à capter des
informations qui proviennent de l’intérieur, mais surtout essentiellement de l’extérieur de
l’organisation. Cela nous semble tout à fait compréhensible dans la mesure où cette
information est plus rare, plus difficile à obtenir que l’information interne.
Nos résultats montrent également, que l’individu est encouragé par les valeurs
organisationnelles d’ouverture au changement, d’affirmation et de dépassement de soi. Ce
résultat est cohérent avec la littérature. En effet, selon la théorie de la capacité d’absorption
(Cohen et Levinthal, 1990), la capacité des institutions à reconnaitre la valeur d’une
information externe, et à l’assimiler dans des objectifs commerciaux, est critique pour ses
capacités d’innovation. Nous remarquons d’ailleurs que les informations ayant une valeur
commerciales sont les plus captées par notre échantillon. Ceci témoigne de l’orientation des
acteurs vers la création de valeur.
La valeur de pouvoir est aussi incitatrice de la fermeture des réseaux. Notre résultat montre un
lien significatif de l’action de cette valeur sur la fermeture du réseau. Cela pourrait se traduire
par la volonté de l’acteur de sélectionner ses partenaires dans une logique d’accession au
pouvoir.
Ce résultat conforte également la suggestion de Sarasvathy et Dew (2008), selon laquelle,
pour comprendre ce qui pousse un individu à innover, il faut tenir compte des contextes
d’action. L’acteur semble incité à la recherche d’information, motivé par l’environnement,
plus que par ses valeurs individuelles.
Selon nous, il est aussi intéressant de noter que la valeur de reconnaissance s’exprime:
Dans une dimension collective. C’est aussi ce que Simon et Tellier (2008) relèvent
que dans des réseaux cohésifs, les créatifs semblent particulièrement sensibles à la
reconnaissance de pairs ;
Dans une démarche d’innovation, puisqu’elle est associée aux valeurs propres à
l’innovateur (innovation, prise de risque, initiative) ;
Dans l’intérêt porté à l’orientation des flux d’information. Les flux en provenance de
l’externe sont très significatifs. Nous retenons, que la reconnaissance s’obtient par
sa capacité à capter (pour restituer) de l’information qui ne circule pas
implicitement dans l’organisation.
Ce dernier point nous permet de rejoindre les propos de Caillé (2009). Le don est un moyen
d’être reconnu par la valeur de ce que l’on donne.
Compte tenu du principe de réciprocité, ces valeurs qui orientent les acteurs vers l’extérieur,
pourraient avoir des conséquences néfastes pour les institutions. Des informations sensibles
pourraient elles aussi « s’échapper » vers l’extérieur de l’organisation. Nous avons donc voulu
vérifier si des valeurs organisationnelles pouvaient optimiser la recherche d’information
externe sans compromettre l’organisation. Or, contrairement à nos attentes, il n’en est rien
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 316
en l’absence de mesures de sécurité de l’information. Les valeurs de conformité et
d’affirmation de soi ont un effet positif sur la capture d’informations et n’empêchent
pas l’échange d’informations opportunes (cf. Hypothèses H5, H6). La littérature sur la
sécurité de l’information peut nous éclairer sur ce comportement. Tout d’abord, ce sont les
règles de sécurité de l’information qui ont pour rôle de promouvoir un comportement
responsable dans l’usage de l’information (von Solms, 2000, 2006). L’une des fonctions
premières de la sécurité de l’information est entre autre de protéger les informations sensibles
de l’institution (ISO IEC, 2005 ; NIST, 2003). Il n’est donc pas nécessairement surprenant
qu’en son absence les valeurs organisationnelles de conformité et d’affirmation ne soient pas
orientées vers la protection de l’information.
Une autre explication réside dans l’action des valeurs contenues dans la variable O_AFS-
CON. Ce construit étant réflexif, il ne nous est pas possible de déterminer qu’elles sont les
valeurs plus particulièrement à l’origine ce comportement. Cependant, ces règles sont portées
par le management et donc l’autorité de l’organisation. Elles ont entre autre pour objectif de
préserver la réputation de l’institution. En effet, pour prendre un exemple : depuis l’affaire
Enron34
(2001), les lois imposant la transparence financières des organisations se sont
multipliées (loi sur la sécurité Financière, 2003 ; loi Sarbanes-Oxley, 2002 ; règlement Bâle 2,
2004). Il est donc important pour les institutions de mettre en œuvre des outils qui
garantissent que les informations ne sont ni divulguées, ni corrompues par des actes
malveillants, intentionnels ou non. A l’inverse, nos résultats mettent en relief l’importance de
la valeur individuelle de leadership dans l’acquisition d’informations. Or, cette valeur
influence la variable des valeurs organisationnelles d’affirmation de soi et de conformité
(O_AFS-CON). Nous avons donc décidé de retirer la valeur organisationnelle de pouvoir
O_Pou de la variable O_AFS-CON. Les conditions de fiabilité et de validité du modèle sont
préservées (cf. annexe 12). Nous constatons alors que la relation entre la variable prédictive
O_AFS-CON et la variable à expliquer INFO est positive et significative, mais que
l’obtention d’information opportune n’est plus significative. Les valeurs individuelles et
organisationnelles de pouvoir incitent toutes les deux à capter de l’information
opportune.
Nous avons également validé l’hypothèse 4 selon laquelle les valeurs ont une influence sur
l’activation du capital social. Selon nos résultats, la valeur de pouvoir influence et renforce
la contrainte structurale de fermeture du réseau. La littérature (Alter, 2009 ; Cholet, 2006)
mentionne l’amitié comme une valeur susceptible d’activer le capital social pour obtenir de
l’information officieuse. Cependant, nous n’avons rien trouvé allant dans ce sens.
34 Le scandale financier d’Enron. Société Américaine qui falsifiait ses compte avec la complicité d’un cabinet
d’audit
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 317
Synthèse des hypothèses sur les effets des valeurs
Nos résultats montrent que les valeurs de réussite, d’innovation, d’audace (risque), d’initiative
et de reconnaissance, pourtant soulignées dans la littérature ne sont pas celles qui poussent un
salarié à capter de l’information. Elles n’exercent ni un effet direct, ni un effet indirect sur la
variable dépendante. En revanche, elles incitent le salarié à se tourner vers l’extérieur de
l’organisation.
Ces valeurs sont alors complémentaires à celle de la protection de sa réputation et du pouvoir
(leadership), qui, tant au plan individuel qu’organisationnel, encouragent le salarié à obtenir
de l’information, y compris celles qu’il ne devrait pas obtenir. Le pouvoir et la réputation
répondent à ce que Caillé (2009) nomme l’intérêt pour soi. La prédominance de la valeur de
pouvoir montrerait que le don et la demande, s’inscrivent dans une logique de pouvoir et de
domination de l’autre. Ce résultat semble cohérent avec l’usage du réseau personnel qui est
identifié dans cette étude. Les effets de la réputation sont aussi conforment à la littérature.
Nous notons également que les mesures organisationnelles de sécurité de l’information
annulent les effets de la valeur individuelle de réputation. Le respect de la norme permet à
l’acteur d’agir sans avoir à se préoccuper de son image. Ce résultat est conforme à ce que
propose Commons (1934).
3.4. A propos de l’usage des médias de communication
Nous avons également proposé une hypothèse relative à l’usage des médias de
communication. La littérature en matière de sécurité de l’information évalue, la plupart du
temps, les comportements de sécurité dans l’usage des technologies de l’information et de la
communication (Straub, 1990 ; Straub et Welke, 1998 ; Herat et Rao, 2009 ; Vance et
Siponen, 2010, Bulgurcu et al, 2010). L’usage de supports, comme les clés USB ou les
cdrom, permet d’échapper aux contrôles qui peuvent s’exercer sur la messagerie électronique.
Alors, en relation avec la théorie de la sous-culture déviante (Cohen, 1955), qui postule que
les personnes déviantes n’utilisent pas des moyens de communication de masse, nous avons
souhaité vérifier l’existence de relations, entre l’usage de ce type de média de communication
et l’acquisition d’informations.
Nos résultats montrent que l’obtention d’informations, internes ou externes à l’organisation,
se fait de préférence avec des supports de stockage comme les clés USB (cf. Hypothèse H7).
Selon nous, cela peut exprimer la volonté des acteurs d’échapper aux moyens de contrôles
électroniques. Steinfield (1986) montre, par exemple, avec la théorie de la présence sociale
(Short et al, 1976), que la messagerie électronique est utilisée dans l’échange d’informations
complexes, mais pas dans le cadre de la transmission d’informations confidentielles ou
privées ou encore, dans la négociation et la résolution des conflits.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 318
Ce résultat devrait interroger les responsables de la sécurité de l’information. En effet, les clés
USB ou CDROM sont sujet à perte, vol ou à l’infection de virus. La circulation
d’informations concernant les activités de l’entreprise, à l’extérieur comme à l’intérieur de
l’organisation, porte des risques pour la sécurité des organisations.
3.5. A propos de la sécurité de l’information
Plutôt que de chercher à mesurer l’influence de la sécurité de l’information sur les usages des
systèmes d’information et des technologies de l’information et des communications, nous
avons construit un modèle axé sur l’échange d’information. Ceci, n’a jamais été fait à notre
connaissance et constitue, selon nous, une originalité forte dans notre travail de
recherche.
Nous avons axé nos travaux sur l’influence culture organisationnelle. En insistant sur le rôle
du manager de proximité et sur l’influence, que peut avoir une expérience de la sécurité, qui
aurait été acquise en dehors des murs de l’institution. Ces deux points constituent la
deuxième et dernière originalité forte de notre travail de recherche. En effet, aucune
étude à notre connaissance n’a quantifié ni le rôle de sécurité du manager dans l’échange
d’information, ni celui de l’expérience.
La culture organisationnelle est une dimension majeur de la sécurité de l’information (OCDE,
2003, ISO IEC, 2005), mais son étude dans les organisations reste encore à développer (von
Solms et Niekerk, 2010).
La culture organisationnelle telle que Schein (1984), la définit doit être portée par le
management. La sécurité de l’information n’échappe pas à cette règle. La littérature est
unanime pour dire que la dirigeance (le top management) doit participer à l’élaboration de
politiques qui fixent les règles et doivent ensuite les promouvoir. Cela passe notamment, par
des sessions de sensibilisation à l’information. Récemment Knapp et al (2012) ont montré que
les politiques ont un rôle central dans l’adhésion aux programmes de sécurité. Cependant cette
étude avait pour cibles des spécialistes de la sécurité de l’information, et non de « simples »
salariés. En nous basant sur l’inventaire de Tsohou (2008), qui liste un ensemble de mesures
organisationnelles de sécurité. Nous en avons retenu les principales mesures : l’implication de
la dirigeance, l’existence de politique, des programmes de sensibilisation, l’existence d’une
structure de gestion. Nous avons ajouté l’influence du manager de proximité et la prise ne
compte de l’expérience.
Nos résultats montrent que les valeurs organisationnelles d’affirmation de soi et de conformité
(O_AFS-CON) mais aussi d’ouverture au changement, de dépassement de soi et d’affirmation
de soi (O_OU-DES-AFS) médiatisent l’influence du manager de proximité.
Ce responsable occupe un rôle majeur et significatif dans l’application des mesures de
sécurité. Ce rôle est d’autant plus important, qu’il médiatise également les effets des mesures
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 319
organisationnelles (cf. Hypothèse H8 et H9). Ce résultat n’a à notre connaissance, jamais
été montré dans la littérature.
La sensibilisation, l’implication de la dirigeance, et l’existence de politiques n’ont pas des
effets directs, mais exercent une influence indirecte sur les comportements d’échanges
d’informations. En ce sens, nos résultats sont en ligne avec la littérature (Knapp et al, 2012,
Siponen et Puhakainen, 2010 ; Puhakainen, 2006 ; ENISA, 2006).
Le manager de proximité a une action significative et positive sur la perception des salariés
des valeurs organisationnelles. Nos résultats montrent que le manager de proximité est un
vecteur essentiel des valeurs organisationnelles.
Par ailleurs, et c’est un résultat inattendu, sous l’effet de la sécurité de l’information, l’acteur
n’obtient plus d’informations relatives à la stratégie de l’institution ou de son environnement
externe (cf. Hypothèse H1b et H1b)
Ce résultat montre que les acteurs ne se mettent pas en « danger », en manipulant de
l’information confidentielle ou qui ne leur est pas destinée. D’autre part, il montre aussi que la
sécurité de l’information responsabilise les acteurs.
Nous relevons, et ce n’est pas neutre, que la sécurité de l’information appauvri la diversité
des informations que l’acteur peut obtenir. Cela n’est peut-être pas sans conséquences sur
la capacité des individus, à construire un raisonnement et prendre des décisions. Cette
influence de la sécurité de l’information qui n’a jamais été étudiée à notre connaissance,
impacterait l’ensemble de l’institution.
Nous avons ensuite testé, l’influence de l’expérience des pratiques de sécurité de
l’information (cf. Hypothèse 10). Cette hypothèse nous a été suggérée par plusieurs voies
d’analyse. La première d’entre elles, est l’habitus de Bourdieu (1980b) ; c’est le principe de la
socialisation, de l’apprentissage des normes qui construit l’individu de l’enfance à l’âge
adulte. Cette idée d’apprentissage et de temps long a été également exprimée par Puhakainen
et Siponen (2010), qui soulignent que la sensibilisation est un apprentissage long qui nécessite
de nombreuses séances de formation. Enfin, la théorie du conflit de culture de Sellin (1938)
postule que la déviance peut naître du refus d’un individu d’adopter les normes en vigueur
dans la société ou l’organisation. Nous postulions, avec l’hypothèse 10, qu’un acteur pouvait
se comporter selon l’expérience qu’il avait acquise et non les mesures en place dans
l’institution. Notre test n’a pas donné de résultats significatifs.
Synthèse des hypothèses de la sécurité de l’information
Nos hypothèses portant sur la sécurité de l’information montre que les mesures
organisationnelles de sécurité de l’information sont médiatisées par les valeurs
organisationnelles. Plus que la sensibilisation, les politiques ou encore la communication de la
dirigeance, le manager de proximité est le principale véhicule des mesures de sécurité. A
notre connaissance, ce résultat n’avait pas encore été démontré dans la littérature. Par
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 320
ailleurs, et c’est un corollaire à nos hypothèses, les mesures de sécurité de l’information
influencent la nature des informations que les salariés captent. La présence de mesures,
semble obliger les salariés à se centrer sur les informations organisationnelles, ou ayant une
valeur commerciale. L’acquisition d’informations opportunes ou relatives à la stratégie de
l’institution n’est plus significative.
3.6. A propos des variables de contrôle
Les caractéristiques des salariés
En nous basant sur la littérature, nous avons identifié l’ancienneté dans la fonction et dans
l’institution, ainsi que le statut, comme indicateurs pouvant influencer l’acquisition
d’information. Cette variable de contrôle s’est révélée sans effets.
La taille de l’institution
La taille de l’institution est aussi une variable de contrôle plusieurs fois mentionnée dans la
littérature (cf. chapitre 4) comme pouvant influencer l’acquisition d’informations. Cette
variable est significative et à un effet négatif sur l’acquisition d’informations. De nombreux
rapports (Clusif, 2012, CIST, 2012) témoignent des lacunes des petites et moyennes
entreprises en matière de sécurité de l’information. Une attention toute particulière doit leur
être apportée. Ce sont souvent des organisations innovantes, fragiles et exposées par leurs
absences de mesures de protection.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 321
Ce cinquième et dernier chapitre nous a permis de présenter les tests de nos hypothèses et
d’en discuter les résultats.
Dans une première section, nous avons présenté l’analyse descriptive de nos données et le
résultat du test de nos hypothèses de recherche. La nature formative ou mono indicateur de
certaines variables ne nous permet pas de valider le modèle structurel global avec un indice
d’ajustement global (GOF) et le caractère nomologique du modèle.
Les variables latentes prédictives expliquent 43% de la variation de la variable latente prédite
(modèle avec SSI). Ce résultat est satisfaisant si on le compare aux résultats obtenus dans les
dernières publications internationales de premier rang Bulgurcu et al, 2010 ; Jhonston et
Warkentin, 2010 ; Siponen et Vance, 2010 ; D'Arcy et al, 2009 ; Myyr et al, 2009 ; Herat et
Rao, 2009b). A notre connaissance, le modèle que nous proposons est le premier qui associe
les concepts du capital social à ceux des valeurs humaines et de la sécurité de l’information.
Ensuite, nous avons testé nos hypothèses de recherche portant sur des effets directs et
indirects. Dans l’ensemble, les résultats permettent de corroborer la grande majorité des
hypothèses proposées. Il montre que le réseau personnel des salariés joue un rôle significatif
dans l’acquisition d’informations stratégiques. Il met en évidence les valeurs individuelles et
collectives importantes dans la constitution de la structure du réseau, la capture d’information,
et dans le choix de l’orientation interne ou externe de l’information. Enfin, il souligne
l’importance du manager dans la promotion des mesures de sécurité et met en évidence
l’influence de la sécurité de l’information sur la nature des informations recherchées.
Dans la deuxième section, nous avons discuté des résultats. Notre étude montre que les
salariés mobilisent leurs contacts pour obtenir de l’information stratégique qui circulent dans
des réseaux redondants. Ces réseaux de soutien semblent d’avantage être le produit de la
valeur individuelle de pouvoir et de stratégies individuelles que de l’intensité de la relation.
Nous avons également identifié les valeurs en action dans l’acquisition d’informations et dans
l’orientation interne/externe des flux d’informations. Notre modèle montre aussi l’importance
majeure du manager de proximité dans un dispositif de sécurité de l’information, ce qui selon
nous n’a jamais été étudié auparavant. Il souligne également le rôle majeur du manager de
proximité dans la promotion des valeurs organisationnelles de l’institution. Enfin, nous avons
mis en évidence l’influence de la sécurité de l’information sur la nature des informations
échangée. Nous pensons que ce résultat est lui aussi inédit dans la littérature. Le tableau ci-
dessous résume nos résultats.
4. Ce qu’il faut retenir du chapitre 5
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 322
Résultats et mise en perspective de notre thèse
H Résultat Mise en perspective
H1a Un réseau fermé (clique) favorise l’accès à
des ressources (humaines) d’informations
stratégiques et organisationnelles.
Validée. Les résultats vont dans le sens de Granovetter (liens
faibles, 1973), et de Shrader (1991).
11b Les ressources humaines d’informations
stratégiques et organisationnelles de
l’acteur lui fournissent de l’information
stratégique, organisationnelle,
commerciale, opportune et confidentielle.
Validée. Les résultats vont dans le sens de Coleman (1988) et
Granovetter (1982). Les réseaux fermés permettent l’échange
d’informations engageantes mais limitent les effets
d’opportunisme.
H2 Les valeurs individuelles incitent à capter de l’information opportune ou
confidentielle.
Partiellement Validée. En désaccord avec Myyr et al. (2009). Les valeurs d’ouverture au changement ne s’opposent pas à
l’application des règles dans l’échanges d’informations. Nous
apportons plus de précisions en identifiant, en particulier, la
valeur de pouvoir. et de réputation. La SSI annule les effets des
valeurs individuelles de protection de la réputation et de de
pouvoir. Ce résultat est conforme aux travaux de Commons
(1934)
H3 Les valeurs individuelles incitent à capter
de l’information provenant de l’extérieur
de l’organisation.
Validée. En accord avec Alter (2000) et Sarasvathy (2001).
Nous identifions des valeurs qui orientent l’intérêt de l’acteur
pour les informations internes ou externes à l’organisation
H4 Les valeurs individuelles influencent le
capital social pour l’obtention
d’informations stratégiques, organisationnelles, commerciales,
opportunes et confidentielles.
Validée. La valeur de pouvoir incite à la fermeture du réseau
personnel.
L’amitié et la reconnaissance sont citées comme des valeurs pouvant activer le capital social pour l’obtention d’informations
officieuses (Alter, 2009, Cholet, 2006), mais nous n’avons pas
validé de relations entre ces deux valeurs et les variables de
capital social.
H5
Les valeurs organisationnelles perçues
incitent à capter de l’information
provenant de l’extérieur de l’organisation.
Validée. En cohérence avec la théorie de la capacité
d’absorption (Cohen et Levinthal, 1990)
H6 Les valeurs organisationnelles perçues
n’incitent pas à capter de l’information
opportune ou confidentielle.
Non validée. Nous observons l’inverse. La valeur
organisationnelle de pouvoir incite les salariés à la recherche
d’information
H7 L’obtention d’informations opportunes ou
confidentielles se fait de préférence via
des rencontres physiques ou des supports
physiques (clés USB, CDROM, etc.).
Validée. En cohérence avec la théorie de la sous-culture
(Cohen, 1955) et le refus de l’usage des médias de masse dans
l’accomplissement d’actes déviants
H8 La culture organisationnelle, médiatise les
effets des mesures organisationnelles de
sécurité de l’information, contre
l’obtention d’informations opportunes ou
confidentielles.
Non Validée. Ce n’est pas en cohérence avec les travaux de
Schein (1984). La médiatisation n’est pas directe, elle passe par
le manager de proximité.
Résultat non prévu : les mesures de sécurité de l’information
modifient la nature des informations recherchées. Elles ne sont
plus en relation avec les stratégies des firmes, mais concernent
davantage leur organisation.
H9 La culture organisationnelle médiatise les effets du manager de proximité contre
l’obtention d’informations opportunes ou
confidentielles.
Validée. En cohérence avec Schein (1985b, 2004).
H10 L’expérience antérieure de la sécurité de
l’information, accentue les effets des
pratiques actuelles de sécurité de
l’information
Non validée. L’effet est neutre, contrairement à ce que
suggèrent l’habitus (Bourdieu, 1980b), ou Siponen et
Puhakainen (2010) dans leur démarche de sensibilisation.
H11 La collecte d’informations, concerne
essentiellement les informations relatives
aux activités externes à l’institution.
Validée. L’information externe a un poids plus conséquent que
l’information interne qui est aussi significative. Ce résultat est
cohérent avec ceux de Cohen et Levinthal (1990) sur la capacité
d’absorption.
Tableau 64: Récapitulatif de la mise en perspective des résultats
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 323
CONCLUSION GENERALE
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 324
1. Réponses aux questions de recherche
Nous avons justifié notre thèse par la contradiction apparente que portent l’usage des réseaux
sociaux aux services de stratégies personnelles et l’obligation dans les institutions de respecter les
règles de sécurité de l’information. L’approfondissement de cette thématique nous a amené à
formuler trois questions de recherche :
Question N°1 : Dans quelle mesure les valeurs individuelles et les valeurs organisationnelles
perçues par les salariés influencent-elles leurs comportements de recherche d’informations ?
Question N°2 : En quoi le capital social s’oppose-t-il ou renforce-t-il les pratiques
organisationnelles de sécurité de l’information dans l’échange d’informations ?
Question N° 3 : Quels effets les mesures organisationnelles de sécurité de l’information et le
management de l’institution concernée produisent-ils sur la culture organisationnelle et les
comportements de sécurité dans l’échange d’informations ?
Pour répondre à ces questions de recherche, nous avons tout d’abord mobilisé la littérature
concernant les réseaux sociaux et orienté nos recherches sur ses apports pour l’innovation.
Dans cette perspective, nous nous sommes concentrés sur l’innovation au quotidien,
l’innovation banale au sens d’Alter (2000) et de tous ceux qui décident de donner vie à leurs
projets en s’appuyant sur ce qu’ils sont, ce qu’ils savent et ce qu’ils connaissent (Sarasvathy,
2001).
Cette revue de littérature a permis de proposer une définition du capital social qui prenne en
compte le contexte normatif dans lequel l’acteur évolue. En effet, nous avons retenu, dans le
cadre de notre thèse, que les réseaux sociaux rassemblent des personnes partageant des
valeurs communes (Granovetter, 1993, 2000 ; Fukuyama, 1995). Le capital social est aussi un
moyen d’accéder à la reconnaissance par le don (Caillé, 2009) et un véhicule pour réaliser des
transactions d’échanges (Commons, 1934). Dans notre contexte d’étude, et à l’ère de
l’économie de la connaissance, la ressource échangée devient, le plus souvent, l’information.
Une compétence clé de l’innovateur peut donc être vue dans sa capacité à réaliser des
transactions d’échanges de ressources informationnelles.
Notre volonté de nous interroger sur les principes précédents a été renforcée par la lecture des
travaux d’Alter (2000), de Sarasvathy (2001), de Sarasvathy et Simon (2000), de Sarasvathy
et al. (2005) et de Sarasvathy et Dew (2008). Ces auteurs décrivent l’innovateur comme
quelqu’un cherchant à prévoir et anticiper les conditions de réussite et les risques d’échec de
ses projets. Le capital social constitue alors un atout précieux pour la prise de décision sous
contrainte de rationalité limitée (Simon, 1947). De même, pour Sarasvathy et Dew (2008), la
compréhension des valeurs individuelles est importante mais ne suffit pas à comprendre ce
qui fait un innovateur. Nous avons retenu la proposition précédente comme un axe important
dans la construction de notre modèle de recherche.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 325
Ces innovateurs bouleversent le quotidien des organisations et se heurtent aux règles établies
(Alter, 2000). En matière d’accès à l’information, ces règles sont édictées par le management
sous formes de politiques (von Solms, 2004) qui relèvent de la sécurité de l’information
(Zucato, 2004). Ainsi, nous avons développé notre recherche sur la compréhension de la
sécurité de l’information telle qu’elle est mise en œuvre dans les institutions. La culture
organisationnelle est très vite apparue comme l’une de ces dimensions majeures (von Solms,
2000 ; OCDE, 2002 ; Schlienger et Teufel, 2002, 2003b ; ISO 27000/2005). Toutefois, les
travaux scientifiques concernant la sécurité de l’information ne sont pas, globalement, très
nombreux. De fait, nous avons retenu les valeurs au centre du modèle de la culture
organisationnelle proposé par Schein (1984) car elles forment un point commun, un pont pour
les interactions entre le capital social et la sécurité de l’information.
L’analyse de la littérature nous a amené à proposer un modèle structurel présentant trois axes
fondamentaux : le capital social, la sécurité de l’information et les valeurs individuelles qui
interagissent sur les comportements d’acquisition d’information.
Notre modèle structurel explique 43% de la variance de la variable dépendante. Ce résultat est
dans la moyenne statistique (Chin, 1998). Il est très satisfaisant si on le compare aux récentes
études publiées dans des revues internationales de premier rang (classement 1 et 1g, CNRS,
2011) portant sur la sécurité de l’information (Bulgurcu et al, 2010 ; Jhonston et Warkentin,
2010 ; Siponen et Vance, 2010 ; D'Arcy et al, 2009 ; Myyr et al, 2009 ; Herat et Rao, 2009b)
1.1. Réponse à la question de recherche N°1
Dans quelle mesure les valeurs individuelles et les valeurs organisationnelles perçues par les
salariés influencent-elles leurs comportements de recherche d’informations ?
Pour répondre à cette question, nous avons mobilisé les travaux de Schwartz (1994, 2012) et
utilisé sa typologie des valeurs universelles. Nous avons adapté notre échelle à
l’environnement professionnel, en retirant toutes les valeurs sans rapport avec le travail
(exemple : « un amour parfait »). Nous avons ensuite validé notre choix en le comparant aux
valeurs proposées par McDonald et Gantz (1992) et la réactualisation des valeurs de Schwartz
(2012). Au total dix-sept valeurs ont été retenues pour les valeurs individuelles et leur
équivalence au niveau organisationnel. Suite à la recommandation de Fornell et Larker
(1981), nous avons supprimé des indicateurs dont les loadings étaient inférieurs à 0,7 :
les valeurs individuelles de loyauté, d’autonomie de direction (choix des objectifs), de
reconnaissance, d’amitié et de liberté d’action et de pensée.
les valeurs organisationnelles d’autonomie de direction, de reconnaissance, d’amitié et de
liberté d’action et de pensée.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 326
Nos résultats montrent que la valeur individuelle et organisationnelle de pouvoir incite les
salariés à capter de l’information. Cette valeur influence également la fermeture du réseau
personnel.
La valeur individuelle de protection de son image personnelle (protection de la réputation)
joue aussi un rôle significatif dans le comportement d’échange qui exclu les informations
confidentielles. Cependant, l’effet de cette valeur n’est significatif en présence de mesures
organisationnelles et sécurité. Ceci témoignerait en faveur de l’action des normes qui se
substituent aux valeurs. En ce sens, ce résultat rejoint les perspectives évoquées par Commons
(1934). Les normes permettent aux acteurs de ne pas user d’énergie dans l’analyse de
certaines situations, pour mieux se concentrer sur des transactions stratégiques.
Les valeurs organisationnelles d’ouverture au changement (innovation, initiative, prise de
risques), la valeur organisationnelle de collaboration (dépassement de soi) et la valeur de
reconnaissance (affirmation de soi) jouent un rôle positif et significatif dans l’orientation
interne ou externe des informations captées. Globalement, les participants de l’étude reçoivent
en moyenne beaucoup plus d’informations internes qu’externes. Cependant, ces valeurs les
incitent à capter d’avantage d’informations externes, concernant les activités de la
concurrence.
L’obtention d’informations serait donc le produit d’incitations individuelles et
collectives guidées en partie par la volonté de pouvoir et de protection de l’image
personnelle. L’intérêt marqué pour les informations liées à l’organisation et, en
particulier, son environnement externe, est uniquement guidé par des valeurs
organisationnelles.
Ces résultats ont des implications managériales importantes. Ils confortent la suggestion de
Sarasvathy et Dew (2008) : pour comprendre ce qui pousse un individu à innover, l’étude des
valeurs individuelles est, certes, importante mais non suffisante. Il convient également de
prendre en compte le contexte d’action. Dans notre cas, celui-ci est matérialisé par les valeurs
collectives. Il encourage les salariés à la recherche d’informations. Nous rappelons que
l’information, telle que nous la considérons dans le cadre de notre thèse, peut être tout à fait
structurée et constituer des connaissances actionnables. Par exemple, il peut s’agir d’un plan
d’action commercial.
1.2. Réponse à la question de recherche N°2
En quoi le capital social s’oppose-t-il ou renforce-t-il les pratiques organisationnelles de
sécurité de l’information dans l’échange d’informations ?
Pour répondre à cette question, nous avons mobilisé les travaux de Burt (1992, 2005, 2010)
pour la constitution d’une échelle de mesure du réseau personnel des acteurs. Nous avons
limité le nombre de possibilités aux trois contacts qui sont les plus utiles pour les activités
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 327
professionnelles des répondants. En effet, selon Degenne et Forsé (2004), le plus souvent, on
ne se confie réellement qu’à trois personnes. Cela nous permet ainsi d’obtenir les contacts les
plus influents des répondants. Exprimé autrement, il s’agit de ceux qui fournissent le plus
d’informations. Cette échelle prend en compte la force des liens et les degrés de redondance
structurale et d’attributs.
Ensuite, pour constituer notre échelle de mesure, nous avons identifié dans la littérature les
axes principaux qui fondent la sécurité organisationnelle de l’information. Précisément, il
s’agit de la sensibilisation, de l’implication de la direction et de la présence d’une structure de
gestion de la sécurité.
En lien avec la théorie de la culture organisationnelle, nous avons constaté que le rôle du
manager de proximité était souvent négligé dans la littérature. Nous avons donc isolé cet
indicateur réflexif pour mieux en mesurer les effets.
Il en est de même avec l’indicateur réflexif de l’expérience de la sécurité. Dans l’esprit de la
théorie des conflits de culture (Sellin, 1938), source de déviance, nous avons estimé pertinent
d’émettre une hypothèse relative aux effets de l’expérience antérieure de la sécurité de
l’information. Nous avons donc enrichi notre échelle avec un indicateur de mesure
comparative de l’expérience de la sécurité de l’information.
A ce sujet, nos résultats montrent que plus le réseau de l’acteur est fermé, plus il possède de
relations pouvant lui apporter un soutien dans ses stratégies individuelles. Le réseau personnel
et les mesures organisationnelles de sécurité de l’information ont donc une action positive et
incitative pour le captage d’informations. Toutefois, il convient de relever que l’acteur
modifie ces comportements et ses centres d’intérêts sous l’effet de la sécurité de
l’information.
En effet, le salarié capte en priorité de l’information ayant une valeur commerciale, de
l’information stratégique, puis de l’information organisationnelle. Il capte aussi de
l’information opportune, c'est-à-dire de l’information qu’il ne devrait pas recevoir en temps
normal. Par contre, il ne récupère pas de l’information nécessitant la discrétion (des
informations confidentielles) par l’intermédiaire de ses relations. En outre, en présence de
mesures organisationnelles de sécurité de l’information, le comportement des salariés change.
S’ils continuent à capter de l’information ayant une valeur commerciale et organisationnelle,
ils ne reçoivent plus (et donc ne demandent plus) de l’information opportune et relative à la
stratégie de l’organisation ou de ses concurrents.
Ainsi, nos résultats montrent que la sécurité de l’information limite les bénéfices du
capital social car elle restreint la diversité des informations que l’acteur demande et
reçoit de ses contacts. Nous avons donc montré que la sécurité de l’information :
(1) pénalise l’individu au bénéfice de la protection de la stratégie de l’institution, face
à ses concurrents :
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 328
(2) responsabilise le salarié dans sa gestion de l’information. L’acteur semble, en
effet, ne plus donner d’information quand celle-ci n’est pas destinée au
demandeur.
Du point de vue strict de la sécurité, obtenir de l’information opportune ne constitue pas
nécessairement un danger. Néanmoins, un comportement responsable dans la gestion de
l’information exige que l’on demande et donne de l’information qui ne concerne que
directement nos activités (von Solms, 2010). En effet, l’assemblage d’informations non
confidentielles peut parfois permettre de former une connaissance nouvelle, riche et
intéressante, tant pour la stratégie de l’institution que pour celle de ses concurrents.
1.3. Réponse à la question de recherche N°3
Quels effets les mesures organisationnelles de sécurité de l’information et le management de
l’institution concernée produisent-ils sur la culture organisationnelle et les comportements de
sécurité dans l’échange d’informations ?
Pour répondre à cette question, nous avons examiné les relations structurelles existantes entre
les échelles de mesure de la sécurité de l’information et celles de la culture organisationnelle.
Nous observons que les mesures organisationnelles de sécurité, la présence du manager et
l’expérience antérieure n’ont pas d’influence directe sur le comportement d’acquisition
d’informations.
Les valeurs organisationnelles médiatisent l’action du manager, qui est la plus importante et la
plus significative. Contrairement à nos attentes, les valeurs ne médiatisent pas les mesures
organisationnelles de sécurité. En effet, celles-ci sont médiatisées par le manager de
proximité. Ce résultat souligne le rôle clé du manager de proximité. Celui-ci agit
significativement sur l’ensemble des valeurs organisationnelles. Cela concerne celles qui
sont orientées vers la protection de l’institution comme celles portant sur la recherche et
l’obtention d’informations.
Enfin, nous n’avons pas perçu de relations significatives concernant les effets de l’expérience
antérieure de la sécurité.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 329
2. Apports de la recherche
Nous présentons les apports théoriques et les contributions méthodologiques et managériales.
2.1. Apports théoriques
2.1.1. Une meilleure compréhension des incitations à la recherche
d’informations
Notre premier apport théorique est de mettre en perspective l’action des valeurs individuelles
et organisationnelles dans la recherche et l’obtention d’informations.
Nous avons identifié les valeurs individuelles et organisationnelles de pouvoir comme étant à
l’origine de l’obtention (ou la demande) d’informations. Ce résultat est déjà évoqué dans la
littérature. Ainsi, Komai et Stegeman (2007, 2010) suggèrent que le pouvoir cherche à
maintenir l’asymétrie d’information. Il s’agit alors d’augmenter son capital informationnel
pour être en position de donneur et non de demandeur. Les acteurs se tourneraient donc vers
certaines sources d’informations pour augmenter leur capacité d’influence dans leur
environnement proche. Cependant, ces travaux révèlent d’avantage une stratégie de pouvoir
qu’un effet des valeurs de pouvoir.
Concernant l’obtention d’informations, l’apport de notre recherche est double. D’une part,
il réside dans l’identification de la diversité de l’information recherchée (commerciale,
stratégique, organisationnelle et opportune). D’autre part, nous avons montré que la
recherche du pouvoir conduit l’individu à concevoir un réseau de proximité et à aller
parfois au-delà de ses prérogatives pour obtenir de l’information qui ne devrait pas
normalement lui parvenir. Nous avons également identifié que ce comportement concerne,
à la fois, le niveau individuel et le niveau organisationnel.
Jusqu’à ce jour, de rares études mettaient en évidence l’influence des valeurs sur les
comportements de sécurité. Si, par exemple, Myyr et al. (2009) avaient développé des
recherches en ce sens, leurs résultats ne permettaient pas d’identifier les valeurs concernées.
La culture organisationnelle étant portée par le leadership (Schein, 1985b, 2004), nous
pouvons ainsi déduire que ce comportement individuel rejaillit sur l’organisation et peut jouer
contre ses intérêts. En conséquence, nos résultats mettent en évidence, en ce qui concerne la
sécurité de l’information, un effet potentiellement positif ou néfaste du leadership en
fonction des contextes d’action. A notre connaissance, notre étude est l’une des premières à
mettre en perspective ce résultat et, plus particulièrement, cette relation. La littérature sur les
réseaux sociaux identifie effectivement l’amitié (Alter, 2009 ; Chollet, 2006) ou, encore, la
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 330
recherche de la reconnaissance (Simon et Tellier, 2008) comme des valeurs permettant
l’obtention d’informations officieuses, voire confidentielles. Cependant, ces résultats étaient
observés en marge des principaux objectifs des recherches menées. Les travaux de Von
Hippel (1987), Shrader (1991) ou, encore, Kreiner et Schultz (1993) montrent que des
ingénieurs en recherche et développement échangent de l’information de valeur alors qu’ils ne
devraient pas nécessairement le faire. Cependant, ces auteurs ne recherchent pas les valeurs à
l’origine de ce comportement. Globalement, il est souvent sous-entendu que les divulgations
d’informations sont le simple fait de l’envie de réussir ou qu’elles sont intrinsèquement liées à
l’activité professionnelle de ces ingénieurs de l’innovation. Nos résultats ont donc permis de
développer ceux des recherches précédentes.
Précisément, notre apport réside aussi dans la mise en évidence des valeurs qui incitent à
rechercher de l’information à l’extérieur de l’institution :
les valeurs organisationnelles de collaboration, de reconnaissance, d’innovation,
d’initiative et de risque,
les valeurs individuelles d’initiative, d’innovation et de risque.
Ce travail n’avait pas été réalisé jusqu’à présent dans un contexte organisationnel. Nos
résultats ont donc des conséquences théoriques et managériales conséquentes lorsque l’on
mesure l’importance de la capacité d’absorption des organisations dans l’économie
d’aujourd’hui (Cohen et Levinthal, 1990).
2.1.2. Une meilleure compréhension des conditions d’efficacité et des
effets de la sécurité de l’information
Notre deuxième apport théorique concerne les effets des pratiques organisationnelles de
sécurité de l’information.
La littérature, encore peu abondante bien que croissante à ce sujet, montre que les chercheurs
en sciences de gestion focalisent leurs efforts de recherche sur la conformité (Myyr et al,
2009 ; D’Arcy et al, 2009), aux règles de sécurité ou sur l’intention de se conformer à ces
règles (Bulrgurcu et al, 2010, Siponen et al, 2010 ; Jhonston et Warkentin, 2010, Herat et Rao,
2009a ; Herat et Rao, 2009b). D’autres études portent sur la sensibilisation à la sécurité de
l’information en tant que processus (Puhakainen et Siponen, 2010 ; Spears et al, 2010 ; Chen
et al, 2006) ou en tant que produit (Knapp et al, 2012 ; Jhonston et Warkentin, 2007 ; Maeyer,
2007 ; Siponen, 2000). A notre connaissance, aucune étude ne concerne directement
l’influence des mesures de sécurité de l’information sur les comportements d’échange
d’informations.
Nous montrons que l’efficacité des mesures de sécurité de l’information réside dans la
modification des comportements de demande (ou de don) d’informations. En présence de
mesures de sécurité, les salariés (1) n’échangent plus d’informations concernant la stratégie de
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 331
l’institution et de ses concurrents et (2) n’échangent plus d’informations opportunes. La
sécurité de l’information et, en particulier, les valeurs organisationnelles promues par le
manager de proximité, responsabilisent les salariés dans la gestion des informations
qu’ils manipulent.
De même, notre étude met en perspective un effet médiateur (1) de la culture
organisationnelle sur l’influence du manager de proximité et (2) du manager de proximité sur
les mesures organisationnelles de sécurité.
En outre, n’ayant pas identifié d’études confrontant l’efficacité de la sécurité de l’information
aux risques informationnels dans la mobilisation du capital social, nos résultats sont originaux
car ils suggèrent que la sécurité de l’information modifie les comportements, y compris dans
les relations qu’entretiennent les salariés avec les contacts privilégiés.
2.1.3. Un réseau fermé avec des liens faibles
La littérature sur les réseaux sociaux souligne, très largement, que les trous structuraux, c’est-
à-dire des réseaux à faible contrainte, composés de liens faibles, permettent à l’acteur central
d’obtenir de l’information stratégique (Burt, 2010 ; Burt, 2005 ; Géraudel et al, 2006; Rowley
et al, 2000 ; Burt, 1992).
De même, les liens forts favoriseraient les comportements coopératifs et limiteraient les
comportements opportunistes (Rowley et al, 2000 : 370 ; Reagans et McEvily, 2003 :261). Ils
amélioreraient aussi la communication entre les membres du réseau (Burt, 2001 :205).
S’inscrivant dans ces perspectives, nos résultats confirment que les liens faibles constituent
une source d’information stratégique. Toutefois, ils révèlent également que l’effet
explicatif réside dans la fermeture et non l’ouverture du réseau. La force des liens et la
non-redondance d’attributs n’ont pas un effet direct ou indirect sur l’accès à des
ressources (humaines) stratégiques. Dans notre contexte, la fermeture du réseau s’explique
en partie par la proximité organisationnelle des membres et par sa taille. Plus un réseau est
petit et/ou plus ses membres évoluent dans la même organisation, plus la contrainte semble
forte.
Cependant, il semble pertinent de relever que, dans un tel réseau, les liens sont supposés être
forts (Granovetter, 1973). Nous sommes dans une configuration de réseau associant une
contrainte élevée et des liens faibles. Dans notre échantillon, en tendance importante, les
membres du réseau évoluent dans la même organisation, se connaissent, ont majoritairement
des spécialités professionnelles proches ou assez proches (mais pas identiques). Ils
n’entretiennent que des liens strictement professionnels, sans que l’intensité de la relation
n’influe sur leurs comportements. Ainsi, nos résultats montrent que, contrairement à ce que
suggère Granovetter (1982), la force des liens n’est pas nécessaire pour échanger de
l’information engageante.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 332
De plus, une contrainte forte favoriserait la diffusion rapide des informations (Greve, 1995 :
29) et les comportements coopératifs. Elle limiterait également les comportements
opportunistes (Rowley et al, 2000 : 370 ; Reagans et McEvily, 2003 : 261). Nos résultats ne
contredisent pas ces suggestions. Cependant, en accord avec ce que proposent Burt (1992),
Portes (1998) et à l’inverse des propos de Coleman (1998), ils montrent que des réseaux
fermés facilitent des actes déviants. Selon nos résultats, plus que la force des liens,
l’opportunité (Sutherland, 1966) et le principe de réciprocité créeraient la déviance.
Ce résultat est conforme à celui de Shrader (1991) et d’Alter (2009). En effet selon Shrader,
les salariés échangent des informations dans l’intérêt de leur firme. La nature des relations est
secondaire. Pour Alter, la mobilité imposée aux salariés par le management ne leur permet pas
de se constituer un capital social à liens forts mais favorise la constitution d’un carnet
diversifié d’adresses.
Nous ne retrouvons pas également la proposition de Greve (1995 : 6) selon laquelle une
structure fermée limite l’acquisition de nouvelles informations. En effet, nos résultats
montrent qu’un tel réseau ne fait probablement pas de l’acteur central, un négociateur (au sens
de Burt, 1992). Ils suggèrent également que l’information est rapidement redondante du fait
de la petite taille du réseau concerné. Cependant, nous mettons en perspective que
l’information se renouvelle fréquemment et se distingue par sa variété (commerciale,
stratégique, organisationnelle, opportune).
2.2. Apports méthodologiques
Notre premier apport méthodologique réside dans l’élaboration de notre échelle de mesure de
la variable dépendante.
Nous avons élaboré une échelle qui prend en compte à la fois l’accès à de l’information
confidentielle et à de l’information opportune.
L’interrogation des salariés sur leurs pratiques effectives et leurs impacts sur la sécurité de
l’information pose effectivement un véritable problème de méthode pour limiter les biais de
réponse, comme celui de la désirabilité sociale (Trévino, 1992). Le parti pris de certains
auteurs étudiants des populations d’Europe du nord, est de demander ouvertement aux
participants s’ils respectent ou ne respectent pas les règles de sécurité (Siponen, 2010). Nous
pensons que cette méthode a peu de chance d’être généralisable à toutes les cultures. En effet,
les mesures de protection de l’information s’exercent pour la préservation des informations et
donc contre leur divulgation. Dans la logique de la sécurité de l’information, il ne faut pas
donner de l’information sensible.
Une autre méthode, celle des scénarios, consiste à élaborer des petits scénarios qui mettent en
scène un personnage fictif. Le chercheur demande ensuite aux participants s’ils agiraient de la
même manière. Cette méthode utilisée dans les études en criminologie (Paternoster, 1996) est
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 333
relativement lourde à administrer lors d’une étude quantitative. Précisément, elle conduit à
des questionnaires de plusieurs dizaines de minutes !
Nous avons proposé de capitaliser sur les mécanismes de réciprocité largement reconnus dans
la littérature (Mauss, 1950 ; von Hippel, 1987 ; Caillé et Godbout, 1992 ; Putman, 1993 ;
Portes, 1998 ; Lin, 1999, Alter, 2000 ; Sarasvathy, 2001 ; Lazega, 2006, Caillé, 2006 ; Caillé
2009). Ce principe veut que tout don réponde à une demande et que tout don appelle un
contre-don (Mauss, 1950 ; Caillé, 2009). De plus l’acte de don n’a de sens que si l’objet
donné et donc demandé a de la valeur. Le don signifie l’importance et l’influence de celui qui
donne (Caillé, 2009). Il signifie aussi l’importance que revêt le demandeur pour le donneur.
Aussi, plutôt que de demander aux salariés s’ils donnent de l’information, nous avons
fait le choix de leur demander s’ils en reçoivent. A l’image de la technique des scénarios, le
répondant ne se sent pas directement responsable de l’acte de don. Le mécanisme de
réciprocité, comme un miroir, reflète le comportement du répondant qui sera, a un moment ou
à un autre, redevable des services qu’on lui a rendus.
Notre deuxième apport méthodologique réside dans la prise en compte de l’action du
manager de proximité et de l’expérience antérieure de la sécurité de l’information. Notre
démarche n’est pas centrée sur l’implication effective du manager ou la mesure objective des
pratiques de sécurité. Nous avons choisi d’interroger les acteurs sur leurs perceptions des
comportements de leur manager et de l’intensité des mesures de sécurité. Cela a comme
avantage de ne pas lier un comportement à des solutions et des infrastructures techniques. Les
interactions humaines, moins coûteuses à mettre en place et donc plus adaptées aux petites et
moyennes entreprises ou aux associations sont privilégiées. Fulford (2006) suggère, par
exemple, que la perception des mesures de sécurité donne de meilleurs résultats lorsque les
salariés sont en télétravail, hors du contexte de l’institution.
Enfin, notre troisième apport méthodologique concerne la mise en perspective des contextes
d’actions. Notre revue de littérature montre que les recherches se focalisent sur le respect et la
violation de règles ou, encore, sur l’intention de conformité sans tenir compte des contextes
d’actions.
Notre modèle met à l’épreuve la sécurité dans un contexte ou l’acteur sollicite de
l’information, fait appel à ses relations, choisit d’où cette information provient et par quel
média il va l’obtenir. A notre connaissance, à ce jour, peu de travaux de recherche ont placé la
sécurité de l’information face à « son maillon faible », l’acteur, dans un contexte aussi riche
d’interactions.
2.3. Apports managériaux
Nous constatons d’abord que les salariés ne reçoivent pas d’informations confidentielles de
nature commerciale, stratégique ou organisationnelle.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 334
Néanmoins, il convient de relever que ces salariés reçoivent de l’information qu’ils ne
devraient pas recevoir. Si ces informations sont peu sensibles et peu nombreuses, elles
peuvent, par association, être transformées en connaissances riches et pertinentes. Cela peut
être le cas, lorsque ces informations « arrivent » au sein de la concurrence. Par exemple, une
entreprise peut apprendre que sa principale rivale mobilise souvent la même équipe pour
préparer des réponses aux appels d’offres. Elle peut ensuite bâtir une stratégie pour discréditer
cette équipe auprès des clients potentiels, tenter de la désolidariser ou, encore, essayer
d’introduire un cheval de Troie (espion électronique) dans leurs ordinateurs.
La réception d’informations opportunes est importante dans la mesure où seule la fermeture
du réseau est explicative de ce phénomène et que des liens faibles suffisent pour que des
informations de valeurs s’échangent entre les individus. Il convient donc de se demander
comment on peut agir sur les effets des réseaux personnels si les dangers qu’ils portent ne
sont pas liés au contenu de la relation ou à la redondance des attributs ? Or, savoir que la
proximité émotionnelle facilite le transfert d’informations opportunes, rend possible
l’intégration de mesures de sensibilisation qui prennent en compte les effets de l’amitié. A cet
effet, différentes procédures sont envisageables. Il est plausible d’envisager de sensibiliser les
salariés en mettant en perspective que, par exemple, lorsqu’on se confie à un ami, on peut
amener ce dernier à se faire involontairement piégé par nos concurrents.
Au-delà de la suggestion précédente, dans la configuration de réseau que nous avons révélé,
nous n’avons pas identifié de mesures de sensibilisation concrètes pour empêcher la
circulation d’informations stratégiques et opportunes.
Une solution réside certainement dans le comportement perçu du manager. L’attitude du
manager à l’égard de la sécurité de l’information peut modifier les comportements des salariés
dans le sens voulu par la dirigeance. La sensibilisation des managers à la sécurité de
l’information est probablement une mesure que les dirigeants devraient prendre au
sérieux et rendre prioritaire. Or, nous n’avons trouvé aucun exemple dans la littérature, y
compris au niveau des standards internationaux (ISO, NIST), de plans, de méthodes de
sensibilisation qui leur soient destinées. Pourtant, les managers sont souvent amenés à
fréquenter une population diverse dans le cadre de leurs activités : commerciaux, techniciens,
cadres dirigeants etc. Ce n’est pas un hasard si l’OCDE35
classe les managers comme les
salariés les plus innovants. Par ailleurs, cela les expose à d’éventuelles tentatives de
manipulations (un commercial pouvant connaitre l’organigramme, les projets à venir dans les
prochains mois, etc.).
L’influence positive du manager suggère également que des Petites et Moyennes
Entreprises, qui ont peu de moyens financiers, peuvent agir à moindre coût sur les
comportements des salariés. La solution consiste à faire du manager le relais, le
promoteur d’une culture organisationnelle intégrant des préoccupations de sécurité.
35 Innobarometer: Pro Inno Europe, European Innovation ScoreBoard 2007, comparative analysis on innovation performance, 2008.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 335
Nos préconisations vont aussi vers le management des valeurs individuelles et
organisationnelles. Nous avons montré que la valeur de pouvoir avait une influence sur
l’acquisition d’informations stratégiques et opportunes, mais aussi sur la constitution du
réseau de relations. C’est un effet négatif du leadership, du moins, sous l’angle de la sécurité
de l’information.
Nous suggérons que le management porte une attention particulière sur les leaders identifiés
dans l’organisation. Une solution pourrait être par exemple de les impliquer dans la
conception des programmes de sensibilisation pour profiter de leurs aptitudes de leaders tout
en jouant favorablement sur le niveau et la qualité de sensibilisation à leur égard. Leur
position d’acteur « actif » de la sécurité et leur image de leader devant « montrer l’exemple »,
pourraient constituer un moyen de tempérer les effets de la valeur de pouvoir.
Enfin, nous constatons que les acteurs utilisent différents médias physiques (clés USB,
disques externes, disque DVD, téléphones portables, etc.) pour récupérer les informations.
Les mesures de sécurité ne parviennent pas à diminuer sensiblement ces activités. Ces
dernières comportent pourtant des risques pour la sécurité des informations : perte ou vol du
support, virus, chevaux de Troie, etc. Face à l’impuissance de la sensibilisation ou de
l’attitude du manager, nous suggérons la fourniture aux salariés de moyens protégés (clés
USB cryptées, téléphone cryptés, etc.). Si les données qui y figurent sont illisibles, alors les
éventuelles pertes de supports ne portent pas directement préjudice à l’organisation. Une autre
mesure consiste en l’usage d’une « station blanche ». Un ordinateur non connecté au réseau
de l’institution et muni d’un antivirus. Cet ordinateur servirait à vérifier l’état de sécurité des
supports amovibles avant toutes connexions sur les ordinateurs du réseau de communication
de la firme.
2.4. Limites de la recherche
2.4.1. Les limites théoriques
Notre limite réside dans la taille du réseau. Nous avons limité notre champ d’analyse au
réseau personnel que nous avons restreint aux trois contacts les plus bénéfiques pour l’acteur
central. Or, selon Degenne et Forsé (2004 : 28), il est possible de demander à un individu de
renseigner un générateur de noms. Toutefois, ces auteurs notent qu’un acteur n’a pas
systématiquement une « bonne connaissance des relations à l’intérieur de son réseau et il
faut discerner ce qui est de l’ordre de la relation factuelle et ce qui est de l’ordre de la
représentation. Le risque d’amalgamer deux types de réalités est grand et, au total, les
enquêtes sur les réseaux personnels ne permettent que d’avoir des données structurales assez
frustres : volume, fréquence, multiplexité, voire densité des relations au sein des réseaux ».
Néanmoins, notre choix se justifie par notre sujet d’analyse : la transmission d’informations
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 336
sensibles ou qui ne devraient pas être transmises. Or d’après ces mêmes auteurs, on ne se
confie qu’à trois d’entre eux (ibid. : 26).
2.4.2. Les limites méthodologiques
Notre première limite méthodologique réside dans les biais de réponse des participants qui
peuvent être tentés de masquer leur véritable comportement par souci de paraître plus
désirables (Trevino, 1992). Ce biais possible est fréquemment relevé dans la littérature portant
sur la sécurité de l’information (Straub, Warkentin et Malimage, 2012). Pour limiter cet effet,
nous avons choisi d’utiliser le mécanisme de réciprocité et de poser des questions sur la
nature des informations que les salariés reçoivent, plutôt que celles qu’ils donnent. C’est une
approche inédite dont il est difficile d’appréhender l’efficacité réelle.
Une autre limite réside dans l’usage d’une seule méthodologie d’analyse : l’étude
quantitative. L’adoption d’une méthodologie qualitative complémentaire pour la constitution
des hypothèses aurait permis de faire émerger des réalités de terrain utiles à la constitution de
nos échelles de mesures. En effet, nous avons constitué notre variable dépendante sur des
fondements théoriques. Cependant, notre démarche exploratoire pourrait justifier de procéder
à une étude pratique des mobilisations du capital social, comme le suggèrent Baumard et Ibert
(1999)
3. Futures voient de recherche
Nous avons identifié que le manager de proximité est un maillon important de la sécurité de
l’information. Une première voie de recherche serait d’approfondir notre connaissance de
l’action de ce manager pour la sécurité de l’information. Cela pourrait être réalisé,
notamment, en s’intéressant aux pratiques managériales et aux facteurs cognitifs qui agissent
sur les représentations des salariés.
Une deuxième voie de recherche serait de mener plusieurs études similaires en fonction de la
taille des institutions. Le Clusif (2010, 2012) souligne depuis plusieurs années la faiblesse des
PME en matière de sécurité de l’information. Les petites entreprises n’ont pas les moyens
humains et financiers des groupes internationaux. Aussi, il semble judicieux de conduire des
recherches multi-niveaux portant sur la manière dont les institutions développent une culture
de sécurité de l’information. Par exemple, Dinev et al. (2012) montrent que le canal de
communication qu’utilise la dirigeance à une importance dans l’appropriation des messages
de sécurité.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 337
De même, nous avons mobilisé les travaux de Schwartz (1994) pour opérationnaliser notre
conception de la culture organisationnelle. D’autres méthodes comme, notamment, celle de
Quinn (1988) pourraient permettre d’enrichir la connaissance de l’influence de la culture
organisationnelle.
Une dernière voie de recherche concerne les usages des médias de communication. Nous
avons relevé que la sécurité de l’information et la culture organisationnelle ne présentent pas
d’effet sur l’usage de médias amovibles (clés USB, disque DVD, etc.). Or, cet usage
comporte des risques importants. Avec la multiplication des moyens de communication
mobiles, le manque d’efficacité des mesures de sécurité dans l’usage des moyens de
communication peut s’avérer être une préoccupation majeure pour les institutions. Dans une
perspective prochaine, il semble pertinent de s’intéresser aux approches comportementales
concernant les usages des médias de communication. Au-delà d’études sur les motivations ou
les intentions d’usage, il s’agit, comme le suggèrent Bandura (1986) ou Short et al. (1976), de
se focaliser sur les mécanismes socio-cognitifs. Steinfield (1986) a ainsi déjà montré que la
messagerie électronique n’est pas utilisée dans le cadre de la transmission d’informations
confidentielles ou privées, la négociation et la résolution des conflits.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 338
BIBLIOGRAPHIE
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 339
A
Adams A., Sasse M.A., Lunt P., (1997), Making Passwords Secure and Usable, Proceedings of HCI,
People and Computers, Vol.13, pp.1 19.
Adler P.-S., (2002), Kwon S.-W., Social capital: prospect for a new concept, Academy of
Management Review, Vol., (27), No.1, pp.17-40.
Agarwal R., Prasad J., (1998), Conceptual and Operational Definition of Personal Innovativeness in
the Domain of Information Technology, Information Systems Research, Vol.9, N°.2, pp.204-
215.
Ahuja, G., (1998), Collaboration networks, structural holes and innovation; A longitudinal study,
Paper presented at the annual meeting of the Academy of Management, San Diego.
Ajzen I., (1991), The Theory of Planned Behavior, Organizational Behavior and Human Decision
Processes, Vol. 50:2, pp.179-211.
Akers R. L., and Sellers, C. S, (1994), Criminological Theories:Introduction, Evaluation, and
Application, Los Angeles: Roxbury Publishing.
Akrich M., Callon M., Latour B. (2002a), The key to success in innovation Part I: the art of
interessement, International Journal of Innovation Management, Vol. 6, N°.2, pp., 187-206.
Akrich M., Callon M., Latour B, (2002b), The key to success in innovation Part II: the art of
choosing good spokespersons, International Journal of Innovation Management, Vol. 6, N°.2,
pp.207-225.
Allport G.W.,(1961), Pattern and growth in personnality. New York, Holt, Rinehart et Winston.
Allport G.W, Vernon P., Lindsey G, (1960), Study of values: A scale for measuring the dominant
interests in personality. MA, Boston: Houghton Mifflin Co.
Alter N., (2010), L’innovation ordinaire, PUF.
Alter N., (2010/2), Coopération, sentiments et engagement dans les organisations. Revue du Mauss,
N° 36, pp. 347-369.
Alter N., (2009), Donner et prendre, la coopération en entreprise. Ed La découverte.
Amabile S., Laghzaoui S., Peignot J., Peneranda A., Boudrandi S., (2013), Business Intelligence
Practices for Exporting SMEs, International Business Research; Vol. 6, No. 2.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 340
Amabile S., Boudrandi S. Haller C., Meissonier R., (2012), Capacité d’absorption des informations
et pratiques de veille stratégique dans les PME : une étude sur des domaines vitivinicoles
provençaux , Revue Systèmes d’Information Vol.17, N°.3, pp. 111-142.
Anderson R., Moore T., (2008), Information Security Economics and Beyond, Interdisciplinary,
Workshop on Security and Human Behaviour.
Argote L., McEvily B., Regans R., (2003), Managing Knowledge in Organizations: An Integrative
Framework and Review of Emerging Themes, Management Science, Vol.49, N°.4, pp. 571-
582.
B
Bagozzi R. P. (2007). On the Meaning of Formative Measurement and How it Differs From
Reflective Measurement: Comment on Howell, Breivik, and Wilcox (2007), Psychological
Methods Vol. 12, N°.2, pp.229-237.
Barki H., (2008), That’s Gold in Them That Constructs, ACM SIGMIS Database, Vol. 39, N°.3, pp.
9-20.
Becker H., (1963), Outsiders, New York, The Free Press ; tr. fr. Outsiders études de la sociologie de
la déviance, Paris, Métaillé.
Bandura A., (1986), Social foundations of thought and action: A social cognitive theory. Englewood
Cliffs, NJ: Prentice-Hall.
Baskerville R., and Siponen M., (2002), An Information Security Meta-policy for Emergent
Organizations Journal of Logistics Information Management, special issue on Information
Security, Vol. 5-6, pp. 337-346.
Baumard P., Ibert J. (1999), Quelles approches avec quelles données?, in Thiétart R.-A. (éd.),
Méthodes de recherche en management, Paris, Dunod, pp.81-103.
Baumeister R.F., Arlene M., Heartherton D.C., (1995), Personal Narratives About Guilt: Role in
Action Control and Interpersonal Relationships, Basic and Applied Social Psychology, Vol.
77, N°1 & 2, pp.173-198.
Bernard H.R., Killworth P.D, Sailer L., (1982), Informant accuracy in social-network data, An
experimental attempt to predict actual communication from recall data, Social Science
Research, Vol.11, N°.1, pp. 30-66.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 341
Bevort A., Lallement M., (2006), Le capital social. Performance, équité et réciprocité, Paris, la
découverte.
Blalock H-M., (1964), Causal Inferences in Nonexperimental Research. Chapel Hill, NC: University
of NorthCarolina Press.
Bollen KA, Lennox R., (1991), Conventional wisdom on measurement: a structural equation
perspective, Psychol. Bulletin , Vol.11, N°2, pp. 305–314.
Bollen KA. Ting K.F., (2000), A tetrad test for causal indicators, Psychological Methods, Vol.5,
N°.1, pp.3-22.
Borsboom D. Mellenbergh GJ. Heerden JV., (2003), The theoretical status of latent variables.
Psychological Review, Vol. 110, N°. 2, pp.203-219.
Boudon R., (2002), Théorie du choix rationnel ou individualisme méthodologique ? Sociologie et
sociétés, Vol. 34, N° 1, p. 9-34.
Boudreau M.-C., Gefen, D., Straub, D. W., (2001), Validation in information systems research: A
state-of-the-art assessment. MIS Quarterly, Vol .25, N°. 1, pp.1-16.
Bourdieu P., (2000), Les structures sociales de l’économie, Seuil, Paris.
Bourdieu P., (1980a), Le capital social, notes provisoires, Actes de la recherche en sciences sociales,
N° 31, pp 2-3.
Bourdieu P., (1980b), Le sens pratique, Paris, Editions de Minuit.
Bohner P., (1989), La noblesse d'État : grandes écoles et esprit de corps. Ed. de Minuit.
Bouty I., (1998), Échange interpersonnels : gérez le paradoxe de vos laboratoires, Annale des mines,
Bouty I., (1999), Décision individuelle d’échange au sein des réseaux informels : entreprise,
chercheurs et communauté technologique, Actes de la VIIIème Conférence de l’AIMS, ECP,
Paris.
Bouty I., (2000), Interpersonal and interaction influences on informal resource exchanges between
R&D researches across organizational boundaries. Academy of Management Journal, Vol.43,
N°1, p. 50-65.
Brewer D.D., Webster C.M., (1999), Forgetting of friends and its effects on measuring friendship
networks, Social Networks, Vol. 21.
Brass D.J., Butterfield K.D., Skaggs B.C., (1988), Relationships and Unethical Behavior: A Social
Network Perspective, The Academy of Management Review, Vol.23, N°.1, pp.14-31.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 342
Bridges W.P.,Villemez W.J., (1986), Informal Hiring and Income in the Labor Market, American
Sociological Review, Vol.51, pp.574-582.
Brown J.S., Duguid P., (2001), Knowledge and Organization: A Social-Practice Perspective,
Organization Sciences, Vol.12, N°.2.
Bulgurcu B., Cavusoglu A., Banbasat I., (2010), Information Security Compliance : An empirical
study of rationality-Based Beliefs and Information Security Awareness, MIS Quarterly, Vol.
34, N°.3, pp. 523-548.
Burt R., (2010), Neighbor Networks : Competitive Advantage Local and Personal, Oxford: Oxford
University Press.
Burt R., (2007), Local Structure for Managers, Bankers, and Analysts. Academy of Management
Journal, Vol.50, N°.1, pp.119-148.
Burt R., (2005), Brokerage and Closure : An Introduction to Social Capital, Oxford, New York:
Oxford University Press.
Burt R., (2001), Attachment, Decay, and Social Network, Journal of Organizational Behavior,
Vol.22, N°.6, pp.619-643.
Burt R.S., (2000), The network entrepreneur, in SWEDBERG R. (éd), Entrepreneurship, the social
science view, Oxford and New York, Oxford University Press, pp.281-307.
Burt R., (1997), A Note on Social Capital and Network Content, Social Networks, Vol.19, N°.4,
pp.355-373.
Burt R., (1992), Structural Holes (Cambridge, MA: Harvard University Press).
Byrnes F., Proctor P., (2002), Information security must balance business objectives,
http://informit.com.
C
Callon M. (1986), Eléments pour une sociologie de la traduction : la domestication des coquilles
Saint-Jacques et des marins-pêcheurs dans la baie de Saint-Brieuc, L'année sociologique, Vol.
36, pp.169-208).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 343
Callon, M. (dir.), (1998), La science et ses réseaux. Genèse et circulation des faits scientifiques,
Paris, La Découverte
Callon M., Ferrary M., (2006), Les réseaux sociaux à l’aune de la théorie de l’acteur-réseau,
Sociologies Pratiques, N°. 13, pp. 37-44.
Cameron K.S., Quinn, R.E., (1999), Diagnosing and changing organizational culture, Addison-
Wesley (OD series) edition, 221 p.
Cameron, K.S., Freeman, S.J., (1991), Cultural congruence, strength, and type: Relationship to
effectiveness, Research in Organizational Change and Development, vol. 5, pp.23-58.
Castel R. (1995), Les métamorphoses de la question sociale, Paris, Fayard.
Catmull E., (2008), How Pixar Forsters Collective Creativity, Harvard Business Review, Vol. 86,
N°.9, pp.64-72.
Chin W.W., Gopal A., (1995), Adoption Intention in GSS: Importance of Beliefs, Data Base
Advances, Vol.26, pp.42-64.
Chin W.W., (1998), Issues and Opinions on Structural Equation Modeling, MIS Quarterly, Vol.22,
N°.1, pp.vii-xvi.
Chin W.W., Marcolin, B.B., Newsted P.N.,(2003), A partial least squares latent variable modeling
approach for measuring interaction effects : results from a Monte Carlo simulation study and
an electronic-mail / adoption study, Information Systems Research, Vol.14, N°.2, pp.189-217.
Chin W.W., Esposito Vinzi E., Henseler J., Wang H., (2010), Handbook of Partial Least Squares
Concepts, Methods and Applications, Springer Handbook of Computational Statistics.
Choi N., Kim D., Goo j., Whitmore A., (2008), An empirical validation of the relationship between
managerial information security awareness and action, Information Management & Computer
Security Vol. 6 N°.5.
Chollet B., (2005), Lerôle personnel de l'ingénieur en R&D: le cas du secteur des micro et
nanotechnologies, Thèse del'université Pierre Mendès-France.
Chollet B., (2006), Qu’est-ce qu’un bon réseau personnel ? Le cas de l’ingénieur R&D, Revue
française de gestion, N°.163, pp.107-125.
Chollet B., (2004), La construction de la confiance entre ingénieurs R&D d’entreprises distinctes,
N°1, Revue du Management Technologique.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 344
Coleman J.-S., (1988), Social Capital in the Creation of Human Capital, American Journal of
Sociology, Vol. 94, supplement, pp. 95-120.
Coleman J.-S., (1990), Foundations of social theory, Cambridge, Harvard University Press.
Coltman, T, Devinney, TM, Midgley, DF, Veniak, S, (2008), Formative versus reflective
measurement models: Two applications of formative measurement, Journal of Business
Research, Vol. 61, N°.12.
Cohen A.K., (1971), La déviance, Ed. Duculot.
Cohen A., (1955), Delinquent Boys: The culture of the Gang, Free Press
Cohen W. M., Levinthal D. A., (1990), Absorptive capacity: a new perspective on learning and
innovation, Administrative Science Quarterly, Vol. 35, pp.28-152.
Coles-Kemp L., (2010), Information security management: An entangled research challenge,
Information Security Technical Report N°. 14.
Cooke R.A., Lafferty J. C., (1987), Organizational Culture Inventory (Form III), Human Synergistics,
Plymouth, MI.
Cornwell B., Laumann E.O., Schumm L.P., (2008), The Social Connectedness of Older Adults: A
National Profile, American Sociological Review, Vol. 7, pp.185–203.
Crié D. (2005)., De l’usage des modèles de mesure réflectifs ou formatifs dans les modèles
d’équations structurelles, Recherche et Application en Marketing, Vol. 20, N°. 2, 5-27.
Cross R., Borgatti S.P., Draft, (2000), The Ties that Share: Relational Characteristics that Facilitate
Information Seeking.
Cross R., Parker A., Prusak L., Borgatti S.P., (2001), Knowing What We Know: Supporting
Knowledge Creation and Sharing in Social Networks, Organizational Dynamics, Vol. 30,
N°.2, pp.100-120.
Crozier M., Friedberg E., (1977), L’acteur et le système, Paris, 1977.
Cusson, (1992), Traité de sociologie sous la direction de Raymond Boudon, chapitre 10, pp. 389-
422. Paris: Les Presses universitaires de France, 1 reédition, pp.575
CSI/FBI., (2007), CSI Survey 2007: The 12th Annual Computer Crime and Security Survey,
Computer Security Institute (disponible en ligne à http://i.cmpnet.com/v2.gocsi.com/pdf/
CSISurvey2007.pdf).
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 345
D
D’Arcy J., Hovav A., Galletta D., (2009), User Awareness of Security Countermeasures and its
Impact on Information Systems Misuse: A Deterrence Approach, Information Systems
Research Vol.20, N°.1, pp. 79-98.
David J., (2002). Policy Enforcement in the Workplace, Computers & Security, 506-513.
Degenne A., Forsé M. (2004), Les réseaux sociaux, Armand Colin.
Diamantopoulos A., Winklhofer H.M., Index Construction with Formative Indicators: An alternative
to Scale Development, Journal of marketing Research, Vol.38, N°2.
Dhillon G., Tejey G., Hong W., (2007), Identifying Governance Dimensions to Evaluate Information
Systems Security in Organizations, Proceedings of the 40th Hawaii International Conference
on System Sciences.
Dhillon G. and Torkzadesh G., (2006), Value-focused assessment of information system security in
organizations, Information Systems Journal, Vol.16, N°.13, pp.293-314.
Dhillon G., Backhouse J., (2001), Current Directions in IS Security Research: Toward Socio-
Organizational Perspectives, Information Systems Journal Vol.11, N°.2, pp.127-153.
Dhillon G., Backhouse J., (2000), Challenges in Managing Information Security in the New
Millennium, Communication of the ACM, Vol.43, N°.7.
Dhillon G., (1997), Managing Information System Security, London: Macmillan.
Dillman D.A, (2000), Mail and Internet Surveys: The tailored design method .New York: Wiley.
Dinev T, Hart P., HU Q., Cooke D.,(2012),Managing Employee Compliance with Information
Security Policies: The Critical Role of Top Management and Organizational Culture,
Decision Sciences Vol. 43, N°.4.
Dinev T., HU, Q., (2007), The Centrality of Awareness in the Formation of User Behavioral
Intention toward Protective Information Technologies, Journal of the Association for
Information Systems.
Doherty N. F., Fulford, H., (2005), Do Information Security Policies Reduce the Incidence of
Security Breaches: An Exploratory Analysis, Information Resources Management Journal,
Vol.18, N°.2, pp.21-39.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 346
Dore R., (1973), British Factory-Japanese Factory, The Origins of Diversity in Industrial Relations.
Berkeley, CA: University of California Press.
Dubar C., (1998), La socialisation. Construction des identités sociales et professionnelles, Paris,
Armand Colin.
Dupuigrenet-Desroussilles G., (1962), Contrainte, échange, don : structures de l'économie
contemporaine. In: Annales. Économies, Sociétés, Civilisations., 17e année, N°.5, pp.988-
994.
Durkheim E., (1895), Les règles de la méthode sociologique, 11ème édition 2002, PUF, Paris.
Durkheim E., (1925), L’éducation morale, Paris, PUF 1967, nouvelle édition édition originale de
1925.
Durkheim E., (1973), De la Division du travail Social, Paris, PUF
Durkheim E., (1967), Thèse sur la détermination du Fait Moral, Communication à la société française
de philosophie, séance du 11 février 1906. Repris dans Sociologie et Philosophie, Paris,
P.U.F.
E
Edwards R., (1979), Contested Terrain. New York: Basic Books.
Edwards J. R., Bagozzi, R. P. (2000), On the Nature and Direction of Relationships Between
Constructs and Measures, Psychological Methods, Vol. 95, N°.:2, pp.155-74.
Eliason S. L., Dodder, R. A., (1999), Techniques of Neutralization Used by Deer Poachers in the
Western United States: A Research Note, Deviant Behavior (20:3), pp., 233-252.
Elis, L. A., and Simpson, S., (1995), Informal Sanction Threats and Corporate Crime: Additive
Versus Multiplicative Models, Journal of Research in Crime and Delinquency, Vol.20, N°3,
pp., 233-252.
England G., (1967), Personal value systems of American managers. Academy of Management
Journal, Vol.10, N°.1, pp.53-68.
Erickson B.H., (2003), The Distribution of Gendered Social Capital in Canada, in Henk Flap (ed.),
Creation and Returns to Social Capital: pp.27–50. New York: Routledge.
Eriksson K., Sharma D.D., (2003), Modeling uncertainty in buyer–seller cooperation, Journal of
Business Research Vol.56, pp. 961–970.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 347
Evrard Y., Pras B., Roux E. (2009), Market : fondements et méthodes des recherches en marketing (4e
édition), Dunod, Paris.
F
Fayol H, (1916), Administration industrielle et générale», Bulletin de la Société de l’Industrie
Minérale, N° 10, 5-164.
Fernandez, R.M., Goud, R.V., (1994), A dilemma of state power: brokerage and influence in the
National health policy domain, American Journal Sociology,Vol. 99, N°.6, pp.1455-1491.
Ferrary M., (2002), Pour une théorie de l’échange dans les réseaux sociaux, dans I. Huault (ed.), La
construction sociale de l'entreprise, Editions EMS.
Ferrary M., Pesqueux Y., (2004), L’organisation en réseau, mythes et réalités, Puf, Paris.
Ferréol G., (2007), Lexique de sociologie, Paris, PUF.
Finegan J.E., (2000), The impact of person and organizational values on organizational
commitement. Journal of occupational and organizational psychology, vol.73, N°.2, pp.149-
169.
Flichy P., (2004/2), L’individualisme connecté entre la technique numérique et la société, Réseaux,
N° 124, pp.17-51.
Fornell C., Larcker, D.F. (1981): Evaluating Structural Equation Models with Unobservable
Variables and Measurement Errors , Journal of Marketing Research, Vol.18, N°.2, pp.39-50.
Fukuyama F., (1995), Trust: Social virtues and the creation of prosperity. London: Hamish Hamilton.
Furnell S.M., (2006), Securing the home worker, Network Security, pp.6-112.
G
Gallivan M., Strite M., (2005), Information technology and culture: Identifying fragmentary and
holistic perspectives of culture, Information and Organization, Vol.15, pp.295-238.
Gargiulo M., Bernassi, M., (1999), The dark side of social capital. In R. Th. A. J. Leenders & S. M.
Gabbay (Eds.), Corporate social capital and liability, pp.298-322. Boston: Kluwer.
Gaston S. J., (1996) Information Security: Strategies for Successful Management. CICA Publishing,
Toronto.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 348
Gattiker U. E., Kelley H., (1999), Morality and computers: Attitudes and differences in moral
judgments. Inform. Systems Res., Vol.10, N°.3, pp.233–254.
Girod Séville M., Perret V., (1999), Fondements épistémologiques de la recherche, in Thiétart R.A.
(éd.), Méthodes de recherche en management, Paris, Dunod, pp.13-33.
Goffee R., Jones, G., (1998), The Character of a Corporation: How Your Company’s Culture Can
Makeor Break Your Business, Harper Collins Business, New York.
Gomez P.Y., Korine H., Masclef O., (2003), Le rôle du don dans les processus d’alliances
stratégiques : le cas Renault-Nissant, Xième Conférence de l’Association Internationale de
Management Stratégique.
Goold M., Campbell A., (1987), Strategies and Styles : the Role of the Center in Diversified
Corporations, Basic Blackwell.
Gopal R.D, Sanders G.L., (1998), International Software Piracy: Analysis of Key issues and Impacts,
Information Systems Research, Vol.9, N°.4, pp.380-397.
Gopal R.D, Sanders G.L., (1997), Preventive and deterrent controls for software piracy, Journal of
Management Information Systems, Vol.13, N°.4, pp.29-47.
Granovetter M., (1973), The strength of weak ties, American Journal of Sociology, vol.78, N°.6,
pp.1360-1380.
Granovetter M. S., (1982), The Strength of Weak Ties: A Network Theory Revisited , dans The
Effect of Social Jenssen J.I. & Koenig H.-F., (2002), Networks on Resource Access and
Business Start-ups , European Planning Studies, Vol.10, N°.8, pp.1039-1046.
Gulati R., (1999), Network Location and Learning: The Influence of Network Resources and Firm
Capabilities on Alliance Formation , Strategic Management Journal, Vol.5, N°.20, pp.397-
420.
Guo, K.H., Yuan, Y., Archer, N.P., Connelly, C.E., (2011), Understanding nonmalicious security
violations in the workplace: A composite behavior model. Journal of Management
Information Systems, Vol.28, N°.2, pp. 203-236.
H
Haenlein M., Kaplan A.M, (2004), A Beginner’s Guide to Partial Least Squares Analysis,
Understanding Statistics, Vol.3, N°.4, pp.283-297.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 349
Hair J. F., Ringle C. M., Sarstedt M., (2011), PLS-SEM: indeed a, silver bullet,Journal of Marketing
Theory and Practice, Vol.19, N°.2, pp.139 -151.
Hansen M.T., (1999), The search transfer problem: the role of weak ties in sharing knowledge across
organization subunits, Administrative Science Quaterly, Vol.44, pp. 82-111.
Hansen M.T, Poldony J.M. et Pfeffer J., (2001), So Many Ties, So Little Time: A Task Contingency
Perspective on Corporate Social Capital, Research in the Sociology of Organizations, Vol.8,
pp.21-57.
Hare C., (2007), Policy Development, Dans H. F. Tipton, & M. Krause, Information Security
Management Handbook, pp.475-497, Auerbach Publications.
Henseler J., Sarstedt M., (2013), Goodness-of-fit indices for partial least squares, path modeling,
Comput Stat, Vol.28, pp.565–580, Disponible en ligne sur www.springer.com
Herat T., Rao H.R., (2009), Encouraging information security behaviors in organizations: Role of
penalties, pressures and perceived effectiveness, Decision Support Systems, Vol.47, pp.154–
165.
Hofstede G., (1980), Culture's consequences: International differences in work-related values.
Newbury Park, CA: Sage.
Hofstede G., (1983), The Cultural Relativity of Organisational Practices and Theories, Journal of
International Business Studies, Vol.145, N°.2, pp.75-89.
Hofstede G., Neuijen B., Daval Ohayv D., Sanders G.(1990). Measuring Organizational Cultures: A
Qualitative and Quantitative Study Across Twenty Cases, Administrative Science Quarterly,
Vol.35, No.2, pp. 286-316.
Hofstede G., (1991), Vivre dans un monde multiculturel. Comprendre nos programmations mentales.
Les Editions d’Organisation.
Hofstede G., (2002), Dimensions do not exist: A reply to Brendan McSweeney, Human Relations.
Vol.55, N°.2, pp.1-8.
Hofstede G., (2001), Culture’s consequences, Sage Publications.
Hone K., Eloff, J. H., (2002), What Makes an Effective Information Security Policy? Network
Security, Vol.20, N°.6, 14-16.
Howell R.-D., Breivik E., Wilcox, J-B, (2007), Reconsidering Formative Measurement,
Psychological Methods, Vol.12, N°:2, pp.205-218.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 350
Hu Q., Dinev,T., Hart, P., Cooke, D., (2012), Managing Employee Compliance with Information
Security Policies: The Critical Role of Top Management and Organizational Culture,
Decision Sciences. Vol.43, N°.4, pp.615-660.
J
Johnston A.C., Warkentin M., (2010), Fear Appeals and Information Security Behaviors, MIS
Quarterly Vol.34, N°.3, pp.549-566
Johnston A.C., Hale E., (2009), Improved Security through Information Security Governance ,
Communications of the ACM, Vol.52, N°.1, pp.126-129.
Johnson E., Dynes S., (2007), Proceedings of the Sixth Workshop on the Economics of Information
Security, Carnegie Mellon University, Vol.7, N°.7-8.
K
Kaarst-Brown M. and Robey D., (1999), More on myth, magic and metaphor: Cultural insights into
the management of information technology in organizations. Information Technology and
People, Vol.12, N°.2, pp.192-217.
Kalmijn N., (2003), Shared Friendship Networks and the Life Course: An Analysis of Survey Data
on Married and Cohabiting Couples, Social Networks, Vol.25, N°.3, pp.231–249.
Kline R.B., (2010), Principles and practice of structural equation modeling The Guilford Press, New
York, (3ème édition).
Kreiner K., Schultz M., (1993), Informal Collaboration in R&D: The Formation of Networks Across
Organizations, Organisation Studies, Vol.14, N°.2, pp.189–209.
Klukhohn C., (1951), The Study of Culture, In Lerner D.,Lasswell H., (Eds), The policy sciences,
Stanford University Press, pp.86-101.
Kluckhohn, C., (1952), Culture: A critical review of the Concepts and definitions. Cambridge,
Harvard University Press.
Krackhardt D., Stern R.N., (1998), Informal Networks and Organizational Crises: An Experimental,
Social Psychology Quarterly, Vol.51, N°2, pp.123-140.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 351
Komai M., Stegeman M., (2010), Leadership based on asymmetric information, RAND Journal of
Economics Vol.41, N°.1.
L
Lallement M., (2003), Capital social et théorie sociologique, in Actes du colloque organisé par le GRIS,
Université de Rouen.
Latour B., Woolgar S., (1979), La Vie de Laboratoire, La Découverte, Paris, édition originale, Sage
Publications.
Latour B., (1987), La Science en Action, La Découverte, Paris; édition originale, Harvard University
Press, Cambridge, Ma.
Laumnan E.O., Papi, F.U., (1967), Networks of collective action: a perspective on community
influence systems, New-York Academic Press.
Lazega E., (2006), Capital social, processus sociaux et capacité d’action collective, Le capital Social
sous le dir. De Bevort A. et Lallement M., La revue du Mauss.
Leana C. R., Van Buren H. J., (1999), Organizational social capital and employment practices,
Academy of Management Review, Vol.24, pp. 538-555.
Le Corre S., (2003), Gestion des compétences et qualification du travail : une analyse des politiques
de firme, in Dupray A., Guitton C., Monchatre S. (eds), Réfléchir la compétence, Toulouse,
Octarès Editions.
Leenders R.,Gabbay S., (1999), Corporate Social Capital and Liability. Boston, MA: Kluwar.
Lesca N., Caron-Fasan M.-L., (2008), Strategic Scanning Project Failure and Abandonment Factors:
Lessons Learned, EuropeanJournal of Information Systems (EJIS), vol.17, September
2008, pp. 371-386
Levin Z., Cross R., (2004), The strength of weak ties you cn trust: the mediating role of trust in
effective knowledge transfer, Academy of Management Proceedings MOC: D1.
Leidner and Kayworth, (2006), A review of Culture in Information Systems Research: Toward a
Theory of Information Technology Culture Conflict, MIS Quarterly, Vol.30, N°.2, pp.357-
399.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 352
Leonard, L. N. K., Cronan T. P., Kreie J., (2004). What influences IT ethical behavior intentions—
Planned behavior, reasoned action, perceived importance, individual characteristics? Inform.
Management, Vol.42, N°1, pp.143–158.
Leonard, L.N.K., Cronan T.P., (2001), Illegal, inappropriate, and unethical behavior in an
information technology context: a study to explain influences, Journal of the Association for
Information Systems,Vol.1, N°.12, pp.1–31.
Lincoln, J.R., (1982), Intra- (and inter-) organizational networks, Research in the Sociology of
Organizations, Vol.1, pp.1–38.
Liebeskind J.P., Oliver A.L., Zucker L., Brewer M., (1996), Social Networks, Learning, and
Flexibility: Sourcing Scientific Knowledge in New Biotechnology Firms. Organization
Science, Vol.7, N°.4, pp. 428-443.
Lin N., Ensel W., Vaughn J., (1981), Social resources and strength of ties: Structural factors in
occupational status attainment. Amer. Soc. Rev. 46 393-405.
Lin N., (1999), Social Networks and Status Attainment, Annual Review of Sociology, Vol.25, pp.
467-487.
Lin N., (2001), Social Capital: A theory of social structure and action, Cambridge University Press.
Lin N., (2005), Social Capital, in: J. Beckert & M. Zagiroski (Eds) Encyclopedia of Economic
Sociology (London, Rutledge).
Lin N., (2008), A network theory of social capital, in The Handbook of Social Capital, edited by
Dario Castiglione, Jan Van Deth, and Guglielmo Wolleb. New York: Oxford University
Press.
M
Mahmood A., Siponen M., Straub D, (2010), Moving toward black hat research in information
systems security: an editorial introduction to the special issue, MIS Quarterly Vol.34, N°.3
pp.431-433.
Mardsen P., Campbell C. (2012), Reflections on Conceptualizing and Measuring Tie Strength ,
Social Forces, Vol. 91, N°.1, pp17–23.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 353
Mardsen P., Campbell C., (1984), Measuring tie strength, Social Forces, Vol.63, N°2, p. 482-501.
Marsden P.-V., Hurlbert J-.S., (1988), Social resources and mobility outcomes : a replication and
extension Social forces, Vol.66, N°.4), pp.1038-1059.
McEvily B., Marcus A., (2005), Source: Strategic Management Journal, Vol.26, N°.11, pp.1033-
1055.
McEvily B., Zaheer A., (1999), Bridging Ties: A Source of Firm Heterogeneity in Competitive
Capabilities, Strategic Management Journal, Vol.20, N°.12, p.1133.
McDonald P., Gandz J., (1992), Getting value from shared values, Organizational Dynamics, Vol.21,
N°.3, pp.64-76.
McDonald P., Gandz J., (1991), Identification of values relevant to business research, Human
Resource Management, Vol.30, N°.2, pp.217-236.
MacKenzie S. B., (2003). The Dangers of Poor Construct Conceptualization, Journal of the Academy
of Marketing Science, Vol.31, N°.3, pp. 323-326.
McFadyen M. A., Cannella A.A. J., (2004), Social capital and knowledge creation: diminishing
returns of the number and strength of exchange relationships. Academy of Management
Journal, Vol.47, N°.5, pp.735-746
Mercklé, (2004), La sociologie des réseaux sociaux, La découverte (Puf).
Midler C., (1998), L’auto qui n’existait pas : management des projets et transformation de
l’entreprise, Paris, Dunod.
Miles M.B., Huberman A.M., (2003), Analyse des données qualitatives, Bruxelles, De Boeck
Université.
Mintzberg H., (1973), The Nature of Managerial Work, Harpercollins College ed.
Mitnick, K. D., (2002). The Art of Deception: Controlling the Human Element of Security, New
York: Wiley Publishing.
Mitroff I.I., Kilmann, R.H, (1976), On organizational stories: an approach to the design ananalysis of
organization through myths and stories. Edition de R. Kilmann, L.R. Pondy et D. Slevin. The
management of organization design, New York: Elsevier North Holland.
Mitroff, I.I., (1983), Stakeholders of the organizational mind. San Francisco: Jossey-Bass.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 354
Murray B., (1991), Running Corporate and National Security Awareness Programs, in Proceedings of
the IFIP TC11 Seventh International Conference on IS Security, Amsterdam: North-Holland
Publishing Co., pp.203-207.
Myers M., and Newman, M., (2007), The Qualitative Interview in IS Research: Examining the Craft,
Information and Organization, Vol.171, pp.2-26.
Myyr L., Siponen M., Vartainen T., Vance A., (2009), What levels of moral reasoning and values
explain adherence to information security rules? An empirical study, European Journal of
Information Systems, N°.18, pp.126–139.
N
Nelson R., Winter S.G., (1982), An Evolutionary Theory of Economic Change, Cambridge (Mass.),
Belknap Press/Harvard University Press.
Nelson R. E., (1989), The strength of strong ties: Social networks and intergroup conflict in
organizations, Academy of Management Journal, Vol.32, pp.377-401.
Nooteboom B., (2000), Learning and Innovation in Organizations and Economies, Oxford University
Press.
Nonaka, I., Takeuchi, H. (1997), La connaissance créatrice: La dynamique de l’entreprise apprenante,
De Boeck Université.
Nunnally J.C, (1978), Psychometric theory McGraw-Hill, New York, (2eme édition).
O
O'Connor, A. D, (1993. Successful Strategic Information Systems Planning. Journal of Information
Systems, Vol.1, pp.71-83.
Ogien A., (1995), Sociologie de la déviance, édition Armand Colin, Paris.
Ogien R., (2004), Le rasoir de Kant, Paris-Tel Aviv, Editions de l‟Eclat.
O’Reilly C.A., Chatman, J. et Cadwell, D.F, (1991), People and organizational culture: a profile
comparison approach to assessing person-organization fit. Academy of Management Journal.
vol. 34, pp. 487-516.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 355
Ouchi W. G., (1978), Type Z Organization: Stability in the Midst of Mobility, The Academy of
Management Review, Vol.3, N°.2, pp.305-314.
Ouchi W. G., (1980), Markets, bureaucracies, and clans, Administrative Science Quarterly, 25: 129-
141
Ouchi W.G., (1983), Efficient Cultures: Exploring the Relationship Between Culture and
Organizational Performance, Administrative Science Quarterly, Vol.28, No. 3, pp. 468-481
P
Parsons T., (1937), The Structure of Social Action, New York, McGraw-Hill.
Parsons T., (1951), The social system, New York, The free Press.
Peltier T., (2002), How to Build a Comprehensive Security Awareness Program, Computer Security
Journal, Vol.16, N°.:2, pp.23-32.
Peltier T., (2002), IS security Policies, Procedures, and Standards: Guidelines for Effective IS
security Management, Boca Raton, FL: Auerbach Publications.
Perry-Smith J. E., & Shalley, C. E, (2003), The social side of creativity: A static and dynamic social
network perspective. Academy of Management Review, Vol.28, pp. 89-106.
Perry-Smith J.E., (2006), Social yet creative: The role of social relationships in facilitating individual
creativity, Academy of Management Journal, Vol.49, N°.1, pp.85-101.
Perry-Smith J.E. et Shalley C.E., (2003), The Social Side of Creativity: A Static and Dynamic Social
Network Perspective, Academy of Management Review, Vol.28, N°.1, pp.89-106.
Petrażycki L., (1955), Law and Morality, Edited with an introduction by N.S. Timasheff. Cambridge,
Mass.: Harvard University Press. Réimprimé avec une nouvelle introduction de A. Javier
Trevino. New Brunswick: NJ: Transaction Publishers, (2011).
Pillon V., (2003), Normes et deviance, Collection Thèmes & Débats sociologie, Paris, Bréal.
Piquero, A.R., Hickman M., (1999). An Empirical Test of Tittle’s Control Balance Theory,
Criminology Vol.37:2, pp.319-342.
Piquero N.L., Tibbetts, S.G., Blankenship M.B., (2005), Examining the Role of Differential
Association and Techniques of Neutralization in Explaining Corporate Crime, Deviant
Behavior, Vol.26, N°2, pp.159-188.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 356
Pisano G., (1994), Knowledge, Integration, and the Locus of Learning: a Empirical Analysis of
Process Development, Strategic Management Journal, Vol.12, pp. 80-100
Podolny J.M., Hansen M., Pfeffer J., (2001), So Many Ties, So Little Time: A Task Contingency
Perspective on The Value of Social Capital, in organizations, in Shaul M. Gabbay, Roger Th.
A. J. Leenders (ed.) Social Capital of Organizations (Research in the Sociology of
Organizations, Volume 18), Emerald Group Publishing Limited, pp.21-57
Podolny J.M., Baron J.M, (1997), Resources and Relationships: Social Networks and Mobility in the
Workplace, American Sociological Review, Vol.62, N°.5, pp.673-693.
Podolny J.M., Page K.L., (1998), Reviewed Network Forms of Organization, Annual Review of
Sociology, Vol.24, pp.57-76.
Podolny J.M., Stuart T.E., (1995), AJS Volume 100, pp.1224-1260
Ponthieux S., (2006), Le social capital : contrôle social, réciprocité généralisée ou confiance
nationale brute ?, Le capital Social sous la dir. Bevort A.et M.Lallement M., La revue du
Mauss.
Portes A., (1998), Social capital: Its origins and applications in modern sociology. Annual Review of
Sociology, Vol.24, N°1-24.
Portes A., Sensenbrenner J., (1993). Embeddedness and immigration: Notes on the social
determinants of economic action. American Journal of Sociology. Vol.98, pp.1320-1350
Posthumus S., von Solms R., (2008), Agency Theory: Can it be Used to Strengthen IT Governance ?,
Proceedings of The Ifip Tc 11 23rd International Information Security Conference IFIP – The
International Federation for Information Processing Vol.278, pp.687-691
Powell W., Koput K., Smith-Doer L., (1996), Interorganizational Collaboration and the Locus of
Innovation: Networks of Learning in Biotechnology , Administrative Science Quarterly, vol.
41, pp.116-145.
Proctor P. E., and Byrnes, F. C., (2002), The Secured Enterprise: Protecting Your Information Assets,
Upper Saddle River, NJ: Prentice Hall.
Puhakainen P., (2006), A Design Theory for Information Security Awareness, unpublished Ph.D.
Thesis, University of Oulu, Finland.
Puhakainen P., Siponen M., (2010), Improving employees’ compliance through information systems
security training: an action research study, MIS Quarterly Vol. 34, N°.4 pp. 757-778.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 357
Putman R., (1995), Bowling alone: America declining social capital, in Journal of democracy, Vol.6,
N°.1, pp. 64-78.
Q
Quinn R.E, Rohrbaugh J., (1983), A spatial model of effectiveness criteria: towards a competing
values approach to organizational analysis, Management Science, Vol.29, pp.363-377.
Quinn R.E, Rohrbaugh, J, (1981), A competing values approach to organizational effectiveness ,
Public Productivity Review, Vol.5, pp.122-140.
Quinn R.E., (1998), Beyond rationale management: mastering the paradoxes and competing demands
of high performance., Jossey-Bass, San Francisco, CA.
R
Raeder T., Omar L., Hachen D., Nitesh V. C., (2011), Predictors of Short-term Decay of Cell Phone
Contacts in a Large Scale Communication Network. Social Networks, Vol.33, N°4, pp.:245-
57.
Rainer K., Marshall T.E., (2007), Do Information Security Professionals and Business Managers
View Information, Security Issues Differently?, Information Systems Security, Vol.16,
pp.100–108.
Reagans R., MCEvily B., (2003), Network Structure and Knowledge Transfer: the Effect of
Cohesion and Range, Administrative Science Quarterly, vol. 42, N°2, pp.240-267.
Reagans R., Zuckerman E., (2001), Networks, Diversity and Performance: The Social Capital of
R&D Units, Organization Science, Vol.12, pp. 502-517.
Richardson R., (2011), Computer Crime and Security Survey,
https://cours.etsmtl.ca/log619/documents/divers/CSIsurvey2010.pdf.).
Richardson R., (2007), CSI/FBI Computer Crime and Security Survey, Computer Security Institute,
San Francisco.
Ringle, C. M., Wende, S., Will A. (2005): SmartPLS 2.0, (www.smartpls.de.).
Rodan S., Galunic C., (2002), Knowledge heterogeneity in managerial networks and its effect on
individual performance, Academy of Management Best Papers Proceedings, Denver, 6 p.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 358
Rodan S., Galunic C., (2004), More that network structure: how knowledge heterogeneity influences
managerial performance and innovativness, Strategic Management Journal., N° 25: 541–562.
Rogers E., (2003), Diffusion of Innovation, 4th edition. The Free Press, New York.
Rogers E., (1995), Diffusion of Innovations, The Free Press, New York.
Rogers E., (1962), Diffusion of Innovations, The Free Press. New York.
Rogers, E. M., (1982), Information exchange and technological innovation. Dans D. Sahal, The
Transfer and Utilization of Technical Knowledge, Lexington Books, Lexington, MA
Rokeach M., (1972), A theory of Organization and Change, Jossey- Bass Publishers.
Rokeach M., (1973), The Nature of Human Values, The Free Press. Macmillan. New York.
Rossi I. and O’Higgins, E., (1980), The development of theories of culture. In Rossi, I.(ed.), People
in Culture, pp.31-78, NY Praeger.
Rouleau L., (2005), Micro-practices of strategic sensemaking and sensegiving: how middle managers
interpret and sell change every day, Journal of Management Studies, Vol. 42, N°.7, pp.1413-
1443.
Roussel P., Durrieu F., Campoy E. et El Akremi A. (2002), Méthodes d’équations structurelles :
recherche et applications en gestion, Economica, Paris.
Rowley T., Behrens D. et Krackhardt D., (2000), Redundant governance structure: an analysis of
structural and relational embeddedness in the steel and semiconductor industries, Strategic
Management Journal, Vol.21, N°.3, pp.369-386.
Rogers, R. W., Prentice-Dunn, S., (1997), Protection motivation theory, In D. S. Gochman (Ed.),
Handbook of Health Behavior Research I: Personal and Social Determinants, New York, NY,
Plenum Press, pp.113-132.
Russell C., (2002), Security awareness-implementing an effective strategy,
http://www.sans.org/reading-room/whitepapers/awareness/security-awareness-implementing-
effective-strategy-418.
S
Schein, E. H. (2004), Organizational culture and leadership, Jossy-Bass. (3rd. ed.).
Schein E.H., (1992), Organizational culture and leadership, Jossey-Bass éditeur.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 359
Schein E., (1985a), How Culture Forms, Develops and Changes, Gaining control of the Corporate
Culture, R. H. Kilmann et al. San Francisco, pp.17-43.
Schein E.H., (1985b), Organizational Culture and Leadership, San Francisco: Jossey-Bass Publishers.
Schlienger T., Teufel S., (2003), Information Security Culture - From Analysis to Change,
Proceedings of ISSA, Johannesburg, South Africa.
Schlienger T., Teufel S., (2002), Information Security Culture-The Socio-Cultural Dimension,,
Information Security Management, IFIP TC11 International Conference on Information
Security, Cairo, Egypt.
Schwartz S.H., Vecchione M., Fischer R., Ramos A., Demirutku K., Dirilen-Gumus O., Cieciuch J.,
Konty M, Verkasalo M., Lönnqvist J-E. Davidov E., Beierlein C.,(2012), Journal of
Personality and Social Psychology, Vol.103, N°.4, pp.663–688.
Schwartz S., (2006), Les valeurs de base de la personne: théorie, measures et applications, Revue
française de sociologie, Vol.47, N°.4, pp.929-968.
Schwartz S., (1999), Cultural value differences: Some implications for work. Applied Psychology:
An International Review, No.48, pp.23-47.
Schwartz S, (1994), Basic Human Values: An Overview, The Hebrew University of Jerusalem.
Schwartz S, (1992), Universals in the content and structure of values: theoretical advances and
empirical tests in 20 countries, Advances in experimental social psychology. Vol.25, pp.1-65,
Schwartz S. and Bilsky W, (1987), Towards a universal psychological structure of human values,
Journal of Personality and social Psychology, Vol.53, N°.3, pp.550-562.
Schwartz S., Boehnke K., (2004), Evaluating the structure of human values with confirmatory factor
analysis, Journal of Research in Personality, N°.38, pp.230-255.
Schwarz A. and Chin W, (2007), Looking Forward: Toward an Understanding of the Nature and
Definition of IT Acceptance, Journal of Association Information Systems, Vol.8, N°4, Article
6, pp.230-243
Sellin T., (1983), Conflits de culture et criminalité, Pedone.
Schrader S., (1991), Informal Technology Transfer Between Firms: Cooperation Through
Information Trading, Research Policy, Vol.20, N°2, pp.153-170.
Segrestin D., (1996), Sociologie de l’entreprise, Paris, Armand Colin.
Simon F. Tellier A., (2008), Créativité et réseaux sociaux dans l’organisation ambidextre, Revue
française de gestion, N°.187.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 360
Sennett R., (2000), Le travail sans qualité. Les conséquences humaines de la flexibilité, Paris, Albin
Michel.
Sennett R., (2005), La culture du nouveai capitalisme, Paris, Albin Michel.
Shi G., Shi Y-z., Wang Y, (2009), Relationship strength in service. industries A measurement model,
The Market Research Society.
Short J., Williams E., Christie, B., (1976), The social psychology of telecommunications. London,
England: John Wiley.
Simmel G, (1987), Philosophie de l’argent, Paris; PUF.
Siponen, M., (2000), A Conceptual Foundation for Organizational Information Security Awareness,
Information Management & Computer Security, Vol.8, N°.1, pp.31-41.
Siponen, M.T., (2005), Analysis of modern information security development approaches: towards
the next generation of social and adaptable ISS methods, Information and organization, Vol.
15, N°.4, pp.339-375.
Siponen M., Puhakainen P., (2010), Improving employees’ compliance through information systems
security training: an action research study, MIS Quarterly Vol. 34 No.4, pp.757-778
Siponen M., Vance A., (2010), Neutralization: new insight into the problem of employee information
systems security policy violations, MISQ.
Siponen M., Phanila S., Mamood A., (2007), Which factors explain Employees’ adherence to
information security, policies? an empirical study, MISQ.
Siponen, M. T., Pahnila, S., Mahmood, A., (2007), Adherence to Information Security Policies: An
Empirical Study, Proceedings of the IFIP SEC2007, Sandton, Gauteng, South Africa.
Smircich L., (1983), Concepts of Culture and Organizational Analysis, Administrative Science
Quarterly, Vol.3, pp.339-358.
Smith-Doerr L., (2005), Institutionalizing the Network Form: How Life Scientists Legitimate Work
in the Biotechnology Industry, Sociological Forum, Vol.20, N°.2, pp.271-299.
Stanton, J. M., Stam, K. R., Mastrangelo P., Jolton, J., (2005), An analysis of end user security
behaviors, Computers & Security, Vol.24, pp.124-133.
Steinfield C.W., (1986), Computer mediated communication in an organizational setting: Explaining
task-related and socioeconomical uses, In Communication yearbook 9. ed. M.L. Mclaughlin,
pp.777-804. Newbury Park, CA: Sage.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 361
Straub D. W., Boudreau, M., Gefen D., (2004), Validation Guidelines for IS Positivist Research,
Communications of the Association for Information Systems, Vol.13, N°.24, pp.380-427.
Straub D., Loch K., Evaristo R., Karahanna E., Strite M., (202), Toward a Theory-Based
Measurement of Culture, Journal og Global Information Management, VOL.10, N°.1, pp.13-
23.
Straub D.W. and Welke, R.J., (1998), Coping with Systems Risk: Security Planning Models for.
Management Decision-Making, MIS Quarterly, Vol.22, N°4, pp.441-469.
Straub D.W., (1990), Effective IS Security: An Empirical Study, Information Systems Research,
Vol.1, N°.3, pp.255-276.
Straub D. W., (1989), Validating Instruments in MIS Research, MIS Quarterly, Vol.13, N°2, pp.147-
169.
Sutherland E., D., Cressey R., (1966), Principes de criminologie, trad. Cujas.
Sykes G.M., MATZA D., (1957), Techniques of neutralization: a theory of delinquency, American
Sociological review, Vol.22, N°6.
T
Teece D.J., Pisano G., Shuen A., (1997) Dynamic Capabilities and Strategic Management, Strategic
Management Journal, Vol.18, No.7, pp.509-533.
Thiétart, R.A., (2000), Management et complexité : concepts et théories, Centre de recherche DMSP,
Cahier N°282.
Thiétart R.A., (2003), Méthodes de recherche en Management, Dunod, Paris.
Thompson D., (1998), Computer crime and security survey, Information Management & Computer
Security, Vol.6, N°.2, pp.78-101.
Thomson M.E., von Solms R., (1997). An Effective IS Security Awareness Program for Industry, in
Information Security in Research and Business (Proceedings of IFIP TC 11 13th International
Conference on IS Security),
Thomson, M. E., von Solms, R, (1998), IS Security Awareness: Educating Your Users Effectively,
Information Management & Computer Security, Vol.6, N°4, pp167-173.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 362
Thurman, Q. C, (1984), Deviance and the Neutralization of Moral Commitment: An Empirical
Analysis, Deviant Behavior, Vol.5, pp.291-304.
Triandis H.C., (1979), Values, attitudes, and interpersonal behavior, Nebraska Symposium on
motivation: Beliefs, Attitudes, and values, Lincoln, NE, University of Nebraska Press, (1980),
pp.195-259.
Trice H., (1993), Occupational subcultures in the workplace, Ithaca, NY, ILR Press.
Trompenaars F., (1996), Riding the waves of culture: Understanding cultural diversity in business.
Nicholas Brealey Publishing Ltd.
Trompenaars F, Hampden-Turner C., (2004), L'entreprise multiculturelle, Editions Maxima., Paris.
Tryfonas, T., Kiountouzis, E., & Poulymenakou, A, (2001), Embedding Security Practicies in
Contemporary Information Systems Development Approaches. InformationManagement &
Computer Security, Vol.9, N°.4, 183-197.
Tsai W., (2001), Knowledge Transfer in Inter-organizational Networks: Effects of Network Position
and Absorptive Capacity on Business Unit Innovation and Performance , Academy of
Management Journal, Vol.44, N°.5.
Tushman M.L., Katz R., (1980), External communication and project performance : an investigation
into the role of gatekeepers, Management Science, Vol.26, N°.11, pp.1071- 1085.
U
Uzzi B., Spiro J., (2005), Collaboration and Creativity: The Small World Problem. American Journal
of Sociology.Vol.111, N°.2, pp.447-504.
Uzzi B., (1997), Social Structure and Competition in Interfirm Networks: The Paradox of
Embeddedness, Administrative Science Quarterly, Vol.42, N°1, pp.35-67.
V
Van der Gaag M.P.J., Snijders T., Flap H.D. (2004), Position Generator measures and their
relationship to other social capital measures, XXIII Sunbelt International Social Networks
Conference, Cancùn, Mexico, February, Vol.12, N°.16,
http://www.xs4all.nl/~gaag/work/msc.html.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 363
Vance A., Siponen M., Phanila S, (2009), How Personality and Habit Affect Protection Motivation
Association of Information Systems SIGSEC Workshop on Information Security & Privacy
(WISP 2009). December 14, Phoenix, AZ, USA.
Venkatesh, V., Morris, M. G., Davis, G. B. and Davis, F. D., (2003), User Acceptance of Information
Technology: Toward a Unified View, MIS Quarterly, Vol.27, N°3, pp. 425-478.
Verdon D., (2006), Security Policies and the Software Developer, IEE Security & Privacy, pp.42-49
Von Solms, R., Van Niekerk J.F., (2010), Information security culture: A management perspective,
computers & security N°29, pp.476-486.
Von Solms R., Von Solms B, (2004), From policies to culture, Computers & Security, Vol.23.
Von Solms B, (2001), Information security, a multidimensional discipline, Computers & Security,
N°20, pp. 504508.
Von Solms, R., (1999), Information Security Management: Why Standards Are Important,
Information Management and Computer Security Vol.7, N°1, pp.50-58.
Von Hippel E., (1987), Cooperation between rivals: Informal know-how trading, Research Policy,
Vol.16, pp.291-302.
Voss B.D., (2001), The ultimate defence of depth: security awareness in your company,
http://www.sans.org/reading-room/whitepapers/awareness/ultimate-defense-depth-security-
awareness-company-395.
Vroom C., von Solms, R., (2002), A Practical Approach to IS Security Awareness in the
Organization, in Security in the Information Society: Visions and Perspectives (Proceedings
of IFIP TC 11 17th International Conference on IS Security).
Vroom V.H., (1964), Work and motivation. New-York: Wiley.
W
Waldinger, R., (1995), The other side of embeddedness: A case-study of the interplay of economy
and ethnicity. Ethnic and Racial Studies, N°.18, pp.555-573
Walker G., Kogut B., Weijian S. , (1997), Social Capital, Structural Holes and the Formation of an
Industry Network, Organization Science, Vol.8, No.2 pp.109-125
Walsh I. and Kefi H. (2008), The Spinning Top Model, a new Path to conceptualize Culture and
Values: applications to IS research, ICIS proceedings, Paris 2008 France.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 364
Warren D.E., (2003), Constructive and Destructive Deviance in Organizations, The Academy of
Management Review, Vol.28, N°.4, pp.622-632.
Wach, M., Hammer B., (2003). La structure des valeurs est-elle universelle ? Genèse et validation du
modèle compréhensif de Schwartz. Paris : L’Harmattan.
Wellman B., Wong R.Y-l., Tindall D., Nancy N., (1997), A Decade of Network Change: Turnover,
Persistence and Stability in Personal Communities, Social Networks Vol.19, pp.27–50.
Wending T., Goshen S., (1998), Social capital and value creation: the role of intrafirm networks,
Academy of Management Journal, Vol.41. No.4,pp.464-476.
Wenger E., (1998), Communities of practice: learning, meaning, and identity, Cambridge University
Press.
Whitman M. E. (2003), Enemy at the Gate: Threats to Information Security, Communications of the
ACM, Vol.46, N°.8, pp.91-95.
Wiener Y., (1982), Commitment in organizations, A normative view, Academy of Management
Review, Vol.7, N°.3, pp.418-428.
Wiener Y., Gechman A.S., (1977), Commitment: a behavioural approach to job involvement, Journal
of Vocational Behavior, Vol.10, pp.47-52.
Williams P.A.H., (2008), In a ‘trusting’ environment, everyone is responsible for information
security, Information security technical report N°.13.
Williams R.M., (1968), The concept of values, In D.Stills (Ed.).International encyclopedia of the
social sciences, pp.283-287. New York: Macmillan.
Williamson O., (1993), Calculativeness, Trust and Economic Organization, Journal of Law and
Economics, Vol.36, pp 453-486.
Willmott H., (1987), Studying Managerial Work: a critique and a proposal, Journal of Management
Studies, Vol.24, N°.3, pp.249-270.
Wils T., Luncasu M., Waxin M-F., (2007), Relations industrielles / Industrial Relations, Vol.62,
N°.2, pp. 305-332.
Wold H., (1982), Soft modeling: the basic design and some extensions. In: JLoreskog, K.G., Wold,
H. (Eds.), Systems under Indirect Observation, Part 2, North-Holland, Amsterdam, pp.1–54.
Wood M. B., (1982), Introducing Computer Security, NCC Publications.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 365
Wood C.C., (1995), Information Security Awareness Raising Methods, Computer Fraud & Security
Bulletin, pp.13-15.
Wood C.C., (2002), The Human Firewall Manifesto, Computer Security Journal, Vol.18, N°.1,
pp.15-18.
Woolock M., (1998), Social Capital and Economic Development: Toward a Theoretical Synthesis
and Policy Framewor, Theory and Society, Vol.27, No. 2, pp.151-208.
Workman M., (2007), Gaining Access with Social Engineering: An Empirical study of the Threat.
Information Security Journal: A Global Perspective, Vol.16, N°6, pp. 315-331.
Workman M., Bommer W. H., Straub D., (2008), Security lapses and the omission of information
security measures: A threat control model and empirical test, Computers in Human Behavior,
N° 24, pp.2799–2816.
Wylder J. O., 2003, Improving Security From the Ground Up, Information Systems Security, Vol.11,
N°.6, pp.29-38.
Y
Yli-Renko H., E. Autio E., Sapienza H-.J, (2001), Social Capital, Knowledge Acquisition and
Knowledge Exploitation in Young Technology-Based Firms, Strategic Management Journal,
Vol.22, N°6/7, pp. 587-613.
Z
Zuccato A., (2004), Holistic security requirement engineering for electronic commerce, Computers
and Security, Vol.23, N°.1, pp.63-76.
Zucker L., (1986), Production of trust institutional sources of economic structure: 1840- 1920,
Research in Organization Behaviour, Vol. 8, pp 53-111.
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 366
TABLE DES FIGURES
Figure 1 : Architecture de la recherche ................................................................................. 25
Figure 2: Architecture générale du chapitre 1 ........................................................................ 27 Figure 3: Synthèse entre intérêt pour soi et intérêt pour autrui (Caillé, 2009: 59) .................. 34
Figure 4: Synthèse entre obligation et liberté (Caillé, 2009: 65) ............................................ 35 Figure 5: Topologie de l'action (Caillé, 2009: 68) ................................................................. 35
Figure 6: Corpus théorique primaire constituant et influençant le capital social ................... 71 Figure 7: Théorie de l'effectuation (Sarasvathy, 2001 :253) .................................................. 79
Figure 8: Raisonnement causal (prédictif) et effectual (traduit de Sarasvathy et al., 2008 : 3) 80 Figure 9: Processus effectual: une approche transformative (Wiltbank et al, 2006 : 992)....... 82
Figure 10: Synthèse du corpus théorique des constituants et influenceurs du capital social... 94 Figure 11: Architecture du chapitre 2 .................................................................................... 96
Figure 12: Les quatre dimensions des systèmes de sécurité de l’information (Loch, 1992: 176)
................................................................................................................................... 103
Figure 13: Les quatre dimensions des systèmes de sécurité de l’information (Warkentin,
Straub & Malimage (2012 :2) adapté de Loch, 1992) .................................................. 121
Figure 14: Exemple de sensibilisation à la sécurité de l'information (NIST, 2003: D-3) ...... 133 Figure 15: Relations entre pratiques managériales de sécurité, culture individuelle et culture
collective .................................................................................................................... 143 Figure 16: Transaction stratégique – influences du capital social et de la sécurité de
l’information ............................................................................................................... 146 Figure 17: Architecture du chapitre 3 .................................................................................. 148
Figure 18: Intersection entre les concepts de culture en anthropologie et en sciences des
organisations (source : Smircich, 1983) ....................................................................... 151
Figure 19: Différences culturelles (Hofstede & al, 1990) .................................................... 152 Figure 20: Les trois niveaux de la culture organisationnelle (d’après Schein, 1984) ............ 156
Figure 21: modèle théorique figurant les relations entre les types motivationnels de valeurs les
types de valeur d’ordre supérieur et les dimensions bipolaires des valeurs (Schwartz,
1994 : 24 ; 2006/4 : 964) ............................................................................................. 166 Figure 22: Les quatre types de cultures organisationnelles selon Mitroff et Kilmann 1984 :6)
................................................................................................................................... 177 Figure 23: Catégories de valeurs selon Rokeach (1973) ...................................................... 182
Figure 24: Structure de valeurs individuelles par types motivationnels (Schwartz, 1994 : 24 ;
2006/4:964) ................................................................................................................ 187
Figure 25: Entrelacement des bases théoriques: Capital social - Sécurité de l'information-
Culture Organisationnelle ........................................................................................... 192
Figure 26: Transaction stratégique – influences du capital social et de la sécurité de
l’information ............................................................................................................... 193
Figure 27: Modèle conceptuel ............................................................................................. 211 Figure 28 : Demander - donner ........................................................................................... 244
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 367
TABLE DES TABLEAUX
Tableau 1:Deux paradigmes de la recherche ......................................................................... 20
Tableau 2: Différentes définitions du capital social ............................................................... 43 Tableau 3: Homogénéité et hétérogénéité des réseaux (Degenne et Forsé, 2004 :230) ........... 52
Tableau 4: Comparaison des approches de l'innovateur selon Alter/et Sarasvathy ................. 86 Tableau 5: Synthèse de l'effet de la structure des liens sur l'innovation ................................. 90
Tableau 6: Liste non exhaustive des principaux des objectifs de sécurité identifiés par les
praticiens et chercheurs (Johnston et al, 2008 : 254) .................................................... 101
Tableau 7: Recherches portant sur les comportements malveillants (Warkentin Straub &
malimage, 2012 : 4) .................................................................................................... 122
Tableau 8: Recherches portant sur les comportements non malveillants (Warkentin Straub &
Malimage, 2012 :5) ..................................................................................................... 123
Tableau 9: synthèse des travaux sur la sensibilisation à la sécurité de l’information (traduit et
complété de Tshou, 2008: 223) ................................................................................... 135
Tableau 10: Action des composants de sécurité sur la culture individuelle/organisationnelle
................................................................................................................................... 140
Tableau 11: Dimensions de la culture organisationnelle (Leidner et Kayworth, 2006 : 361-
362) ............................................................................................................................ 158
Tableau 12: Modèle tétra-factoriel de Cameron et Freeman (1991) ..................................... 178 Tableau 13: Le modèle des relations sociales de Goffee et Jones (1998) ............................. 179
Tableau 14: Modèle des valeurs concourantes (McDonald, P. et Gandz, J.,1992 :69) .......... 180 Tableau 15: Les 36 valeurs selon Rokeach (1973) .............................................................. 181
Tableau 16: Les valeurs selon McDonald et Gandz (1992: 68) ............................................ 183 Tableau 17: Source: Schwartz S.H. (1994 : 2) ..................................................................... 185
Tableau 18: Définition des 56 valeurs individuelles, Schwartz, 1994: 61) ........................... 187 Tableau 19: Hypothèses des construits centraux ................................................................. 210
Tableau 20: le générateur de noms ...................................................................................... 216 Tableau 21: mesure du construit LIENS ............................................................................. 218
Tableau 22: mesure du construit NRS ................................................................................. 221 Tableau 23: mesure du construit NRO ................................................................................ 223
Tableau 24: mesure du construit de non-redondance technique (NRT) ................................ 224 Tableau 25: les 4 pôles de valeurs (Schwartz, 2006: 8) ....................................................... 225
Tableau 26: valeurs individuelles de conformité (d’après Wils et al, 2007:313) .................. 227 Tableau 27: valeurs individuelles d’accomplissement de soi au travail (d’après Wils et al,
2007: 313) .................................................................................................................. 229 Tableau 28: valeurs individuelles de dépassement de soi (d’après Wils et al, 2007: 313)..... 230
Tableau 29: comparaison de notre échelle avec celle de Schwartz (2012) et McDonald et
Gantz (1992) ............................................................................................................... 231
Tableau 30: variables des valeurs individuelles et organisationnelles .................................. 232 Tableau 31: questions relatives aux valeurs individuelles .................................................... 233
Tableau 32: Questions relatives aux valeurs organisationnelles ........................................... 233 Tableau 33: mesure des valeurs individuelles et organisationnelles ..................................... 235
Tableau 34: mesure du construit SEC_ORGA .................................................................... 239 Tableau 35: mesure du construit SEC_MANAGER ............................................................ 239
Tableau 36: mesure du construit SEC_PREC ...................................................................... 239 Tableau 37: mesure du construit MEDIAS .......................................................................... 240
Tableau 38: mesure du construit ACT ................................................................................. 241
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 368
Tableau 39: mesure du construit de la variable dépendante ................................................. 247
Tableau 40: mesures du construit CARACTERISTIQUES ................................................. 248 Tableau 41: mesure des construits T_ENSE ....................................................................... 249
Tableau 42 : Choix d’un modèle réflexif ou formatif (d’après Coltman et al, 2008: 5) ........ 254 Tableau 43a: Variables formatives du modèle ..................................................................... 255
Tableau 44b: Variables réflexives du modèle ...................................................................... 256 Tableau 45: Analyse descriptive des indicateurs d’échange d’information .......................... 274
Tableau 46: Sens du flux d'informations interne/externe ..................................................... 274 Tableau 47: Valeurs descriptives des indicateurs de sécurité de l'information ..................... 276
Tableau 48 : valeurs descriptives des indicateurs des médias d'échanges d'informtions ....... 277 Tableau 49: valeurs descriptives du réseau personnel .......................................................... 278
Tableau 50: calcul du Q² pour les blocs de variables (modèle avec SSI) .............................. 294 Tableau 51: Coefficients structurels et T-Test du modèle avec SSI ..................................... 295
Tableau 52: Effet total (modèle structurel avec SSI) ........................................................... 297 Tableau 53: Récapitulatif des hypothèses de recherche ....................................................... 300
Tableau 54: Comportement de collecte d'information par les salariés en présence ou non de
mesure de SSI ............................................................................................................. 302
Tableau 55: Validation des hypothèses H1a et H1b en présence ou non de mesure de SSI . 302 Tableau 56: Validation des hypothèses H2, H3 et H4en présence ou non de mesure de SSI 303
Tableau 57: Validation des hypothèses H5 et H6 en présence ou non de mesure de SSI ...... 304 Tableau 58: Validation de l’hypothèse H7 en présence ou non de mesure de SSI ................ 305
Tableau 59: Validation des hypothèses H8 et H9 en présence ou non de mesure de SSI ...... 305 Tableau 60: Validation de l’hypothèse H10 en présence ou non de mesure de SSI .............. 306
Tableau 61: Validation de l’hypothèse H11 en présence ou non de mesure de SSI .............. 306 Tableau 62: Résultats des hypothèses ................................................................................. 309
Tableau 63: Variances obtenues sur la variable dépendante dans différentes études portant sur
la SSI .......................................................................................................................... 310
Tableau 64: Récapitulatif de la mise en perspective des résultats ........................................ 322
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 369
TABLE DES MATIERES
INTRODUCTION GENERALE
1. CONTEXTE DE LA RECHERCHE ................................................................................................................ 13
2. PROBLEMATIQUE DE LA RECHERCHE ..................................................................................................... 14
3. DEMARCHE DE LA RECHERCHE .............................................................................................................. 20
3.1. ADOPTION D’UN POSITIVISME AMENAGE ................................................................................... 20
3.2. ADOPTION D’UNE METHODOLOGIE HYPOTHETICO-DEDUCTIVE ........................................................ 22
4. CONTRIBUTIONS ATTENDUES DE LA RECHERCHE .................................................................................. 22
4.1. CONTRIBUTIONS THEORIQUES ................................................................................................. 22
4.2. CONTRIBUTIONS METHODOLOGIQUES ....................................................................................... 23
4.3. CONTRIBUTIONS MANAGERIALES.............................................................................................. 23
5. ARCHITECTURE DE LA RECHERCHE ........................................................................................................ 24
5.1. PRESENTATION DE LA PREMIERE PARTIE DE THESE ........................................................................ 24
5.2. PRESENTATION DE LA DEUXIEME PARTIE DE THESE ........................................................................ 24
PARTIE 1
CHAPITRE I : LE CAPITAL SOCIAL
1. LE CAPITAL SOCIAL ................................................................................................................................ 28
1.1. PRINCIPALES DEFINITIONS ET CONDITIONS D’ACTIVATION .............................................................. 28
1.1.1. L’approche fonctionnaliste et structuraliste de James Coleman ................................................. 28
1.1.2. La vision opérationnelle de Robert Putman ............................................................................... 29
1.1.3. La conception culturaliste et collective de Fukuyama ................................................................ 30
1.1.4. La conception instrumentale et économique de Pierre Bourdieu ................................................ 31
1.1.5. La conception culturaliste et anti-utilitariste d’Alain Caillé ........................................................ 32
1.1.6. La conception centrée sur les ressources de Nan Lin .................................................................. 36
1.2. LES CONDITIONS D’ACTION DU CAPITAL SOCIAL ............................................................................ 37
1.2.1. L’opportunité ........................................................................................................................... 37
1.2.2. La motivation ........................................................................................................................... 37
1.2.3. La Capacité .............................................................................................................................. 38
1.2.4. Synthèse des définitions et les conditions d’activation du capital social ..................................... 41
1.3. LES FACTEURS D’INFLUENCE DU CAPITAL SOCIAL .......................................................................... 43
1.3.1. Les réseaux sociaux .................................................................................................................. 43
1.3.2. Analyse des réseaux sociaux ..................................................................................................... 46
1.3.3. La structure du réseau social .................................................................................................... 48
1.3.4. La hiérarchie ............................................................................................................................ 54
1.3.5. Le contexte .............................................................................................................................. 55
1.3.6. Les symboles ou la proximité entre la théorie du capital social et théorie institutionnaliste ........ 56
1.3.7. La relation individu/organisation : entre flexibilité, érosion du capital social et nécessité d’innover
59
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 370
1.3.8. La valeur de l’échange et le délai de réciprocité ........................................................................ 62
1.4. AVANTAGES ET RISQUES DU CAPITAL SOCIAL ............................................................................... 64
1.5. SYNTHESE SUR LE CAPITAL SOCIAL ............................................................................................. 69
2. RESEAU SOCIAL ET INNOVATION ........................................................................................................... 72
2.1. L’INNOVATION « ORDINAIRE » ................................................................................................ 72
2.1.1. Le processus ............................................................................................................................. 72
2.1.2. L'élaboration de l'innovation : mobilisation collective et prise de risque .................................... 73
2.2. LA LOGIQUE EFFECTUALE DES INNOVATEURS ............................................................................... 78
2.2.1. Le processus ............................................................................................................................. 78
2.2.2. Compétences collectives et anticipation des risques .................................................................. 80
2.3. SYNTHESE DES APPORTS D’ALTER ET SARASVATHY : LA RECHERCHE DE SOUTIENS POLITIQUES ................ 85
2.4. APPORTS DE LA STRUCTURE DU RESEAU SOCIAL POUR L’INNOVATION ............................................... 87
2.4.1. Les effets de la densité des liens ............................................................................................... 87
2.4.2. Les effets des liens forts ............................................................................................................ 87
2.4.3. Les effets de l’hétérogénéité ..................................................................................................... 88
3. CE QU’IL FAUT RETENIR DU CHAPITRE 1 ................................................................................................ 91
CHAPITRE II : LA SECURITE DE L'INFORMATION
1. LA SECURITE DE L’INFORMATION .......................................................................................................... 97
1.1. PRINCIPES FONDAMENTAUX .................................................................................................... 98
1.1.1. Qu’est-ce que la sécurité de l’information ? .............................................................................. 98
1.1.2. Confidentialité, Intégrité, Disponibilité ...................................................................................... 99
1.1.3. Menaces, vulnérabilités et contre-mesures ............................................................................. 102
1.1.4. Rôle de l’organisation ............................................................................................................. 106
1.2. FONDAMENTAUX DU MANAGEMENT ....................................................................................... 107
1.2.1. Politique et management de la sécurité de l'information......................................................... 107
1.2.2. La norme ................................................................................................................................ 111
1.3. SYNTHESE DE LA SECURITE DE L’INFORMATION .......................................................................... 117
2. POUR UN APPROFONDISSEMENT DE LA RECHERCHE SUR DES EFFETS DE LA CULTURE
ORGANISATIONNELLE .................................................................................................................................. 120
2.1. COMPORTEMENT ET CONFORMITE VIS-A-VIS DE LA SECURITE DE L’INFORMATION .............................. 120
2.1.1. L’usage des théories de l’action .............................................................................................. 124
2.1.2. Application des théories de la criminologie ............................................................................. 126
2.2. LA SENSIBILISATION DES ACTEURS ........................................................................................... 130
2.2.1. Définition ............................................................................................................................... 130
2.2.2. Quelles conditions de réussite ? .............................................................................................. 134
2.3. RELATIONS ENTRE CULTURE ORGANISATIONNELLE ET LA SECURITE DE L’INFORMATION ....................... 136
2.3.1. Synthèse sur l’étude des effets des comportements et de sensibilisation ................................. 140
3. CE QU’IL FAUT RETENIR DU CHAPITRE 2 .............................................................................................. 144
CHAPITRE III: LA CULTURE ORGANISATIONNELLE
1. LA CULTURE ORGANISATIONNELLE ..................................................................................................... 149
1.1. LES SOURCES DE LA CULTURE ................................................................................................. 149
1.1.1. La culture nationale ............................................................................................................... 152
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 371
1.1.2. Pourquoi choisir la culture organisationnelle ? ........................................................................ 154
1.1.3. La culture organisationnelle ................................................................................................... 155
1.2. MODELE D’ANALYSE DE LA CULTURE ORGANISATIONNELLE SELON SCHEIN ....................................... 156
1.3. LES VALEURS INDIVIDUELLES ET ORGANISATIONNELLES ................................................................ 158
1.3.1. La définition des valeurs selon Kluckhohn ............................................................................... 158
1.3.2. La définition des valeurs selon Rokeach .................................................................................. 159
1.3.3. La définition des valeurs selon Schwartz ................................................................................. 160
1.3.4. Valeurs et croyances .............................................................................................................. 160
1.3.5. Les valeurs et les attitudes individuelles .................................................................................. 161
1.3.6. Les valeurs et les besoins ........................................................................................................ 162
1.3.7. Les domaines de motivation universels ................................................................................... 163
1.3.8. La structuration des domaines de motivation selon le modèle théorique de Schwartz ............. 164
1.4. SYNTHESE SUR LA CULTURE ORGANISATIONNELLE....................................................................... 167
2. OPERATIONNALISATION ..................................................................................................................... 169
2.1. LES THEORIES DU COURANT CULTURALISTE DE LA DEVIANCE ......................................................... 169
2.1.1. Qu’est-ce que la déviance ? .................................................................................................... 169
2.1.2. La théorie des associations différentielles ............................................................................... 170
2.1.3. La théorie des conflits de culture ............................................................................................ 171
2.1.4. La théorie générale de la sous-culture..................................................................................... 173
2.1.5. Une vision moins négative de la déviance ............................................................................... 174
2.1.6. Synthèse du courant culturaliste de la déviance ...................................................................... 175
2.2. MESURE DE LA CULTURE ORGANISATIONNELLE .......................................................................... 175
2.2.1. Le modèle de Mitroff et Kilman............................................................................................... 176
2.2.2. Le modèle de Cameron et Freeman ......................................................................................... 177
2.2.3. Le modèle des relations sociales de Goffee et Jones ................................................................ 178
2.2.4. Le modèle des valeurs concurrentes de Mc Donald et Gandz ................................................... 179
2.3. LE CHOIX D’UNE ECHELLE DE MESURE DES VALEURS .................................................................... 181
2.3.1. L’échelle de Rokeach .............................................................................................................. 181
2.3.2. L’échelle des valeurs de McDonald et Gandz ........................................................................... 182
2.3.3. L’échelle Schwartz et Bilsky (1992, 1994) et de Schwartz (2012) ............................................. 184
2.3.5. Synthèse sur la mesure de la culture organisationnelle ........................................................... 188
3. CE QU’IL FAUT RETENIR DU CHAPITRE 3 .............................................................................................. 189
PARTIE 2
CHAPITRE IV : METHODOLOGIE ET CONCEPTION DE L’ETUDE EMPIRIQUE
1. L’APPROCHE OPERATIONNELLE ........................................................................................................... 198
1.1. CONSTRUCTION ET JUSTIFICATION DES HYPOTHESES DE RECHERCHE ............................................... 198
1.1.1. Le modèle conceptuel ............................................................................................................. 198
1.1.2. Le cadre conceptuel général et variables principales ............................................................... 201
1.1.3. Les hypothèses de recherche .................................................................................................. 203
1.1.4. Synthèse de la construction des hypothèses ............................................................................ 212
1.2. OPERATIONNALISATION DES CONSTRUITS ................................................................................. 213
1.2.1. La mesure des construits centraux .......................................................................................... 214
1.2.2. La mesure des construits individuels et environnementaux...................................................... 248
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 372
2. APPROCHE METHODOLOGIQUE .......................................................................................................... 250
2.1. METHODOLOGIE D’INVESTIGATION ......................................................................................... 250
2.1.1. Le choix d’une enquête auprès des salariés ............................................................................. 250
2.1.2. Le choix du terrain et la méthodologie de recueil des données................................................. 251
2.2. CHOIX D’UNE MESURE REFLEXIVE OU FORMATIVE ...................................................................... 253
2.3. LA METHODOLOGIE DE DEVELOPPEMENT ET DE VALIDATION DES ECHELLES DE MESURE ET CELLE DE TEST DES
HYPOTHESES DE RECHERCHE .............................................................................................................. 256
2.3.1. La méthodologie de développement et de validation des échelles de mesure .......................... 256
3. CE QU’IL FAUT RETENIR DU CHAPITRE 4 .............................................................................................. 265
CHAPITRE V : VALIDATION DES INSTRUMENTS DE MESURE DES
CONSTRUITS
1. PRESENTATION DES ECHANTILLONS ET ANALYSES PRELIMINAIRES ..................................................... 269
1.1. PRESENTATION DU JEU DE DONNEES ....................................................................................... 269
1.1.1. Les variables sociodémographiques ........................................................................................ 269
1.1.2. Comparaison globale des valeurs individuelles et organisationnelles perçues .......................... 270
1.1.3. Comportement des salariés dans l’échange d’information ...................................................... 274
1.1.4. Perception de la sécurité de l’information ............................................................................... 276
1.1.5. Le réseau personnel des participants. ..................................................................................... 277
1.2. ANALYSES PRELIMINAIRES D’ADEQUATION DES DONNEES POUR L’ANALYSE MULTI-VARIEE ................... 278
1.2.1. Traitement des valeurs manquantes ....................................................................................... 278
1.2.2. Les valeurs extrêmes ou aberrantes ........................................................................................ 278
1.2.3. Normalité et absence de multi-colinéarité .............................................................................. 279
1.2.4. Homogénéité de la variance ................................................................................................... 279
2. VALIDATION DES ECHELLES DE MESURE DES CONSTRUITS CENTRAUX DU MODELE ............................ 279
2.1. LE TEST DE VANISHING TETRAD SUR LA VARIABLE CARACTERISTIQUES ........................................ 280
2.2. EXAMEN DE LA MATRICE DE CORRELATION ............................................................................... 280
2.3. ANALYSE FACTORIELLE EXPLORATOIRE .................................................................................... 280
2.3.1. Echelle de mesure des valeurs individuelles ............................................................................. 281
2.3.2. Echelle de mesure des valeurs organisationnelles ................................................................... 281
2.3.3. Echelle de mesure de la sécurité organisationnelle de l’information ........................................ 282
2.3.4. Echelle de mesure des variables sociodémographiques ........................................................... 283
2.4. EVALUATION DU MODELE STRUCTUREL DE MESURE .................................................................... 283
2.4.1. Procédure .............................................................................................................................. 284
2.4.2. Test d’absence de multi-colinéarité......................................................................................... 286
2.5. ETAPE 1 : ANALYSE DU MODELE STRUCTUREL SANS LES VARIABLES DE SECURITE DE L’INFORMATION ..... 286
2.5.1. Fiabilité des indicateurs réflexifs ............................................................................................. 286
2.5.2. Validité convergente .............................................................................................................. 286
2.5.3. Validité discriminante ............................................................................................................. 287
2.5.4. Le modèle structurel sans les variables latentes de SSI ............................................................ 288
2.5.5. Qualité globale du modèle ...................................................................................................... 292
2.5.6. Qualité par blocs de variable .................................................................................................. 292
2.6. ETAPE 2 : ANALYSE DU MODELE STRUCTUREL AVEC LES VARIABLES DE SECURITE DE L’INFORMATION ..... 293
2.6.1. Critères de validité ................................................................................................................. 293
2.6.2. Evaluation de la robustesse du modèle par blocs de variables ................................................. 293
2.6.3. Evaluation du modèle structurel avec les variables de sécurité de l’information....................... 294
Jean-François Berthevas
Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale
Page 373
2.7. TEST DES HYPOTHESES DE RECHERCHE ..................................................................................... 299
2.7.1. Hypothèses H1a et H1b .......................................................................................................... 301
2.7.2. Hypothèses H2, H3 et H4 ........................................................................................................ 302
2.7.3. Hypothèses H5, H6 ................................................................................................................. 304
2.7.4. Hypothèse H7 ......................................................................................................................... 304
2.7.5. Hypothèse H8 et H9................................................................................................................ 305
2.7.6. Hypothèse 10 ......................................................................................................................... 306
2.7.7. Hypothèse H11 ....................................................................................................................... 306
2.7.8. Test des variables de contrôle ................................................................................................. 306
3. DISCUSSION ET MISE EN PERSPECTIVE DES RESULTATS ....................................................................... 308
3.1. A PROPOS DU MODELE......................................................................................................... 310
3.2. A PROPOS DU CAPITAL SOCIAL ............................................................................................... 310
3.3. A PROPOS DES VALEURS ....................................................................................................... 313
3.4. A PROPOS DE L’USAGE DES MEDIAS DE COMMUNICATION ............................................................ 317
3.5. A PROPOS DE LA SECURITE DE L’INFORMATION .......................................................................... 318
3.6. A PROPOS DES VARIABLES DE CONTROLE .................................................................................. 320
4. CE QU’IL FAUT RETENIR DU CHAPITRE 5 .............................................................................................. 321
CONCLUSION GENERALE
1. REPONSES AUX QUESTIONS DE RECHERCHE ........................................................................................ 324
1.1. REPONSE A LA QUESTION DE RECHERCHE N°1 ........................................................................... 325
1.2. REPONSE A LA QUESTION DE RECHERCHE N°2 ........................................................................... 326
1.3. REPONSE A LA QUESTION DE RECHERCHE N°3 ........................................................................... 328
2. APPORTS DE LA RECHERCHE ................................................................................................................ 329
2.1. APPORTS THEORIQUES ......................................................................................................... 329
2.1.1. Une meilleure compréhension des incitations à la recherche d’informations ............................ 329
2.1.2. Une meilleure compréhension des conditions d’efficacité et des effets de la sécurité de
l’information ........................................................................................................................................ 330
2.1.3. Un réseau fermé avec des liens faibles .................................................................................... 331
2.2. APPORTS METHODOLOGIQUES .............................................................................................. 332
2.3. APPORTS MANAGERIAUX ...................................................................................................... 333
2.4. LIMITES DE LA RECHERCHE .................................................................................................... 335
2.4.1. Les limites théoriques ............................................................................................................. 335
2.4.2. Les limites méthodologiques ................................................................................................... 336
3. FUTURES VOIENT DE RECHERCHE ........................................................................................................ 336
BIBLIOGRAPHIE 338
TABLE DES FIGURES 366
TABLE DES TABLEAUX 367