Management des réseaux personnels et de la sécurité de

Jean-François Berthevas

Thèse de doctorat – 2013 – Institut de Management Public et Gouvernance Territoriale

Page 1

AIX-MARSEILE UNIVERSITE

INSTITUT DE MANAGEMENT PUBLIC

ET

GOUVERNANCE TERRITORIALE

Ecole Doctorale des Sciences Economiques et de Gestion d’Aix-Marseille

Centre d’Etudes et de Recherche en Gestion d’Aix-Marseille

Management des réseaux personnels et de la sécurité de

l’information dans une perspective d’innovation : le rôle de la

culture organisationnelle

THESE

POUR L’OBTENTION DU DOCTORAT EN SCIENCES DE GESTION

d’Aix-Marseille Université

Présentée et soutenue publiquement le 13 décembre 2013 par

Jean-François BERTHEVAS

Membres du jury :

Rapporteurs : Professeur Marc BIDAN, Polytech Nantes

Professeur Régis MEISSONIER, Université de

Picardie Jules Vernes

Suffragant : Professeur Jean-Rodolphe LOPEZ, Aix

Marseille Université

Directeur de la recherche : Serge AMABILE, Maître de conférences,

Habilité à Diriger les Recherches, Aix Marseille

Université



Page 2



Page 3

L’Université Aix-Marseille n’entend donner aucune

approbation ni improbation aux opinions émises dans les

thèses ; ces opinions doivent être considérées comme

propres à leurs auteurs.



Page 4

« Ce que d'autres peuvent faire au premier essai, il le fera au centième ; ce que d'autres

peuvent faire au dixième essai, il le fera au millième. Sans doute, celui qui tiendra cette

conduite, fut-il ignorant, deviendra éclairé, fut-il faible, il deviendra fort. »

[Tcheng-Tseu, penseur chinois, IVe siècle av. J.-C]



Page 5

Je dédie cette thèse à mon fils et à toute ma famille.



Page 6

Remerciements

Mes remerciements vont en premier lieu à Serge Amabile qui m’a fait l’honneur d’accepter de

diriger ma thèse. Je lui suis particulièrement reconnaissant de m’avoir prodigué ses conseils,

et de m’avoir apporté un soutien permanent. Serge Amabile a su fédérer ses doctorants autour

d’une dynamique d’équipe remarquable. J’ai particulièrement apprécié la convivialité et la

richesse des échanges lors des réunions de travail qu’il animait.

Je suis très honoré et je remercie particulièrement les Professeurs Marc Bidan et Régis

Meissonier qui ont accepté de rapporter cette thèse.

Je tiens également à remercier très chaleureusement le Professeur Jean-Rodolphe Lopez pour

avoir accepté de participer à mon jury de thèse et représenter l’Institut de Management Public

et GouvernanceTerritoriale. Je suis très fier et très reconnaissant d’avoir effectué mon

doctorat au sein de cet institut, où j’ai pu enseigner et apprécier la grande qualité du corps

professoral.

Sophie Courcault et mon père pour leur aide et leurs encouragements.

Coralie Haller pour son soutien permanent, sa sincérité et son amitié.

Daisy Bertrand, Bénédicte Aldebert, Annelise Mathieu, Manelle Guetchouli, Valérie

Caraguel, Fouzia Afriked, Adrien Peneranda, Yvan Pastorelli, Soulaimane Laghzaoui et

Antonin Ricard pour leurs conseils bienveillants, tout au long de mon parcours doctoral.



Page 7

Résumé

Selon les experts du Sénat (Sénat - rapport 161, 2012: 23), « les institutions

1 françaises sont

aujourd’hui "massivement" victimes de tentatives de vol d’information». La sécurité de

l’information est d’autant plus importante que les frontières des institutions sont, maintenant,

nécessairement perméables. Notamment, l’usage des réseaux personnels par les salariés est

susceptible de soutenir l’activité d’innovation… tout en créant des failles potentielles pour la

sécurité de l’information. L’être humain est par conséquent le maillon faible des dispositifs de

sécurité (Mitnick, 2002). Plus que la technologie, la culture organisationnelle peut alors être

présentée comme un moyen d’inculquer des comportements responsables de gestion de

l’information.

L’intérêt de notre recherche se trouve donc dans l’ambigüité qui consiste pour les salariés, à

échanger de l’information avec leurs relations personnelles, sans mettre en danger

l’institution. Nous focalisons notre attention sur l’acquisition d’informations et nous tentons

d’apporter des réponses aux trois questions suivantes. Dans quelle mesure les valeurs

individuelles et les valeurs organisationnelles perçues par les salariés influencent-elles leurs

comportements de recherche d’informations ? En quoi le capital social s’oppose-t-il ou

renforce-t-il les pratiques organisationnelles de sécurité de l’information dans l’échange

d’informations ? Quels effets les mesures organisationnelles de sécurité de l’information et le

management de l’institution concernée produisent-ils sur la culture organisationnelle et les

comportements de sécurité dans l’échange d’informations ?

Notre thèse mobilise un cadre conceptuel pluridisciplinaire : le capital social (Coleman,

1988 ; Caillé, 2009), les réseaux sociaux (Granovetter, 1973 ; Burt, 1992, 2010), les

approches culturalistes de la déviance (Sellin, 1938 ; Cohen, 1955 ; Sutherland, 1966), la

culture organisationnelle (Schein, 1984), les valeurs universelles (Schwartz, 1994) et

l’innovation (Alter, 2000 ; Sarasvathy, 2001). La méthodologie de recherche est hypothético-

déductive. Nous avons mené une étude quantitative qui nous a permis d’obtenir plus de 300

réponses exploitables.

Nos résultats montrent que la valeur de pouvoir joue un rôle important dans l’acquisition

d’informations. Les mesures organisationnelles de sécurité limitent la diffusion

d’informations stratégiques et responsabilisent les salariés dans leurs pratiques d’échange

d’informations. La culture organisationnelle médiatise le rôle du manager de proximité.

L’influence de ce dernier est déterminante. Il médiatise les mesures organisationnelles de

sécurité et agit positivement sur la perception qu’on les salariés de l’ensemble des valeurs

organisationnelles. Cependant, l’usage préférentiel des médias amovibles pose des problèmes

importants pour la sécurité de l’information.

Mots clés : Sécurité de l’information, réseau personnel, culture organisationnelle, déviance,

innovation, étude quantitative, enquête.

1 Terme générique qui regroupe les services publics d’états et des collectivités territoriales, les entreprises, les associations.



Page 8

Abstract

According to experts of the Senate (Senate - report 161, 2012: 23), « the French institutions

are now" massively "victims of attempted theft of information [] the damage on the French

economy is considerable ». Security of information is even more important that now, the

boundaries of institutions are necessarily permeable. In particular, the use of personal

networks by employees is likely to support innovation activity ... while creating potential

loopholes for information security. A human being is therefore the weakest link in security

features (Mitnick2, 2002). More than technology, organizational culture would be a way to

instill responsible behavior in information management.

The interest of our research is therefore in the ambiguity that is for employees to share

information with their personal relationships, without endangering the institution. We focus

on the acquisition of information and we try to provide answers to three questions: What are

organizational and individual values of employees that influence behavior? How the social

capital is opposed to or strengthens the organizational practices of information security? What

are the organizational and management security measures that influence organizational

culture and behavioral safety?

Our thesis mobilizes a multidisciplinary framework: social capital (Bourdieu, 1980a ;

Coleman , 1988 ; Caillé, 2009) , social networks (Granovetter, 1973 ; Burt, 1992 ; Burt,

2010), culturalist theories of deviance (Sellin, 1938; Cohen, 1955; Sutherland, 1966) ,

organizational culture (Schein, 1984), universal values (Schwartz, 1994) and innovation

(Alter, 2000; Sarasvathy, 2001). The research methodology is hypothetico-deductive. We

conduct a quantitative study of 280 participants.

Our result shows that the value of power plays an important role in the acquisition of

information. Organizational Security measures limit the dissemination of strategic

information and empower employees in their information sharing practices. Organizational

culture mediates the role of local managers. The influence of this manager is crucial. He also

mediates organizational security measures and act positively on the perception of employees

of all organizational values. However, the preferential use of removable media poses

significant security information problems.

Key words: Information security, personal network, organizational culture, universal values,

deviance, innovation, quantitative study, survey.

2 Kevin Mitnick was one of the most famous hackers. He now advises ENISA (European Network and Information Security Agency).



Page 9



Page 10

Sommaire

INTRODUCTION GENERALE

1. CONTEXTE DE LA RECHERCHE ......................................................................... 13

2. PROBLEMATIQUE DE LA RECHERCHE ............................................................ 14

3. DEMARCHE DE LA RECHERCHE ........................................................................ 20

4. CONTRIBUTIONS ATTENDUES DE LA RECHERCHE ...................................... 22

5. ARCHITECTURE DE LA RECHERCHE ............................................................... 24

PARTIE 1

CHAPITRE I : LE CAPITAL SOCIAL

1. LE CAPITAL SOCIAL .............................................................................................. 28

2. RESEAU SOCIAL ET INNOVATION ..................................................................... 72

3. CE QU’IL FAUT RETENIR DU CHAPITRE 1 ....................................................... 91

CHAPITRE II : LA SECURITE DE L'INFORMATION

1. LA SECURITE DE L’INFORMATION ................................................................... 97

2. POUR UN APPROFONDISSEMENT DE LA RECHERCHE SUR DES EFFETS

DE LA CULTURE ORGANISATIONNELLE ............................................................... 120

3. CE QU’IL FAUT RETENIR DU CHAPITRE 2 ..................................................... 144

CHAPITRE III : LA CULTURE ORGANISATIONNELLE

1. LA CULTURE ORGANISATIONNELLE ............................................................. 149

2. OPERATIONNALISATION.................................................................................... 169


PARTIE 2

CHAPITRE IV : METHODOLOGIE ET CONCEPTION DE L’ETUDE EMPIRIQUE

1. L’APPROCHE OPERATIONNELLE .................................................................... 198

2. APPROCHE METHODOLOGIQUE ...................................................................... 250




Page 11

CHAPITRE V : VALIDATION DES INSTRUMENTS DE MESURE DES

CONSTRUITS

1. PRESENTATION DES ECHANTILLONS ET ANALYSES PRELIMINAIRES 269

2. VALIDATION DES ECHELLES DE MESURE DES CONSTRUITS CENTRAUX

DU MODELE ................................................................................................................... 279

3. DISCUSSION ET MISE EN PERSPECTIVE DES RESULTATS ........................ 308


CONCLUSION GENERALE

1. REPONSES AUX QUESTIONS DE RECHERCHE .............................................. 324

2. APPORTS DE LA RECHERCHE ........................................................................... 329

3. FUTURES VOIENT DE RECHERCHE ................................................................. 336

BIBLIOGRAPHIE ........................................................................................................... 336



Page 12




Page 13

1. Contexte de la recherche

Dans une économie de l’immatériel, où les organisations de toutes formes et natures (firmes,

services de l’Etat, Collectivités territoriales, institutions, associations, etc.) sont de plus en

plus interconnectées, l’information et ses usages peuvent se situer à l’origine d’avantages

concurrentiels. En cela, ils sont susceptibles de favoriser la performance des structures

concernées (Amabile et al, 2012, 2013). Toutefois, comme le dit un vieil adage, « il y a

toujours un revers à la médaille » ! Exprimé autrement, de nombreuses difficultés sont

rencontrées lors de la conception et du déploiement de dispositifs organisationnels de

management de l’information (Lesca et Caron-Fasan, 2008). En particulier, le vol et la

détérioration de cette dernière constituent des menaces pour les organisations suivantes :

Les services publics français:

Entre janvier et décembre 2010, le ministère de l’économie et des finances français, fut

victime de l’intrusion informatique. Un « cheval de Troie » introduit dans les systèmes

informatiques a permis l’espionnage des activités de ce ministère.

Les entreprises françaises :

Les services publics d’Etat ne sont pas les seules victimes de ce type d’attaques. Selon le

magazine l’Expansion (septembre, 2011), le groupe AREVA en fut lui aussi la cible. Selon un

récent rapport du Sénat français (Sénat, rapport 161, 2012 : 26) « des hackers auraient, durant

ces deux dernières années, réussis à pénétrer le réseau informatique du groupe et à prendre

le contrôle d’ordinateurs ». Au total, le coût pour l’entreprise de cette opération

d’assainissement et de reconfiguration d’une partie de son système d’information a été de

l’ordre de plusieurs millions d’euros. Notons, en outre, que le préjudice économique éventuel,

résultant du vol des informations, est difficile à évaluer.

Les citoyens français :

Le 15 mars 2012, le magazine « Informatique et sécurité » publiait un article sur les risques

portés par les réseaux sociaux : « Le réseau social LinkedIn est une source d’information pour

les pirates. Tout au long de l’année 2011, ce réseau a fait l’objet de critiques sur son aspect

sécurité et de nombreux articles sur le sujet apparurent lors de son introduction en

bourse »3.Ce réseau constitue une importante source de connaissances pour les pirates

désireux de s’attaquer aux ressources informationnelles des institutions. En effet, comme le

souligne K.R. Mitnick4 (2002), « il est beaucoup plus facile de tromper quelqu'un pour

obtenir un mot de passe que de procéder à des manipulations techniques dans le même but ».

3 http://www.informatique-securite.net/securite-it-les-hackers-utilisent-le-reseau-social-linkedin/, 15 mars 2012. 4 Kevin Robert Mitnick est l’un des plus célèbres pirates informatiques. Aujourd’hui repenti, il conseille

l’ENISA (European Network and Information Security Agency).

http://www.informatique-securite.net/securite-it-les-hackers-utilisent-le-reseau-social-linkedin/



Page 14

Les institutions françaises sont aujourd’hui « massivement » (Sénat, rapport 161, 2012 : 23)

victimes de tentative de vol d’informations. Ces vols visent, notamment, à capturer des

informations portant sur les dirigeants, les clients, les fournisseurs, les technologies, les

stratégies, en particulier à l’export. S’il n’existe pas de données chiffrées globales et fiables,

tout laisse à penser que le préjudice subi par l’économie française est considérable :

finances, parts de marché, développements économiques, emplois, etc. (Sénat, rapport 161).

Il paraît donc pertinent que les organisations protègent leurs informations. Pourtant, dans un

enquête menée en 2012 auprès de plusieurs centaines de grandes entreprises, le Clusif (Club

de la Sécurité de l’Information Français) a relevé que la mise en application concrète des

politiques de sécurité n’est toujours pas avérée : « une large proportion d’entreprises (79%)

ne mesure pas régulièrement son niveau de sécurité liée à l’information (pas de tableau de

bord de la sécurité de l'information) » (Clusif, 2002 : 2).

En outre, au-delà des menaces portées directement aux systèmes informatiques, il parait

également intéressant de considérer la dimension humaine de la sécurité de l’information. En

effet, le facteur humain est souvent présenté comme l’une, voire la principale faiblesse des

dispositifs de sécurité par lequel s’infiltrent de nombreux pirates pour pénétrer des systèmes

d’information des entreprises (Mitnick, (2002). Exprimé différemment, au-delà des aspects

techniques, la protection des informations dépend également des comportements des salariés.

2. Problématique de la recherche

Les salariés manipulent les informations qui sont susceptibles de participer à la richesse des

organisations. Ils mobilisent leurs réseaux personnels pour transmettre et acquérir de

l’information, qu’ils utilisent à leur profit et à celui des institutions. (Coleman, 1988 ;

Granovetter, 1973 ; Burt, 1992). Un nombre élevé des travaux de recherches portant sur ce

sujet met en perspective les éléments suivants.

Le réseau personnel est une source d’innovation :

En effet, ce réseau est un lieu de circulation et de création de connaissances, comme, par

exemple, les communautés de pratiques (Wenger, 1998 ; Brown et Duguid 2001). Les

institutions peuvent les mettre à profit en développant notamment, des routines

organisationnelles (Nelson et Winter 1982), des capacités d’absorption (Cohen et Levinthal

1990) et des capacités dynamiques (Teece, Pisano et Shuen 1997).

Cette création de connaissances alimente l’activité d’innovation qui repose en premier lieu sur

l’émergence d’idées nouvelles. Comme Uzzi et Spiro (2005 : 448) l’ont écrit : « les

innovations clés dans l’art, les sciences et la politique, ont émergé d’esprits créatifs de



Page 15

personnes comme Darwin, Adam Smith ou encore les Beatles. Ces célébrités étaient toutes

membres de réseaux de relations avec qui ils partageaient et discutaient leurs idées ».

Cependant, les réseaux sont souvent abordés sous leurs dimensions bénéfiques pour les

organisations. Les recherches concernant les éventuels aspects négatifs ou autres déviations

restent peu développées.

La littérature scientifique s’est peu intéressée aux effets néfastes des réseaux sociaux.

En ce qui concerne la R&D (Recherche et Développement), Von Hippel (1987:4-5) déclare

que les ingénieurs de firmes différentes, mais qui fabriquent des produits similaires en suivant

des processus proches, s’échangent des informations en révélant si nécessaire les savoir-faire,

propriétés de leur firme. Ces ingénieurs jugent du degré de sensibilité de l’information. Si

celui-ci leur paraît acceptable pour autoriser l’échange, alors cette information est donnée au

contact qui en a besoin. Ce don génère une obligation de contre-don5.

L’étude menée par Shrader (1991) montre ainsi que des informations techniques sont

échangées de manière informelle entre les firmes, y compris entre compétiteurs. Les employés

se livrent à ce type d’échanges pour satisfaire les intérêts économiques de leur firme. C’est-à-

dire qu’ils écartent toute transaction risquée. Pour décider de la pertinence de l’échange, les

acteurs évaluent l’importance de l’information à récupérer et le degré de compétition entre les

firmes, la nature de leurs relations personnelles restant secondaire. Shrader (1991 :12-13)

insiste également sur les effets amplificateurs de la réciprocité. Plus l’information reçue a de

la valeur, plus le récepteur est redevable de l’émetteur. L’échange d’informations est possible

si :

le récepteur n’est pas en compétition directe avec l’émetteur, ou ils ne sont pas

membre de firmes rivales,

les domaines d’applications des informations échangées sont différents. Dans ce cas,

le bénéfice peut même être conséquent pour les deux firmes.

le compétiteur peut acquérir ces informations par d’autres sources.

Quand des rivaux coopèrent et échangent de façon informelle des idées qui ne constituent pas

en l’état des savoirs commercialisables (« sellable truth »), alors la valeur de l'information

supplémentaire acquise dans l’échange est supposée dépasser la perte de valeur occasionnée

par son partage (Kreiner et Shultz, 1993: 197-198). Le partage de cette idée prometteuse est

peu coûteux. Les parties prenantes de l’échange peuvent tirer des dividendes substantiels de

son développement et de son exploitation.

5 Von Hippel fait ici référence aux travaux de Marcel Mauss, 1954, The Gift: Forms and Functions of Exchange in Archaic

Societies,trans. Ian Cunnison (Glencoe, IL: The Free Press) pour justifier de la réciprocité des échanges.



Page 16

Qu’ils soient centrés sur l’acquisition de connaissances, l’amélioration de la créativité au

travers des ressources disponibles ou de la structure des réseaux personnels, tous ces travaux

montrent les effets positifs des réseaux. Les effets négatifs restent largement sous-estimés,

voire ignorés. Ainsi, Von Hippel (1987), Schrader (1991) et Kreiner et Schultz (1993)

s’intéressent aux avantages que procurent les réseaux sociaux. Ils ne considèrent pas les

risques dont ces derniers sont potentiellement porteurs. S’ils admettent que ces échanges ont

parfois lieu, ils n’en recherchent pas les causes et les moyens d’y remédier.

Pourtant, s’interroger sur les effets négatifs du capital social pour les organisations semble

pertinent. En effet, Granovetter (1982) mentionne que les réseaux à liens forts sont préférables

lorsque les échanges sont risqués. Sutherland (19666) explique avec la théorie de

« l’association différentielle » que la déviance est l’expression des opportunités qu’offre la

force des liens entre acteurs. Alter (2000) suggère que la « déviance ordinaire », c’est-à-dire

le non-respect des normes, est un comportement caractéristique et positif de « l’innovateur

ordinaire ». Il rejoint ainsi Sellin (1938) et la théorie du « conflit de culture », selon laquelle

les actes déviants seraient le fait du refus d’adhérer aux normes de l’organisation. Pour Alter,

l’individu incompris par son management est contraint d’agir de manière déviante, alors que

ses buts rejoignent ceux de l’organisation.

Par ailleurs, les études sur les liens entre le capital social, les réseaux personnels et l’activité

de R&D, concernent essentiellement les populations des scientifiques et des techniciens.

Pourtant l‘activité centrée sur le progrès technologique ne constitue pas la majorité des

innovations. Les travaux d’Alter (2000) montrent que l’innovation est portée par des acteurs

provenant de l’ensemble des niveaux hiérarchiques des organisations concernées. En effet,

selon l’OCDE7, 46% des entreprises innovantes ne s’appuient pas sur une activité de

recherche. Au palmarès8 des salariés les plus innovants figurent les managers (76% des

entreprises), les ingénieurs et techniciens (40%) les marketers (39%), les designers (27%) et

dans une moindre mesure, les services de R&D (25%). Cette dimension globale et

transversale de l’activité d’innovation est importante. Cependant, à notre connaissance, elle

n’a pas jusqu’à présent inspirée de recherches sur les éventuels effets problématiques liés au

capital social.

Compte tenu de ses développements, notre axe principal de recherche, se situe dans la

contradiction apparente entre, d’une part, la nécessité pour les institutions de protéger

leurs informations et, d’autre part, la nécessité d’inciter les salariés à développer des

réseaux de relation.

6 Sutherland a théorisé l’association différentielle lors de son travail doctoral en 1947. Nous reprenons sa théorie

de l’ouvrage qu’il co-écrit avec Ronald Cressey en 1966. 7 Innobarometer: Pro Inno Europe, European Innovation ScoreBoard 2007, comparative analysis on innovation

performance, 2008. 8 Commision Européenne, Innobarometer 2007: Analytical Report, Flash Eurobarometer 215 – The Gallup

Organization, 2008.



Page 17

Dans ce contexte, la littérature identifie la culture organisationnelle comme un facteur clé de

la sécurité de l’information.

La culture organisationnelle et le développement des comportements de sécurité :

La théorie de la rationalité s’applique aux individus comme aux organisations. La rationalité

s’appuie sur des valeurs communes, des procédures établies, des mécanismes de contrôles et

de sanctions, qui diffèrent selon les contraintes de l’environnement. Par exemple, une

association n’a pas nécessairement de chiffre d’affaires à réaliser.

Les représentations d’un acteur sont tributaires du milieu dans lequel il évolue : « le milieu

organisationnel et social dans lequel se trouve la personne qui prend une décision détermine

les conséquences auxquelles elle s’attendra et celles auxquelles elle ne s’attendra pas ; les

possibilités de choix qu’elle prendra en considération et celles qu’elle laissera de côté »

(March & Simon 1958 : 136-137).

Or, les acteurs n’ont qu’une capacité limitée à traiter l’information en provenance d’un monde

complexe : « nous sommes concernés par la manière dont les hommes peuvent être rationnels

dans un monde où ils sont le plus souvent incapables de prévoir exactement le futur pertinent

(…) ils peuvent seulement adopter une procédure de choix rationnel, incluant une procédure

rationnelle pour la prévision ou, au moins, l’adaptation au futur » (Simon 1976 :144).

Pour faire face aux incertitudes, les organisations mettent en place des procédures formalisées

et routinières. Elles divisent le travail et fractionnent la prise de décision entre plusieurs

acteurs pour ainsi réaliser de façon satisfaisante des opérations de production. Ce mode de

fonctionnement nécessite que les salariés agissent selon les procédures définies et se

coordonnent. Pour cela, il faut que les organisations et les individus partagent les mêmes buts.

Cependant, « ce ne sont pas les organisations qui prennent les décisions, mais des êtres

humains, qui se comportent en tant que membres d’organisations. Rien n’oblige, en bonne

logique, le membre d’une organisation à prendre ses décisions uniquement en fonction de

valeurs qui sont limitées du point de vue de l’organisation » (Simon 1947 : 181). C’est

pourquoi les organisations ont recours à l’autorité. Le contrat de travail, la fixation des

objectifs de production, la fixation des salaires, expriment cette autorité qu’exerce

l’employeur. L’autorité est définie, « comme le pouvoir de prendre les décisions qui orientent

l’action d’autrui. C’est une relation entre deux individus, l’un " supérieur ", l’autre

" subordonné ". Le supérieur élabore et communique ses décisions en prévoyant qu’elles

seront acceptées par ses subordonnés » (Simon 1947: 112). Cette autorité s’exprime dans les

procédures mises en œuvre pour guider et encadrer l’action des salariés. Néanmoins, certaines

d’entre elles, comme des procédures d’innovation, peuvent être limitées par les

comportements sociaux et les règles sociales plus ou moins favorables à l’innovation (March

& Simon 1958: 176-177).



Page 18

Cette autorité est possible grâce à la docilité des individus, ainsi qu’à l’existence de systèmes

de sanctions et de récompenses, et enfin à la loyauté. Exprimée par l’intégration des objectifs

et des valeurs de l’entreprise : « dans une large mesure, chaque membre de l’organisation «

internalise » progressivement les valeurs de celle-ci et les intègre à sa psychologie et à ses

attitudes. Il en naît un attachement à une organisation ou une loyauté envers elle qui garantit

automatiquement – c’est-à-dire sans la nécessité de stimuli externes, la compatibilité de

ses décisions avec les objectifs de l’organisation. » (Simon 1947 : 177).

Pourquoi alors les acteurs devraient-ils devenir loyaux envers les organisations ? La réponse

de Simon (1983 : 65) se rapporte à la docilité, c’est-à-dire « la tendance à se conduire d’une

façon qui est approuvée socialement et à réfréner les conduites qui vont dans un sens qui est

désapprouvé ». La docilité est une réponse à la nécessité de s’adapter à l’environnement, et de

concilier l’atteinte des intérêts individuels et collectifs. L’adaptation repose sur la capacité

d’apprentissage, qui présuppose lui-même la possibilité d’accepter d’apprendre, c’est-à-dire

l’acceptation de se conformer à des comportements sociaux. La docilité n’est acceptable que

si l’acteur y trouve des avantages. « La docilité exprime le renoncement de l’acteur de son

intérêt immédiat à la condition que ce renoncement lui soit profitable » (Simon 1991a :35).

Cependant, les conditions de travail évoluent tout comme les attentes des salariés (Segrestin,

1996 ; Dubar, 1998 ; Lecorre, 2003 ; Sennet, 2000, 2005). Les réseaux personnels comme les

entreprises sont peut-être des environnements où les employés s’aménagent des espaces de

manœuvre et élaborent des stratégies (Crozier et Freiberg, 1997). Elles ne sont pas

nécessairement en adéquation avec les attentes de leurs managers.

Comment alors peut-on être certain que les salariés et les organisations partagent les mêmes

objectifs? Comment s’assurer que les salariés adoptent des comportements dociles ?

La théorie de la structuration (Giddens, 1984) nous fournit un axe d’analyse pertinent pour

tenter de répondre à ces questions. L’objectif de cette théorie est d’étudier les relations entre

les individus et la société. Giddens (1984: 25) défini la structure comme « des règles et des

ressources, organisées en tant que propriétés des systèmes sociaux», qui existent, seulement

en tant que propriétés structurales. Ces ressources sont considérées comme étant de deux

types: soit « allocatives », qui se réfèrent à la capacité de transformation des biens de

production ou des objets, soit « autoritaires », c’est à dire des capacités de transformation

qui agissent sur des personnes (Giddens 1984 : 33). Giddens distingue également les «règles

de la vie sociale [qui sont] des techniques ou des procédures généralisables appliquées dans

la promulgation / reproduction des pratiques sociales», des «règles formulées», telles que

celles définies par un jeu, qui sont « des interprétations de règles codifiées plutôt que des

règles en tant que telles » (1984: 17-2). Giddens (1984: 20) affirme que ces règles permettent

aux individus de savoir comment procéder sans pour autant être en mesure de comprendre

leur signification, leurs principes sous-jacents.

Pour Giddens, le structurel n’est pas que contrainte, « il est à la fois contraignant et habilitant

» (1987 : 75). Cette approche est aussi celle prônée par Granovetter pour qui les

organisations économiques « sont construites par des individus, dont l’action est à la fois



Page 19

facilitée et limitée par la structure et les ressources disponibles des réseaux sociaux où ils

s’inscrivent » (1994 : 86).

Or, ces règles contraignantes et habilitantes, sont édictées par les organisations. Elles

permettent d’obtenir la docilité des acteurs. Elles sont l’expression des politiques tacites ou

explicites de la sécurité de l’information mises en œuvre dans ces organisations.

De fait, si la sécurité de l’information peut être traitée sous l’angle de la technologie, mais la

prise en compte de la dimension culturelle de cette discipline reste encore à étudier. En effet,

nous sommes confrontés aujourd'hui aux aspects organisationnels et sociétaux, qui doivent

être considérés comme un sujet tout à fait essentiel pour répondre au défi de la sécurité de

l’information (Walsham, 1995 ; Björck, 2004; Von Solms, 2004 ; Spagnoletti et Resca, 2008).

Cette sécurité de l’information prend la forme de politiques et de procédures

organisationnelles, qui sont par nature soumises à interprétations. Elles donnent lieu à des

comportements prévisibles et imprévisibles (Spagnoletti et Resca, 2008).

Von Solms (1999) explique que les organisations doivent prendre en compte tous les aspects

de la sécurité de l’information. La sécurité de l’information est selon lui, un espace

multidimensionnel, qui comprend 1a gouvernance d'entreprise, la structure organisationnelle,

la politique, les meilleures pratiques, l'éthique, la certification, le juridique, l'assurance, le

personnel, la prise de conscience, la technique, les indicateurs de mesure et l'audit. La norme

internationale ISO I7799/27002-2005, qui définit les codes de pratiques du management de la

sécurité de l’information, stipule (p.viii) que : «la sécurité de l'information est la protection

de l'information à partir d'un large éventail de menaces, afin d'assurer la continuité des

activités, de minimiser les risques, de maximiser le retour sur les investissements et les

opportunités d'affaires».

De nombreux chercheurs ont suggéré que la sécurité de l’information devrait faire partie de la

culture organisationnelle (Von Solms, 2000; Schlienger, et Teufel, 2002, 2003).

Cependant, comme le notent Knapp et al, (2006), dans la plupart des organisations, cela n’est

pas le cas.

Synthèse de la problématique de recherche :

Les institutions sont de plus en plus menacées par les tentatives de vols ou d’altération des

informations qu’elles détiennent. La sécurité de l’information est une nécessité d’autant plus

importante pour ces organisations, que leurs frontières sont perméables. L’être humain est le

maillon faible des dispositifs de sécurité (Mitnick9, 2002). L’usage des réseaux personnels par

les salariés notamment, alimente l’activité d’innovation… tout en augmentant le risque de

fuites d’informations sensibles ! Plus que la technologie, la culture organisationnelle peut

alors être tenue pour un moyen de développer, chez les salariés, des comportements

responsables en ce qui concerne la gestion de l’information.

9 Ancien pirate informatique, Kevin Mitnick conseille aujourd’hui l’ENISA (European Network and Information Security Agency).



Page 20

L’intérêt de notre travail doctoral porte donc sur l’ambigüité qui consiste pour les acteurs

concernés, à échanger de l’information avec leurs relations personnelles, dans l’intérêt des

institutions et sans compromettre leur compétitivité. Nous analysons l’influence qu’exercent

la culture organisationnelle, les mesures organisationnelles de sécurité et le management des

institutions, sur la nature et les incitations à l’échange d’informations. A notre connaissance,

ce travail de recherche n’a pas encore été mené par les chercheurs en sciences de gestion.

Ce constat nous invite à poser trois questions de recherche.

Question N°1 : Dans quelle mesure les valeurs individuelles et les valeurs organisationnelles

perçues par les salariés influencent-elles leurs comportements de recherche d’informations ?

Question N°2 : En quoi le capital social s’oppose-t-il ou renforce-t-il les pratiques

organisationnelles de sécurité de l’information dans l’échange d’informations ?

Question N° 3 : Quels effets les mesures organisationnelles de sécurité de l’information et le



3. Démarche de la recherche

3.1. Adoption d’un positivisme aménagé

Deux paradigmes de recherche se retrouvent souvent dans les sciences sociales : le

positivisme et le constructivisme. Ils traduisent deux manières d’appréhender la réalité

(Morgan et Smircich, 1980) dont Forgue (1993 : 64) propose un comparatif très simplifié,

mais qui a l’avantage de bien différencier ces deux approches.

Positivisme Constructivisme

Perception de la réalité Rationnelle, structurée,

déterminée

Complexe, Construite,

Interprétée

Types d’approches Positiviste Constructiviste, Interprétative

Types de questions Combien ? Qui ? Quoi ? Comment ? Pourquoi ?

Types de méthodes Quantitative Qualitative

Types de démarches Hypothético-déductive Inductive Tableau 1:Deux paradigmes de la recherche



Page 21

La connaissance produite à travers un paradigme positiviste correspond à la mise à jour des

lois et d’une réalité immuable extérieure à l’individu et indépendante du contexte

d’interactions des acteurs (Thiétart, 2003). La relation entre le sujet et l’objet de recherche est

indépendante. La connaissance est donc objective et acontextuelle (Girod-Séville et Perret,

1999 : 21). L’objet de recherche s’élabore à partir de l’identification d’insuffisances ou

d’incohérences dans les théories rendant compte de la réalité ou entre les théories et les faits

(Thiétart, 2003). En se fondant sur une interrogation objective des faits, l’objet de recherche

est orienté vers un but et se construit d’une manière intentionnelle.

Dans les paradigmes constructiviste et interprétativiste, la réalité est essentiellement perçue.

Le chercheur n’a pas la possibilité de l’atteindre directement (Thiétart, 2003). La réalité est

dépendante de l’observateur. Il existe une relation interdépendante entre le sujet et l’objet de

recherche (Girod-Séville et Perret, 1999: 21). Cet objet ne trouve sa forme définitive qu’à la

fin de la recherche. La définition de l’objet de recherche et la compréhension des problèmes

impliquent l’immersion du chercheur dans le phénomène étudié. La définition de l’objet

nécessite une observation plus ou moins participante (Thiétart, 2003). Sa forme définitive

émerge à l’aboutissement de la recherche.

Compte tenu de ces développements, nous considérons que notre approche méthodologique

relève du positivisme. Nous adaptons en effet une approche causale basée sur l’identification

de manquements dans la théorie.

Ce choix est cohérent avec nos objectifs de recherche exposés ci-dessus. De plus, nous

constatons que l’ensemble des études portant sur la sécurité de l’information applique cette

même démarche (Siponen et Vance, 2010 ; Bulgurcu et al, 2010 ; D’Arcy et al, 2009 ; Herat

et Rao, 2009a, Herat et Rao, 2009b, Jhonston et al, 2008).

Cependant de plus en plus de chercheurs en sciences sociales adoptent une vision

«aménagée». En effet, les limites entre les différentes postures sont parfois très floues (Miles

et Huberman, 2003: 18). Ceci incite les chercheurs à se détacher des positions trop radicales

du positivisme (comme du constructivisme).

En tant que salariés expérimentés, l’idée de l’indépendance du chercheur vis-à-vis de son

objet de recherche nous paraît difficile à défendre. Nous avons pleinement conscience que les

représentations, le questionnement et l’observation du monde extérieur sont filtrés par les

expériences, et contraintes par les capacités cognitives. D’autant que les publications traitant

de notre sujet de recherche insistent sur la difficulté à limiter les biais de réponses

(Paternoster, 1996; Vance et Siponen, 2010). Ces biais déforment naturellement « le réel »,

rendant la posture positiviste radicale difficilement tenable.

Dans ce contexte, comme le suggèrent Miles et Huberman (2003 : 16), nous pensons que les

phénomènes sociaux existent « non seulement dans les esprits mais aussi dans le monde réel -

et que des relations légitimes et raisonnablement stables peuvent y être découvertes. Le



Page 22

caractère légitime de ces relations vient des régularités et des séquences qui lient les

phénomènes entre eux ».

De fait, d’un positivisme radical, nous évoluons naturellement vers un positivisme aménagé.

Cette posture ne remet pas en cause l’approche causale des phénomènes. Elle nous incite à

prendre conscience de nos propres limites, tout comme celles de notre objet de recherche (les

limites des participants à l’étude, par exemple). Elle nous invite à développer les stratégies

nécessaires afin que ces limites n’entravent pas les résultats de nos recherches.

3.2. Adoption d’une méthodologie hypothético-déductive

Si notre recherche est exploratoire, il n’en reste pas moins que nous cherchons à tester des

hypothèses construites à partir de bases théoriques existantes. Pour une très grande part, nous

utilisons des échelles de mesures existantes et éprouvées.

Notre posture méthodologique est donc hypothético-déductive. Nous adoptons un processus

de réflexion dans la recherche d’une explication causale de l’objet étudié.

Cette recherche mobilise les théories provenant d’autres disciplines comme la sociologie,

l’économie, l’anthropologie et la psychologie. Ce brassage d’approches scientifiques a

notamment pour objectif d’enrichir notre contexte d’analyse et de multiplier les points de vue

critiques. Nous avons le souci de créer des connaissances nouvelles dans notre champ de

recherche et actionnables pour les managers des organisations.

Pour ce faire nous récoltons et analysons des données quantitatives.

Notre démarche créative s’ancre en premier lieu dans une revue des travaux antérieurs. Nous

en déduisons un modèle conceptuel et une série d’hypothèses, que nous testons par la

méthode des équations structurelles (approche Partial Least Square).

4. Contributions attendues de la recherche

4.1. Contributions théoriques

Notre principale contribution théorique attendue est de poursuivre l’effort de recherche sur la

sécurité de l’information et en particulier des mesures qui facilitent l’adoption de



Page 23

comportements conformes aux attentes du management. Nous soulignons la nécessaire prise

en compte de l’action du manager de proximité (Furnell, 2006).

Une autre attente concerne la recherche sur la culture individuelle et organisationnelle. Il

s’agit de mieux évaluer l’influence des valeurs individuelles (Schwartz, 1992) et la culture

organisationnelle (Schein, 1984, Mc Donald et Gantz, 1993; Schlienger, et Teufel, 2002,

2003) sur les pratiques de sécurité de l’information. Plus précisément, nous souhaitons

identifier les valeurs qui sont à la source des comportements dans la recherche

d’informations.

Enfin, nos résultats apporteront un regard critique sur les théories des réseaux sociaux faisant

consensus dans la communauté scientifique (Granovetter, 1973 ; Burt, 1992), notamment en

ce qui concerne les effets de la force des liens et de la fermeture de la structure relationnelle.

4.2. Contributions méthodologiques

Notre travail de contribution méthodologique porte sur le questionnement des pratiques qui

limitent les biais de réponse. Ces biais posent en effet de véritables problèmes aux chercheurs.

Généralement, les répondants essaient de paraître désirables et masquent leurs véritables

comportements (Trevino, 1992)

Une autre attente concerne la prise en compte des contextes d’actions. Les recherches portant

sur la sécurité de l’information se concentrent essentiellement sur le comportement ou

l’intention comportementale (Siponen, 2010 ; Bulgurcu, 2010, Herat et Rao, 2009).

Cependant, nous suggérons que cette approche n’est pas suffisante pour apporter des réponses

managériales satisfaisantes. Nous proposons de placer l’acteur en contexte d’action. En effet,

nous considérons que l’acteur agit en adoptant un ensemble de comportements qui se

combinent dans un objectif qui, dans le cadre de notre recherche, consiste en l’obtention

d’informations de valeur. Dès lors notre approche méthodologique consiste à prendre en

compte les comportements de capture d’informations en intégrant, les motivations de l’action,

la nature des informations recherchées, leurs provenances, les moyens techniques utilisés et la

nature du réseau de contacts mobilisés pour les obtenir.

4.3. Contributions managériales

Notre contribution managériale porte sur une meilleure compréhension du rôle du

management et de la culture organisationnelle pour la sécurité de l’information.

En outre, nous identifions des valeurs à l’ origine des comportements. Ce résultat permet de

développer des stratégies pour limiter ou augmenter les effets des valeurs, selon qu’ils sont

jugés néfastes ou bénéfiques pour les organisations.



Page 24

Nous proposons des solutions actionnables par les managers.

5. Architecture de la recherche

Ce travail doctoral s’articule autour de deux parties. La première compte trois chapitres et la

deuxième en compte deux.

5.1. Présentation de la première partie de thèse

La première partie de thèse est consacrée à la présentation de la revue de littérature et

l’élaboration du cadre théorique de recherche.

Le chapitre 1 présente l’état des lieux du capital social. Comment il se définit et comment il se

développe ou se décline. L’accent est porté sur ses relations avec les pratiques d’innovation

et avec la culture organisationnelle.

Le chapitre 2 est consacré à la sécurité de l’information. Comment elle se définit et se met en

pratique dans l’organisation au travers : des menaces et contre-mesures, des modèles de

management, de l’élaboration des politiques de sécurité et des derniers travaux de recherche

sur la sensibilisation et la compréhension des comportements.

Le chapitre 3 est dédié à la culture organisationnelle. Puisque les réseaux sociaux sont un fait

d’organisation, la sécurité de l’information doit être conforme à la culture organisationnelle de

la firme (ISO 27000, 2005 ; Von Solms, 2004). Après avoir justifié notre choix de

mobilisation de la culture organisationnelle, nous approfondissons le concept de valeurs, afin

de nous approprier les conditions de formation et de maintien d’une culture de l’organisation.

Puis nous analysons les théories culturalistes de la déviance. Enfin nous posons un cadre

d’analyse des valeurs individuelles et collectives.

5.2. Présentation de la deuxième partie de thèse

Cette partie est dédiée aux tests empiriques du modèle proposé et de nos hypothèses de

recherche par le biais d’une étude quantitative.



Page 25

Le chapitre 4 est d’abord consacré à l’élaboration du modèle et des hypothèses. Puis nous

justifions nos échelles de mesures et nous exposons notre méthodologie d’analyse.

Dans le chapitre 5, nous testons nos hypothèses et nous proposons leur mise en perspective.

Enfin, la conclusion générale de la thèse expose nos réponses aux questions de recherche et

revient sur les apports théoriques, les implications managériales et les contributions

méthodologiques de notre travail doctoral. Elle présente également les limites de la recherche

et les perspectives qui en découlent. La figure ci-dessous représente l’architecture de la

recherche.

Figure 1 : Architecture de la recherche

Chapitre 1

Le capital social

Chapitre 2

La sécurité de l'information

Chapitre 3

la culture organisationnelle

Chapitre 4

Etude empirique et résultats de la recherche

Chapitre 5

Validation des instruments de mesure

des construits

INTRODUCTION

CONCLUSION GENERALE

PA

RT

IE 1

P

AR

TIE

2



Page 26

I. CHAPITRE I LE CAPITAL SOCIAL : UN FACTEUR D'INNOVATION



Page 27

Figure 2: Architecture générale du chapitre 1

1 - Le capital social

- Définitions

- Conditions d’action

- Facteurs d’influences

- Avantages et risques

2-Réseau social et innovation

- L’innovation ordinaire

- La logique effectuale

- Effets de la structure du réseau social

Idée directrice du chapitre 1 :

Le capital social de l’innovateur lui permettrait de composer avec les

contraintes de rationalité et le cadre règlementaire de l’institution dans

laquelle il évolue.

Ancrage autour de 2

théories de l’innovateur :

la déviance ordinaire et

l’effectuation

Mobilisation

Une structure structurante

inhibante et habilitante



Page 28

1. Le capital social

1.1. Principales Définitions et conditions d’activation

Il existe plusieurs champs d’études du capital social. Certains se placent sur des plans macro

(Putman 1995 ; Fukuyama, 1997) et ont des champs d’applications comme les nations ou les

sociétés dans leur ensemble. D’autres sont méso (Porter, 1998). Ils présentent des champs

d’applications comme les clusters, les réseaux d’entreprises, etc. D’autres, enfin, sont

microsociologiques (Granovetter, 1973 ; Burt, 1992). Ils sont centrés sur un individu ou une

groupe d’individus. Du fait de notre sujet de recherche, nous nous intéressons à l’individu et

son réseau personnel. C’est donc ce dernier champ qui intéresse nos propos, centrés sur le

périmètre d’action d’un acteur. Comme le note Lallement (2003), la pris en compte du capital

social permet de comprendre « comment des institutions et des individus peuvent atteindre le

plus efficacement possible et le plus justement possible des objectifs communs ».

L’intérêt de la théorie du capital social réside dans l’analyse des effets positifs de la

socialisation et la prise en compte des phénomènes non économiques comme d’importantes

sources de pouvoir et d’influence interindividuelle (Portes A., 1998).

1.1.1. L’approche fonctionnaliste et structuraliste de James Coleman

Coleman (1990) souligne que le capital social est constitué par les ressources pour l’action,

formées par le tissu de relations coopératives dans lequel une personne est insérée. L’auteur

relève très largement (1988 : 98-99 ; 1990 : 302-303) que le capital social peut se définir par

sa fonction. Précisément, il suggère qu’il ne s’agit pas d’une entité unique « mais d’un

ensemble d’entités qui ont deux caractéristiques communes : elles relèvent toutes d’un aspect

de la structure sociale, et elles facilitent les actions des individus au sein de la structure »

(Coleman, 1990). Le capital est donc présenté comme un atout productif inhérent à la

structure des relations entre les personnes. Cette structure qui n’appartient à aucun membre

qui la compose, permet d’accéder aux ressources que chacun d’eux propose.

A l’opposé de Burt (1992) ou encore de Portes (1998 :15), pour qui les réseaux fermés

facilitent la violation des règles pour satisfaire des intérêts privés, Coleman indique, à partir

d’une étude de la communauté de diamantaires de New-York, que les structures fermées de

réseaux sont les plus favorables. Selon lui, elles favorisent l’accumulation d’obligations

mutuelles entre les acteurs, la circulation de l’information et la construction des réputations, et

que la surveillance des comportements déviants ou des opportunités est l’application de

sanctions effectives (ibid. :107). Il confirme ainsi ses recherches menées en 1982 sur les

lycées américains et la théorie de la force des liens (Granovetter, 1973) : la cohésion familiale



Page 29

favorise la réussite scolaire alors que les réseaux extra familiaux facilitent l’accès aux

opportunités d’emploi. Le contrôle social exercé sur les élèves par la communauté scolaire

évite les comportements déviants des élèves.

Ces travaux soulignent l’importance du capital social comme moyen d’accéder à des

opportunités, mais aussi comme moyen de contrôle, producteur de valeurs intégratives dans

une communauté. Le capital social formé par les relations est nécessaire à la création du

capital humain. Le capital social se créé par la confiance (Coleman, 1988 :99). Cette

confiance permet d’activer ou d’avoir accès à des ressources en réalisant des économies sur

les coûts de transaction (ibid.: 99).

Plus le réseau relationnel est dense, plus l’émergence d’opportunités pour l’individu est

facilitée. Plus les normes sont communes à l’intérieur du réseau relationnel, plus le niveau de

confiance est élevé. Ce type de réseau permet une circulation rapide de l’information qui

diminue les asymétries d’informations entre les acteurs qui le composent et confère plus de

pouvoir à l’ensemble de la communauté.

Coleman soutient que les normes sont le résultat d’actions intentionnelles d’individus

rationnels. Elles permettent aux individus de s’approprier les externalités de leur

environnement, sans avoir recours à la sanction. Dans cette perspective de rationalité des

prises de décisions, les normes ont des propriétés structurantes (Giddens, 1984) et permettent

à la communauté d’obtenir la docilité des individus qui la composent (Simon, 1947).

Le capital social, au travers du lien social, permet l’évitement de comportements

opportunistes. Une relation bilatérale forte créée et nécessite une confiance qui rend les actes

déviants détectables et passibles de sanctions. A l’inverse, une structure relationnelle ouverte

encourage la dissimulation d’actes non conformes aux normes de la communauté. Il s’oppose

de la sorte à Burt (1992), selon lequel la position d’intermédiaire dans un réseau ouvert

garantit la conformité du comportement des individus, sans quoi ils perdraient les avantages

que cette position leur procure.

Néanmoins, en citant les travaux de Merton (1968 :195-203), Coleman souligne que le capital

social peut aussi dispenser des effets négatifs, notamment aux travers des normes fortes qui

réduisent les comportements déviants, mais qui peuvent aussi décourager la capacité

d’innover (1988 : 105). Alter (2000 : 161) semble en accord avec ces propos puisque selon

lui, l’innovation ordinaire implique la déviance ordinaire.

1.1.2. La vision opérationnelle de Robert Putman

Putman (1995: 65) définit le capital social comme : « les caractéristiques de l’organisation

sociale telles que les réseaux, les normes et la confiance, qui facilitent la coordination et la

coopération, pour un bénéfice mutuel ».



Page 30

Le capital social possède trois composantes : les normes, les obligations morales et les

valeurs sociales notamment par la confiance et les réseaux sociaux. A travers la confiance, les

individus sont incités à coopérer. La conception de Putnam sur le capital social concerne une

dimension macro sociale, dont le capital social se caractérise au niveau d’une nation par la

disponibilité des citoyens à s’impliquer dans des activités.

A l’inverse de Coleman, Putman (1993; 1995; 2001: 7) écrit: « I am in agreement with

Michael Woolcock that social trust is not part of the definition of social capital but it is

certainly a close consequence ». Ici, la confiance est présumée être le résultat du capital

social. Putman (2001: 1) pense que l’idée centrale du capital social est que les réseaux et les

normes associées de réciprocité ont de la valeur pour les personnes qui en sont membres. Si

les effets du capital social peuvent être bénéfiques pour une communauté en particulier, ils

peuvent s’avérer négatifs pour d’autres. Putman (2001: 3) rappelle que l’attentat d’Oklahoma

City fut l’œuvre d’individus formant un réseau de liens réciproques et de confiance. Cet acte

positif pour cette petite communauté d’acteurs fut très négatif pour l’ensemble de la

communauté américaine et évidemment, en particulier pour les habitants de cette ville.

Néanmoins, selon Putman (2001: 12), un niveau de crime élevé dans la société ou un groupe

social, révèle un faible niveau de capital social. Il suggère également que les États où les

individus sont fortement reliés entre eux sont aussi plus tolérants. En effet, l’auteur avance

dans sa théorie du débordement que la participation à des activités communautaires permet

aux individus d’apprendre à coopérer pour atteindre des objectifs communs, en développant la

confiance nécessaire (Putman, 1995 : 183). Néanmoins, selon S.Ponthieux (2006 :93), « la

théorie est un peu faible pour expliquer comment les bonnes dispositions acquises dans le

contexte d’un groupe donné se généralisent dans d’autres contextes pour produire tous les

résultats désirables. Pourquoi la capacité de coopération qui se développe entre les membres

d’une chorale les inciterait à des comportements coopératifs en général ? ». Pour nuancer ces

propos, nous pouvons cependant penser que l’expérience acquise de la coopération peut en

démontrer les bénéfices et inciter les acteurs à renouveler ces expériences dans d’autres

contextes.

1.1.3. La conception culturaliste et collective de Fukuyama

Comme Coleman (1988: 104) et Putman (1993), Fukuyama (1995) suggère que la norme

influence le comportement. Il propose une conception systémique (ou culturaliste) du capital

social. Selon lui, ce dernier est le fruit d’une culture de la collaboration capable d’engendrer

une confiance interpersonnelle étendue. Cette culture favorise les comportements individuels

convergents. Elle est à l’origine du capital social accumulé par la population qui partage ces

valeurs de coopération.



Page 31

Pour Fukuyama, la confiance est normative. Elle correspond à une donnée culturelle que

l’auteur (1995 : 36) définit comme que « l’attente qui naît, au sein d’une communauté, d’un

comportement régulier, honnête et coopératif, fondé sur des normes communément

partagées ». Fukuyama soutient, en effet, que le capital social est un actif qui naît de la

prédominance de la confiance dans une société ou certaines parties de celle-ci. Dans cette

perspective, il peut donc s’incarner « dans la famille, le groupe social le plus petit et le plus

fondamental, aussi bien que dans le plus grand de tous, la nation, comme dans tous les autres

corps intermédiaires. Le capital social diffère des autres formes de capital en ce qu’il est

habituellement créé et transmis par des mécanismes culturels comme la religion, la tradition

ou les habitudes historiques » Fukuyama (1995).

1.1.4. La conception instrumentale et économique de Pierre Bourdieu

Pierre Bourdieu emploie le capital social comme une notion strictement économique. Il

s’intéresse aux stratégies des acteurs. Le capital est celui d’un individu positionné dans une

structure relationnelle à même de procurer des ressources. Les individus investissent dans le

capital social pour en tirer des bénéfices. Ces investissements, prennent la forme d’échanges

matériels et symboliques qui créent et délimitent le groupe par la reconnaissance mutuelle

entre acteurs. Tous les échanges ont lieu dans des milieux sociaux, ou microcosmes

autonomes désignés comme champs (Bourdieu, 2000).

Bourdieu développe le concept « d’une matrice à travers laquelle se perçoit le monde,

capable de définir l’identité individuelle » (Bourdieu, 2000 : 259). L’habitus permet la

génération et la transmission d’une culture de classe, laquelle est construite par :

Le capital culturel composé par l’état incorporé (des dispositions durable comme la

docilité), l’état objectivé (des biens culturels), l’état institutionnalisé (titre scolaire ou

diplôme) ;

Le capital économique (les revenus et le patrimoine) ;

Le capital symbolique, c’est-à-dire la capacité à faire reconnaître par la société une

position donnée ;

Le capital social.

Selon Bourdieu (1980a: 2) : « Le capital social est l’ensemble des ressources actuelles ou

potentielles qui sont liées à la possession d’un réseau durable de relations plus ou moins

institutionnalisées d’interconnaissance et d’inter-reconnaissance; ou, en d’autres termes, à

l’appartenance à un groupe comme ensemble d’agents[…] unis par les liaisons permanentes

et utiles […] fondées sur des échanges inséparablement matériels et symboliques. ». Puis il

poursuit par ces termes : « le volume du capital social que possède un agent particulier,

dépend donc de l’étendue du réseau des liaisons qu’il peut effectivement mobiliser et du



Page 32

volume de capital (économique, culturel ou symbolique) possédé en propre par chacun de

ceux auxquels il est lié. »

Le capital social n’est pas seulement formé par le réseau de relations, mais aussi par le capital

culturel, économique et symbolique de chaque individu membre du réseau. « Le réseau de

liaisons est le produit de stratégies d’investissement social consciemment ou inconsciemment

orientées vers l’institution ou la reproduction de relations sociales directement utilisables, à

court ou à long terme, c’est à dire, vers la transformation de relations contingentes, comme

les relations de voisinage, de travail ou même de parenté, en relations à la fois nécessaires et

électives, impliquant des obligations durables subjectivement ressenties… » (Bourdieu,

1980a : 2). Ces stratégies individuelles et collectives favorisent la formation permanente d’un

réseau durable de relations permettant l’accumulation de capital social. La reconnaissance

collective du réseau s’obtient par l’élaboration et le respect des règles sécurisantes issues de

l’organisation. Néanmoins, pour Bevort et Lallement (2006), le seul respect des procédures

formelles n’autorise pas l’obtention d’informations et de collaborations entre membres d’une

organisation. Il faut y adjoindre le principe de solidarité qui autorise l’échange. Cette

solidarité prévaut à l’établissement des normes nécessaires à l’échange et suppose le partage

de la confiance, de l’émotion, de valeurs communes, voire de l’amitié (Granovetter, 2000).

Pour Lazega (2006), la notion de capital social s’apparente alors à celle du capital

économique. On n’échange pas n’importe quoi avec n’importe qui. L’échange suppose

l’équivalence, la réciprocité. Disposer de capital social, c’est avoir quelque chose à échanger.

Les relations de coopération entre pairs sont « homophiles ». Nous sommes dans l’association

d’acteurs se jugeant équivalents.

1.1.5. La conception culturaliste et anti-utilitariste d’Alain Caillé

Pour le sociologue Allain Caillé (Caillé, 2006: 14), le capital social ne peut pas être considéré

uniquement sous l’angle purement utilitariste comme le défend Bourdieu: « la condition pour

développer des relations sociales susceptibles de se révéler utiles est de les valoriser d’abord

pour elles même. La raison en est aisément compréhensible. Il est peu probable qu’on se

rende aimable aux yeux de personnes qui sentiraient qu’on ne les fréquentent pas pour ce

qu’elles sont, mais pour ce qu’elles ont et qu’on aimerait seulement qu’elles nous donnent »

Selon lui, la confiance est la ressource principale et spécifique des réseaux qui ne peut être

bâtie uniquement sur des considérations d’intérêts. En effet, comment faire confiance à un

partenaire qui pourrait se détourner de la relation si une autre opportunité plus avantageuse se

présentait à lui. Aussi, Alain Caillé pose la définition du capital social suivante : « Le capital

social d’un acteur, individuel, ou collectif, d’une institution, d’un pays, etc., c’est l’ensemble

de ce qui, dans leurs actions et dans leurs représentations, donne une priorité hiérarchique

aux considérations extra ou anti-utilitaristes sur les considérations d’intérêt immédiat ».



Page 33

Alain Caillé développe la théorie du don, une théorie anti-utilitariste de l’action qui prend

racine dans la quête de reconnaissance. La reconnaissance est la recherche de la visibilité

sociale. Elle s’exprime par la reconnaissance par la société et par soi-même du statut de

donateur libre (Caillé, 2009 : 72). Ce statut donne accès à l’amitié, la gloire, le prestige, etc.

Caillé (ibid. : 72), s’appuyant sur la sociologie de Pierre Bourdieu, mentionne qu’il peut être

« intéressant » d’être « désintéressé », au sens où il est « intéressant » d’accomplir des actions

pour soi-même, parce qu’elles sont une fin en soi, plaisantes ou justes. L’intérêt pour l’acteur

est d’être effectivement désintéressé pour entrer dans la logique du don effectif.

Dejours (2007 : 66) ajoute que, dans l’univers professionnel, « la reconnaissance attendue

par les travailleurs n’est pas celle de la personne et encore moins celle de l’identité…La

reconnaissance attendue…est d’abord et avant tout non pas celle de sa personne, mais celle

de son travail ». Par travail, Dejours (ibid. : 66) entend la qualité du travail, non seulement

dans la production, mais aussi dans le remaniement des règles de travail et de métier dans un

intérêt collectif. En ce sens, la quête de reconnaissance est tout à fait compatible avec la

vision de l’innovateur ordinaire d’Alter (2000) qui agit par quête de reconnaissance, dans

l’intérêt collectif de l’organisation à laquelle il appartient. Cette reconnaissance du travail

donne accès à l’appartenance à une communauté dans laquelle chacun reconnait et respecte

les mêmes règles de métier (ibid. : 67). Pour Déjour (ibid. : 67), : « à l’horizon de

l’appartenance à la communauté fondée sur les règles de travail, il y a la culture, voire la

civilisation, et, à la base, il y a une référence explicite au réel ». En d’autres termes, le réel

est l’instance entre le l’acteur qui demande à être reconnu et celui qui reconnait.

Comprendre la quête de reconnaissance ancrée dans le réel implique donc de comprendre les

fondements de l’action, qu’Alain Caillé ne résume pas seulement à la seule recherche de

l’intérêt.

Selon lui, l’intérêt ne peut s’exprimer uniquement sous sa dimension purement instrumentale,

stratégique et tournée vers soi. Il faut également distinguer trois autres types d’intérêts (Caillé,

2009 : 19) : l’intérêt obéissance, l’intérêt pour autrui et l’intérêt passionnel. Caillé ajoute que

l’intérêt n’est pas la seule dimension pour penser l’action. Il faut s’intéresser à cet ensemble

de dimensions et voir comment celles-ci se relient à la quête de reconnaissance.

En s’appuyant sur les travaux de Marcel Mauss (1950) portant sur le don et la triple obligation

de Donner, Recevoir et Rendre10

, Caillé (2009 : 20) note que le don est à la fois un geste

désintéressé et intéressé, témoignant d’une « libéralité », c’est à dire de la liberté et de la

spontanéité et répondant également à une obligation sociale première « qui nous force à être

libres ». Caillé distingue ainsi quatre dimensions de l’action :

1. L’intérêt pour soi, à savoir : la préservation de soi, l’avidité, la survie, la vanité, la rivalité,

la concurrence, l’indifférence aux autres, la recherche de gloire, la possession, le

conflit… ;

2. L’intérêt pour autrui, c’est-à-dire l’altruisme qu’il nomme l’aimance qui se rapporte à

l’amitié, la compassion, la charité, la solidarité, la bonté, la sollicitude… ;

10 Selon Mauss (1950) ce cycle s’oppose à celui qui lui est symétrique: prendre-refuser-garder



Page 34

3. L’obligation qui nait des contraintes biologiques, des coutumes, des règles et des normes

morales, de l’éthique, des dettes, des valeurs, etc. Il s’agit par exemple du devoir social,

du devoir d’aider, du devoir de veiller sur ses intérêts, du devoir d’aimance ;

4. La liberté, qui traduit la spontanéité du plaisir, de la générosité, de la créativité, de

l’inventivité, du jeu, de la révolte… ;

Citant Mauss, Caillé (ibid. : 20) souligne que ces quatre pôles sont enchevêtrés. «L’intérêt

pour autrui ramène à l’intérêt pour soi et réciproquement ». «Non seulement l’obligation est

celle de la liberté, mais la liberté permet de s’acquitter de ses obligations, mais il faut qu’il

en soit ainsi ». Un don contraint ne serait plus un don, un don purement altruiste serait

suicidaire et un don purement gratuit n’aurait pas de sens.

Le travail d’Alain Caillé a consisté à articuler ces quatre dimensions tout en les

approfondissant. Il conclut que l’intérêt pour soi et l’intérêt pour autrui s’opposent, tout

comme l’obligation et la liberté.

L’opposition entre Intérêt pour soi et Empathie (Figure 3):

L’aimance ne serait que « la dimension sympathique de l’empathie » (ibid. : 59). L’empathie

est composée de deux modalités principales : la sympathie (l’aimance) et l’antipathie. A

l’opposé, l’intérêt pour soi se manifeste au travers de l’amour de soi (le souci de sa propre

conservation) et du regard sur soi porté par les autres (l’amour-propre).

Figure 3: Synthèse entre intérêt pour soi et intérêt pour autrui (Caillé, 2009: 59)

L’opposition entre Obligation et Liberté (Figure 4):

Selon Caillé (2009 : 60), « il n’y a pas de société possible sans imposition à ses membres de

tout un ensemble d’obligations », le devoir est un des effets du système social qui est une

manifestation de l’obligation. L’autre manifestation étant celle de la nécessité.

La liberté, quant à elle, se caractérise par la spontanéité qui tend à nous affranchir des

contraintes et la créativité, c’est-à-dire vouloir faire quelque chose de sa vie dans le respect

des règles mais en cherchant cependant à les dépasser.

Intérêt pour soi Empathie Amour- propre Antipathie

Amour de soi Sympathie



Page 35

.

Figure 4: Synthèse entre obligation et liberté (Caillé, 2009: 65)

Finalement, une topologie de l’action se dessine par l’entrelacement des quatre dimensions (

Figure 5).

Figure 5: Topologie de l'action (Caillé, 2009: 68)

Comment passer de l’action individuelle à l’action collective ? Alain Caillé (2009: 32) fournit

à nouveau quatre clés d’analyse : l’harmonisation des intérêts par exemple par le contrat ;

l’harmonisation forcée, par exemple, par le législateur comme le comité de direction qui fixe

les règles lorsque l’action se déroule dans une entreprise ; l’harmonisation spontanée fondée

sur l’empathie; l’harmonisation par la passion qui convient à la liberté ou encore l’inventivité.

Créativité Spontanéité

Devoir Contrainte

Obligation

Liberté

Intérêt pour soi Empathie

Nécessité Devoir

Amour- propre

Amour de soi

Antipathie

Sympathie


Obligation

Liberté



Page 36

1.1.6. La conception centrée sur les ressources de Nan Lin

La vision de Granovetter (1985), adoptée par Coleman (1988 : 101), diffère de celle de

Bourdieu, dans la mesure où selon lui, c’est la position de l’individu dans une structure

sociale qui détermine son capital social. D’autres sociologues comme Burt (1992) s’inscrivent

dans cette perspective. La théorie des trous structuraux souligne que l’absence de redondance

des liens dans une structure de réseau d’un individu renforce sa performance. Selon Burt,

(2000 : 2): « La société peut être vue comme un marché au sein duquel les gens échangent

toutes sortes de biens et d’idées afin de poursuivre leurs intérêts. Certaines personnes, ou

certains groupes, réussissent mieux au sens qu’elles reçoivent plus en retour de leurs

efforts ».Il ajoute ensuite (ibid. : 3), que le capital social est une notion essentiellement

« métaphorique » et « la métaphore du capital social dit que les gens qui réussissent mieux

sont d’une certaine façon mieux connectés »

Dans cette vision utilitariste du capital social, c’est la structure du réseau qui prime. La

connexion rapporte au réseau, à la structure relationnelle: « la structure des relations

prioritaires entre les gens et au sein des organisations peut affecter ou remplacer

l’information » (Burt, 2000: 4). Pour Burt, les métaphores du capital social de Bourdieu et de

Putman ne sont pas opérationnalisables. Il pense que c’est l’architecture de la relation qui

compte. La position cartographique dans le réseau apporte un capital qui se mesure en termes

de critères de performance (rémunération…) se dévoilant au terme d’une analyse structurale

du réseau. Alors que pour Bourdieu, la position dans la structure sociale correspond à un

statut et à un certain volume de capitaux détenus.

Dans les pas de Burt, Adler et Kwon considèrent que « le capital social est la ressource

disponible pour des acteurs résultant de leur position dans la structure de leurs relations

sociales » (Adler & Kwon, 2002: 18). Ce courant « structural » propose que indépendamment

de son capital humain ou financier, la poursuite d’un objectif pour un acteur ou un groupe

d’acteurs peut être facilitée par la position qu’il occupe dans une structure relationnelle

globale (une organisation, un secteur d’activité,…).

Afin d’éviter toute confusion, Portes (1998 : 5-6) recommande de bien distinguer les

ressources, les demandeurs (les détenteurs de capital social) et les donneurs (la source de

capital social). Cela permet notamment de se rendre compte que le réseau social est inutile à

l’acteur si le groupe ne dispose pas de ressources. Les motivations à donner à l’autre sont

complexes, le capital social dépend des autres. Ce sont les autres qui décident ou non,

de nous donner l’accès à leurs ressources. Cette conception ouvre la perspective vers l’étude

des mécanismes collectifs de la coopération et notamment la confiance, les normes de

réciprocité et l’identité.

Pour Lin, le capital social peut procurer des ressources accessibles au prix d’un

investissement dans le développement de liens relationnels générant également des

obligations : « Les ressources sociales […] ne sont pas des biens que l’individu possède, mais

des ressources accessibles par des liens directs et indirects […] L’un des présupposés de



Page 37

l’usage des ressources sociales est l’obligation de réciprocité ou de compensation […] Le

capital social est l’investissement d’un individu dans ses relations avec les autres. Ces

relations ne doivent pas être des groupes ou des organisations définies : de simples liens

suffisent » (Lin, 2001 :12). Cette conception réconcilie en quelque sorte Granovetter,

Coleman et Burt avec Bourdieu, en proposant une définition associant à la fois le capital

social à une position structurale et à des ressources détenues par les contacts directs d’un

individu (Bourdieu). En outre, pour expliquer comment activer le capital social et bénéficier

de ses avantages, elle rejoint le cadre théorique d’Adler et Kwon (2002).

1.2. Les conditions d’action du capital social

Adler et Kwon (2002) suggèrent que « l’opportunité », « la motivation » et « les capacités »

soient des conditions d’action qui permettent d’extraire le capital des relations sociales. Il faut

bien sûr comprendre le capital comme l’ensemble des bénéfices potentiels que l’acteur peut

tirer de ses relations.

1.2.1. L’opportunité

L’opportunité s’exprime par la nature interne ou externe des liens vers les membres du réseau.

Les liens externes donnent l'occasion de tirer parti de leurs ressources, alors qu’à l’intérieur

d’un groupe, les liens internes permettent l’action collective. Parmi ceux qui se concentrent

sur les relations internes au sein d'une société donnée (par exemple, Brehm et Rahn, 1997 ;

Evans, 1996; Ostrom, 1994; Putnam, 1993), le terme « réseaux » signifie souvent informels,

l'interaction en face-à-face, l’implication dans l’action civique et la vie associative.

1.2.2. La motivation

Une conception purement utilitariste rendrait inutile l’étude de la motivation puisqu’elle ne

consisterait qu’en la satisfaction de l’intérêt personnel. Nous notons également que certains

sociologues, comme Burt (1992: 32-34) ou Uzzi (1999: 500), considèrent que la motivation

est un effet de la structure du réseau. Dans cette hypothèse, l’attention explicite à la

motivation serait aussi inutile puisqu’elle ne serait pas un moteur de l’action, mais une simple

conséquence de la structure des réseaux.

Cependant, ni le modèle rationnel, ni l’approche structurale ne définissent une position

consensuelle. En particulier, Portes (1998 : 5-6) fait remarquer que les motivations qui



Page 38

poussent à donner en l’absence de rentabilité immédiate sont les processus clés que le concept

de capital social essaye de saisir. Il argumente (ibid. : 7-9) en faisant la distinction entre les

motivations « consommatoires » fondées sur les normes profondément intériorisées, qui

constituent des ressources pour les autres membres de la communauté, et les motivations

«instrumentale» fondées sur des normes, des obligations. C’est ce que Portes appelle «la

confiance forcée», où le poids qu’exerce la communauté sur les deux parties d’un échange,

garantit que les obligations mutuelles sont appliquées.

De même, Leana et Van Buren (1999: 542) précisent que les sources de capital social de

l'organisation résident dans la confiance et «l'associabilité», « la volonté et la capacité des

individus à définir des objectifs collectifs qui sont ensuite adoptées collectivement».

Adler et Kwon (2002: 25) soulignent11

que « de nombreux chercheurs ont supposé

implicitement que les acteurs individuels et collectifs sont mus par des motivations

instrumentales (De Graaf et volets, 1988; Lin, Ensel, & Vaughn, 1981; Marsden & Hurlbert,

1988), pour survivre dans une rivalité concurrentielle (Burt, 1992; Pennings et al, 1998), et

réduire les coûts de transaction (Baker, 1990)». Adler et Kown suggèrent également que les

acteurs n’agissent pas toujours au nom de l’intérêt privé, mais peuvent aussi se soumettre à

des normes et œuvrer pour le bien commun.

Cependant, il faut être attentif à ce que les normes produisent. Si pour Putman (2000), les

normes communes motivant le capital social sont essentiellement celles qui sont productrices

de confiance et de loyauté, la confiance est un concept très large dont il faut préciser les

contours. De même, le caractère partagé des normes n’est pas suffisant pour expliquer que ces

dernières soient créatrices de capital social. Encore faut-il que l’application de ces normes soit

créatrice de capital. Par exemple, Gabbay et Zuckeran (1998) montrent qu’une organisation

qui encourage la coopération entre ses membres ne favorise pas l’activité entrepreneuriale. Il

existe donc des normes créatrices ou non créatrices de capital social en fonction des contextes

d’applications. C’est pourquoi Adler et Kwon (2002 :26) proposent de considérer que c’est le

contenu précis des normes communes qui déterminent si elles sont créatrices ou destructrices

de capital social.

1.2.3. La Capacité

Adler et Kown définissent la capacité comme les compétences et les ressources détenues par

les nœuds, c’est-à-dire les membres du réseau social. A l’image de Lin (1999) et de Gabbay

et Leenders (1999), nous pouvons nous interroger sur l’intérêt de disposer d’opportunités

matérialisées par des liens relationnels et que ces opportunités soient motivées à nous aider si

ces dernières n’ont pas les capacités de le faire. Si pour une minorité de chercheurs comme

Portes (1998), les capacités sont des compléments au capital social, une majorité d’entre eux

11 Nous les citons après les avoir traduit



Page 39

comme Gabbay, Leenders (1999) et Lin (1999) plaide en faveur d'une définition plus large

qui inclut ces capacités comme constitutives du capital social.

En effet, peut-on penser construire un réseau à partir d’acteurs incapables de nous aider ?

Adler et Kwon se sont davantage intéressés aux capacités individuelles des acteurs.

Cependant, d’autres recherches, comme celle d’Emmanuel Lazega (2006) portent sur les

capacités individuelles et collectives. Lazega (2006: 127) définit alors le capital social du

collectif comme « un ensemble de processus sociaux comme la solidarité, l’échange, la

régulation, la sanction… qui facilitent, sous certaines conditions, l’action collective ». Ces

processus décrivent une forme collective du capital social et permettent également de

déterminer les conditions de mise en œuvre de ces relations. Quelles sont les règles de

construction d’un réseau relationnel ? Quelles sont les stratégies appliquées par les acteurs,

etc. Le capital social est alors envisageable comme l’activité politique des membres d’un

réseau relationnel, dans une vision qui n’est plus uniquement instrumentale mais également

gestionnaire des réseaux. Selon Lazega (2006 : 129), « Pour accepter cette articulation entre

discipline sociale et processus sociaux, il faut comprendre la relation sociale à la fois comme

un lieu de circulation de ressources hétérogènes et le lieu d’un engagement, c'est-à-dire

d’une promesse, d’une obligation ou d’une convention morale introduisant la durée dans cet

échange de ressources et présupposant un dispositif de contrôle social rendant cette promesse

crédible ».

Le capital social d’un individu est constitué en partie du capital social de ses relations. Cela

signifie que le capital social ne se limite pas aux relations directes, mais inclut aussi les

relations indirectes et donc les ressources détenues par les connaissances d’amis et les amis de

connaissances….

Emmanuel Lazega s’appuie sur le cadre de la sociologie néo structurale, selon laquelle les

comportements, bien que s’inscrivant dans la théorie de l’action individuelle12

, s’analysent

dans un système d’interdépendances « multiples et multilatérales », identifiables dans les

interactions et les relations sociales. La mise à jour des interdépendances et des processus,

autorise la compréhension des rôles, mais aussi des relations de pouvoir qui ne sont pas

saisissables sous l’angle unique de la sociabilité. Par exemple, le lien entre structure, pouvoir

et valeurs peut être mis en évidence par l’analyse des réseaux. Les acteurs qui occupent des

formes non congruentes de statut social sont les plus influents dans la définition de règles

prioritaires, car leur statut leur confère une autorité hiérarchique ou d’expertise. Un expert en

mécanique est légitime pour déterminer à quoi servent des machines-outils et comment il faut

s’en servir. Les cadres dirigeants valident les politiques de sécurité proposées par les experts

afin de légitimer leur application dans toute l’organisation. Ne pas respecter ces politiques

revient alors à ne pas reconnaitre la hiérarchie, l’ordre établi.

12 Le néostructuralisme contemporain est très différent du structuralisme des années soixante parce qu’il s’appuie

sur une théorie de l’action individuelle (Lazega, 2003a)



Page 40

En résumé, Adler et Kwon (2002 : 27) suggèrent que les trois sources « opportunité,

motivation et capacités » doivent être présentes pour activer le capital social.

Aux auteurs d’ajouter13

qu’« il convient de rappeler, cependant, que ce schéma tripartite est

simplement un guide heuristique pour les causes proches de l'échange du capital social. Elle

ne peut pas se substituer à la recherche qui est nécessaire sur les caractéristiques de la

structure des relations sociales qui créent des opportunités élevées, la motivation et les

capacités. Les études théoriques et formalistes sont peut-être allées le plus loin dans cette

recherche, avec une accumulation impressionnante de résultats sur les caractéristiques de la

structure des liens qui offrent des opportunités élevées de capital social » (Adler et Kwon,

2002 : 27).

Ces propos laissent entrevoir un vaste champ de recherche sur les capacités des acteurs à

mobiliser leur capital social, mais aussi sur les motivations. Les propos de Portes (1998 : 6)

sur ce sujet sont particulièrement intéressants. Il pense que les motivations à donner sont les

processus clés que le concept de capital social essaye de capturer. Les motivations

instrumentales sont selon nous proches du concept d’intérêt. Les acteurs échangent de

l’information selon des critères définis dont il ne faut pas s’écarter sous peine d’être

sanctionné. Par exemple, si l’organisation est fortement sensibilisée au maintien du secret

professionnel, ses membres n’échangeront pas d’informations confidentielles sous peine

d’être désapprouvés et sanctionnés.

Les motivations consommatoires font appel aux normes profondément intériorisées, aux

valeurs individuelles et collectives, aux hypothèses fondamentales (Schein, 1992). C’est à

dire, ce qui est pris pour acquis par les membres d’une organisation, une réponse à un

problème connu. Ces normes consommatoires expliquent par exemple l’engagement qui

existe entre deux individus et qui génère une réciprocité non immédiate. La question est de

savoir comment ces normes instrumentales et consommatoires agissent dans la construction

ou la destruction du capital social. Il faut aussi déterminer comment ces normes interagissent

entre elles. Par exemple, Chollet (2005 :178-179) montre que la confiance est un concept

ambigu. L’on ne demande pas une information confidentielle à un ami pour ne pas le mettre

en difficulté avec le règlement de son entreprise, mais il arrive parfois que l’on donne une

information confidentielle, justement parce que c’est un ami qui la demande. Nous

interprétons ces deux comportements opposés comme des résultats de l’action des valeurs.

Comme le montre Rokeach (1973: 3), les valeurs sont organisées en systèmes et nous pensons

que si dans le premier cas ce sont les valeurs de bienveillance et de respect des règles envers

un ami, mais aussi envers l’entreprise, qui guident le comportement, dans le deuxième cas,

c’est la valeur d’amitié qui prime et pousse l’individu à donner ce qu’il ne devrait pas donner.

Il semblerait que la demande n’altère pas la confiance que l’on porte à la personne. Il s’agit

selon nous de la manifestation des « normes consommatoires » qui diffèrent selon la

hiérarchie des valeurs, qui font vivre la relation entre acteurs.

13 Traduit par nos soins



Page 41

1.2.4. Synthèse des définitions et les conditions d’activation du capital

social

Cette première section nous a permis de lister et de décrire les conceptions dominantes du

capital social (cf. Tableau 2).

Pour la plupart des auteurs (Bourdieu, Coleman, Fukuyama, Lin, Portes, Putam), la

conception du capital social est utilitariste et sert les intérêts immédiats des acteurs, qui

peuvent être :

Soit un groupe d’individus, voire des nations, et dans ce cas, le capital social est largement

dépendant de la culture et plus particulièrement de la valeur de confiance et des normes

de réciprocité.

Soit un individu en particulier. Dans ce cas, les différentes conceptions du capital social

associent la structure relationnelle à la confiance (Coleman), voire la nature des ressources

disponibles et accessibles grâce à la structure du réseau relationnel (Lin, 1999). Bourdieu

1980) a, quant à lui, la particularité de placer l’acteur au centre de son réseau social. Ce

dernier est le fruit de la stratégie de l’acteur et se bâtit sur le principe de reconnaissance

mutuelle.

Si la structure du réseau relationnel détermine la manière dont les ressources sont accédées,

peut-on pour autant dire qu’elle caractérise à elle seule le capital social ? Nous pensons

comme Lin ou Bourdieu que les ressources disponibles en sont un élément clé qu’il est

impossible d’écarter. En effet, comme nous le verrons dans la section suivante, la structure du

réseau ne dit rien sur le contenu des échanges. De plus, si certaines ressources ne sont pas

toujours choisies par l’acteur, comme ses relations professionnelles par exemple, rien ne

l’empêche ensuite de conserver des relations choisies, en fonction de valeurs communes,

d’intérêts communs, ou suivant une stratégie individuelle.

Une autre conception non-utilitariste défendue par Alain Caillé, nous paraît tout à fait

intéressante et pertinente pour tenter de capter toute la complexité du capital social. En effet,

non seulement cette approche du capital social ne nie pas les effets de l’intérêt immédiat, mais

elle enrichit les perspectives pour comprendre l’action tant individuelle que collective. La

théorie du don proposée par Alain Caillé fonde l’action sur la quête universelle de

reconnaissance et sur quatre dimensions qui font appel à un large éventail de valeurs. Ces

dimensions expliquent les raisons de la réciprocité de l’échange. Il ne faut pas oublier

qu’activer son capital social c’est faire une demande. Aussi, tout comme Portes (1998),

nous pensons que les motivations à donner sont un concept central du capital social. La triple

obligation de Donner-Recevoir-Rendre14

apparait très importante. Elle porte en effet une

certaine universalité anthropologique (Mauss, 1950) motivée par les mêmes

14 et son opposé : Prendre-Refuser-Garder



Page 42

principes d’action: l’intérêt personnel, l’empathie, la liberté et l’obligation d’agir. Cette

théorie s’intègre parfaitement avec le cadre des motivations définies par Alder et Kown.

Néanmoins, la définition du capital social d’Alain Caillé omet de prendre en compte la nature

des liens qui relient les acteurs entre eux. Selon lui (ibid. : 99), le concept d’encastrement

développé par Polyani (1983), puis repris par Granovetter (1985 , 1992) est un concept obscur

et discutable comme l’illustrent ses propos (ibid. : 122) : « plutôt que dire que l’économique

est imbriqué ou encastré dans la socialité primaire, dans les réseaux de relations ou entre

groupes, ne vaudrait-il pas mieux poser qu’il s‘étaie sur eux, voire qu’il n’est qu’une

modalité particulière du rapport interpersonnel ?».

Malgré ces interrogations qui nous semblent justifiées, notre sujet d’étude ne s’intéresse pas à

la nature de la relation entre économie et encastrement relationnel, mais à l’apport des réseaux

dans l’acquisition de ressources immatérielles. Les recherches sur les réseaux sociaux

montrent que la structure des relations est soit un levier, soit un frein pour l’acquisition de

ressources matérielles ou immatérielles. En conséquence, il ne nous semble pas raisonnable

de d’écarter l’analyse structurale du concept de capital social, du moins, dans la perspective

d’une stratégie individuelle de l’acteur qui nous intéresse dans le cadre de cette thèse.

En conclusion, nous pensons que l’étude du capital social au service de l’individu est

indissociable de l’étude de structure des relations et du type de ressources accédées. Nous

pensons également, comme Alain Caillé, qu’il faut aller au-delà de l’intérêt immédiat et du

seul intérêt économique. La théorie du don nous invite à prendre en compte un système de

valeur plus complet et complexe que la seule prise en compte de la confiance comme

condition de réussite dans l’activation du capital social.



Page 43

Fondement Auteurs Capital social Implications

Utilitariste

Putman

(1993)

Objectif: Action collective pour un

groupe donné.

Principe d’action: Cohésion les

normes et les obligations morales

Réciprocité et réseau de relation

La confiance est le résultat du capital

social

Fukuyama

(1995)

Objectif: Action collective pour un

groupe donné. Principe d’action: Cohésion par la

culture (valeurs et normes).

Confiance intra groupe et réseaux de

relations.

Coleman

(1988)

Objectif: Action individuelle

Principe d’action: Usage du réseau

relationnel.

Confiance et structure relationnelle

Bourdieu

(1980a)


Principe d’action: s’additionne au

capital humain (économique,

culturel, symbolique) détermine la

position dans le réseau relationnel.

Reconnaissance mutuelle entre membres

du réseau de relations

Lin

(1999)


Principe d’action: le capital social se

compose des ressources disponibles et des liens pour les atteindre.

Obligation de réciprocité ou de

compensation

Portes

(1998)


Principe d’action: le réseau social

est inutile s’il ne contient pas des

ressources.

Normes de coopération, confiance,

identité et réciprocité

Anti-

utilitariste

Caillé

(2006,

2009)

Objectif : Quête de la

reconnaissance

Principe d’action : intérêt pour soi,

empathie, obligation, liberté.

Théorie du don (donner, recevoir,

rendre).

La confiance.

L’intérêt personnel, l’altruisme, la liberté

et, l’obligation d’agir qui forment les

quatre dimensions de l’action et font

appel à un ensemble de valeurs diverses.

Tableau 2: Différentes définitions du capital social

Pour faire écho aux propos d’Adler et Kwon, il convient maintenant d’approfondir nos

connaissances sur les facteurs d’influence du capital social qui actionnent les leviers de

l’opportunité, de la motivation et des capacités.

1.3. Les facteurs d’influence du capital social

1.3.1. Les réseaux sociaux

L’efficacité d’un réseau dépend en grande partie de sa configuration. Cependant elle ne peut

être déterminée sans tenir également compte de l'état des autres sources de capital social et de



Page 44

l’action qu’exerce l’environnement sur l’acteur. Autrement dit pour reprendre les termes

d’Adler et Kwon (2002 : 32), il faut tenir compte des facteurs de contingence entre l’acteur et

l’influence de la hiérarchie, des contextes et des symboles pour l’action et de sa relation avec

son organisation. Auparavant, il convient de définir ce qu’est le réseau social, dans le cadre de

cette recherche.

Définition

Les réseaux sociaux « sont l’ensemble d’instances (telles que des personnes, des

organisations, des groupes sociaux…), liées par des relations sociales formelles ou

informelles, fondées sur l’amitié, le transfert de ressources ou d’autres axes de solidarité »

(Laumann, Galskeiwicz, Marsden, 1978 : 458). Ferrary et Pesqueux (2004 : 130) proposent

une autre définition : « des groupes d’individus entre lesquels, la fréquence des interactions

économiques, et la densité des relations sociales, permettent de lever l’incertitude liée au

hasard moral, en permettant de discerner précisément entre les membres malhonnêtes et les

membres honnêtes ». Ces deux définitions caractérisent le réseau social comme une structure

composées de relations entre individus, mais aussi de règles et de routines. Nous ne

partageons cependant pas la vision de Ferray et Pesqueux, et ce, pour deux raisons :

La pertinence générale de la fréquence comme unité de mesure de la force des liens peut

être discutée. Suivant les milieux, les contextes d’action, la proximité ou l’antériorité de la

relation peuvent s’avérer être de meilleur indicateurs de la force des liens.

Enfin, les incertitudes peuvent-elles être systématiquement et réellement levées ? Les

individus dotés de rationalité limitée (Simon, 1947) optent pour les choix les plus

satisfaisants, ce qui n’implique pas la levée complète de l’incertitude. De même la docilité

(Simon, 1993: 156) dont ils font preuve n’implique pas non plus la levée complète des

incertitudes.

La littérature consacrée à l’analyse des réseaux, emploie généralement les termes de réseaux

complets et réseaux personnels. Le réseau personnel ou « ego-network », correspond à la

structure relationnelle d’un individu. Ce réseau apparaît comme un cercle concentrique qui

peut compter au plus large, 5000 personnes. Mais qui connait-on personnellement ? Degenne

et Forsé (2004 :21), posent en réponse que l’on connait personnellement quelqu’un lorsqu’on

l’a déjà rencontré, ou que nous avons déjà établi un contact avec lui. Le cercle immédiat

correspondant à ceux que l’on contacterait pour joindre quelqu’un que l’on ne connait pas. Sa

taille serait de 100 à 200 personnes. Une personne a, en moyenne, moins d’une vingtaine

d’interlocuteurs différents par semaine, mais ne se confie réellement qu’a trois d’entre eux

(Degenne et Forsé, 2004: 26).



Page 45

La confiance nécessaire à la genèse des réseaux sociaux

La confiance implique la prise de risque. Les deux parties d’un échange savent que leurs

actions peuvent influer considérablement sur leurs relations. Cependant ces deux parties

partagent des idées, des préoccupations, des questions, etc.

La confiance peut être traitée comme:

Une caractéristique individuelle (Misztal, 1996), comme l’émotion ou les valeurs

(Wolfe, 1976) ;

Un attribut du collectif, qui peut être mis à profit pour atteindre un objectif

organisationnel (Misztal, 1996) ;

Un bien public précieux, facilité et soutenu par un système social (Putnam, 1993).

La confiance est considérée comme «la certitude d’un individu que les actions d’autres

personnes seront convenables à son égard » (Misztal, 1996 : 10). Fukuyama (1995) suggère

qu’il s’agit d’une attente des comportements honnêtes, coopératifs et réguliers des individus

partageant le même système de normes.

Les partenaires jaugent leurs limites respectives et décident de ne pas les enfreindre par

respect de l’autre. Le respect de sa propre « limite » est d'ailleurs aussi important que le

respect de celle de son interlocuteur.

« La loyauté est directe et indirecte : déclarer que certains objets sont inéchangeables parce

qu'il existe une loyauté vis-à-vis de l'organisation, c'est déclarer que de même, certains objets

partagés avec le partenaire seront inéchangeables avec un tiers, parce qu'il existe une

loyauté vis-à-vis de ce partenaire particulier. L'effet est double : limitation de l'espace

d'échange (mécanisme limitant) et renforcement des frontières qui le protègent (incite à

l'échange) » (Bouty, 1999).

Sur un plan individuel, la confiance envers un acteur ne se base pas sur ce qu’il dit, mais

plutôt sur ses compétences connues, sa réputation. Au plan collectif Dasgupta (1998) montre

que l’on ne fait pas confiance à un individu si l’on ne fait pas confiance à l’organisation qu’il

représente. Ceci exprime d’une part la nature transitive de la confiance, et d’autre part, la

volonté d’anticipation des comportements d’autrui. Les protagonistes d’une relation

recherchent en leurs partenaires des normes, des valeurs communes, mais aussi un

comportement équitable.

La logique d’échange entre les acteurs du réseau d’innovation est relationnelle, c'est-à-dire

basée sur le don/contre don : ce que donne chaque acteur au reste de la communauté

(compétence technique, réputation, information stratégique…) « ne fait pas l’objet d’une

compensation immédiate mais d’une compensation différée dont la nature n’est pas définie au

moment de l’échange » (Ferrary, 2002 : 277). Ce système permet le développement de la

confiance si les échanges sont équitables, c’est-à-dire, s’ils « consistent à aider le partenaire

lorsqu’il en exprime le besoin et inversement, à ce qu’il fasse de même lorsque l’occasion

s’en présente » (Bouty, 1999 : 10).



Page 46

La confiance devient alors un moyen de contrôle des comportements. Pour limiter

l’opportunisme, les acteurs du réseau doivent socialiser leurs échanges par des règles de

fonctionnement, des coutumes, des rites... D’une part, cette socialisation accroît le coût des

trahisons en augmentant le coût économique (exclusion des projets futurs), les coûts

symboliques et sociaux (exclusion des manifestations propres au groupe social) ; D’autre part,

elle assure l’optimalité de la régulation par le don, puisque le comportement opportuniste sera

sanctionné, même s’il n’y a pas de contrat formel. La sanction est dans ce cas sociale et non

légale : les informations sur le comportement opportuniste seront diffusées au sein du réseau

et inciteront chacun des membres à refuser toute nouvelle collaboration avec le tricheur

(Ferrary, 2002 : 284).

Brulhart et Favoreu (2003: 10) notent que la faiblesse ou l’absence de contrôle génère des

incertitudes qui se traduisent pour les acteurs par une perte de repère et un accroissement de la

déviance. Si la confiance est un mode de coordination possible du réseau, si chaque acteur

pose l’hypothèse que les autres membres ont la volonté réelle de coopérer, et que les

comportements opportunistes seront quasi-absents, alors, il est impératif de disposer d’une

règle de réciprocité qui assure l’équité des transactions. Dans le cas du réseau d’innovation,

cette règle est celle de l’exclusion des individus qui ne se révèlent pas dignes de confiance.

Ainsi, non seulement le contrôle et la confiance sont des modes de coordination

complémentaires, mais ils s’influencent mutuellement (Goold et Campbell, 1987).

Néanmoins si la confiance limite les comportements opportunistes des individus, elle peut

tout à fait engendrer des effets négatifs.

Des individus peuvent être abusés par une personne qui les manipule. L'abus de confiance

se définit juridiquement comme « le fait par une personne de détourner, au préjudice

d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a

accepté à charge de les rendre, de les représenter ou d'en faire un usage déterminé »

(article 314-1 du code pénal). Cet abus suppose au préalable un accord de volonté entre

les deux partis d’une négociation. Par exemple, A confie à B une somme d’argent pour

que B la transporte jusqu’à un point donné. B accepte la proposition, mais ne se rend pas

au rendez-vous et garde l’argent.

La confiance est aussi nécessaire entre les membres d’un gang pour mener à bien un

forfait. Il ne serait pas admissible que l’un d’eux aille dénoncer ses camarades à la police.

Ce type de relation frauduleuse implique l’existence de liens forts entre les membres du

groupe, ce qu’a théorisé Sutherland avec l’association différentielle (1966).

1.3.2. Analyse des réseaux sociaux

L’analyse structurale s’intéresse au réseau complet d’un acteur. Emmanuel Lazega

(2006 :216) pense que les processus sociaux qui constituent le capital social d’un collectif

(c’est-à-dire d’un capital social différent du capital relationnel des membres individuels de ce

http://www.legifrance.gouv.fr/WAspad/UnArticleDeCode?code=CPENALLL.rcv&art=314-1



Page 47

collectif) ne sont identifiables dans leur dimension relationnelle, que par l’analyse des réseaux

dits « complets15

».

Cependant la constitution des données nécessaires à l’analyse peut vite s’avérer

insurmontable. Il convient donc de délimiter le périmètre d’étude. Comme aucun réseau ne

comporte une frontière naturelle, il appartient au chercheur de délimiter son périmètre

d’investigation, avec le risque que la mesure retenue limite de manière trop restrictive le

champ des relations (Degenne et Forsé, 2004).

Dans le cadre d’un réseau personnel, on ne s’intéresse pas à un réseau complet mais l’on se

focalise sur un individu donné. Il s’agit alors d’étudier l’ensemble des liens qui entourent cet

individu (Marsden, 1990 : 438). Il est possible de demander à un individu de renseigner un

générateur de noms. « Mais un individu n’a pas nécessairement une bonne connaissance des

relations à l’intérieur de son réseau, et il faut discerner ce qui est de l’ordre de la relation

factuelle, et ce qui est de l’ordre de la représentation. Le risque d’amalgamer deux types de

réalités est grand et au total, les enquêtes sur les réseaux personnels ne permettent que

d’avoir des données structurales assez frustres : volume, fréquence, multiplexité, voire densité

des relations au sein des réseaux » (Degenne et Forsé, 2004: 28). Cependant l’étude des

réseaux personnels a aussi des avantages. Elle se prête facilement aux techniques classiques

d’échantillonnage, ce qui permet d’étendre les résultats d’un échantillon à l’ensemble d’une

population. Ce que n’autorise pas l’étude des réseaux complets (Merkclé, 2004: 35).

Pour illustrer l’apport des réseaux personnels nous pouvons citer Burt (2000: 16) et Jack et

alii. (2004 : 631), qui ont montré que les entrepreneurs interagissent avec leurs réseaux pour

générer des innovations. L’entrepreneur est intégré dans un environnement avec lequel il

interagit. Cet environnement, réseau social de l’individu, est diversifié : les dimensions:

sociales, socioéconomiques, culturelles, technologiques et politiques sont souvent mobilisées.

Il s’agit donc bien de nous intéresser aux processus sociaux qui fondent l’usage et la valeur du

réseau. En ce sens, le réseau personnel est bel et bien un réseau social. Aussi, à l’image de

Chauvet (2004) qui considère le réseau personnel du dirigeant comme le réseau social du

dirigeant, nous considérons que l’objet de notre étude est bien le « réseau social de

l’acteur ». Aussi, nous utiliserons indifféremment le terme de réseau social ou de réseau

personnel pour qualifier la structure des relations directes qu’entretient un individu.

15 L’expression « méthode des réseaux complets » désigne la méthode de recueil de données sur laquelle est

basée l’analyse structurale en sociologie. Elle signifie que le chercheur sait, après enquête dans un ensemble

social aux contours prédéfinis, si une (ou plusieurs) relation(s) existe(nt) entre deux personnes, quelles qu’elles

soient dans cet ensemble social. La définition du contour de cet ensemble et des relations dont on observe

l’existence fait l’objet, de la part du chercheur, de décisions de nature substantive. Ces décisions dépendent de

l’objectif prioritaire de la recherche.



Page 48

1.3.3. La structure du réseau social

Les théoriciens des réseaux soutiennent que la compréhension du capital social exige une

analyse plus fine de la structure du réseau. Il faut pour cela se concentrer sur la qualité des

liens constitutifs, leur fréquence, l'intensité, la multiplexité et l’ensemble des paramètres

structuraux. Il faut prêter attention à la nature directe et indirecte des liens (Granovetter,1973 ;

Coleman, 1988 ; Burt, 1992).

La théorie de la force des liens de mark Granovetter (1973)

Avec sa théorie des liens faibles, Granovetter (1973, 1985), illustre que les liens directs et

indirects du réseau donnent l'accès à des acteurs et aux ressources que ces individus peuvent

mobiliser à travers leur propre réseau de liens. Granovetter introduit le terme d’encastrement

(embeddedness) pour reconnaître que certains bénéfices économiques exploités par les

individus, ont comme origine les réseaux sociaux dans lesquels ils sont inscrits.

Granovetter (1973) classifie la force des liens interpersonnels en fonction de quatre critères :

la durée de la relation (l’ancienneté et le temps passé ensemble) ;

l’intensité émotionnelle,

l’intimité (la confiance mutuelle),

les services réciproques.

La force d’un lien interpersonnel « est une combinaison (probablement linéaire) de la

quantité de temps, de l’intensité émotionnelle, de l’intimité (la confiance mutuelle) et des

services réciproques qui caractérisent ce lien » (Granovetter, 2002 : 46).

Les liens forts relient entre eux des acteurs appartenant à un même groupe. L’intensité des

liens confère un caractère transitif à la relation. C’est-à-dire que si A à un lien fort avec B et C

alors il est très probable que B et C seront amenés à se connaitre et développeront aussi un

lien fort. Suivant cette particularité, un réseau social uniquement composé de liens forts serait

nécessairement dense. Coleman (1988: 99) fait valoir que la fermeture de la structure du

réseau renforce le capital social. Ce type de réseau s’apparente à « une clique » (Forsé et

Degenne, 2004), qui facilite l'émergence de normes efficaces et maintient la fiabilité des

autres membres, renforçant ainsi le capital social. Dans une structure plus ouverte, les

violations des normes sont plus susceptibles de passer inaperçues et restent impunies. Cela

favorise la perte de confiance entre les individus et l'affaiblissement du capital social.

Néanmoins, des travaux comme ceux de Hansen, Podolny et Pfeffer (2001) et Rowley,

Behrens et Krackhardt (2000), montrent que la densité et la force des liens ne sont pas

nécessairement statistiquement liées et qu’une faible densité associée à des liens forts produit



Page 49

des résultats bénéfiques pour l’acteur. Les liens forts ont la propriété de faire circuler

rapidement l’information, mais celle-ci est fortement redondante si le réseau est dense.

A l’inverse, les liens faibles permettent de relier les individus appartenant à des réseaux

différents et donc, d’accéder à de l’information nouvelle et inédite dans le groupe.

Cette théorie est communément admise au sein de la communauté des chercheurs en science

de gestion. Néanmoins, dans une thèse axée sur les propriétés d’un bon réseau personnel,

Barthélémy Chollet (2005: 389) montre que les liens faibles n’exercent pas nécessairement

d’effet en eux-mêmes. La population d’ingénieurs en Recherche et Développement faisant

l’objet de l’étude s’appuie très largement sur des liens forts. Ceci signifie que les ingénieurs

mobilisent des liens de confiance pour faire circuler l’information stratégique. La

bienveillance des interlocuteurs permet l’acquisition d’informations officieuses (Chollet,

2005: 354).

L’explication de ce résultat pourrait provenir de la nature des informations échangées via des

liens faibles : « les liens forts impliquent souvent que les parties prenantes de la relation ont

établi des heuristiques pour travailler ensemble et comprendre leurs façons respectives

d’exprimer leurs idées et leur pensée. Ainsi, dans un lien fort, même si les individus n’en

savent pas long sur la connaissance dont il est question, ils peuvent discuter de problèmes

complexes comme d’idées vagues avec moins de risque de mal se comprendre » (Hansen,

Podolny et Pfeffer, 2001 : 27).

L’étude de Granovetter (1973) qui a débouché sur la théorie des liens faibles, porte sur la

recherche d’emploi. Dans ce cas les informations qui circulent sur la disponibilité d’un poste

dans telle ou telle institution sont brèves. Par exemple, elles peuvent être orales et simplement

nécessiter un contact rapide entre les individus.

La situation serait probablement différente s’il s’agissait de transférer des connaissances

complexes, ce qui demande du temps. De plus, l’étude de Granovetter ne prend pas en compte

la compétition qui peut exister entre les acteurs. Cette compétition peut soit les rassembler,

soit les opposer.

La théorie des trous structuraux de Ronald Burt(1973)

Avec la théorie des trous structuraux, Burt (1992) soutient à l’opposé de Coleman, qu'un

réseau espacé avec peu de liens redondants fournit souvent de plus grands avantages qu’un

réseau fermé.

Un trou structural est « l’opportunité de connexion d’un individu à d’autres groupes,

autrement dit, il s’agit d’une relation de non redondance entre deux contacts». (Burt, 1992:

83).



Page 50

La personne qui en bénéficie occupe une position d’intermédiaire entre les groupes faiblement

connectés. Ce qui constitue un avantage central du capital social. La position d’intermédiaire

(broker) se définit comme « une relation dans laquelle un acteur médiatise le flux de

ressources ou d’information entre deux autres acteurs qui ne sont pas directement liés »

(Fernandez et Gould 1994 : 1457).

Elle permet à l’individu d’être un passage obligé dans la circulation des informations. Cette

position permet d’élaborer des stratégies comme, par exemple donner l’information pour

s’attirer de la sympathie ou des faveurs, monnayer l’information contre un autre bien ou

éviter que les adversaires en prennent possession.

Un réseau ego-centré procure des bénéfices en permettant d’accéder le premier à de

l’information nouvelle. L’acteur peut ensuite la relayer ou de ne pas le faire suivant la

stratégie qu’il estime la plus adaptée. Le bénéfice est maximal lorsque l’individu créé un pont

entre deux, voire plusieurs réseaux sociaux.

Un autre avantage du trou structural réside en la combinaison de la diversité des informations

que l’acteur peut capter. Cette combinaison d’informations variées permet la création de

connaissance confère une vision plus holistique de l’environnement… C’est un atout précieux

pour l’innovateur qui cherche à élargir sa perception de ce qui l’entoure.

Enfin, le trou structural améliore aussi la visibilité de celui qui en bénéficie, puisqu’il se

retrouve au centre d’échanges d’informations de valeur. L’innovateur peut ainsi plus

facilement acquérir l’adhésion de soutiens à ses projets.

Le réseau social est un outil pour anticiper l’avenir : « c’est une armée de gens qui traitent de

l’information et qui peuvent attirer votre attention sur certains éléments clés - vous tenant au

courant d’opportunités qui se développent, ou vous mettant en garde avant que ne se produise

un désastre » (Burt 1992 : 14). C’est aussi un outil promotion : « Vos contacts personnels

mentionnent votre nom au bon moment et au bon endroit, de sorte que les opportunités vous

sont proposées » (Burt 1992 : 14).

Les différentes formes de Non-Redondance

La non-redondance ou la redondance des liens au cœur de la théorie des trous structuraux est

une redondance structurale. Elle tient compte de la position d’une personne dans une

structure, mais ne déduit rien de ses attributs. Cette personne peut en effet être comptable,

médecin, ministre… ; la théorie des trous structuraux ne tient pas compte des avantages ou

des inconvénients liés aux caractéristiques de la personne.

La théorie des ressources sociales (Lin, 1999) apporte un complément important à cette

notion. Deux membres d’un même réseau qui ne partageant pas la même profession, ni le

même lieu de travail, peuvent avoir intérêt à entretenir des liens forts. Peut-on alors dire que



Page 51

ces personnes sont redondantes alors qu’elles ne disposent pas des mêmes ressources ? Dans

ce cas précis, la non-redondance ne s’exprime pas en termes de position, mais en termes

d’attributs. Il est possible d’identifier quatre redondances d’attributs :

La non-redondance géographique : McEvily et Zaheer (1999) montrent que plus les contacts

des dirigeants (ici des petites et moyennes entreprises spécialisées dans le travail des métaux)

sont dispersés géographiquement, plus l'entreprise dispose d'une compétence de veille

concurrentielle importante.

La non-redondance hiérarchique et organisationnelle : Seibert, Kraimer et Liden (2001),

suggèrent que les managers qui réussissent le mieux sont ceux dont le réseau est composé

d'individus travaillant dans d'autres fonctions de l'entreprise qu'eux et à des niveaux

hiérarchiques supérieurs.

La non-redondance technique : pour Rodan et Galunic (2004) l'innovation dépend de la

capacité à recombiner les connaissances hétérogènes disponibles dans l’environnement

relationnel.

Finalement, la mesure des liens redondants se détermine par :

La taille du réseau : le nombre de contacts dans le réseau (le nombre de liens directs de

l’acteur ego-centré) ;

La distance technique (la proximité des activités professionnelles), hiérarchique

(l’écart dans la position managériale), organisationnelle (différentes fonctions) ou

géographique (le même service, une autre entreprise,…)

La densité des relations : la densité se calcule par le rapport entre le nombre de liens

effectifs dans le réseau et le nombre de liens possibles ;

La hiérarchie des relations : l’influence exercée par les contacts.

La contrainte est un paramètre de mesure de la hiérarchie (Burt, 1997). Elle se calcule

en additionnant la part que prend chaque membre dans le réseau. En ce sens, elle

contient la densité. Plus il y a de trous structuraux, plus le capital social du réseau est

faible et plus l’influence de l’individu qui bénéficie des trous structuraux est forte.

Synthèse de l’analyse structurale

En résumé, la proximité, les liens internes, offrent des avantages en termes de cohésion pour

le capital social d’une organisation. Les réseaux à liens fort sont homophiles. C’est-à-dire, que

les personnes qui se ressemblent ont plus de chance de se rencontrer que celles qui sont très

différentes (McPherson, Smith-Lovin et Cook, 2001 : 416).

Les trous structuraux et les liens externes centrés sur l’acteur favorisent la variété des

ressources mobilisables, jouant ainsi sur ses capacités concurrentielles dans un objectif de

compétitivité.



Page 52

La recherche des effets de l’intensité des liens ou de la présence de relations d’intermédiaires

montrent que l’analyse structurale cherche à déterminer la meilleure configuration dans

laquelle les acteurs peuvent obtenir pouvoir et notoriété. Les propriétés structurales (force des

liens, trous structuraux, etc.), déterminent l’autonomie d’un individu. C'est-à-dire sa capacité

à avoir accès à des ressources liées à la position qu’il occupe (disposer de capacités

stratégiques).

Les réseaux ont la propriété d’être homogènes ou hétérogènes, suivant les caractéristiques qui

lient les acteurs entre eux. Par exemple, un réseau hétérogène est un réseau à liens faibles

dans la mesure où alter (un membre du réseau) et ego (le détenteur du réseau) ont des statuts

différents et/ou n’appartiennent pas aux mêmes réseaux (Granovetter, 1973). Le Tableau 3 ci-

dessous présente les propriétés d’un réseau hétérogène et homogène.

Homogénéité Hétérogénéité

Forte corrélation entre statuts (hétérogénéité

systémique)

Forte homophilie

Peu de relations entre réseaux

Faibles chances qu’un lien soit faible

Faible corrélation entre statuts (Homogénéité

systémique)

Faible homophilie

Beaucoup de relations entre réseaux

Fortes chances qu’un lien soit faible

Intégration locale forte Intégration locale faible

Tableau 3: Homogénéité et hétérogénéité des réseaux (Degenne et Forsé, 2004 :230)

La segmentation des réseaux, c'est-à-dire le non entrelacement et l’absence d’échange inter

réseaux, favorise l’homophilie et les liens forts. Plus la structure est segmentée, plus elle est

intégrée localement.

A l’inverse, l’entrelacement diminue l’homophilie et augmente le nombre de liens faibles.

Plus la structure est entrecroisée, plus elle est intégrée globalement. Plus il y a entrelacement,

plus il y a d’échanges et de communication. L’entente et la confiance peuvent naître entre les

individus.

Nous en avons terminé ici du balayage des différents éléments clés de l’analyse structurale et

nous souhaitons relativiser son importance. En effet, si elle est nécessaire, certaines voix

s’élève pour dire elle n’est pas pour autant suffisante.

Nous l’avons mentionné, Burt (1992, 2001) suggère que la structure des relations, qui peut

créer des avantages pour certains individus ou groupes, provient de la société : « qui peut être

vue comme un marché au sein duquel les gens échangent toutes sortes de biens et d’idées afin



Page 53

de poursuivre leurs intérêts. Certaines personnes ou certains groupes, réussissent mieux au

sens qu’elles reçoivent plus en retour de leurs efforts » (Burt, 2001: 202). Burt (ibid. : 204)

ajoute également que : « la structure des relations prioritaires entre les gens et au sein des

organisations peut affecter ou remplacer l’information ». Ce qui signifie que dans

l’incertitude, lorsque l’information est peu fiable ou difficile à obtenir par des voix

officielles, les acteurs mobilisent leur réseau personnel pour réduire ou anticiper les

risques. En ce sens, le réseau social se substitue aux sources officielles d’informations. Pour

Burt le phénomène central de l’analyse structurale est celui du mécanisme des connexions.

Parce qu’il détermine comment les acteurs accèdent à l’information et quels usages ils en

font.

Enfin, pour mieux comprendre l’intérêt et les limites de l’analyse structurale, il faut prêter

attention à l’ouvrage de M. Kilduff & W. Tsaï (2003 : 112). L’analyse structurale ne doit pas

conduire à négliger l’autonomie individuelle (individual agency), sous peine d’échouer à

comprendre comment les acteurs constituent et transforment les réseaux organisationnels.

Dans leur approche poststructuraliste, ils suggèrent de s’intéresser à la façon dont « la toile

d’interprétations subjectives des normes, des valeurs et des comportements bouge et change »

(Kilduff & W. Tsaï ,2003 : 115), d’analyser la façon dont les individus coopèrent pour

construire et maintenir les réseaux qui les contraignent (ibid. : 113). Il faut, selon eux, se

méfier des grands paradigmes comme « la représentation, dominante dans les sciences

sociales, d’un monde composé d’acteurs cherchant leur avantage personnel » (ibid. : 120).

« La recherche de la seule vraie structure sous-jacente devrait laisser la place à la

reconnaissance de la possibilité de multiples « vraies » structures et à l’acceptation de

l’importance des perceptions subjectives » (ibid. : 125). Au lieu d’envisager la structure des

réseaux comme « un ensemble stable, objectif et concret de réseaux », il faut mettre l’accent

sur « la fluidité ; la subjectivité et le caractère éphémère des réseaux » (ibid. : 12).

Pour ces chercheurs les réseaux et les normes sont des biens collectifs. Il faut combiner

l’analyse des logiques connexionnistes avec une approche cognitive. L’analyse des réseaux ne

peut se passer de souligner les dimensions cognitives des interactions, de réintroduire les

attributs des acteurs dans l’analyse, et de s’intéresser au contexte culturel et historique des

réseaux.

Dans le même courant de pensée, la problématique du capital social que propose A. Bévort

(2006) consiste à voir le réseau comme une médiation aux dimensions multiples entre les

acteurs disposant d’une identité, d’une histoire, de valeurs et avec des stratégies qui leur sont

propres. E. Lazega (2002, :184) montre par exemple que « pour participer à des efforts

collectifs d’innovation, les membres doivent compter sur l’existence, dans leurs réseaux, de

relations, de sous-structures relationnelles […] dont le rôle est de les aider à coopérer et à

échanger de manière régulière et adaptée à leurs objectifs d’innovation en commun ».



Page 54

1.3.4. La hiérarchie

Selon Adler et Kwon (2002: 27), la hiérarchie, bien que négligée, est également une

composante des organisations dont l’influence sur le capital social n’est très certainement pas

dénuée d’intérêt. La hiérarchie dessine les flux de décision et détermine les actions. Les liens

livrés avec les positions hiérarchiques ne sont pas volontairement choisis (Podolny & Baron,

1997: 690), ce qui peut donc influencer l'opportunité. L’autorité sur les ressources, les

croyances, les compétences peut influencer les capacités. Enfin, la hiérarchie peut également

influer sur les motivations à travers ses effets sur les incitations et les normes.

Adler et Know (2002: 25) soulignent que caractériser la hiérarchie comme un facilitateur du

capital social va à l'encontre des puissantes idéologies libérales, individualistes et anti

autoritaires au sein de la recherche sociale. Ces idéologies ont eu tendance à favoriser

l'hypothèse que des effets destructeurs de la hiérarchie sur le capital social.

Quelles sont les caractéristiques de la hiérarchie qui expliquent ces effets positifs ou négatifs?

Adler et Borys (1996) font la distinction entre les formes «porteuses» et «coercitives» de

bureaucratie dans les organisations. Ces auteurs font valoir que ces formes ont des effets

contrastés sur l'engagement des employés et sur le tissu de la coopération informelle. Leur

étude conclut que l’établissement de procédures aide les employés à faire correctement leur

travail et renforce leur implication dans la firme.

Si la forme bureaucratique est seulement synonyme de rigidité, d’autoritarisme et de contrôle,

alors notre capacité à saisir les changements qui s'opèrent dans le paysage organisationnel est

terriblement limitée. Selon Edwards (1979), la bureaucratisation a fonctionné essentiellement

comme un moyen par lequel les gestionnaires peuvent se diviser et exploiter les travailleurs.

En revanche, Dore (1973) a fait valoir que la bureaucratisation des relations de travail au

Japon a renforcé l'engagement des employés grâce à la création d'un ordre constitutionnel qui

a protégé les subalternes du pouvoir arbitraire et a légitimé l'autorité. D’après Adler et Borys

(1996: 81), il est certain que les entreprises qui maintiennent une asymétrie forte du pouvoir et

des responsabilités ne favorisent pas l’autonomie des salariés, mais au contraire, installent un

système autoritaire et coercitif. Néanmoins, ce type d’organisation ne résiste pas à la réalité

du marché et la compétition à laquelle se livrent toutes les institutions. Une organisation

coercitive ne pourrait perdurer que dans une institution peu innovante, non marchande,

comme le milieu associatif par exemple. Cependant, nous pensons que dans ce cas aussi, il

faut être prudent. Les associations sont aussi soumises à des contraintes financières et sont

aussi intéressées par la recherche de solutions qui leur permettraient de travailler plus

efficacement, en réduisant leurs coûts de fonctionnement et en augmentant leurs chances

d’obtenir des financements.

Cette approche, qui consiste à dire que les institutions confrontées à la réalité du marché

développent un management moins autoritaire, laissant plus de possibilité aux

fonctionnements en réseaux, est selon nous tout à fait en phase avec la quête de

reconnaissance des salariés qui s’ancre dans le réel (Dejour, 2007).



Page 55

1.3.5. Le contexte

L'ajustement entre les caractéristiques du réseau qui contribuent au capital social et les

objectifs de l'organisation est essentiel à la compréhension de la valeur de ce capital social

(Krackhardt, 1993: 110). Sur le plan structural, Hansen (1998) montre que les liens faibles

facilitent la recherche d’'information codifiable et que des liens étroits facilitent le transfert

efficace de données complexes et des connaissances tacites. Uzzi (1997: 57) fait une

remarque similaire : si la tâche exige de la confiance et de la coopération, des liens intégrés

avec les échanges répétés entre un petit nombre de partenaires sont privilégiés, mais si la

tâche à accomplir s’intègre dans un contexte de concurrence du marché, des relations

informelles avec des partenaires nombreux sont plus efficaces. Ainsi le contexte d’usage

réconcilie les visions de Coleman (structure fermée) et Burt (trous structuraux). D’ailleurs,

Burt (2001) montre comment il est possible de combiner l’approche de Coleman et la sienne.

Il constate que la performance d’un groupe est maximale lorsque sa structure interne est

fermée (densité forte de relations ou existence d’un leader), tandis que sa structure externe est

ouverte (les contacts externes ne sont pas reliés entre eux). L’inverse donne une performance

minimale.

Dans la continuité des propos précédents, Hansen et al. (1999: 107) montrent que le gain sur

des tâches relativement incertaines est plus important via des liens à plus forte densité, car la

densité permet aux divers acteurs de partager plus facilement les connaissances tacites. A

l’inverse, lorsque les tâches sont relativement sûres, les trous structuraux sont plus utiles, car

ils permettent une rentabilité via l'accès à un éventail plus large de sources d'informations.

Walker et al. (1997: 109), lors d’une étude de l'évolution de la valeur du capital social au

cours du cycle de vie des réseaux interentreprises, ont fourni un autre exemple de l'influence

du contexte sur l’apport d’une fermeture sociale ou de trous structuraux. Ces chercheurs ont

découvert que les trous structuraux ont plus de valeur au cours de l'histoire. Au début de la

formation du réseau ils ont un but informatif. Toutefois, au fur et à mesure que le réseau se

renforce, devient plus dense et se stabilise, les relations coopératives s’orientent davantage

vers des actions de courtage.

R. Putman propose de distinguer deux sortes de capital social : le bonding, qui crée des liens

forts entre les membres, et le bridging, grâce auquel se nouent des relations entre les groupes.

Or Mancur Olson (1982) soutient que les divergences d’intérêt entre les groupes et l’action de

ces derniers pour maintenir des rentes de position produisent de l’inefficience (les intérêts des

différents groupes à relier ne sont pas forcément convergents).

Les contextes de travail influent également sur la valeur relative des liens internes et externes.

Krackhardt et Stern (1988 : 137) discutent de l'importance relative des liens d'amitié au sein

des groupes. Ils font valoir que si la tâche nécessite l’unité et que l'organisation de la

coopération est importante, alors la valeur relative du capital social de l'intragroupe est

réduite.



Page 56

Les différents résultats de recherche que nous venons d’énumérer montrent toute la

complexité de la prise en compte des contextes d’activation. L’usage des liens forts et des

réseaux fermés s’observe essentiellement lorsque les tâches à accomplir sont incertaines et

nécessitent la confiance. A l’inverse, l’usage des trous structuraux s’applique surtout dans la

recherche de la nouveauté, mais le succès est dépendant de la nature des relations que peuvent

entretenir les différents groupes en contact. Un conflit d’intérêt, par exemple, peut rendre

l’usage d’un trou structural inopérant voire contre-productif. Ces observations sont

importantes dans le cadre de notre thèse. En effet, dans une logique d’innovation,

l’acquisition d’informations de valeur doit nécessiter de la discrétion et donc de la confiance.

Comme nous le discutons dans la section consacrée aux relations entre l’innovation et le

capital social, l’innovateur cherche à embarquer avec lui des soutiens, des personnes qui sont

prêtes à défendre ses idées et à l’accompagner dans ses projets, quitte à défier, du moins

temporairement l’autorité en place (Alter, 2000). Nous en concluons que l’innovateur, dans sa

quête d’informations et de soutiens, fera davantage appel à des relations avec lesquelles il

entretient des liens forts, plutôt qu’avec des contacts plus distants, moins au fait de sa

personnalité et de ses projets.

1.3.6. Les symboles ou la proximité entre la théorie du capital social et

théorie institutionnaliste

Les normes et les croyances sont des sources de capital social qui influencent sa valeur. Par

exemple, l'esprit d'entreprise peut être considéré comme légitime dans un contexte particulier,

alors que dans un autre contexte, il pourrait être considéré comme opportuniste et égoïste.

Gabbay et Zuckerman (1998 : 15) ont constaté que la lorsque les normes d'encouragement à la

coopération sont défavorables à l’entreprenariat, alors, les activités de courtage sont moins

susceptibles d'être récompensées.

En ce sens, la théorie du capital social est proche de la théorie institutionnaliste : la

performance des organisations dépend de leur capacité à maîtriser non seulement leurs tâches

techniques, mais aussi le défi symbolique de la création et le maintien de la légitimité.

En effet, selon J.R. Commons, l’un des pères fondateurs de la théorie institutionnaliste,

l’économie ne doit pas s’émanciper du droit et de l’éthique (Commons, 1934: 56). Ce qui

importe selon Commons (1934: 3-4), ce sont les échanges de droits entre les individus: l’unité

d’analyse de l’économie doit être l’action des individus dans les transactions, parce qu’elles

représentent le lien social entre les individus et les relations et l’unité première des

interactions humaines que sont :

le conflit provoqué par la rareté,

la dépendance qui concerne chaque individu et l’oblige à la coopération pour atteindre

l’efficience,



Page 57

et l’ordre nécessaire à la sécurité des anticipations auxquels se livrent les individus

(concept de futurité que nous expliquons un peu plus loin).

Commons (1939) décrit deux transactions ayant pour objet la création de richesses :

1. La transaction d’échange (barganing transactions) correspond aux situations

d’échange de biens matériels ou immatériels. C’est un ordre économique de la

société. Cette transaction est fondée sur des relations de conflit/compétition

suivant le principe de rareté. La valeur s’appuie sur l’utilité et l’échange.

2. La transaction de direction (managerial transactions). Cette transaction correspond

à un ordre moral de la société et s’appuie sur des relations de dépendance et de

coopération selon le principe de base de l’efficacité et d’une valeur fondée sur le

travail.

La troisième et dernière transaction (Commons, 1934: 68), la transaction de répartition

(rationing transactions) représente la lutte pour le pouvoir au travers des négociations entre les

différentes parties prenantes selon des règles et un ordre collectif qui régissent les relations

entre les individus. C’est un ordre politique et souverain dans la société qui encadre les

transactions d’échange et de direction.

Selon Commons, la rareté crée le conflit dans les transactions d’échange, et c’est aussi cette

rareté qui détermine le degré stratégique de l’échange (Commons, 1939 : 628). Dans ce cadre,

ces transactions reposent sur les principes psychologiques de la persuasion et de la coercition

économique. De même, la recherche de l’efficience conduit à la dépendance où chacun

dépend en partie des autres.

La dépendance conduit à la soumission, l’obéissance, volontaire ou non, à l’autorité

hiérarchique. Selon Commons (1934 : 88), le point de départ de l’économie institutionnelle

est celui de la coopération des individus au-delà des conflits. Cette coopération nécessite la

mise en œuvre de règles de conduites crées par les institutions pour gérer les conflits

d’intérêts et encadrer les transactions. Ces règles ont pour objet de diminuer, voire

d’empêcher que la recherche de la performance individuelle ne pénalise la communauté.

Les individus négocient la mise en place de nouvelles règles en procédant à des anticipations

sur les événements futurs et en s’appuyant sur le critère de la valeur raisonnable, c’est le

principe de « futurité » qui est important dans le sens où c’est le futur et non le passé qui

détermine l’action, non pas dans la maximisation des intérêts, mais dans la recherche de la

sécurité des anticipations.

En effet, les individus cherchent à anticiper les effets des transactions, afin de déterminer

leurs choix pour tenter d’anticiper et de maîtriser les incertitudes du futur. Commons rejoint

ainsi d’autres chercheurs comme Frank Knight (1921), qui, en distinguant les notions de

risque et d’incertitude, souligne l’importance du futur dans les comportements économiques.

Dans l’incapacité de calculer et maximiser toutes les conséquences de ses actions, et donc en



Page 58

un sens, sous l’effet de la rationalité limitée (Simon, 1947), l’esprit a pour propriété de former

des habitudes par des règles de conduite devant guider l’action. Cette rationalité limitée des

acteurs les conduits à faire des choix raisonnables et non maximisés. Cette rationalité est donc

guidée par les institutions qui fixent les règles de conduite (Commons, 1939 : 639).

L’incapacité de maximisation de l’individu transfère cette responsabilité à la collectivité qui

permet l’action et donc la sécurisation de l’avenir. Le comportement d’un acteur doit donc

s’analyser dans le cadre de l’action collective (ibid., 1934 : 73-74). Les règles produites par

les institutions sont autant habilitantes que contraignantes pour l’action. Nous rejoignons ici

l’avis d’Adler et Known (2002) sur le rôle de la hiérarchie dans la constitution du capital

social.

Les habitudes permettent à l’acteur de traiter aisément les transactions routinières pour se

concentrer sur les transactions les plus stratégiques (ibid., 1939: 89), où les gains espérés,

mais aussi les risques encourus peuvent être plus importants. Or, ce sont justement les

transactions stratégiques qui sont à l’origine des innovations et de l’évolution de la société.

C’est par elles que de nouveaux comportements et de nouvelles règles émergent avant d’être

sélectionnés. Commons croit que le changement est organisé et contrôlé par les individus. Les

transactions stratégiques conduisent à traiter des problèmes nouveaux et induisent des

changements de comportements, puis l’émergence d’innovations, de nouvelles habitudes et de

nouvelles pratiques, à condition qu’elles soient acceptées par les responsables politiques des

institutions comme par exemple les entreprises.

Ainsi selon Commons, les valeurs déterminent en premier lieu les comportements et

représentent ce qui rassemble les individus dans une même communauté. Le « capitalisme

raisonnable » de Commons s’établit sur le consensus des valeurs qui régissent les

comportements de chacun des membres de la société.

Ce qui rapproche donc le capital social de la théorie institutionnaliste, c’est l’appartenance de

l’individu à un groupe dont le pouvoir politique fixe les règles collectives du comportement

sur la base de valeurs, normes et règles, qui forgent l’identité du groupe. Cependant, ces

règles sont surtout utiles pour gérer les transactions non stratégiques. A l’inverse, les

transactions stratégiques ne répondent pas toujours aux impératifs du respect des règles. Elles

comportent des risques.

Néanmoins, alors que les organisations fonctionnent de plus en plus en réseaux et se

flexibilisent (Sennet, 1999, 2005), la vision institutionnaliste de Commons, née à une époque

où les entreprises étaient plus fortement hiérarchisées, peut être discutée.



Page 59

1.3.7. La relation individu/organisation : entre flexibilité, érosion du

capital social et nécessité d’innover

La thèse de R.Sennet est que la flexibilité et les relations de court terme, propres au

capitalisme de réseau érodent le caractère (la personnalité) et « en particulier ces traits de

caractère qui lient les êtres humains entre eux et les dotent d’une personnalité susceptible de

perdurer » (Sennet, 1999 :25).

Sennet fait le constat que les causes probables de l’érosion du caractère sont les mêmes que

celles qui affectent le capital social. L’érosion du caractère est, selon lui, la perte de

motivation et d’engagement des acteurs pour l’intérêt du collectif, du fait des comportements

individualistes que génère la nouvelle économie.

Trois points peuvent illustrer le manque de motivation à intégrer l’intérêt du collectif dans les

processus individuels de décision : les conséquences du nouveau type de travail sur le

caractère ; la mobilité professionnelle et ses conséquences ; le relâchement des liens de

dépendance réciproque.

Selon Sennet, l’exigence de flexibilité de l’économie actuelle consiste en « une capacité

continue à abandonner son passé » et une « confiance en soi-même nécessaire pour accepter

la fragmentation » (Sennet, 1999: 62).

Comme nous l’avons évoqué en reprenant les travaux de J.R Commons, quand la prise de

risque est imminente à toute action d’innovation, la possession de ressources permettant

d’affronter l’incertain avec une proportion raisonnable de succès devient la condition d’un

comportement le plus rationnel possible face aux risques. Or, celle-ci semblerait faire de plus

en plus défaut puisque : (1) les parcours professionnels des salariés sont incertains et

désordonnés, (2) les opportunités que saisissent les individus sont le fait du hasard, (3) les

liens sociaux ne s’inscrivent pas dans la durée.

« Au-delà des effets sur l’érosion du caractère, ce point nous amène à considérer l’un des

aspects les plus directement liés au capital social. Le capital social suppose par définition

l’existence de liens de dépendance réciproques. Il peut s’agir de liens intenses, personnalisés,

chargés en émotivité, ou bien , à l’inverse, de liens plus froids, fonctionnels quoique durables,

reconnus et respectés » (Bevort et Lallement, 2006).

Or, d’après Sennet, ces liens de dépendances ont tendance à s’éroder. Si bien que suivant la

théorie institutionnaliste, pour certaines personnes, les règles des transactions d’échanges

pourraient s’écarter des règles collectives et des intérêts de la collectivité. C’est pour cela que

Sennet prétend que cette situation a en général pour conséquence, chez ceux qui sont

dépourvus de capital social, de favoriser des comportements de free-riding, c’est-à-dire de

passagers clandestins, qui pourraient bénéficier des avantages proposés par la collectivité sans

pour autant participer à leur constitution.

« Si, par définition, le capital social suppose l’existence d’interactions et de relations avec

autrui, il n’en va pas autrement pour ce qui concerne la construction de soi. Or, en matière



Page 60

de capital social, l’homme flexible d’aujourd’hui ne possède pas nécessairement toutes les

ressources qui lui permettent de s’adapter de manière satisfaisante. Si un tel constat se

généralise, nous pourrions assister à une crise de motivation et rencontrer d’importants

problèmes d’intégration sociale. Comme on le voit, la problématique du capital social et de

l’érosion du caractère sont liées entre elles » (Bevort et Lallement, 2006: 69).

La flexibilité exige l’adaptation des salariés et la prise d’initiative dans les organisations, qui

mettent toujours en place des procédures et pratiquent le contrôle. L’engagement personnel

est indispensable à l’épanouissement des capacités collectives. Être professionnel, c’est être

capable de faire preuve d’autonomie. Le salarié est responsable de ses résultats et doit lui-

même trouver les ressources pour les atteindre (Alter, 2009: 91 ; Ehrenberg, 1991 :16 ; Le

Corre, 2003 :64). Comme l’a écrit Nicolas Flamant16

(2001) : « Ils (les cadres) n’ont pas été

relayés par l’école et les médias, posant comme principe de vie professionnelle la précarité

des situations et comme règle la mobilité et la flexibilité. Ils ont bien entendu que leur

employabilité était liée à leur capacité de renouvellement… et de prise en main de leur

propre devenir ».

Ceci implique que le salarié, pour prouver son utilité dans la firme qui l’emploie, doit se créer

un capital social à même de lui procurer des ressources, capables de mener avec lui, des

transactions stratégiques. Ces transactions ayant pour but d’apporter de la créativité, des

innovations propres à remettre en cause les règles collectives par la résolution de problèmes

nouveaux.

C’est probablement pour cela que Galambaud et Léon (2005 : 12) écrivent que les individus

qui disposent du meilleur capital social et culturel sont ceux que les responsables

d’entreprises souhaitent intégrer, mais qui ont les moyens de refuser les offres qui leur sont

faites. A l’inverse, d’autres salariés ont un capital social et culturel trop insuffisant pour

répondre aux exigences des employeurs et sont alors disposés à commettre des coups d’éclats

et tenter de s’appuyer sur leurs relations interpersonnelles (ibid., 2005 : 12).

Galambaud et Léon (2005) traduisent deux effets majeurs du capital social. D’une part la

détention d’un capital social important permet au salarié d’exercer une certaine liberté et

indépendance vis-à-vis de l’institution, et d’autre part, un manque de capital social peut

conduire à l’affrontement avec les instances de décisions de l’institution.

Toutes les évolutions décrites ont engagé le monde de l’entreprise dans un processus

d’individualisation. Les augmentations de salaire se sont individualisées. Alors que la

rémunération des dirigeants des grandes entreprises s’envole, le salarié est contraint à bien

faire et en faire plus pour espérer augmenter ses revenus sans pour autant être certain

d’atteindre ses espérances dans une négociation où le rapport de force est largement favorable

à l’employeur. A cela s’ajoutent également des craintes sur les perspectives de carrière à long

terme résultant de l’incertitude en l’avenir, et la possible défiance envers les dirigeants qui

« ne sont pas en haut de la société, mais au-dessus d’elle (Touraine, 2005) »17

.

16 N. Flamant- L'intégration des jeunes dans l'entreprise, Entreprise et Personnel, Paris, 2001. 17 A.Touraine (2005), Un nouveau paradigme, Fayard, Paris.



Page 61

Ainsi les salariés dans leur grande majorité ne se retrouveraient plus dans l’univers social qui

leur est proposé et s’écarteraient, selon Sennet (2000, 2005), de la culture d’entreprise. Leur

appartenance à de multiples réseaux augmente la réactivité de l’entreprise, mais pourraient

conduire les salariés en quête de capital social à se constituer des relations auprès de contacts

divers parmi les clients, les fournisseurs ou concurrents.

Les réseaux relationnels dans lesquels ces salariés seraient insérés pourraient les amener à

conduire des transactions d’échanges, qui ne seraient pas toujours dans l’intérêt des

entreprises qui les emploient.

Dans un ouvrage consacré à la coopération en entreprise, Norbert Alter (2009: 82) pense que

la mobilité personnelle s’ajoute à la mobilité structurelle des salariés. La mobilité

professionnelle qui impose de plus en plus un changement de poste environ tous les trois ans

(Alter, 2009 : 86) ne facilite pas la création du capital social. Changer de poste, c’est détruire

en partie le cadre patiemment construit qui permettait d’établir la réciprocité et cristalliser un

type de professionnalité facilitant le caractère informel du travail : arrangement avec les

clients, dérogation à la règle, connaissances des risques liés à la clientèle etc. (Alter, 2009 :

87). Cette mobilité implique la reconstitution permanente d’un capital social devenu

éphémère. A l’inverse, cette mobilité professionnelle permet de se construire un carnet

d’adresse et d’avoir une meilleure connaissance de l’organisation dans sa globalité. Cette

vision plus globale, cette capacité à se tisser un nombre de liens, peut-être moins intenses

mais plus nombreux permettrait selon Alter (2009) de contrebalancer toute l’influence que

peuvent avoir « les anciens » bénéficiant de liens forts.

Pour Norbert Alter (ibid.: 88), l’érosion du capital social amène l’acteur à se conduire comme

un petit entrepreneur au quotidien, au sens schumpétérien du terme. C’est-à-dire, que chacun

est tenu d’innover et donc d’entretenir sa capacité d’innovation pour enrichir, sinon maintenir,

son capital social.

Il ajoute, par exemple, que les nombreuses transformations organisationnelles ont obligé les

organisateurs, comme les ouvriers dont le pouvoir repose largement sur la solidarité

collective, à repenser les mécanismes de coordination entre les différentes parties prenantes

d’un processus de production ou de création. Selon lui (ibid. : 84), « Les petits innovateurs du

quotidien qui parviennent à conférer sens et efficacité aux nouvelles technologies, aux

nouvelles procédures comptables, aux nouvelles politiques commerciales, buttent toujours sur

des acteurs peu efficaces, peu légitimes, mais garants de l’ordre établi ».

En ce sens, Alter rejoint Commons (1939) sur la nécessité pour les innovateurs du quotidien

non seulement de se constituer un capital social nécessaire à l’établissement de transactions

stratégiques, mais aussi de trouver une légitimité auprès des instances politiques dominantes

de l’institution à laquelle ils appartiennent. Il souligne également combien la culture

d’entreprise peut être un incitateur ou un frein à l’innovation et au recours au capital social.

Nous retenons également que le contexte de flexibilité de Sennet (2005), repris par Alter, peut

conduire le salarié à se constituer un capital social avec des partenaires qui n’appartiennent

pas à la même organisation. Ces réseaux relationnels peuvent créer des multiples liens entre

les institutions et leur environnement extérieur. Ces réseaux, suivant la nature des liens qui les



Page 62

composent, permettraient aux salariés concernés d’acquérir des informations nouvelles ou

nécessitant un haut niveau de confiance. Les transactions d’échanges réalisées peuvent

concerner des informations rares et avoir de la valeur pour l’institution qui en bénéficie, mais

dans un contexte de compétition économique, elles exposent et pénalisent potentiellement les

institutions dont les informations proviennent. D’autant que, selon la théorie du don (Caillé,

2009), ces échanges impliquent la réciprocité.

1.3.8. La valeur de l’échange et le délai de réciprocité

Pour Colman (1988), il ne peut y avoir d’échanges sans intérêt. L’intérêt est un moteur du

capital social. Selon A. Gouldner (1992: 161), l’ordre social ne découle pas simplement du

jeu d’attentes réciproques qui ne cessent de se renforcer ni même du produit de calculs

d’opportunités. «Notre thèse est que la réciprocité n’est pas seulement motivée par le plaisir

d’Ego18

à donner à Alter, mais également par le fait qu’Alter a intégré une norme de

réciprocité spécifique qui moralement l’oblige à satisfaire ceux qui l’ont satisfait »

(ibid. :163).

La norme de réciprocité19

est une garantie d’un ordre social et un « mécanisme initiateur ».

Cette norme, aide à engager des interactions sociales. En dépit d’un intérêt bien compris à

troquer une marchandise contre une autre, les agents économiques réputés rationnels peuvent

avoir légitimement peur de s’engager dans un acte d’échange. Rien ne garantit en effet

qu’après qu’un acteur a cédé son bien à l’une de ses relations, celle-ci lui fournisse en

contrepartie un bien de valeur équivalente (Bevort et Lallement, 2006). Par un classique effet

de composition, l’échange ne devrait donc pas avoir lieu sauf si, précisément, une norme est à

même de lever l’incertitude et d’engager les protagonistes sur la voie réciprocitaire.

Alain Caillé (2009), avec sa théorie des moteurs de l’action, pense quant à lui que la

satisfaction du besoin de reconnaissance passe par l’acte « désintéressé », du moins en

apparence, puisque le désintéressement est également intéressé. Le don « satisfait à la fois les

intérêts de face et les intérêts matériels du donateur » (Caillé, 2009 : 20, citant Mauss, 1950).

L’action peut être motivée, intéressée par la satisfaction du « soi » ou de « l’autre », et non

pas par la recherche d’un intérêt matériel. La générosité paie, l’empathie peut être un moteur

18 La littérature sur les réseaux sociaux utilise le terme d’ « ego » pour qualifier la personne au centre du réseau

social, l’acteur central, alors que les « alters » sont les membres du réseau d’ « ego ». 19 Réfléchir sur la norme de réciprocité conduit naturellement à poser la question de l’équivalence : que rendre

en contrepartie du don ou de l’aide accordée ? Selon A. Gouldner, deux cas de figure doivent être distingués.

Dans le cas d’une réciprocité hétéromorphique, les choses échangées peuvent être de nature différente mais de

valeur égale (un prêté pour un rendu). Avec la réciprocité homomorphique, les échanges doivent être

concrètement semblables ou de forme identique tant au niveau des choses échangées que des circonstances (un

rendu pour un rendu). « Historiquement, on trouve la plus importante expression de la réciprocité

homomorphique dans les normes de réciprocité négative, c’est-à-dire dans la vengeance où l’on ne rend pas des

bienfaits mais des préjudices, le meilleur exemple de cette réciprocité nous est fournie par la lex talionis »

(Gouldner, 1992, p. 161).



Page 63

de l’action qui selon Alain Caillé (2009), est tout à fait compatible avec le modèle

économique de Bourdieu.

Pour Alain Caillé (2009), faisant écho à l’anthropologue Marcel Mauss (1950), le don se

décompose en trois séquences : Donner, Recevoir puis Rendre. Le don ne suppose aucun

retour certain, il est de fait adapté au comportement innovateur (Caillé, 2009). Par ailleurs,

comme l’écrit alter (2002 : 275), « l’échange social, de type don/contre-don, est ce qui

permet d’agir collectivement. Cette capacité est essentielle pour entreprendre, que ce terme

corresponde à l’action de l’entrepreneur schumpétérien ou à l’activité ordinaire d’une

multitude de petits entrepreneurs du quotidien, à l’intérieur des firmes ».

Les actes de confiance au sein des réseaux prennent la forme d’engagements qui, dans les

projets d’innovation, s’intègrent dans une dialectique de dons et contre dons. Elle introduit

une réciprocité dans l’échange, déjà étudiée dans les relations entre les acteurs de l’innovation

en général (Bouty, 1999, Ferrary, 2002), et ceux des logiciels libres en particulier (Loilier,

2002).

Celui qui donne en premier créé la dépendance, celui qui reçoit le don peut choisir de

l’accepter ou de le refuser. S’il l’accepte, il va à son tour donner pour rééquilibrer la relation :

il rend. Après évaluation de ce contre don, un nouveau cycle peut être enclenché. On assiste

alors à un processus d’engagement progressif qui construit la confiance, comme le montrent

Gomez, Korine et Masclef (2003: 7) dans le cas de l’alliance Renault-Nissan. La rationalité

du don est ainsi ambivalente dans la mesure où :

Tout don suppose la confiance puisque le don est un acte incertain qui peut être

éloigné de la rationalité économique stricte ;

Le don n’est pas désintéressé dans la mesure où il présuppose un contre don. « Le don

fournit aux individus des motivations personnelles qui permettent la contribution de

tout au bon déroulement des échanges au niveau collectif » (Douglas, 1989: 111).

Perroux (1960) a d’ailleurs montré que, sous certaines conditions, la logique du don

peut tout à fait renforcer l’ordre marchand (Dupuigrenet-Desroussilles, 1962 :991-

992).

Pour d’autres, le don permet de passer de la fonction à la personne. C’est un acte

d’engagement envers l’autre. Ce n’est pas la contrepartie qui motive le don, mais l’espérance

de la continuité de la relation. On sait aussi que l’on peut plus facilement demander un conseil

stratégique à celui qui est en dette, car il y a une conscience de la dette nous dit Norbert Alter

(2009: 99).

De même, un geste qui compte est un geste qui a une certaine valeur. On ne donne pas ce qui

n’a pas de valeur en espérant une contrepartie.

Donner n’implique pas de recevoir une contrepartie immédiate. De fait, l’acte de don

implique la notion de durée dans la relation. On peut se sentir redevable d’une relation que

l’on n’a pas revue depuis des années. Néanmoins, la durée de la relation est aussi liée à la

nature et au contexte d’échange. On attend un retour sur une durée plus ou moins longue



Page 64

suivant le statut de la personne qui est en dette. Mais si aucun retour n’arrive, alors la

collaboration s’arrête. Personne ne donne rien sans rien recevoir en retour.

Alter (2009: 103) cite le témoignage d’une salariée pour laquelle donner des informations sur

les dernières innovations ou la stratégie de l’entreprise ne pose pas de problème. Elle attend

quelque chose en retour, et cet échange permet d’exprimer une sympathie mutuelle. Alter écrit

que ces échanges donnent lieu à une « inflation horizontale ». Plus les individus échangent

des connaissances et des savoir-faire, plus ils échangent de l’émotion, des projets, des

représentations et des valeurs. Plus le principe de générosité anime les relations, plus les

individus acceptent de donner des choses variées, personnelles et engageantes.

Pour se réaliser pleinement, l’échange social suppose de l’émotion positive. A défaut, il y a

coopération, mais pas échange.

La théorie du don montre que l’intérêt matériel ne peut expliquer à lui seul les raisons d’agir.

Les différents exemples que nous venons de lister montrent que la nature de la relation et le

désir de maintien des liens peuvent conduire à s’engager fortement envers les autres. Le

témoignage cité par Alter (2009: 103) exprime clairement que le désir de liberté peut conduire

le salarié à agir de manière à priori opposée aux intérêts de l’institution à laquelle il

appartient. On peut en effet douter qu’une institution érige une règle de conduite autorisant

ses salariés à échanger des informations stratégiques avec leurs contacts.

Les informations qui font l’objet des échanges prennent dans certains cas une valeur qui n’est

pas seulement matérielle, mais peut aussi par exemple, être affective. Le donateur semble

s’approprier l’information et le don devient un témoignage de son affection, de sa confiance.

L’information devient une monnaie d’échange qui sert à la satisfaction de l’autre partenaire de

l’échange, mais aussi à sa propre satisfaction. Dans le cadre de notre thèse, ceci nous conduit

à nous interroger d’une part sur l’efficacité réelle des règles de conduite qui imposent des

comportements uniquement destinés à préserver les intérêts matériels du collectif qui les

définit, et d’autre part, à nous interroger sur les valeurs qui conduisent à faire un don

outrepassant ce type de règles.

On n’échange pas n’importe quoi, avec n’importe qui, n’importe quand. Mobiliser son capital

social comporte des avantages, mais aussi des risques qu’il convient de peser.

1.4. Avantages et risques du capital social

Le parcours de la littérature consacrée au capital social nous a permis de balayer un ensemble

de dimensions nous permettant de définir le capital social, de déterminer ses conditions

d’action et ses facteurs d’influence.

Le capital social est bien une ressource pour l’action. Celui-ci s’appuie sur une structure: « le

contenant », qui supporte des processus sociaux : « le contenu ». Ces processus se

matérialisent par l’accès à des ressources. L’échange de bien en est le plus visible, mais il est



Page 65

aussi sous l’influence de plusieurs facteurs. En effet, nous pensons comme Bevort et

Lallement (2006) qu’il faut avoir quelque chose de valeur à donner pour, dans la plupart des

cas, en obtenir une autre en échange. De même la théorie universelle du don (Caillé, 2009)

implique d’une part, que l’objet échangé contienne de la valeur pour le demandeur et que

d’autre part, que l’acte de don ait aussi de la valeur pour le donateur, en ce sens qu’il peut

simplement y avoir un intérêt à donner. Sinon le don n’aurait pas de sens. La ressource

échangeable peut être un bien matériel ou immatériel.

L’intérêt à donner peut être illustré par les travaux de Coleman (1988). Dans son étude sur

« le club Sénat », Coleman (1988 : 102) montre que certains sénateurs, sont plus influents

que d'autres parce qu'ils ont construit une série d'obligations pour d'autres sénateurs, et ils

peuvent utiliser ces crédits pour obtenir l’adoption d’une loi. Ainsi, par désir d’influence, de

contrôle, de pouvoir, ou peut-être par simple amitié, empathie, etc. Le donateur créé une

dépendance du demandeur par le mécanisme de réciprocité.

Disposer d’une ressource ne suffit pas à faire grandir son capital de manière durable. Encore

faut-il savoir gérer son développement. La croissance ou la décroissance du capital social

dépend de la structure du réseau relationnel, de facteurs endogènes comme l’émotion,

l’intérêt, mais aussi environnementaux comme la hiérarchie ou encore la relation individu-

organisation.

Un grand nombre d’études montrent que la structure du réseau social améliore la rapidité

d’accès, l’actualité et la pertinence de l’innovation (Adler et Know, 2002 :29 ; Boxman et al,

1991; Burt, 1992; Fernandez & Weinberg, 1997; Granovetter, 1973; Lin et al, 1981;

Meyerson, 1994 ; Burt, 1987; Coleman, Katz, et Menzel, 1966; Rogers,1995).

Dans certains cas, le capital social des individus peut bénéficier à la collectivité, l’institution à

laquelle ils appartiennent. Burt (1997a) montre par exemple que le capital social permet les

activités de courtage qui apportent des informations émanant d'autres acteurs à l'acteur central

; dans la mesure où cette activité de courtage se fonde sur une sortie réciproque

d'informations, l'ensemble du réseau bénéficiera de la diffusion de l'information. Dans son

étude sur l'industrie du vêtement, Uzzi (1997: 46) a constaté que le transfert d'informations à

« grains fin » entre les entreprises leur permet de mieux prévoir les demandes futures et

d'anticiper les préférences des clients. Hansen (1999) montre que les liens faibles facilitent la

recherche efficace et à faible coût de nouvelles informations par des équipes de

développement de produits. Ils suggèrent que des liens forts facilitent la recherche à moindre

coût d’informations complexes et le transfert de connaissance tacite.

La structure du réseau a également une influence sur le comportement opportuniste des

acteurs, mais sur ce point, les avis des différents chercheurs divergent. Selon Coleman (1988),

le capital social, au travers du lien social permet, l’évitement de comportements

opportunistes. Une relation bilatérale forte créée et nécessite une confiance qui rend les actes

déviants détectables et sanctionnables. A l’inverse, une structure relationnelle ouverte

encourage la dissimulation d’actes non conformes aux normes de la communauté puisque

moins facilement détectables. Coleman s’oppose de la sorte à Burt (1992), selon lequel la

position d’intermédiaire dans un réseau ouvert garantit la conformité du comportement des



Page 66

individus par les avantages qu’elle leur procure alors que la fermeture du réseau facilite les

effets d’opportunisme.

Les travaux de Burt sur les trous structuraux (1992, 2005, 2010) portent sur les effets de la

non-redondance des liens sur l’acquisition d’informations. La non-redondance permettrait à

l’acteur au centre du réseau d’obtenir rapidement des biens inconnus par les autres membres

de son réseau personnel, lui conférant ainsi pouvoir et influence. Burt valorise la faiblesse de

la densité des liens sociaux, mais ces liens seraient moins efficaces pour faire circuler des

informations portant un risque et nécessitant de la confiance. La théorie défendue par Burt ne

nous paraît donc pas judicieuse pour justifier des apports de réseaux sociaux dans

l’acquisition d’informations confidentielles.

La théorie des liens faibles de Granovetter (1973) apporte des éléments intéressants sur

l’interaction socio-économique des réseaux sociaux e particulièrement en ce qu’elle permet de

mettre en évidence que les liens sociaux sont à l’origine de certains bénéfices économiques

pour les individus. Selon l’auteur, les liens faibles, c’est-à-dire les moins denses, moins

fréquents, les moins émotionnels permettent l’interconnexion simultanée avec différents

réseaux sociaux, ce qui facilite l’accessibilité à des informations. Par ailleurs, pour lui, le

réseau social crée des structures implicites pouvant être de nature normative, symbolique et

culturelle. Dans ce cas, des liens forts (à l’opposé des liens faibles) influencent les

comportements des individus. Par exemple, les normes sociales et les croyances, associées à

un haut degré de fermeture du réseau social, encouragent le respect des règles et des coutumes

locales et réduisent la nécessité des contrôles officiels. Ouchi (1980 : 129) fait valoir que les

organisations de type « clan » avec de fortes normes partagées bénéficient de coûts de

contrôle inférieurs et d’un engagement supérieur. Nelson (1989), dans l'étude des liens

intergroupes dans les organisations, appuie cette interprétation. Il montre que les interactions

fréquentes entre les groupes permettent la résolution rapide des différents et préviennent

l'accumulation de griefs et de rancunes. Krackhardt et Hanson (1993) soulignent qu’un réseau

de confiance peut transmettre des informations plus sensibles et plus riches que les autres

types de réseaux en raison de la solidarité qu'elle engendre.

Cette théorie, et surtout, les caractéristiques des liens forts, nous intéresse particulièrement

dans le cadre de notre thèse. Ces caractéristiques sembleraient en effet permettre à un individu

de recevoir des informations nécessitant un haut niveau de confiance comme par exemple des

informations confidentielles, qui pourtant, ne devraient pas lui parvenir.

Néanmoins, l’analyse de Granovetter reste essentiellement centrée sur l’influence économique

des réseaux sociaux et la structure du réseau de relation ne peut à elle seule constituer les

avantages et les inconvénients du capital social.

Comme l’exprime Alain Caillé, les motivations de l’action ne sont pas uniquement basées sur

l’intérêt économique, l’intérêt pour soi. Il faut aussi tenir compte de l’empathie dont peuvent

faire preuve les protagonistes d’un échange, et aussi de leur besoin de liberté et des

obligations auxquelles ils doivent s’acquitter.



Page 67

Cette réflexion d’Alain Caillé replace le débat en prenant en compte la dimension

anthropologique et collective de l’action dans la quête de reconnaissance qui anime chaque

individu. Nous rejoignons en cela la théorie institutionnaliste selon laquelle l’acteur cherche à

anticiper le futur (concept de futurité) et réalise pour cela, des transactions d’échange

stratégiques de biens dont la rareté fait la valeur. Ces transactions répondent aux

considérations d’intérêts des acteurs et ne peuvent être pensées en dehors d’un cadre collectif

dans lequel le pouvoir politique produit des règles et normes de comportements. Ainsi, les

transactions d’échanges sont encadrées par les transactions de répartition, qui correspondent

aux normes et aux règles de l’action collective ; ce que Caillé qualifie de conditions d’actions

collectives produites par les législateurs. Mais elles sont aussi encadrées par les transactions

de direction, qui s’appuient sur des relations de dépendance et de coopération. Ces relations

font écho aux principes d’empathie et de passion, au besoin d’inventivité dans l’action

collective.

Les règles et les normes créent des habitudes. Ce concept d’habitude, proposé par Commons

(1934), est en quelque sorte rejoint par celui d’habitus que propose Bourdieu (1980a) et par

des théoriciens du capital social. Par exemple, Putnam (1993: 89-90) articule l’habitude dans

son analyse des sources de l'engagement civique: «En interne, les associations inculquent à

leurs membres les habitudes de la coopération, de la solidarité et du civisme et ces

habitudes, à leur tour, se répercutent sur la participation des membres d'autres associations

et, plus largement, dans un niveau plus élevé de confiance généralisée ». Ces habitudes

établissent un contexte de confiance. Elles permettent aux acteurs de trouver du temps pour

les concentrer sur les transactions les plus stratégiques, dont le caractère incertain porte des

risques pour les institutions. Ce risque, finalement est le corollaire des transactions

stratégiques, ou plutôt le corollaire des innovations que ces transactions introduisent dans les

institutions. Ainsi, les individus introduisent de nouveaux comportements, de nouvelles

règles, qui doivent être approuvés par la communauté et le pouvoir politique du collectif. La

théorie du don et la théorie institutionnaliste rejoignent celle de Norbert Alter (2000) lorsqu’il

décrit le comportement de l’innovateur ordinaire.

La théorie institutionnaliste semble tout à fait complémentaire de celle du capital social. Elle

forme un cadre d’action où l’intérêt économique est raisonné, parce qu’il répond, non pas aux

seuls besoins de l’individu, mais à ceux de l’institution à laquelle il appartient. Cette théorie

souligne d’une part l’importance des règles, des normes, des valeurs qui guident l’action. Elle

permet de considérer d’autres valeurs que la confiance, comme condition d’action du capital

social, et permet d’encastrer le comportement innovateur dans une structure sociale dont le

contexte culturel est une structure-structurante (Giddens, 1984) qui peut être habilitante ou

inhibante pour les comportements innovateurs.

Par exemple, les effets de la solidarité du capital social peuvent se retourner contre l’acteur de

plusieurs façons. Une forte solidarité avec les membres d’un groupe peut cloisonner l'acteur

dans la relation. Ces cloisonnements réduisent le flux des nouvelles idées dans le groupe, ce

qui entraîne l'esprit de clocher et de l'inertie (Gargiulo & Bernassi, 1999). Comme Powell et

Smith-Doerr (1994: 393) l’ont dit, «les liens qui unissent peuvent également se transformer en

liens qui aveuglent». Dans la même veine, Portes (1998 :17-18) note que le capital social,



Page 68

dans les communautés très unies, peut créer des problèmes de parasitisme et entraver l'esprit

d'entreprise.

Des normes solides dans une communauté peuvent dicter le partage des ressources entre les

membres de celle-ci. Ce partage peut, à son tour, réduire les incitations à l'activité

entrepreneuriale et, par conséquent, ralentir l'accumulation du capital. Cet argument se

retrouve dans les recherches d’Uzzi (1997:59) où, « dans le cloisonnement (la sur-

socialisation), des sentiments d'obligation et d'amitié peuvent être si forts entre les agents

économiques que l'entreprise devient une organisation de secours pour les autres entreprises

de son réseau ».

Le capital social du groupe peut présenter un risque réel d'externalités négatives pour la

communauté qui l’englobe. Dans l'exemple de Coleman, la fermeture du réseau de liens entre

les enfants est mauvaise pour l'ensemble de la collectivité, car il affaiblit le contrôle par des

adultes (taux d'abandon des parents, des enseignants, etc.). Gabbay et Zuckerman (1998) ont

analysé les réseaux de R&D20

scientifiques et ont suggéré que dans les unités dont l'efficacité

dépend du large partage de l'information, le courtage excessif peut entraver l'innovation. Cette

affirmation peut sembler contradictoire avec les conclusions de Von Hippel (1987). Même si

la carrière du courtier est renforcée par son emplacement stratégique qui consiste à combler

les trous dans le réseau social, il n'y a aucune garantie que cela conduise à un afflux

d’information précieuse pour l’organisation, et encore moins une sortie d’information plus

précieuse pour l'ensemble de l'organisation.

En résumé, les externalités négatives potentielles du capital social sont considérables. Les

acteurs en réseaux partagent (à des degrés divers) des obligations pour s’aider les uns les

autres, et en particulier pour s’aider les uns les autres dans la rivalité collective d'un réseau

contre d’autres. Ces rivalités peuvent avoir des effets bénéfiques pour le groupe dans son

ensemble et stimuler l'effort d’entreprise. En contrepartie, elle comporte aussi le risque de

domination renforcée, et le coût d'opportunité du gaspillage des efforts et des occasions

manquées de collaboration.

Nous pensons également que la théorie de l’action d’Alain Caillé (2009), est tout à fait

pertinente pour notre recherche. Cette théorie à vocation universelle permet de dépasser le

cadre strictement économique de la mobilisation du capital social, sans pour autant l’écarter.

En affirmant que l’individu n’existe qu’au travers d’une communauté d’appartenance, elle

complémente de manière tout à fait intéressante la théorie du capital social et celle de

l’institutionnalisme.

Par ailleurs, la thèse du capitalisme flexible défendue par Sennet (1999, 2005), approuvé par

Alter (2009), nous conduit à nous interroger sur les effets positifs ou négatifs du capital

social. La distanciation entre culture individuelle et culture collective pourrait conduire les

acteurs à se constituer un capital social en s’appuyant sur un réseau personnel fortement

composé de membres extérieurs peu attachés aux institutions.

20 Abréviation de « Recherche et Développement »



Page 69

Par exemple, adoptant une approche sensiblement différente, Von Hippel (1987) et Schrader

(1991) ont cherché à expliquer le rôle des relations informelles existantes entre les chercheurs

en R&D d’une entreprise et les membres extérieurs à l’organisation (clients, fournisseurs,

entreprises concurrentes). Ils se sont attachés à défendre l’idée que cet échange, quoique

« risqué » à première vue, est finalement un mode d’acquisition des connaissances externes

parfois plus efficient que le passage par le marché (achat de brevet) ou les accords formels de

coopération.

Pour Von Hippel (1987), les ingénieurs en R&D sont souvent contraints à aller chercher

l’information utile en dehors de leur organisation et sont prêts à divulguer des savoir-faire

exclusifs à des employés d’entreprises concurrentes. Si des dirigeants affirment contrôler les

échanges inter-firmes directs, ils avouent pour la plupart ne pas être en mesure de la faire pour

les échanges indirects. Néanmoins, si des erreurs de jugement peuvent survenir, ce chercheur

pense que ce type d’échanges est profitable à l’institution s’il est réciproque. Il faut cependant

que l’institution n’encourage ce comportement que lorsqu’elle sait que ses partenaires lui

rendront la pareille. Ainsi, pour Liebeskind et al. (1996 : 438-439), ce système d’échanges

présente trois avantages : (1) il augmente la variété des connaissances auxquelles l’entreprise

a accès, (2) il permet d’intégrer les connaissances directement aux routines de l’organisation

(car l’intégration des connaissances est issue d’une interaction poussée entre les individus),

(3) il offre une plus grande flexibilité (les contacts sont mobilisés uniquement quand on en a

besoin, il n’y a pas de coûts fixes associés à l’engagement dans une relation contractuelle ou

hiérarchique).

Un autre exemple nous est donné par Isabelle Bouty (1997, 2000). Chaque ingénieur-

chercheur est conduit à échanger pour des raisons qui, certes, peuvent concerner son

institution, mais peuvent également s’inscrire dans une stratégie individuelle qui ne se

confond pas forcément avec celle de son organisation de rattachement. Si les objectifs

individuels et organisationnels ne sont pas forcément disjoints, il reste que l’échange repose

sur une décision individuelle qui suit une logique propre.

Pour un même problème technique rencontré, ou pour un même service, un ingénieur R&D

peut avoir le choix entre une multitude de personnes situées dans ou hors de l’organisation. Il

semble que dans bien des situations, notamment lorsqu'il ne s'agit pas d'échanger des

connaissances confidentielles, les contacts internes et les contacts externes ne fassent pas

l'objet d'une forte distinction dans l'esprit des ingénieurs R&D (Bouty, 1997).

1.5. Synthèse sur le capital social

La littérature sur le capital social est extrêmement riche, et nous constatons que le débat

portant sur les effets de la structure d’un réseau social sur les comportements opportunistes

n’est pas tranché. Le corpus théorique que nous définissons avec les constituants et les

influenceurs du capital social (



Page 70

Figure 6) nous conduisent à postuler que ce dernier et particulièrement les réseaux à liens forts

permettent aux acteurs d’acquérir des informations à fortes valeurs, sans que celles-ci leurs

soient initialement destinées. Ce comportement peut constituer des opportunités mais aussi

des risques pour les institutions, ceux-ci peuvent cependant être contrôlés par les valeurs,

normes et règles qui régissent l’activité collective. Pour démontrer cela, nous avons identifié

des liens entre la théorie du capital social et celle de l’économie institutionnaliste proposée

par Commons (1934). La théorie économique institutionnaliste de Commons (1934) postule

que tout individu réalisant des transactions stratégiques ne peut s’affranchir du cadre

réglementaire de l’institution dans laquelle il évolue. Cette théorie est par ailleurs tout à fait

adaptée à la description des motivations et des cadres d’actions des innovateurs

schumpéteriens tel que nous le présentons dans la section suivante.

Nous avons également mentionné que l’acteur n’agit pas toujours dans l’intérêt collectif,

mais peut aussi vouloir satisfaire des stratégies individuelles (Bouty, 1997, 2000). La théorie

du don (Caillé, 2009) ne dit-elle pas que la quête de reconnaissance est avant tout tournée vers

la satisfaction personnelle ?

Compte tenu de ces éléments, les règles posées par les institutions pour se protéger des fuites

d’informations pourraient donc être efficaces mais surement pas suffisantes car soumises : à

la volonté des acteurs d’exercer leur liberté d’action à leur manque possible de considération

pour l’intérêt collectif (Sennet, 2005) et à la possibilité que les individus cherchent à co-

construire les règles collectives afin que celles-ci prennent davantage en compte leurs intérêts

personnels (Bouty, 2000).



Page 71

Figure 6: Corpus théorique primaire constituant et influençant le capital social

Ainsi selon nous, le capital social d’un acteur est l’ensemble des ressources que lui

procure l’appartenance à un ou plusieurs groupes d’individus dans l’objectif d’anticiper

le futur. Le capital social est fonction de la structure du réseau personnel, du capital

culturel, économique et symbolique de l’individu. Le capital social, est actionné par les

valeurs individuelles et régulé par les valeurs et les normes collectives, qui animent

l’institution à laquelle il appartient.

Typologie de l’action raisonnée (Caillé, 2009)

Obligation

Empathie

Nécessité Devoir

Amour- propre

Amour de soi

Antipathie

Sympathie


Institution

Environnement externe à

l’institution

Intérêt pour

soi

Valeurs individuelles

Transactions de

direction :

Empathie, passion

Transactions de

répartition :

valeurs, règles,

normes

collectives

Individu : objectif d’anticipation, quête de

reconnaissance

Réseau social de l’individu

Transactions

d’échange :

réciprocité

Liberté



Page 72

2. Réseau social et innovation

L’innovation peut être incrémentale ou de rupture. Elle peut être le fruit d’une organisation et

de processus conçus dans un but stratégique par les dirigeants des institutions. Mais elle peut

aussi être le produit d’individus, de salariés ordinaires, qui, par l’observation de leur

environnement et la mobilisation de leurs ressources, font bouger les lignes établies par les

organisations, font preuve de créativité, d’inventivité, prennent des risques pour résoudre des

problèmes et innover.

C’est cet aspect de l’innovation qui nous intéresse, au travers de l’action quotidienne des

salariés des entreprises. C’est en suivant cette vision schumpéterienne de l’innovateur que

nous mobilisons les travaux de Norbert Alter (2000) et de Sara Sarasvathy (2001).

2.1. L’innovation « ordinaire »

2.1.1. Le processus

Norbert Alter (2000) se base sur les travaux de Joseph Schumpeter (1912) et notamment les

cycles d’innovation selon une courbe en S, pour établir sa théorie selon laquelle le

mouvement caractérise les situations de travail. Selon Alter (2000 : 38), « l’innovation est

une activité quotidienne et banale des institutions qui impose de décaler l’analyse de

l’innovation, du champ directement économique vers celui de l’organisation, intégrant des

contraintes d’efficience ». Alors que le management exige que l’action soit ordonnée,

encadrée selon des normes définies, l’instabilité crée un désordre permanent que

l’organisation tente de contrôler en déployant des inventions. Ces inventions, si elles

améliorent la qualité ou les conditions de travail au quotidien, sont adoptées par le corps

social et deviennent des innovations.

Séquences du processus :

Dans une organisation, les décisions obéissent d'abord à la norme, et non à l'examen rationnel

des situations. Un décideur ne dévie pas des normes qui caractérisent le groupe auquel il

appartient. Les freins à l’innovation résident dans les normes du management, qui fondent

cette démarche de trois façons distinctes :

Le décideur doit décider, arbitrer entre différentes solutions ;



Page 73

Les bonnes idées ne peuvent pas provenir de la base de la pyramide. Le décideur

décide ;

Le décideur obéit à des codes comportementaux. Un directeur qui ajourne une

décision pour consulter la base ne dirige plus.

C’est pourquoi, en reprenant le processus d’innovation décrit par Schumpeter, Alter pense

qu’à la source d’une innovation, il y a :

Les croyances (Alter, 2000: 33), qu'elles soient de nature positive (je crois, sans pouvoir

prouver que cela est bénéfique) ou normative (je le fais parce que d'autres le font). Les

croyances permettent de justifier des actions sans en démontrer la rationalité.

Une prise de risque d’un individu ou d’un groupe d’individus (ibid. : 161). Ces personnes

sortent des règles établies et du cadre normatif pour modifier la manière dont

l’organisation utilise ces ressources. Si ces nouvelles manières de faire conviennent, elles

sont progressivement imitées, générant ainsi des changements dans les règles et les

normes, voire de nouvelles innovations.

Selon Alter, ce processus d’innovation met en jeu des effets de réseaux, de normes et d'action

collective. L’innovateur adopte un processus de raisonnement prédictif (ou causal). C’est-à-

dire qu’il sélectionne entre différents moyens pour atteindre un but préétabli. Il entre

nécessairement en conflit avec l’ordre et ne peut en sortir sans la mobilisation collective.

2.1.2. L'élaboration de l'innovation : mobilisation collective et prise de

risque

Une idée, une invention, ne se transforme en innovation que si des acteurs parviennent à lui

donner un sens au travers des usages. D’après Alter (2000 :18), «la réussite ou l’échec, mais

également le sens finalement affecté à une innovation dépendent de la capacité réticulaire

dont disposent les acteurs. Les réseaux représentent en quelque sorte l’architecture sociale

informelle sur laquelle repose le développement d’une innovation ».

Cela nécessite une capacité collective, qui suppose la déviance, et une capacité critique qui

leur permet de surmonter le risque de sanction. Les innovateurs sont des acteurs qui jouissent

souvent d’une multi-appartenance sociale et culturelle (ibid. : 18), leur permettant de saisir

l'opportunité de réaliser des projets différents de ceux de l'institution. C'est une activité banale

d'acteurs qui remettent les normes en questions et enrôlent d’autres acteurs dans leur stratégie

[Alter (2000 : 15), reprenant Callon (1986)]. Ces innovateurs doivent finalement obtenir

l'adhésion de la direction, puisqu’elle imposera les innovations et les évolutions des règles qui

en découlent. « Le processus d’innovation obéit à deux lois principales ; celle de l’existence

de réseaux d’influence, et celle de l’inversion des normes » (ibid. : 19).



Page 74

Les réseaux de compétence collective

Cette capacité s'appuie sur des réseaux qui assurent la mise en commun des savoirs. Ce capital

de savoir que l’individu accumule appartient à la communauté qu'il représente, qui ne peut se

confondre avec l'entreprise

Le caractère collectif de la compétence repose sur le système du don-contre don (ibid.: 99),

théorisé par Mauss (1950) et repris par Gotbout et Caillé (1992), puis par Caillé (2006, 2009).

L’échange est socioprofessionnel. La coopération répond à un système d'obligation mutuelle,

par un mécanisme de réciprocité non immédiate. Il faut disposer de ressources pour être

attractif et bénéficier des avantages du réseau. Le comportement de l’acteur balance entre

générosité altruiste et utilitarisme.

La prise de risques de l’innovateur : normes sociales et rationalité limitée

Le conflit avec l'ordre :

Selon Alter (2000 : 19), l’une des caractéristiques de l’entrepreneur est de se heurter à l’ordre

établi. «Elles (les résistances à l’innovation) sont tout d’abord objectives : l’absence de

stabilité de la situation ou d’expériences d’un type de combinaisons empêche de mener des

raisonnements rationnels en matière de gestion, et oblige à travailler par approximation,

par intuition. Mais les contraintes sont également subjectives: l’entrepreneur doit aussi

parvenir à imaginer des situations par rapport auxquelles il ne dispose pas de repère »

(ibid. : 19).

Pour pouvoir agir, parfois de manière opposée aux normes, pour atteindre ses objectifs,

l’innovateur adopte des comportements déviants (ibid. : 20) et agit dans la discrétion, sans

pour autant être certain d’obtenir à terme la reconnaissance sociale de ses actions. De même,

« la transgression des règles ne vaut pas que pour l’activité des hommes d’affaires et des

chercheurs » (ibid. : 39). Comment expliquer cette prise de risque ?

La prise de risque comme ressource :

La prise de risque résulte d’un acte perçu comme obligatoire pour obtenir le bénéfice espéré,

mais dont il ne connait pas à l’avance les conséquences positives ou négatives sur la sanction.

« L’innovation est toujours, dans un premier temps, une transgression des règles établies,

parce qu’elles représentent une atteinte à l’ordre social » (ibid. : 23). La prise de risque

permet à l’innovateur d’acquérir de l’autonomie vis à vis des règles et des normes

contraignantes imposées par l’organisation et qui constituent les forces de socialisation. « Ils

(les innovateurs) sont condamnés à la déviance, au moins le temps que les règles

reconnaissent la légalité et la légitimité de leur comportement » (ibid. : 23). L'opposition

entre forces créatrices et formes de socialisation obéit à trois principes :



Page 75

1. Elle concerne autant les pratiques de gestion (par exemple les processus) que la culture

organisationnelle au travers des règles et des normes (ibid. : 38) ;

2. Elle passe par l'accomplissement des projets de la minorité (ibid. : 84);

3. La logique d’innovation et la logique d’organisation sont antagonistes mais

complémentaires. L’innovation est une capacité critique (ibid. : 83) qui ne s’exerce pas

indépendamment de l’ordre établit par l’organisation. Le management doit avoir la

capacité de tenir compte de ces critiques (ibid. : 88). L’organisation tente d’intégrer les

changements proposés par les innovateurs dans une stratégie de réorganisation (ibid. : 75).

La déviance ordinaire, force motrice :

Comme nous l’avons évoqué précédemment, la déviance est une nécessité pour ceux qui

veulent remettre en cause les règles établies et former de nouvelles normes: « l’innovation se

fait toujours, au moins momentanément, contre l’ordre, même si elle finit souvent par

participer à une autre conception de l’ordre » (Alter, 2000: 65). Elle est caractérisée par

quatre dimensions (ibid. : 81-82) :

1. C'est une notion relative. Les innovateurs ont une autre conception du bien que celle

proposée par leur institution. Les règles pensées par le management ne sont ni sensées

ni légitimes à leurs yeux.

2. La sanction peut être modulée selon les circonstances, et selon le statut de celui qui

l'encourt ;

3. C’est un apprentissage ;

4. Elle ne se définit pas par des actions, mais par le jugement porté sur ces actions.

Par sa nature même, l’innovation entre en conflit avec l’ordre. Toute nouveauté remet en

cause l’ordre établi et doit être adoptée pour perdurer.

Pour Alter (2000 :75), l’innovation naît de l’adaptation réalisée sur le mode du compromis.

Cette approche est voisine de la régulation conjointe proposée par Reynaud (1995, 1997) à la

recherche de l’équilibre de l’ensemble social (Alter, 2000: 231). Cependant pour Alter (2000:

233), les déviances qui en résultent sont plutôt le reflet de contretemps et du désordre. La

déviance ordinaire traduit la lutte d’ intérêts entre direction et innovateurs.

Selon Alter, la prise de risques de l’innovateur s’explique par la réalisation d’actions « non

logiques » qui ont, selon lui, deux sources d’explication : les normes sociales et la rationalité

limitée (Simon, 1947).

Alter rejoint Schumpeter pour dire que la décision d’innover relève d’abord du plaisir de

l’action, puis de la volonté d’imposer des vues nouvelles et le désir de reconnaissance sociale

que comble la réussite (ibid. : 39). Les motivations de l’action ne sont donc pas uniquement

économiques, mais aussi symboliques et affectives. Nous rejoignons ici la pensée d’Alain

Caillé (2009) que nous avons explicitée dans le chapitre consacré au capital social. Par

ailleurs, le décideur ne peut, en pratique, disposer de l'ensemble de l'information nécessaire à



Page 76

la prise de décision et ce déficit d’informations génère de l’incertitude et conduit à des actions

qui peuvent sembler illogiques et risquées.

Dans le cadre de notre thèse, ces incertitudes correspondent à un déficit d'informations

repérable selon les deux axes suivants:

1. Les règles : le changement permanent entraine l’instabilité des règles (ibid. : 127-128).

2. L'évaluation des activités : les processus d’évaluation ne reflètent pas complètement la

réalité du travail. Les critères d’évaluation sont donc soumis à interprétations (ibid. : 106).

Ce déficit d’informations et l’incapacité à les traiter en totalité est à l’origine de la rationalité

limitée (Simon, 1947). Le concept de rationalité limitée tient compte des limites

informationnelles du décideur (de l’innovateur ou de son management). « La rationalité est

limitée par l’impossibilité par un esprit humain de saisir la totalité des éléments pertinents en

regard de la décision qu’il doit prendre » (1976: 106). Les représentations d’un acteur sont

tributaires du milieu dans lequel il évolue: « le milieu organisationnel et social dans lequel se

trouve la personne qui prend une décision détermine les conséquences auxquelles elle

s’attendra, celles auxquelles elle ne s’attendra pas ; les possibilités de choix qu’elle prendra

en considération et celles qu’elle laissera de côté » (March & Simon 1958 : 136-137).

Or les acteurs n’ont qu’une capacité limitée à traiter l’information en provenance d’un monde

complexe : « nous sommes concernés par la manière dont les hommes peuvent être rationnels

dans un monde où ils sont le plus souvent incapables de prévoir exactement le futur pertinent

(…) ils peuvent seulement adopter une procédure de choix rationnel, incluant une procédure

rationnelle pour la prévision ou, au moins, l’adaptation, au futur » (Simon 1976 :144).

L’environnement est complexe car incertain (Simon, 1976 : 137). Cette incertitude est liée au

déficit d’informations : les organisations mettent alors en place des procédures formalisées et

routinières afin d’explorer les alternatives disponibles et les conséquences des choix qui en

découlent. C’est le principe de la rationalité procédurale (Simon, 1955), qui se base sur le

fractionnement de la prise de décision entre plusieurs acteurs pour ainsi réaliser de façon

satisfaisante des opérations de production, mais aussi développer la capacité d’invention.

Ce mode de fonctionnement nécessite que les salariés agissent selon les procédures définies et

se coordonnent. Pour cela, il faut que les organisations et les individus partagent les mêmes

buts. Au lieu de rechercher un optimum, l’individu et plus généralement, les membres d’une

organisation, retiendront la première alternative qui se révèlera la plus satisfaisante au regard

de leurs niveaux d’aspiration (Simon, 1982: 266). Le concept de rationalité limitée tient donc

en deux phases ; celle de la recherche d’information et celle de la prise de décision (1979 :

502).

L’incertitude fait que l’on ne peut généralement pas anticiper les effets d’une innovation. La

rationalité procédurale permet aux innovateurs d’appliquer des processus de décisions non



Page 77

programmées, c’est-à-dire heuristiques (Simon, 1957) et donc plus adaptés à cette situation.

La rationalité procédurale est un processus cognitif de construction sociale continue de la

réalité (Simon, 1976: 146).

La rationalité du décideur (l’innovateur) est substantive lorsqu’elle lui donne les possibilités

et les conditions de choix. Elle s’applique dans des situations simples. La rationalité est

procédurale lorsqu’elle traduit le processus de recherche des conditions, contraintes…jusqu’à

l’aboutissement de la satisfaction. Elle s’applique à une situation complexe (Simon, 1976:

130-131).

Le type de rationalité a une incidence sur la nature des buts poursuivis. Norbert Alter (2000)

écrit que les innovateurs poursuivent les mêmes buts que les organisations. Or, si dans une

situation simple (rationalité substantive), les buts sont faciles à identifier et peuvent donc être

précis, quand la situation est complexe (rationalité procédurale), il en est bien autrement. Le

but est extérieur à la rationalité de l’innovateur. L’incapacité à discerner les buts précédant

l’action conduit à une situation de délibération. L’impossibilité de prendre une décision et la

recherche de la satisfaction conduisent Simon à préférer dans ce cas le terme de

« designing » plutôt que de décision (Sarasvathy et Simon, 2000). Le but ne se décide pas, il

se dessine pas à pas, il se conçoit progressivement dans la délibération avec les parties

prenantes.

Nous rejoignons ici les travaux de Commons sur le développement de la théorie

institutionnaliste. Les transactions de direction, de répartition et d’échange stratégique font

tout à fait écho aux principes de rationalité limitée et procédurale. Commons (1934) serait en

quelque sorte, un précurseur d’Herbert Simon (1947). Le choix « raisonné » selon Commons

correspondrait assez bien au choix « satisfaisant » de Simon. D’ailleurs Simon (1979 : 499)

fait directement référence à Commons dans ses travaux en précisant que ce dernier lui a

procuré de nombreuses idées dans ses travaux initiaux sur la prise de décision dans les

organisations.

Tant pour Commons que pour Simon, les individus ne sont pas irrationnels lorsqu’ils

prennent des décisions. Ils sont sous l’influence d’un ensemble de facteurs (limites cognitives,

valeurs, coutumes, habitudes etc.), qui les conduisent à adopter des comportements plus

« satisfaisants » qu’optimums, selon la théorie du choix rationnel.

L’étude des contextes est aussi très importante pour comprendre la prise de décision. Elle

renforce les complémentarités entre les visions de Common et celles de Simon. En effet, si

pour Commons la notion d’éthique, et donc la dimension sociale qui encadre la décision, est

fondamentale, Simon adopte un point de vue cognitif et procédural. Tous les deux placent le

milieu organisationnel comme le guide du comportement. L’apport de Simon dans la prise de

décision des individus, et des innovateurs en particulier, renforce l’idée que la mobilisation du

capital social ne peut pas s’exprimer et s’expliquer en dehors du cadre hiérarchique et

symbolique de l’action. Cette mobilisation est aussi le fruit d’une décision « satisfaisante »

prise dans un contexte d’incertitude.



Page 78

2.2. La logique effectuale des innovateurs

2.2.1. Le processus

La logique effectuale a été conceptualisée par Sara Sarasvathy (2001) lors d’une étude auprès

de 27 entrepreneurs, auxquels il était demandé de résoudre des problèmes de création

d’entreprise. Comme pour Alter (2000), ces entrepreneurs sont des innovateurs au sens

schumpétérien. C’est-à-dire qu’ils créent une entreprise pour transformer une invention en

une innovation.

Il s’avère que la majorité d’entre eux n’appliquerait pas la logique causale (ou prédictive),

pourtant enseignée par les écoles de management (Sarasvathy, 2001b: 2), mais une logique

effectuale.

L’effectuation peut être décrite comme une expertise, un type de résolution de problèmes se

basant sur le principe d’un avenir variable et façonnable par l'action humaine. Plutôt que de

voir les objectifs d’un projet innovant comme déterminés, il faut plutôt considérer qu’ils

peuvent émerger au travers des accords de coopération entre les parties prenantes d’un projet

innovant (Read & Sarasvathy, 2010). A l’inverse de la logique prédictive, qui cherche à

sélectionner la meilleure solution parmi celles identifiées pour atteindre un but, ou de la

logique stratégique qui recherche des solutions par rapport à un but précis, la logique

effectuale cherche à déterminer quels seraient les résultats à partir de différentes solutions

possibles.

En somme, selon Sarasvathy et Simon (2000 : 5), l’effectuation inverse la rationalité

prédictive pour répondre à la question suivante: «Où est la rationalité lorsque

l'environnement n'influence pas de manière indépendante les résultats ou même les règles du

jeu (Weick 1979), l'avenir est vraiment imprévisible (Knight 1921), et le décideur n'est pas

sûr de son / ses propres préférences (Mars, 1982) ».

Les innovateurs effectuaux (Figure 7) partent des moyens dont ils disposent et qu’ils

déterminent en se posant trois questions :

1. « Qui suis-je ? » (traits, préférences et compétences),

2. « Que sais-je ? » (éducation, formation, expertise, et expérience),

3. « Qui je connais ? » (réseaux sociaux et professionnels).



Page 79

Figure 7: Théorie de l'effectuation (Sarasvathy, 2001 :253)

Alors que le raisonnement prédictif recherche le capital humain ou social en fonction des

choix effectués, la théorie de l’effectuation postule à l’inverse que les entrepreneurs ont accès

à un stock spécifique du capital humain et social qu’ils mobilisent pour effectuer des choix

(Sarasvathy, 2001a : 245). Sarasvathy se distingue ici d’Alter (2000)

La caractéristique distinctive entre l’effectuation et la causalité est donc l'ensemble des choix :

le choix entre de nombreux effets possibles en utilisant un stock donné de capital humain et

social, contre le choix entre différents stocks de capital humain et social pour générer un effet

particulier (Sarasvathy, 2001a: 245). Le raisonnement effectual (cf. Figure 8) exige «

l'imagination, la spontanéité, la prise de risques et des techniques de vente » (Sarasvathy,

2001b: 3). Il est intrinsèquement créatif et innovant (Sarasvathy, 2001b: 3). Par « technique

de Vente », il faut comprendre la capacité à emmener des partenaires dans un projet

(Sarasvathy, 2001 : 252).



Page 80

Figure 8: Raisonnement causal (prédictif) et effectual (traduit de Sarasvathy et al., 2008 : 3)

L’effectuation peut être décrite comme un type de résolution de problèmes humains qui

reconnaît que l'avenir est variable et peut être façonné par l'action humaine. L'environnement

peut être construit par les décisions que les individus prennent et les objectifs peuvent

émerger au travers des accords de coopération entre les parties prenantes, plutôt qu’être

prédéterminé (Read & Sarasvathy, 2010).

2.2.2. Compétences collectives et anticipation des risques

Selon Sarasvathy (2001 : 252), les quatre principes suivants constituent la base de la théorie

de l’effectuation :

1. La perte acceptable (affordable loss) : Plutôt que de faire des études de marché pour cibler

le segment du marché qui lui offrira le meilleur rendement, l’innovateur déploie autant de

stratégies que possible auprès de ses ressources personnelles (capital humain et social)

pour se rapprocher d’un marché potentiel dont les besoins serviront à l’innovateur pour

déterminer la nature de son innovation. Il raisonne à partir de ce qu’il est prêt il est prêt à

perdre plutôt que de ce qu’il espère gagner.

2. L’innovateur effectual préfère créer des alliances stratégiques plutôt que de se reposer

sur des analyses concurrentielles tel que le préconise Porter en stratégie (1980) en suivant

un raisonnement causal. L’effectuation met l'accent sur les alliances stratégiques et les

engagements des parties prenantes comme un moyen de réduire et/ou d’éliminer



Page 81

l'incertitude et d'ériger des barrières à l'entrée. Il exploite des contingences plutôt que des

connaissances préexistantes :

3. La logique causale serait surement préférable lorsque des connaissances stratégiques

préexistent, comme par exemple l'expertise dans une nouvelle technologie que

l’innovateur veut exploiter comme un avantage concurrentiel. Cependant, l’effectuation

serait mieux adaptée pour exploiter les contingences qui ont surgi de façon inattendue au

cours du temps. « Contingencies can be viewed as opportunities to be exploited rather

than as misfortunes to be avoided; while successes and failures are always local,

cumulative learning is still possible. » (Sarasvathy, 2003 : 218)

4. Le contrôle du futur : le raisonnement causal cherche à prédire le futur pour le contrôler.

L’innovateur causal a besoin d’anticiper les besoins pour assurer l’évaluation de son

innovation ou de l’entreprise innovante qu’il a créé. Dans la logique effectuale, le contrôle

de l’avenir rend sa prédiction inutile. Ce raisonnement découle de la fabrique même de

l’innovation. Le fondateur à l’origine du projet a pris soin de s’entourer de parties

prenantes qui s’investissent et soutiennent le projet. Dans ce contexte, les incertitudes de

l’avenir sont mieux contrôlées. L’avenir a moins besoin d’être prédit. Ce dernier point

constitue un élément central de la logique effectuale. Il s’agit de la préférence de

l’innovateur pour l’incertitude plutôt que le risque (Knight, 1921). L’incertitude confère à

l’innovateur la possibilité de maîtriser l’environnement pour le façonner à sa guise. Le

risque suppose l’évaluation d’une action dans un environnement donné avec une

probabilité de réussite pouvant être connue.

Alter (2000) a bien identifié l’incertitude comme un moteur de l’innovateur, mais il n’a pas

approfondi la relation entre l’innovateur et l’incertitude, lui préférant celle du risque et de sa

maîtrise comme vecteur de socialisation.

L’abandon de la prédiction que matérialise le contrôle du futur montre la volonté de

l’innovateur de modeler l’avenir à partir de ses intentions (Weick, 1979). Le processus

effectual se décrit alors de la manière suivante (Figure 9) :



Page 82

Figure 9: Processus effectual: une approche transformative (Wiltbank et al, 2006 : 992)

L’effectuation ne s’oppose pas à la logique causale, mais elle lui est complémentaire. C’est

une expertise de l’innovateur, qui lui permet d’obtenir l’engagement de parties-prenantes :

« effectuation is very useful to bring people on board that want to create the future with

you21

». C’est un processus itératif qui permet de capter et d’intégrer les nouvelles

opportunités qui se présentent. L’entrepreneur de Sarasvathy est un innovateur schumpétérien

qui s’appuie largement sur son réseau personnel pour établir ses stratégies et les mettre en

œuvre. Cette approche se stitue dans les perspectices des recherches de Callon (1986) et

d’Akrich, Callon et Latour (2002). Les acteurs, à l’origine d’une innovation, doivent, selon

ces auteurs, réaliser « l’enrôlement » ou « l’intéressement » d’une série d’acteurs clés. Pour

Akrich, Callon et Latour (2002b : 215-219), se constituer un réseau comprenant des « porte-

paroles » légitimes est parfois nécessaire pour susciter l’adhésion des interlocuteurs à

l’innovation.

Comme avec Alter (2000), nous identifions des analogies entre Commons (1934) et

Sarasvathy (2001). Il s’agit, en particulier, de la volonté des acteurs de maîtriser le futur. Ils

Commons (1934) et Sarasvathy (2001) s’appuient sur les travaux de Knight (1921) pour

définir et analyser la prise de risque. La vision de Commons pour qui l’individu cherche à

réaliser des transactions pour anticiper le futur conforte l’idée que l’innovation est une activité

banale et collective. A ce propos, Sarasvathy (2001: 254) cite Burt comme théoricien des

21 Video, 2001, http://www.youtube.com/watch?feature=player_embedded&v=4xBTV00MePY

Qui je suis

Ce que je sais

Qui je connais

Ce que je

peux faire

Interactions

avec les

connaissances

ou des acteurs

rencontrés

Engagements

de partenaires

Nouveaux

moyens

Nouveaux

buts

Expansion des ressources

Intégration des contraintes dans la

définition des buts

Moyens

de départ

http://www.youtube.com/watch?feature=player_embedded&v=4xBTV00MePY



Page 83

réseaux sociaux dont elle s’est inspirée pour développer sa théorie. Selon nous, il n’y a rien

d’étonnant à cela. En effet, les travaux de Burt montrent effectivement, les avantages que

peuvent procurer les trous structuraux pour obtenir des informations nécessaires à

l’anticipation et pour faire la promotion de ses compétences. Un innovateur qui recherche des

soutiens politiques, techniques, financiers à son action, a donc tout à fait intérêt à exploiter ce

type d’avantages.

Sa conception du capital social de l’innovateur rejoint aussi celle de Bourdieu qui intègre le

capital économique et symbolique de l’acteur. Finalement, le capital social de l’innovateur

selon Sarasvathy, c’est : « Qui je suis » ; « Ce que je sais faire « ; « Qui je connais ». Ce

capital social permet d’attirer, de sélectionner et d’entrainer des partenaires dans le projet

d’innovation. Il permet en somme à l’innovateur de bâtir une stratégie. Est-il pour autant

suffisant pour comprendre comment un acteur devient un innovateur ?

Sarasvathy et Dew (2008: 728) pensent que la volonté de l’innovateur d’influencer et de

construire le futur nécessite un comportement qualifié « d’altruisme intelligent » (ibid : 3).

Selon Simon (1993: 156), l’altruisme est « un comportement qui augmente, en moyenne, la

capacité de reproduction des autres au détriment de l'aptitude de l'altruiste ». L’altruisme

intelligent n’est ni opportuniste ni complètement désintéressé. C’est une stratégie rationnelle

des individus à la formation d’un projet entrepreneurial. Le concept d’altruisme intelligent tel

que défini par Simon (1997a) s’appuie sur le concept de docilité qui, selon lui, implique que

les acteurs fassent preuve d’altruisme (Simon, 1990 : 1666). Ils en sont alors largement

récompensés par les connaissances et compétences que cela leur permet d’acquérir.

L’altruisme intelligent traduit un mécanisme selon lequel la rationalité limitée, d’une part,

limite la capacité de l’acteur à effectuer des calculs relevant de l’opportunisme et, d’autre

part, permet à l’acteur de sélectionner les comportements adaptés pour aider les autres et

demander leur aide. C’est en quelque sorte une stratégie comportementale pour gagner le

soutien de son entourage.

L’acteur a donc davantage intérêt à faire preuve d’un altruiste intelligent plutôt que

d’opportunisme. Constat qui corrobore les avantages du « désintéressement intéressé ». xxx

sources

Sarasvathy et Dew (2008) rejoignent en cela la conception d’Alter (2000), Caillé (2006 ;

2009) et de Caillé et Gotbout (1992) pour lesquels l’innovateur adopte avec les membres de

son réseau personnel une réciprocité non-immédiate mais néanmoins intéressée.

Le renforcement de l’adhésion des parties prenantes se fait par l’enchaînement des

engagements et non par la confiance. Là encore, l’analogie avec la conception du capital

social d’Alain Caillé et d’Alter est intéressante. Ceci s’explique par l’incertitude du projet.

Chaque partie prenante s’engage sur les résultats globaux et non sur les bénéfices qu’elle peut

en tirer. Chaque partie prenante influence le résultat des investissements mutuels dans le

projet. Comme nous l’avons évoqué ci-avant, « l’altruisme intelligent » peut être vu comme



Page 84

une stratégie rationnelle en réponse à l’incertitude knigthienne (1921). C’est donc un

phénomène fondamental à l’origine de la création d’un réseau effectual.

Cependant, il subsisterait dans les institutions un espace toléré pour les comportements

opportunistes. Les stratégies individuelles (Crozier et Friedberg, 1977) n'excluent pas la

coopération et peuvent même la favoriser, les acteurs sont associés dans une lutte indirecte

autour d'un même enjeu (reconnaissance, possibilités de promotion…). Les comportements

utilitaristes peuvent parfois briser le processus d'échanges, mais l’exclusion du partenaire

opportuniste n’est qu’une sanction relative du fait de l'existence d'une norme intégrant des

écarts, parce que les intérêts individuels sont ici reconnus aussi comme légitimes. La norme

consisterait alors à savoir arbitrer entre égoïsme et altruisme (Alter, 2000).

Cette coexistence, entre altruisme et intérêt pour soi, même si elle ferait surtout la part belle à

l’altruisme, laisse aux individus plus de possibilités d’exprimer leur liberté de donateur à

partir d’un éventail plus large des valeurs qui font la personnalité.

Or, selon Sarasvathy et Dew (2008 :732-733), chercher à savoir comment les acteurs

deviennent des innovateurs au travers des profils psychologiques ou des valeurs humaines

(opportunisme, aversion au risque, etc.) peut être trompeur. Par exemple, Sarasvathy et Dew

(2008), qui citent deux méta-analyses (Miner et Raju, 2004 ; Stewart et Roth, 2001) montrant

que la propension aux risques est caractéristique des entrepreneurs, donnent des résultats qui

vont dans des sens opposés. Il en est de même avec l’opportunisme (Rabin, 1998 ; Franck

1988).

1. Les individus ne sont pas uniquement ni même massivement intéressés ;

2. Ils ne sont pas entièrement altruistes ;

3. La même personne peut être altruiste à certains moments et opportuniste à d’autres ;

4. Les individus qui sont essentiellement opportunistes dans un domaine peuvent être

altruistes aussi dans d’autres domaines.

La logique de l'effectuation est fondée sur la possibilité que les variations dans le

comportement humain puissent englober les trois caractéristiques suivantes (Sarasvathy et

Dew, 2008: 733) :

1. L’hétérogénéité : Les individus sont très différents les uns des autres. Si nous devons

classer les êtres humains en catégories, les variations entre les individus au sein d’une

même catégorie sont aussi significatives que les variations entre les catégories

d’individus ;

2. La labilité : Les individus changent au fil du temps. Non seulement le comportement, mais

les traits et les préférences, la culture et les institutions évoluent ;

3. La contextualité : Les individus jouent de multiples rôles. Un funambule qui marche sur

un fil entre deux gratte-ciel et sans filet peut être terrorisé par les araignées.

Néanmoins, pour Sarasvathy et Dew (2005 : 734), ces trois points sont nécessaires mais pas

suffisants pour comprendre comment un acteur devient un innovateur.



Page 85

En effet, la découverte d’opportunités dans des environnements complexes implique

l’interaction et la concertation avec de multiples partenaires, ne serait-ce que pour utiliser des

ressources contrôlées par des tiers (Denrell, Fang et Winter, 2003). Ces opportunités peuvent

émerger de structures relationnelles à liens faibles (Granovettter, 1973). La saisie des

opportunités est corrélée à la force du maillon le plus faible entre les parties prenantes (Knez

et Camerer, 1994). De plus, comme l’a exprimé Burt (1992), l’asymétrie d’informat ion peut

faire le jeu d’un groupe d’acteurs ou d’un acteur en particulier, en fonction de ses stratégies et

de ses tactiques personnelles.

De même, l’hétérogénéité et la contextualité, mettent selon nous en avant que l’analyse des

valeurs n’est pas suffisante pour comprendre le comportement d’un individu vis-à-vis d’une

institution. Il faut aussi contextualiser l’action et intégrer les apports de la structure

relationnelle. La labilité souligne l’importance des parcours personnels des acteurs et de leur

appartenance simultanée à des milieux culturellement différents dans la constitution de leurs

valeurs personnelles et de leurs motivations à agir. Par exemple, se demander si le désir de

réussite personnelle pousse davantage l’individu à innover que la valeur d’autonomie

n’apporterait pas une réponse suffisante. Il faudrait également savoir si l’organisation valorise

la réussite de ses membres Si tel est le cas, l’acteur peut être incité à innover pour obtenir la

reconnaissance qu’il cherche. Si, au contraire, la réussite personnelle ou collective n’est pas

perçue comme valorisée, alors c’est le désir d’autonomie qui pourrait inciter plus que d’autres

valeurs à innover. De la même manière, un collaborateur qui a tenté et réussi quelque chose

dans l’institution dans laquelle il évolue peut inciter d’autres acteurs à l’imiter dans sa prise

de risque et à lui demander un soutien si nécessaire.

2.3. Synthèse des apports d’Alter et Sarasvathy : la recherche de

soutiens politiques

Alter (2000) et Sarasvathy (2001) décrivent deux profils d’innovateurs qui divergent dans

leurs processus de décision et dans leurs rapports avec les institutions. Cependant, ils ont

comme point commun la mobilisation du réseau personnel pour aboutir à leurs fins. Ils

recherchent notamment des ressources stratégiques. Les aptitudes politiques sont rendues

nécessaires pour soutenir leurs démarches innovantes. Cette proposition est en ligne avec les

travaux d’Ancova et Caldwell (1992 : 660) qui suggèrent que les profils des relations

expliquent mieux la performance que la fréquence des communications externes.

Pour Alter et Sarasvathy, l’innovation serait une conséquence de valeurs culturelles. Alors

que Sarasvathy souligne une personnalité créative et innovante, Alter pense que l’innovateur

recherche la reconnaissance sociale, c’est-à-dire la réussite par l’accomplissement

professionnel. L’innovateur dévie ainsi de la norme pour participer à sa manière à leur

reconstruction. Ces propos rejoignent ceux de Dejours (2007) pour lequel, les travailleurs



Page 86

cherchent à être reconnus dans leurs activités concrètes, par leur action sur la constitution des

règles et des normes liées à leurs activités professionnelles. Le Tableau 4 ci-dessous propose

une synthèse des points communs et différences entre l’innovateur d’Alter et celui de

Sarasvathy.

Structure du

réseau

Alter (2000) Sarasvathy (2001)

Valeurs

saillantes

Reconnaissance, Réussite Créativité, innovation

Apport Ressources stratégiques d’ordre

politique

Ressources stratégiques d’ordre politique

Type de

raisonnement

Prédictif (causal) : sélectionner

entre différents moyens pour

atteindre un but préétabli

Effectual (approche itérative): imaginer des effets

possibles à partir d’un certain nombre de moyens

Attitude face au

risque

Déviance « ordinaire », prise de

risque

Anticipation, Evitement

Mobilisation du

capital social

Réciprocité, don (intérêt pour soi

et altruisme)

Réciprocité, « altruisme intelligent »

Structure de

réseau

profitable

Trous structuraux, position

d’intermédiaire (Burt, 1992)

Trous structuraux, position d’intermédiaire (Burt,

1992)

Tableau 4: Comparaison des approches de l'innovateur selon Alter/et Sarasvathy

Dans leurs recherches, Sarasvathy et al (2005) et Sarasvathy et Dew (2008) insistent

particulièrement sur l’importance de l’analyse de la symbolique qui motive ou inhibe l’action

et l’apport des relations personnelles comme compléments indispensables de l’analyse des

valeurs personnelles pour comprendre les motivations à innover. Cette vision est selon nous

très proche de celle de Commons (1934) et confère beaucoup d’importance au capital social et

à la symbolique comme facteur d’influence.

Tout comme les écrit de Sarasvaty (2001) le suggèrent, nous pensons que l’acteur, innovateur

ordinaire, va adopter un comportement « altruiste intelligent ». Nous pensons en effet que la

rationalité limitée des acteurs, les empêche de faire des choix sur la base de calculs éliminant

les risques. La docilité permet d’agir selon les habitudes, les coutumes, la confiance que l’on

porte envers ses collaborateurs. Elle permet de faire facilement des choix « satisfaisants » et

de se concentrer sur les transactions stratégiques. En ce sens, et dans le cadre de notre thèse,

nous pensons que le contexte symbolique de l’institution et la structure des relations

personnelles médiatisent les valeurs qui motivent l’acteur à agir, dans l’adoption d’un

comportement.

L’apport du réseau personnel n’est vu, par Alter et Sarasvathy, que sous l’angle défendu par

Burt (1992) dans sa description du rôle de l’intermédiaire. L’innovateur jouirait de cette

position, ce qui lui conférerait un avantage stratégique sur les autres acteurs. Or, pour Burt



Page 87

(2005 : 60), il n’y a pas de causalité entre la présence de trous structuraux et les bénéfices tirés

pour la créativité, l’apprentissage, ou toute autre chose d’ailleurs. Les réseaux sont seulement

un contexte d’action et n’agissent pas en eux-mêmes. Par exemple, Von Hippel (1987, 1996),

Dickson (1996) et Schrader (1991) mettent en avant les échanges d’informations informels

de savoir-faire entre organisations à travers les concepts « informal information trading » ou «

informal know-how trading » pour l’acquisition de nouvelles idées.

Si les trous structuraux (Burt, 2004 ; Perry-Smith, 2006) favorisent la combinaison

d’informations et la pensée flexible favorable à l’émergence d’idées nouvelles, peut-on pour

autant dire que les autres configurations de réseaux n’ont pas d’intérêts pour l’innovateur ?

2.4. Apports de la structure du réseau social pour l’innovation

2.4.1. Les effets de la densité des liens

La densité du réseau est définie par le nombre de contacts actuels entre les membres d’un

réseau rapporté au nombre de contacts possibles au sein de ce même réseau (Burt, 1992).

Ainsi, la densité augmente avec le nombre de contacts établis entre les membres du réseau.

Alors que l’argument de la redondance favorise les réseaux à faible densité, l’argument basé

sur l’appui social favorise les réseaux à densité plus élevée (Greve, 1995: 29). Dans ce sens,

(Rowley et al, 2000: 370), Reagans et McEvily (2003: 261) affirment que, dans les réseaux

denses, les membres font preuve d’un comportement coopératif. En effet, dans un réseau

dense où l’information circule rapidement, les membres savent d’avance que les informations

sur leur comportement opportuniste se diffuseraient à d’autres membres du réseau et

limiteraient leur possibilité d’interagir avec ces membres dans le futur. On pourrait alors

envisager qu’un réseau dense soit plus favorable à la génération de ressources stratégiques,

sous forme de motivation et de financement par rapport à un réseau moins dense.

Par ailleurs, Reagans et Zuckerman (2001 : 510) soutiennent que l’importance de la quantité

d’informations dans un réseau dense aide les membres à valoriser les connaissances qui

circulent dans le réseau. Aussi, Eriksson et Sharma (2003) établissent un lien positif entre la

redondance des liens et l’assimilation des connaissances par les acteurs.

2.4.2. Les effets des liens forts

L’intensité de liens réfère à la durée de la relation entre les membres du réseau, à la fréquence

des échanges entre eux ainsi qu’à leur proximité émotionnelle. La proximité émotionnelle

renvoie à la mesure du degré d’amitié qu’un acteur porte à ses relations. Les liens faibles

représentent une source importante d’informations non-redondantes (Granovetter, 1973).

L’information nouvelle circule davantage dans les liens faibles.



Page 88

Néanmoins, les interactions répétées entre les membres d’un réseau induisent une similarité

de leurs stocks de connaissances (Coleman, 1988 ; McFadyen, Cannella et Albert, 2004).

Cette similarité est importante pour l’acquisition de nouvelles connaissances. De plus, en

intensifiant les activités et les routines de partage de connaissances, les interactions sociales

augmentent les capacités relatives d’un individu à valoriser et à assimiler les connaissances

externes communiquées par les membres de son réseau (Yli-Renko et al, 2001 : 588). Ensuite,

lorsque l’acteur maintient les mêmes partenaires à l’échange au cours du temps, le nombre

d’expériences partagées augmente (Bouty, 2000). Ce que confirment Simon et Tellier (2008),

en ajoutant que des liens fréquemment entretenus permettent d’entrer en contact, avec des

acteurs d’un autre domaine qui seraient difficilement accessibles autrement. D’autre part, ils

servent à obtenir des informations stratégiques, et par conséquent, à augmenter les chances

que le projet soit validé. Ils réduisent l’incertitude associée à des projets d’exploration en

associant des partenaires au statut élevé avec lesquels ils ont des liens forts. La redondance

des réseaux conduit à des idées créatives incrémentales et favorise une co-construction de

l’innovation grâce au partage des représentations dans un milieu homogène, ce qui ne serait

pas possible dans un milieu hétérogène faute de parler le même langage. C’est en quelque

sorte l’idée « d’embarquement des partenaires dans un projet » (Sarasvathy, 2001) qui fait la

force de l’innovateur entrepreneurial.

2.4.3. Les effets de l’hétérogénéité

L’hétérogénéité des connaissances accédées augmente la probabilité de découvertes de

nouvelles opportunités et de nouvelles ressources. Dans cette logique, plusieurs études

montrent que les réseaux où les individus sont liés à d’autres individus ayant des profils

hétérogènes sont plus susceptibles de transférer des connaissances entre les acteurs

(McFadyen et al, 2001). En particulier, Burt (1992) affirme que l’étendue d’un réseau de

relations permet un plus grand accès aux ressources telles que l’information. De plus, la

diversité des domaines de connaissances des membres du réseau permet de soutenir les

nouvelles idées générées par ces derniers. Ce soutien est d’autant plus important que les idées

générées sont complexes. Les experts, grâce à leur réputation et à la diversité de leurs

connaissances, peuvent augmenter la crédibilité et la légitimité des idées fournies par un

individu (Rodan et Galunic, 2004 : 546 ; Simon et Tellier, 2008).

L’hétérogénéité des informations et des connaissances augmente les chances de découvrir de

nouvelles opportunités, plus rapidement. Les possibilités d’interprétation et d’analyse des

connaissances acquises augmentent par conséquent le degré d’assimilation de ces

connaissances. Ensuite, la diversité du réseau permet d’améliorer la capacité d’un individu à

mettre en œuvre ses idées et à exécuter des tâches complexes. En effet, l’hétérogénéité des

connaissances permet à l’individu d’établir des liens de causalité entre les éléments d’un

système complexe qui caractérisent certaines des connaissances qu’il a acquises (Rodan et

Galunic, 2004 : 545-546).



Page 89

Simon et Tellier (2008) apportent des résultats contradictoires. Tout d’abord, les auteurs

précisent bien que le temps est un facteur décisif dans l’acte d’innovation. Aussi, un réseau

composé de partenaires ayant des liens forts et cohésifs, permet de rapidement générer de

nouvelles idées ayant de la valeur. Dans ce type de réseau, les créatifs semblent

particulièrement sensibles à la reconnaissance de pairs. La redondance du réseau et

l’homogénéité des connaissances facilitent cette reconnaissance. Entre ensuite en jeu la

compétition que se livrent les différents chercheurs avec le risque de subir la fuite

d’informations encouragée par la redondance du réseau. Simon et Tellier indiquent que les

ingénieurs souhaitant être valorisés peuvent être incités à offrir des informations inédites à

d’autres experts alors que ces informations sont, par ailleurs, confidentielles.

« Ce qui est très difficile c’est l’équilibre qu’il faut bien établir car vous êtes employé par

quelqu’un donc vous défendez malgré tous des intérêts industriels, l’équilibre entre ça et

l’intérêt de communiquer avec des gens qui ont d’autres idées. » (Simon & Tellier,

2008 :156).

Nous constatons finalement que la force des liens et le degré d’hétérogénéité ont une

influence certaine sur la qualité et la nature de l’innovation comme sur le comportement de

l’innovateur. Nous constatons, selon les travaux de Simon et Tellier (2008), que

conformément à la littérature sur les effets des réseaux denses (Granovetter, 1973 ; Coleman,

1988, Burt, 1992), les réseaux fortement homogènes et redondants formeraient un terreau

fertile pour l’innovation, et seraient plus propices à l’acquisition d’informations

confidentielles. Aussi, dans le cadre de notre thèse, nous considérons que les réseaux

redondants, à liens forts, sont plus adaptés et pertinents pour l’étude des comportements des

acteurs, que les réseaux non-redondants dont l’analyse se base sur les trous structuraux.

Le tableau 5 ci-dessous synthétise les travaux réalisés sur l’effet de la structure des liens sur

l’innovation.



Page 90

Structure du

réseau

Intensité Effet sur le management de l’information

Densité

Forte Favorise la diffusion rapide des informations (Greve, 1995 : 29).

Favorise les comportements coopératifs et Limite les comportements

opportunistes (Rowley et al, 2000 : 370), Reagans et McEvily (2003 : 261)

Améliore la communication entre les membres (Burt (2001 : 205)

Aide les membres à valoriser les connaissances qui circulent dans le réseau

Reagans et Zuckerman (2001 : 510)

Limite l’acquisition de nouvelles informations (Greve, 1995 :6)

Faible Favorise la diffusion de nouvelles idées et à la diffusion de l’innovation

(Géraudel et al (2006) ; Rowley et al (2000); Granovetter (1982) ; Rogers

(1983) ; Burt (1992).

Favorise l’assimilation des connaissances par les acteurs Eriksson et Sharma

(2003)

Fréquence Forte Favorise le don de choses variées, personnelles et engageantes (Alter, 2009 :

103)

Les interactions répétées induisent une similarité des stocks de

connaissances des membres du réseau (Coleman, 1988 ; McFadyen,

Cannella et Albert, 2004).

Hétérogénéité Forte Favorise les innovations radicales et donc à création d’idées, de concepts en

rupture avec le présent (Bonner et Walker, 2004)

L’hétérogénéité des informations et des connaissances augmente les chances

de découvertes de nouvelles opportunités, plus rapidement et les possibilités

d’interprétation et d’analyse des connaissances acquises augmentant par

conséquent le degré d’assimilation de ces connaissances. (Rodan et Galunic,

2004 : 545-546).

Homogénéité Forte La redondance du réseau et l’homogénéité des connaissances facilitent cette

reconnaissance entre pairs (Simon & Tellier, 2008)

Intensité Forte Favorise la motivation du dirigeant (Jenssen et Koenig, 2002 : 1044, Yli-

Renko et al, 2001)

Taille Importante L’augmentation du nombre de partenaires directs accroît la quantité

d’informations, d’idées et de ressources disponibles dans le réseau

(McFadyen, Cannella et Albert, 2004 : 740)

Les experts, grâce à leur réputation et à la diversité de leurs connaissances

peuvent augmenter la crédibilité et la légitimité des idées fournies par un

individu (Rodan et Galunic, 2004 : 546 )

Tableau 5: Synthèse de l'effet de la structure des liens sur l'innovation



Page 91

Avec le concept de futurité, Commons (1939) postule que tout individu cherche à anticiper les

risques dans des transactions d’échange qui sont stratégiques lorsque l’objet à échanger est

rare. Ce théoricien de l’institutionnalisme pense que l’acteur réalisant des transactions ne peut

s’affranchir du cadre réglementaire formé par les jeux de pouvoirs et l’ordre moral de

l’institution à laquelle il appartient. Les valeurs, normes et règles collectives médiatisent les

valeurs individuelles et permettent de créer des habitudes. Ces habitudes, à leur tour,

libèrent l’acteur de tout calcul rationnel inutile, afin qu’il puisse se concentrer sur les

transactions stratégiques.

Les conditions de réussite des transactions d’échange stratégiques imposent d’agir selon :

(1) des valeurs personnelles « raisonnées » dans l’intérêt de la collectivité, (2) une

rationalité limitée (Commons est en cela un précurseur de Simon [1947]).

Cependant, la recherche du bien-être collectif par les membres des institutions peut être

nuancée. Selon Sennet (2005), sous l’effet de la flexibilisation des institutions (le concept de

capitalisme flexible), la culture des salariés se distancerait de celle des institutions qui les

emploient. De même, les recherches entreprises sur le thème des échanges informels ont

souvent pour défaut d’ignorer leur composante hautement personnelle (Bouty, 1999, 2000 ;

Chollet, 2005).

L’innovateur n’échapperait pas à ses règles. Alter (2000) soutient que l’innovation est une

activité banale et prête à l’innovateur un raisonnement causal et une rationalité procédurale.

Selon lui, le processus d’innovation impose le conflit avec l’ordre et la « déviance

ordinaire ». L’innovateur, en quête de reconnaissance et de réussite, cherche à casser les

normes en vigueur pour en reconstruire de nouvelles. L’innovateur prend ainsi un risque

qu’il compte contrôler, avec le soutien de ses relations. La logique de l’échange est celle du

don/contre-don.

Le don est décrit par Caillé (2009), s’inspirant de Mauss (1950), comme un phénomène

anthropologique universel. Le don prend racine dans la quête de reconnaissance et s’articule

autour de quatre pôles de motivations à l’actions : l’intérêt pour soi, l’empathie, l’obligation et

la liberté. La reconnaissance est la recherche de la visibilité sociale qui s’exprime par la

reconnaissance par la société et par soi-même du statut de donateur libre (Caillé, 2009 : 72).

3. Ce qu’il faut retenir du chapitre 1



Page 92

Ce statut donne accès à l’amitié, la gloire, le prestige, etc. Caillé (ibid. : 72), s’appuyant sur la

sociologie de Pierre Bourdieu, mentionne qu’il peut être intéressant d’être désintéressé au

sens où il est intéressant d’accomplir des actions pour soi-même, parce qu’elles sont une fin

en soi, plaisantes ou justes. L’intérêt pour l’acteur est d’être effectivement désintéressé pour

entrer dans la logique du don effectif.

Citant Mauss, Caillé (ibid. : 20) souligne que ces quatre pôles sont enchevêtrés. «L’intérêt

pour autrui ramène à l’intérêt pour soi et réciproquement ». «Non seulement, l’obligation est

celle de la liberté, mais la liberté permet de s’acquitter de ses obligations, mais il faut qu’il

en soit ainsi ». Un don obligé ne serait plus un don, un don purement altruiste serait suicidaire

et un don purement gratuit n’aurait pas de sens. De même, pour être reconnu, il faut donner ce

qui a de la valeur, sans quoi l’acte perd tout son sens.

Sarasvathy (2001) prête à l’innovateur un raisonnement effectual. Il s’appuie sur trois

piliers : (1) qui je suis, (2) ce que je connais, (3) qui je connais, qui composent son capital

culturel, symbolique, économique et social. Contrairement à Alter (2000), mais à l’image de

Commons (1934), l’innovateur ne prend pas de risque mais compte sur ses relations pour

les anticiper. L’innovateur fait preuve d’un altruisme intelligent (Simon, 1977). Il agit de

façon à ce que les autres lui viennent en aide. Il gagne ainsi selon Simon (1977), bien plus de

connaissances qu’en adoptant un comportement opportuniste.

Tant Alter que Sarasvathy reconnaissent le principe de réciprocité des échanges. Mais plus

que la confiance, ils soulignent tous les deux la valeur de l’engagement dans la relation.

Qu’est ce qui fait un innovateur ? Pour Sarasvathy et al. (2005), l’étude des valeurs

individuelles ne suffit pas. Il faut y adjoindre le contexte d’action, la nature de

l’environnement. C’est, selon nous, le cadre réglementaire qui le contraint ou l’exalte. Parce

que ce cadre réglementaire est formé pour répondre aux intérêts de la collectivité, dans ses

enjeux internes et externes.

L’innovateur s’appuie sur son capital social, son réseau de relations. Son capital social lui

permettrait de composer avec les contraintes de rationalité et le cadre réglementaire dans

lequel il évolue. Excepté pour Putman (1993), pour qui la confiance est le résultat du capital

social, l’ensemble de la communauté scientifique s’intéressant au capital social pense que la

confiance le génère, et que la réciprocité des échanges l’entretient (Coleman, 1988 ; Portes,

1998 ; Lin, 1999).

Pour Alter (2000) et Sarasvathy (2001), la position d’intermédiaire dans les réseaux sociaux,

serait un atout parce qu’elle procure des informations nouvelles (Burt, 1992).

Pourtant les réseaux fermés à liens forts permettent de faire circuler de l’information à

haute valeur ajoutée, qui nécessite de la confiance. Ils constitueraient une première étape

dans la recherche des soutiens aux projets (Coleman, 1988 ; Granovetter, 1973, Simon et

Tellier, 2008). De même, les effets de la structure des réseaux sociaux sur les

comportements opportunistes ne sont pas tranchés. A un niveau microsociologique, les



Page 93

réseaux fermés et à liens forts les éviteraient (Coleman, 1988 : 107), ou au contraire les

faciliteraient (Burt, 1992 ; Portes, 1998 : 15). Putman (2001: 3) rappelle également que les

effets du capital social, de la réciprocité et de la confiance peuvent conduire à des effets

négatifs pour la société.

C’est avec ces constatations que nous avons débuté la construction d’un modèle (Figure 10)

des concepts que nous mobilisons pour comprendre ce qui interagit, entre l’innovateur et son

environnement, dans la recherche d’informations à haute valeur ajoutée. De même, selon

nous, le capital social d’un individu est l’ensemble des ressources que lui procure

l’appartenance à un ou plusieurs groupes d’individus dans l’objectif d’anticiper le futur.

Le capital social est fonction de la structure du réseau personnel, du capital culturel,

économique et symbolique de l’agent. Le capital social est actionné par les valeurs

individuelles et régulé par les valeurs et les normes collectives qui animent l’institution à

laquelle il appartient.



Page 94

Figure 10: Synthèse du corpus théorique des constituants et influenceurs du capital social

Dans une économie de la connaissance, les institutions se doivent de réglementer les échanges

d’informations, car ceux-ci constituent une ressource stratégique. Le cadre réglementaire

décrit par Commons, avec lequel les innovateurs composent, prend, ou doit prendre en

compte ce paramètre. Autrement dit, l’institution doit sécuriser ses ressources

informationnelles parce qu’elles constituent son patrimoine immatériel.


Obligation

Liberté

Empathie

Nécessité Devoir

Amour- propre

Amour de soi

Antipathie

Sympathie


Institution


l’institution

Valeurs,

Normes,

Règles,

Habitudes

Intérêt pour soi

Valeurs individuelles, habitudes

Individu (quête de reconnaissance, futurité)

Transaction de répartition

Tra

nsa

ction

d’éch

an

ge

Transaction de direction

Force des liens

Homogénéité/Hétérogénéité

Rationalité limitée,

Altruisme intelligent

Capital

Culturel

Economique

Symbolique

Redondance

Réseau personnel de l’individu



Page 95

II. Chapitre 2

Politiques et management de la sécurité de l’information



Page 96

Figure 11: Architecture du chapitre 2

1 - La sécurité de l'information

- Principes généraux

- Fondamentaux de management

2- Pour un approfondissement de la recherche sur les

transformations par la culture organisationnelle

- Etude des motivations

- la sensibilisation

- La culture organisationnelle


Les effets de la culture organisationnelle et l’influence des réseaux sociaux

sur les comportements de sécurité sont encore trop négligés par les

praticiens et les chercheurs en systèmes d’information.

Ancrage atour de 2 courants

d’analyse du facteur humain : les

comportements et la

sensibilisation.

Constat d’un manque de

recherche

Mobilisation

Justification

Fondations

Inhibante et habilitante



Page 97

1. La sécurité de l’information

L'expansion et le recours à des systèmes d'information hautement interconnectés a augmenté

l'exposition des organismes à des menaces diverses. Bien que certaines menaces à la sécurité

des institutions soient d'ordre technique ou le résultat de catastrophes naturelles, un grand

nombre sont d'origine anthropique, qu’il s’agisse d’erreurs, d’omissions ou d’actes

malveillants commis par les employés ou des acteurs externes, tels que des concurrents, les

pirates informatiques etc. Cette vulnérabilité accrue a obligé la plupart des institutions à

appliquer des contre-mesures fortes pour dissuader et prévenir des incidents, comme les

contrôles techniques et comportementaux. Les institutions ont mis en œuvre des politiques et

des procédures (Siponen, 2000) de sécurité des systèmes d’information, ainsi que l'éducation

à la sécurité des systèmes d’information par des programmes de formation et de

sensibilisation, des campagnes régulières de communication (Puhakainen & Siponen, 2010)

et des sanctions pour dissuader les violations des politiques (D’Arcy & al., 2009 ; Herath et

Rao, 2009b). Toutefois, ces contrôles et mesures de sécurité ne sont efficaces que dans la

mesure où les employés veulent les suivre, et ceci est particulièrement vrai lorsque les salariés

sont en dehors de l’institution et ne ressentent plus son ambiance, les contrôles managériaux,

voire les techniques mises en place.

Le 15 mars 2012, le magazine « Informatique et sécurité » publiait un article sur les risques

portés par les réseaux sociaux:

« Le réseau social LinkedIn est une source d’information pour les pirates.

Tout au long de l’année 2011, le réseau LinkedIn a fait l’objet, de critiques sur son aspect

sécurité, et de nombreux articles sur le sujet apparurent lors de son introduction en bourse

[…] »22

.

Même si notre sujet de thèse ne porte pas spécifiquement sur l’usage des médias sociaux, cet

article illustre le danger que peuvent représenter les réseaux sociaux. Les individus sont de

plus en plus interconnectés et appelés à mobiliser leurs réseaux personnels pour rechercher de

l’aide, faire preuve d’innovation, trouver du travail, exprimer ce qu’ils pensent du lieu où ils

travaillent…. Ce mouvement sociologique pose de vrais problèmes aux entreprises et plus

généralement aux institutions, qui voient l’efficacité de leurs moyens de contrôle diminuer. La

sécurité implique la confiance qui est nécessaire dans une économie organisée en réseau.

Surtout quand l’innovation est un axe majeur de compétitivité (clusters d’entreprises, pôles de

compétitivités, écosystèmes industriels…). La sécurité de l’information est un enjeu national,

qui concerne l’ensemble des acteurs de l’économie française, quel que soient leur taille ou

leur secteur d’activité23

.

22 http://www.informatique-securite.net/securite-it-les-hackers-utilisent-le-reseau-social-linkedin/, 15 mars 2012 23 Au plan militaire, on parle des réseaux numériques comme le 5ième champ de bataille. Les enjeux stratégiques

de la sécurité de l’information sont considérables, mais nous excluons ce champ d’étude de notre travail de thèse.

http://www.informatique-securite.net/securite-it-les-hackers-utilisent-le-reseau-social-linkedin/



Page 98

Dans ce chapitre, nous définissons ce qu’est la sécurité de l’information et nous étudions en

détail ces composantes majeures, à savoir l’étude des menaces et des contre-mesures, le

regard que porte l’organisation sur la sécurité et les politiques de protection et les modes de

management mis en œuvre.

La difficulté à gérer les comportements humains nous conduit ensuite à explorer la littérature

qui cherche à comprendre et orienter les comportements. En particulier, les travaux menés par

le courant sociotechnique, les théories de l’action et les théories mobilisées en criminologie,

comme le contrôle social et la théorie de la neutralisation (Sikes et Matza, 1957).

L’approfondissement de la recherche sur l’influence de la culture organisationnelle, et sur les

comportements de sécurité, nous conduira finalement à clore ce chapitre par une section

portant sur les relations entre culture organisationnelle et sécurité de l’information.

1.1. Principes fondamentaux

1.1.1. Qu’est-ce que la sécurité de l’information ?

Avant de clarifier ce qu’est la sécurité de l’information, il convient de préciser ce que nous

entendons par « information » dans le cadre de cette thèse. Il ne s’agit pas de rentrer dans le

vaste débat qui consiste à déterminer ce qu’est une donnée, une information, ou une

connaissance. Pour une entreprise et les institutions en général, le qualificatif d’information

concerne les données parlées ou écrites, produites par l’activité. Il peut s’agir de données

quantitatives (un chiffre d’affaire), qualitatives (un défaut de production) ou encore

prospectives (un futur projet industriel). Par exemple, un système d’information qui contient

des données financière doit être protégé. Le tiroir du bureau du directeur financier qui contient

des documents sensibles, doit rester fermé en son absence. Le salarié qui parle, au restaurant,

de l’évitement in extremis d’un incident industriel ne devrait pas le faire…

Wood (1982 : 9) stipule que la sécurité est un sujet très vaste « qui comprend les bâtiments, la

protection incendie, des logiciels et du matériel, les politiques financières et de ressources

humaines, l’audit et de contrôle ». Von Solms (1999) explique que la sécurité des

informations est un espace multidimensionnel, qui comprend 1a gouvernance d'entreprise, la

structure organisationnelle, la politique, les meilleures pratiques, l'éthique, la certification, le

juridique, l'assurance, le personnel, la prise de conscience, la technique, les indicateurs de

mesure de l'audit. Aussi, les institutions doivent prendre en compte tous ces aspects afin de

sécuriser leurs actifs informationnels. La sécurité de l'information signifie plus que

d'empêcher les intrus d'accéder à des données confidentielles. La norme internationale ISO

I7799/27002-2005 qui définit les codes de pratiques du management de la sécurité de

l’information stipule (p.viii) que «la sécurité de l'information est la protection de

l'information à partir d'un large éventail de menaces afin d'assurer la continuité des activités,



Page 99

de minimiser les risques et maximiser le retour sur les investissements et les opportunités

d'affaires».

C'est pourquoi l'information:

ne doit pas être divulguée à des personnes non autorisées,

doit être protégée contre toute modification non autorisée et,

doit être disponible à la demande des utilisateurs.

L’ISO 27001-2005 (clause 3.4, p.2) qui fournit les spécifications pour la mise en œuvre d’un

système de management de la sécurité de l’information définit donc la sécurité de

l’information comme la « préservation de la confidentialité, l’intégrité et la disponibilité des

informations. De plus, d’autres propriétés comme l’authentification, l’audit, la non

répudiation et la fiabilité peuvent être impliqués ».

1.1.2. Confidentialité, Intégrité, Disponibilité

La sécurité de l’information s'intéresse à trois aspects, qui sont la Confidentialité, l'Intégrité et

la Disponibilité (respectivement clause 3.3, 3.8 et 3.2 de la norme ISO/IEC 27001:2005 : 2).

Ces trois dimensions sont communément nommées par le triptyque CID.

La « Confidentialité », consiste à s'assurer que l'information est accessible seulement

aux personnes autorisées à y avoir accès. Le degré de sensibilité des informations

varie selon leur caractère stratégique ou légal. Les mécanismes de sécurité, tels que le

cryptage et le contrôle d'accès logique et physique, peuvent être utilisés pour assurer la

confidentialité au plan technique.

L’ « Intégrité », consiste à garantir qu’une information ne sera pas modifiée sans

autorisation préalable. Les informations doivent être exactes, complètes et protégées

contre les modifications.

la « Disponibilité », consiste à veiller à ce que les informations, le système et d'autres

ressources soient disponibles pour les utilisateurs en cas de besoin, la productivité ne

sera pas affectée. Un mécanisme de sauvegarde doit être utilisé pour assurer la

continuité des ressources disponibles.

La confidentialité a reçu le plus d'attention de la part de la communauté scientifique. Les

premiers travaux sur la sécurité ont été parrainés par le ministère américain de la Défense. Le

modèle le plus important utilisé dans cet environnement a été développé par Bell et La Padula

(1976). Ce modèle traite avec des contrôles d'accès obligatoires et discrétionnaires dont

l'objectif principal est d'empêcher la divulgation illégale d'informations.



Page 100

Cependant, Dhillon et Backhouse (2000 : 127-128) affirment que les principes de la CID ne

sont pas suffisants pour assurer la sécurité de l’information. En effet, ils s'appliquent à des

informations qui sont considérées comme fortement liées aux systèmes d’information. Pour

ces auteurs, la sécurité de l’information ne s’applique pas qu’aux environnements techniques,

mais doit aussi s’appliquer aux personnels des organisations dans leurs modes de relations.

Les auteurs suggèrent donc des principes supplémentaires tels que la Responsabilité, la

Confiance et l’« Éthicité » (traduit de l’anglais Ethicality).

La Responsabilité correspond à la connaissance par les employés, de leurs rôles et

responsabilités professionnelles. Cette connaissance est tout à fait indispensable pour que

les membres de l’organisation puissent développer leur activité en autonomie ;

La Confiance est nécessaire pour que la responsabilité implique des systèmes communs de

confiance.

« L’Éthicité » est le contenu éthique des normes informelles et du comportement.

Dhillon et Backhous voient également l’Intégrité comme une valeur humaine qui est une

condition d’adhésion. L’organisation doit valoriser et soutenir l’intégrité des employés, afin

qu’elle ne varie pas négativement dans le temps. D’autres objectifs de sécurité proposés par

des chercheurs et des praticiens ont également été identifiés. Le tableau 6 fournit un résumé

de vingt-deux objectifs proposés par les chercheurs et les professionnels de la sécurité de

l’information (Johnston et al, 2008: 256). Les sources de ces objectifs et des exigences

proviennent principalement de trois groupes : les praticiens, les universitaires et les

organismes de sécurité. Lors des entretiens menés avec ces groupes, six objectifs ont été le

plus fréquemment cités : La confidentialité, l'intégrité, la disponibilité, la non-répudiation,

l'authentification et l’audit. Ce qui ne semble pas étonnant, puisque nous retrouvons ces

objectifs dans la définition même de la sécurité de l’information proposée par l’ISO

17799/27001, qui est la norme internationale de référence. L’histoire ne dit pas cependant si

ce sont les professionnels qui ont influencés la norme, ou l’inverse. Néanmoins, étant donné

que les systèmes de normalisation se basent largement sur la participation collective des

acteurs (par exemple : les cercles de qualité en entreprise, les batailles que se livrent les

industriels pour imposer leurs normes à un niveau international, etc.), il est fortement

probable que la part des professionnels dans la normalisation soit majoritaire. D’ailleurs, le

tableau ci-dessous montre que les praticiens de la sécurité de l’information définissent une

liste bien plus exhaustive que les universitaires et les organismes de sécurité. Cette liste inclut

notamment les systèmes de preuve (exemple : la signature, le witnessing) et de traçabilité

(exemple: le time-stamping).

Cette liste inclut notamment les systèmes de preuve (exemple : la signature, le witnessing) et

de traçabilité (exemple: le time-stamping).



Page 101

Tableau 6: Liste non exhaustive des principaux des objectifs de sécurité identifiés par les praticiens et chercheurs (Johnston et al, 2008 : 254)



Page 102

La sécurité de l’information d'une organisation peut être définie comme la protection contre le

vol d’information ou toute autre attaque contre les systèmes d’information, et aussi contre les

disfonctionnements de ces systèmes d’information qui les rendraient indisponibles et qui

altéreraient l’intégrité des informations.

L’organisation et son système d’information doit donc faire face à un certain nombre de

menaces. Ces menaces pourraient être causées par les utilisateurs innocents, ou par

des acteurs animés de mauvaises intentions. Sur ce sujet, Anderson et Moore (2008: 11)

affirment que la vision traditionnelle des professionnels de la sécurité est plutôt dichotomique

quand il s’agit d’aborder le comportement des utilisateurs du système d’information. Il y a

d’un côté « les bons », c'est-à-dire les membres de l’organisation, et de l’autre, « les

méchants », c'est-à-dire des personnes externes à l’organisation voulant lui nuire. Pourtant

selon le rapport Computer Crime and Security Survey (2011: 20), 43,2% des répondants ont

déclaré qu'au moins une partie de leurs pertes étaient attribuables à des collaborateurs internes

malveillants. Cependant, la quasi-totalité des pertes provoquées par des atteintes à la sécurité

de l’information provenait de collaborateurs internes non malveillants. Cette tendance est

identique à celle de 2010. Le sondage des organisations indique que 59,1% d’entre elles

estiment que les pertes dues à des attaques n’étaient pas le fait de collaborateurs internes

malveillants. Parmi celles qui s’estiment victimes d’attaques internes, 87,1% évaluent que

20% ou moins de leurs pertes doivent être attribuées à des actes internes malveillants alors

que 66,1% des répondants indiquent que 20% ou moins de leurs pertes, sont le fait d’actes

internes non-malveillants. Le rapport de la NIAC (2008) conclut également que l'espionnage

économique à partir de sources internes aux entreprises constitue une menace réelle pour la

viabilité concurrentielle des entreprises. Ces chiffres montrent que jusqu’ici, trop peu d’efforts

semblent avoir été portés sur les collaborateurs de l’entreprise ou bien que l’efficience des

pratiques en matière de sécurité de l’information est difficile à atteindre lorsque la population

cible est interne. Trop d’organisations considèrent que la sécurité de l’information ne

concerne que la direction des systèmes d’informations (rapport NIAC 2008: 24).

1.1.3. Menaces, vulnérabilités et contre-mesures

Les rapports produits par les organismes spécialisés comme le Computer Crime and Security

Survey produit par le CSI (Computeur Security Institute) ou encore les rapports produits par

le CLUSIF (Club de la Sécurité de l’Information Français) classent généralement les attaques

comme intentionnelles ou non intentionnelles et internes ou externes. Loch (1992 :176, cf.

Figure 12) ajoute qu’elles peuvent aussi être internes ou externes et humaines ou non

humaines.



Page 103

Figure 12: Les quatre dimensions des systèmes de sécurité de l’information (Loch, 1992: 176)

Beaucoup de publications et d’enquêtes telles que Hinde (2002), Whitman (2003), Doherty &

Fulford (2005), le CSI (2009, 2011), énumèrent la variété et la conséquence des menaces qui

pèsent sur la sécurité de l’information des organisations. En voici quelques-unes parmi les

principales classées suivant qu’elles sont externes ou internes aux institutions.

Les menaces externes :

Les virus informatiques, vers et chevaux de Troie : programmes informatiques qui

ont la capacité de se répliquer automatiquement, dans l'ensemble des systèmes et

des réseaux ;



Page 104

Les catastrophes naturelles : les dommages sont causés par des phénomènes tels

que les tremblements de terre, les inondations ou les incendies ;

Le spam (courriel) : envoi massif de courriers électroniques non sollicités ;

Le piratage: la pénétration des systèmes d’information de l'organisation par un

tiers non autorisé, qui sont ensuite libres d'accéder et manipuler des données (vol,

modification) ou d’interrompre les systèmes (détérioration);

Le vol d’information par des acteurs externes à l’entreprise, par l’incitation de

collaborateurs internes via des techniques de manipulation (social engineering), ou

encore suite à des négligences de collaborateurs internes qui laissent des invités se

déplacer sans surveillance dans les locaux de l’organisation ;

Les dommages délibérés.

…

Les menaces internes :

Installation / utilisation de matériel non autorisé, des périphériques ou des logiciels

: ces matériels et logiciels pourraient contenir des virus ou des systèmes de copie

des informations ;

Utilisation frauduleuse du système d’information en profitant des accès qui ont été

autorisés ;

Vol de matériel/logiciel/informations: vol de matériel précieux, les logiciels et

actifs informationnels ;

L'erreur humaine : La destruction accidentelle ou la saisie incorrecte de données.

Les dommages délibérés causés par des employés mécontents désireux de se

venger ;

Utilisation des ressources de l'organisation pour les communications illégales ou

des activités immorales (pornographie, etc.) ;

La divulgation à des organisations externes ou à des tiers internes qui n’ont pas

nécessité à les connaitre, d’informations sensibles, quels que soient les médias

associés (fichiers, transmission orale, etc.).

…

Les attaques sont fréquentes et les entreprises communiquent peu sur ce sujet. En 2011, lors

d’une session de formation à la sécurité de l’information que dispensent les spécialistes de la

DCRI (Direction centrale du Renseignement Intérieur), nous avons appris que les entreprises

du CAC 40 ont comptabilisé plus de 600 attaques importantes en trois ans. Ce chiffre est

considérable, d’autant que ces entreprises taisent le nombre et la nature des attaques très

sérieuses auxquelles elles ont dû faire face.

Les attaques externes reposent beaucoup sur les erreurs des employés. Ces derniers

permettent d'accéder au système d'information de l'organisation. Selon Brostoff & Sasse



Page 105

(2001 : 43), « les brèches de sécurité sont souvent délibérées et sont donc susceptibles de se

produire encore et encore ».

Certaines vulnérabilités dans les organisations sont liées à des faiblesses dans les logiciels ou

les matériels. Ces erreurs sont par ailleurs liées à des défauts de conception, des erreurs

humaines suite à des défauts dans les processus de contrôle, ou encore des manquements dans

l’application de processus de gestion. Par exemple, lorsqu’un employé quitte une

organisation, la suppression de ses accès aux ressources peut être oubliée.

Les politiques de sécurité et les processus de gestion, sont donc des contre-mesures aux failles

de sécurité, mais à condition qu’elles soient respectées et appliquées.

Une fois les menaces et vulnérabilités identifiées, les organisations doivent savoir sur quoi et

comment investir pour sécuriser leurs informations. Dans ce cadre, il est primordial que les

organisations sachent ce qu’il faut protéger et avec quel niveau de priorité. Elles doivent

pouvoir définir les besoins de CID pour leurs actifs (Garbars, 2002; Lévêque 2006 &

Anderson 2003).

Les organisations adoptent en fait une méthode de gestion des risques (Siegel et al, 2002.). La

gestion des risques est une « clé de voûte pour une performance efficace et ciblée, des

solutions proactives aux incidents potentiels» (Henry, 2007b: 321). L'évaluation des risques

permet aux organisations de connaitre leur environnement et d’élaborer des scénarii pour

savoir comment faire face aux menaces (Swanson & Guttman, 1996). L'évaluation des risques

est de la responsabilité de l'organisation : bien qu'il n'existe pas de recette universelle pour

minimiser les risques, les professionnels devront évaluer la nature de l'environnement

organisationnel, avant d'examiner si et comment mettre en œuvre des solutions

informatiques». (Dhillon & Backhouse, 1996: 73-74). Bois (1982: 84), explique que les

organisations peuvent évaluer les risques à travers les étapes suivantes :

«Collecte des informations sur l'organisation: ce qu'elle fait, comment elle fonctionne,

ses actifs et ses ressources ;

Identifier les risques inhérents à ces actifs et les ressources et évaluer leurs impacts

et la fréquence probable ;

Identifier les contre-mesures à ces risques, leurs coûts et l'efficacité probable ;

Élaborer des programmes de sécurité et de les soumettre à la direction ;

Préparer des plans de mise en œuvre des programmes de sécurité validés au plus haut

niveau hiérarchique ;

Surveiller et évaluer l'efficacité de ces programmes ».

Toutes ces étapes ne peuvent être correctement réalisées sans une prise en compte

organisationnelle des problématiques de sécurité.



Page 106

1.1.4. Rôle de l’organisation

La planification est un élément essentiel de management pour mettre en œuvre les mesures de

sécurité et justifier de leur budget. O'Connor (1993 : 72-73) définit les trois composantes de la

planification de la sécurité :

La planification stratégique est le processus de reconnaissance des systèmes

d'information, qui fournissent un avantage concurrentiel. Cela implique à la fois le

management de la sécurité de l’information et le management de l'organisation ;

La planification tactique se concentre sur les priorités pour planifier les efforts de

développement. Elle établit des plans d'actions à partir des mesures de développement

et de performance qui seront utilisés lors de la planification opérationnelle. Elle est

initiée à partir des efforts de planification stratégique.

La planification opérationnelle, implique le développement de certains plans détaillés

pour chaque projet. Elle est à la charge de représentants de la direction et des

employés qui sont tenus de participer au développement du système, les livrables,

prototypes, etc.

Selon Tryfonas et al. (2001: 188), en matière de sécurité de l’information :

la planification stratégique correspond à l’élaboration de politiques,

la planification tactique est la conformité avec les standards, la conduite de l’analyse

des risques, l’audit de la performance,…

La planification opérationnelle est la mise en œuvre d’outils de sécurité comme des

antivirus, etc.

Loch et al. (1992 : 173) affirment que les préoccupations concernant la sécurité de

l’information dans les organisations sont passées de «l'entrée par effraction dans les salles

informatiques et de stockage, la destruction par le feu, le tremblement de terre, l’inondation,

et l’ouragan » à « la protection des systèmes d'information, les accès non autorisés

accidentels ou intentionnels, la divulgation, la modification ou la destruction».

De nombreuses organisations se tournent vers la technologie pour aider à consolider leurs

défenses, mais les problèmes de sécurité de l'information ne peuvent pas être traités seulement

d'un point de vue technique, mais aussi d’un point du vue organisationnel.

Loch et al. (1992 : 185) ajoutent que les managers ont besoin de :

« Devenir plus informés sur les possibilités de failles de sécurité dont les sources

sont les employés et les concurrents;

Accroître leur sensibilisation dans des domaines clés tels que les lois, et

Reconnaître que leur niveau général de préoccupation pour la sécurité sous-estime

les risques potentiels inhérents à l'environnement très interconnecté dans lequel ils

évoluent ».

Cependant, comme Straub & Welke (1998 : 441) l'expliquent, «la sécurité de l'information

continue d'être ignorée par les cadres supérieurs, les cadres intermédiaires et les employés.



Page 107

Le résultat de cette négligence est que les systèmes de sécurité sont beaucoup moins sûrs

qu'ils ne devraient l’être et que les failles de sécurité sont beaucoup plus fréquentes et

dommageables que ce qui est nécessaire ».

Dhillon et Backhouse (2001 :126-128) partagent cet avis. La sécurité de l’information n’est

pas un problème technique, mais social et organisationnel. La sécurité doit d’adapter aux

données manipulées, mais aussi aux contextes organisationnels dans lesquels elle est

interprétée et appliquée. Les organisations doivent développer, favoriser l’émergence de

comportement durables qui intègrent la morale, l’intégrité et l’éthique. La notion de

persistance comportementale est importante. Workman (2007: 317) affirme en effet que

«lorsque les gens perçoivent que le risque a diminué, ils vont se comporter d'une manière

moins prudente». Dix ans après Straub & Welke , les aspects organisationnels ont peu évolués

puisque Posthumus et Von Solms (2008 : 689) pensent par exemple que le management

intermédiaire et de premier niveau doit bénéficier d’un programme de formation et de

sensibilisation, ce que Workman et al, (2008 : 2800) défendent également en affirmant que les

failles de sécurité continuent à croître car quand un problème de sécurité survient, les

managers ne savent pas toujours où et comment intervenir pour le juguler. Ces propos ne sont

toujours pas démentis aujourd’hui. Dans son rapport 2012, auprès de 350 entreprises de plus

de 200 personnes, le Clusif mentionne en page 5 que « la mise en œuvre concrète des

politiques de sécurité ne décolle pas réellement..[]…Pour beaucoup la sécurité reste une

histoire de mise en place de solutions techniques ».

Il est crucial de veiller à ce qu'une politique de sécurité appropriée et efficace soit développée.

En effet, elle crée une plateforme solide de mise en œuvre des pratiques de sécurité (Von

Solms et Solms, 2004: 276). Cette politique doit comporter à minima les considérations

suivantes (Verdon, 2006: 49) :

« Tout savoir sur les politiques de sécurité de l'organisation ;

Impliquer l'équipe en charge de la sécurité et le service juridique et les faire

travailler en équipe pour évaluer la conformité avec les politiques réelles ;

Identifier les besoins de protection de l'organisation;

Connaître les exigences de la politique de classification des informations ;

Tenir informé tout le personnel sur les meilleures pratiques en matière de sécurité

de l’information ».

1.2. Fondamentaux du management

1.2.1. Politique et management de la sécurité de l'information

Pour Nijhof et al (2003: 67), la politique est «un instrument de responsabilisation au sein de

l'organisation». La politique de sécurité de l’information est étroitement dépendante du

fonctionnement de l’organisation (Baskerville et Siponen, 2002: 344). Whitman (2004: 52),



Page 108

avance qu’une politique globale se compose d’une politique de base servant de chapeau à

d’autres politiques spécialisées.

Pour Tryfonas et al, (2001: 183), une politique de sécurité de l'information est une

combinaison de principes, règlements, méthodes, techniques et outils mis en place pour

protéger l'organisation contre les menaces possibles.

Ainsi, il existe :

Une politique pour l’institution (au sens de la structure comme une entreprise, une

association etc.). Cette politique s’applique à l’organisation dans son ensemble. C’est

une politique générale. Elle fixe l’engagement de la direction pour la sécurité de

l’information, et son importance pour l’organisation. Elle souligne les responsabilités

de chacun dans l'organisation, et les moyens à mettre en œuvre pour la sécurité.

Des politiques spécifiques au département des Technologies de l’Information et de la

Communication (TIC). Ces politiques couvrent les responsabilités de la direction des

systèmes d’information, dont le rôle et de maintenir les systèmes d’informations et les

réseaux de communication en sécurité. Elle dicte les conditions de choix des logiciels,

les politiques de sauvegarde, etc.

Une politique dédiée aux salariés. Cette politique définit l’ensemble des processus de

sécurité de l’information que doivent suivre les salariés (utilisation d’Internet, gestion

des mots de passe, procédure d’incident de sécurité, etc.).

La question est alors de savoir à quoi répond une politique et ce qu’elle contient.

Quels objectifs pour la politique ?

D’après David (2002: 506), « la sécurité n’est pas ce que nous faisons ni ce que nous ne

faisons pas. Ce n’est pas que nous autorisons ou ce que nous n’autorisons pas. La sécurité

n’a rien à voir non plus avec le niveau de sûreté des données et des systèmes. La sécurité

consiste en la manière dont on adhère aux politiques formelles de sécurité.»

Dans ce cas, une politique de sécurité efficiente est une stratégie dans laquelle les individus

sont capables d’accepter ce qui est attendu d’eux en matière de gestion des ressources

informationnelles. Par conséquent, selon Hone et Eloff (2002), une politique de sécurité

effective ne dépend pas seulement de ce qu’elle contient, mais aussi de la manière dont les

acteurs comprennent que ces politiques peuvent permettre d’atteindre les objectifs de sécurité

de l’institution.

L’objectif des politiques de sécurité est donc de réduire, autant que possible, les erreurs

humaines (Adams et al, 1997). Selon Hare (2007), la politique de sécurité se justifie par le

besoin de contrôle des membres de l’institution.

Ceci s’explique notamment par le fait que le déploiement des technologies de l’information

jusqu’aux bureaux des salariés, leur fournit un accès et une manipulation aisée aux ressources

informationnelles. La nécessité d’assurer la confidentialité, l’intégrité et la disponibilité des



Page 109

données, s’impose par les politiques de sécurité. Les politiques « créent une vision partagée,

et une compréhension de comment des contrôles variés, sont utilisés pour protéger

l’information dans l’institution » (Dhillon, 2006 : 6).

Pour Zucato (2004) les politiques de sécurités servent à préciser ce qui doit être protégé et

comment le faire pour assurer la sécurité des biens informationnels des organisations.

Cependant, malgré ces affirmations, l’étude de Doherty et Fulford (2005) n’a pas pu

démontrer un lien statistiquement significatif entre l’existence d’une politique de sécurité et la

réduction des incidents de sécurité. Ces auteurs expliquent leur résultat par les facteurs

suivants (Doherty & Fulford, 2005 : 34-35):

1. Difficultés de mise en pratique des politiques ;

2. Difficultés à sensibiliser les employés aux politiques de sécurité. La présence de politique

ne suffirait pas et les employés doivent en avoir connaissance ;

3. Les politiques sont trop complexes pour que les employés se les approprient ;

4. Manque de moyens pour contrôler l’efficacité et renforcer les politiques ;

5. Difficultés à dimensionner les politiques. Ces difficultés peuvent naître d’une mauvaise

adaptation aux types d’informations manipulées et à la culture de l’institution.

Ces propositions nous invitent à nous interroger sur ce que doivent être les politiques si elles

veulent avoir du sens et de l’efficacité.

Que contient la politique ?

Pour Baskerville & Siponen (2002: 344), la politique de sécurité doit s’adapter aux

changements organisationnels. Selon Verdon (2006 : 48), une bonne politique « doit être

raisonnable, compréhensible pour l'auditoire, et réalisable ».

En outre, Whitman (2004 : 2) stipule qu’ « une bonne politique de sécurité doit définir les

responsabilités individuelles, les utilisations autorisées et les utilisations non autorisées des

systèmes d’information, identifier des moyens pour que les employés puissent rapporter des

menaces identifiées ou suspectées, de définir des sanctions en cas de violation, et fournir un

mécanisme pour mettre à jour la politique ... propres à une organisation et de ses systèmes».

Von Solms et von Solms (2004 : 2), sont en accord avec ces propos et ceux de (Dhillon,

2006 :6). Selon eux, toute la question est de savoir comment les intentions du management

explicitées dans les politiques peuvent se traduire dans les actions des salariés.

C’est effectivement une question clé. Il ne s’agit pas seulement de poser ce qui doit ou ne doit

pas être fait, et de fournir des procédures afin d’y parvenir. Nous pensons que cela ne peut

effectivement fonctionner vraiment que si les individus s’approprient les enjeux exposés dans

les politiques et acceptent de se plier aux règles et procédures. Von Solms et Von Solms

(2004: 3) pensent que cela est possible à condition que la culture du groupe d’individus soit

alignée avec les politiques de sécurité développées par le management. L’objectif de la



Page 110

direction serait de développer un groupe culture, où toutes les actions et créations des

employés sont en ligne avec la vision de la direction. Le développement d’une culture

organisationnelle selon les principes de Schein (1984) leur paraît essentiel. Schein (1984: 3)

définit la culture d'un groupe comme : « le niveau le plus profond des hypothèses

fondamentales tacites et des croyances qui sont partagées par les membres d’une

organisation […] Un ensemble d’hypothèses de base qu'un groupe donné a inventé, découvert

ou développé en apprenant à faire face aux problèmes liés à l'adaptation externe et

d'intégration interne, et qui ont suffisamment bien fonctionné pour être considéré comme

valide, et donc être enseigné aux nouveaux membres comme une bonne façon de percevoir, de

penser et de sentir par rapport à ces problèmes ».

La culture organisationnelle se compose des valeurs collectives, des normes et des

connaissances en vigueur dans l’organisation. La culture s’exprime au travers des règles,

procédures et des modes de régulation.

Cette définition pose comme principe que les hypothèses de base doivent être définies et

enseignées à la communauté. La définition des politiques doit donc être menée de telle sorte

qu’elles soient acceptables par les membres de l’institution, en particulier les hypothèses que

forment les croyances de base. Les politiques ne doivent pas contredire les croyances

personnelles, et doivent faire l’objet d’un consensus sur leur action pour la protection des

intérêts de l’institution.

Comment ces politiques pourraient-elles effectivement être respectées ? Pour le comprendre,

von Solms et von Solms (2004 : 4) font une analogie entre l’élaboration des politiques de

sécurité des institutions et celles de la Bible (the bible métaphore). Ils concluent que :

1. Les politiques doivent provenir du plus haut niveau de management de

l’institution ;

2. Les politiques générales doivent être stables dans le temps ;

3. Les politiques générales doivent s’attacher aux concepts généraux et ne doivent

pas s’adresser à des contextes spécifiques et techniques qui sont changeant

dans le temps ;

4. Des politiques secondaires doivent appuyer les politiques générales. Ces

politiques adressent les contextes d’affaires et les contextes techniques de

manière spécifique ;

5. Des procédures doivent décrire les manières d’agir dans le respect des

politiques ;

Pour que cela fonctionne, il faut que les politiques et procédures soient régulièrement mises à

jour et régulièrement être enseignées aux membres de l’institution.



Page 111

1.2.2. La norme

La question de la norme est au cœur des pratiques de sécurité de l’information. La déviance

vis-à-vis des bonnes pratiques existe dès lors que l’on constate une réprobation vis-à-vis d’un

écart à la norme.

Définitions d’une norme

L’Association Française de Normalisation s’approprie la définition de la norme donnée par

l’ISO/CEI :

« Document, établi par consensus et approuvé par un organisme reconnu, qui fournit, pour

des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques,

pour des activités ou leurs résultats, garantissant un niveau d'ordre optimal dans un contexte

donné. »24

Ferréol (2007: 204) nous donne la définition sociologique de la norme :

« Règles ou modèles de conduite propres à un groupe ou à une société donnée, appris et

partagés, légitimés par des valeurs, et dont la non-observance entraîne des « sanctions » (ici

positives ou négatives). Les normes définissent le comportement approprié ou attendu dans la

vie sociale. Elles sont inséparables de l’activité de régulation qui les crée et les maintient.

Leur appropriation (apprentissage, intériorisation) au cours de la socialisation inclut non

seulement la connaissance de la prescription en elle-même, mais aussi la marge de variation

qu’elles comportent toujours. Leur affaiblissement ou leur incohérence est source d’anomie.

Elles s’inscrivent dans le contexte plus large des valeurs».

Les normes sont liées aux valeurs et sont créées pour régir nos actions au sein d’une

communauté et leur transgression est passible de sanctions.

Nous notons qu’elles sont prescriptives, mais comportent des marges de variation. Leur

appropriation est facteur du degré de socialisation. Leur affaiblissement ou leur incohérence

est source d’anomie. L’anomie est la perte des repères et des valeurs, qui fondent la

communauté ou plus généralement la société (Durkheim, 1897).

Ogien (2012 : 263) ajoute que « les normes susceptibles d’être enfreintes ne sont pas

identiques : elles peuvent être légales, morales, sociales ou logiques ». Il poursuit (ibid : 263)

en posant que la norme sociale se définit :

Soit, par un modèle normatif : comme l’intériorisation d’un système de normes et de valeurs,

imposées par la culture où la structure sociale à laquelle il appartient. L’intériorisation des

normes est ici interprétée comme l’incorporation des nécessités objectives, selon la

24 http://www.afnor.org/layout/set/print/lexique/%28lettreid%29/n



Page 112

conception d’habitus de Pierre Bourdieu (1980b). La normativité est alors déterminée par une

disposition à la conformité qui fait partie de l’ordre mental d’un groupe social ;

Soit, par un modèle interprétatif : comme un choix, selon le jugement d’une situation, de

respecter ou de ne pas respecter les contraintes des différents ordres normatifs dont il actualise

les prescriptions dans l’action en commun. Contrairement à la première conception, la

normativité n’est pas liée à l’’habitus. Elle constitue un cadre qui guide l’action et qui

s’adapte dans le temps en suivant les contextes d’actions. Ce n’est en aucun cas un bloc de

prescriptions prédéterminées. La conformité est alors la mise en œuvre d’actions objectivées

et jugées comme acceptables.

Les normes orientent l’action

La définition sociologique et celle proposée par l’ISO se rejoignent sur le fait que la norme

régit l’activité et donc l’oriente.

Selon Simmel (1987: 57), toute action serait liée à la recherche d’un avantage quelconque et

le choix d’une action parmi d’autres fait l’objet d’une évaluation.

« Autant notre vie semble déterminée par les mécanismes objectifs qui régissent les choses,

autant il nous est impossible en réalité de faire un pas, ou d’avoir une pensée, sans que notre

sentiment n’attribue des valeurs, aux choses et ne dirige nos actes en fonction de ces

valeurs ».

Les actions que nous engageons seraient donc guidées par l’évaluation des avantages qu’elles

procurent ou procureront à l’avenir ; et selon Parson (1937 : 732), les actions sont

nécessairement conformes aux normes en vigueur : « Comme processus, l’action est, en fait,

le processus de changement des éléments conditionnels en direction d’une conformité avec les

normes».

Les normes sont prescriptives et se distinguent des valeurs

Contrairement aux valeurs, les normes ne comportent pas de degrés et ne dépendent pas des

émotions. Elles ont un caractère obligatoire (Ogien, 2004 : 95).

Par exemple, il est possible de considérer que l’on doit garder un secret vis-à-vis d’un

étranger, mais que l’on peut le partager avec un proche, alors qu’une norme dictée par la

direction d’une entreprise impliquant le secret professionnel s’applique, quelles que soient les

circonstances. Cependant, pour être acceptée, sa validité doit être justifiée, donc légitimée.

Les valeurs sont aussi influencées par les émotions. Par exemple une personne peut plus

facilement se sentir coupable lorsqu’elle ne mesure pas les conséquences de ses actes

(Baumeister et al. 1995 : 189).



Page 113

La norme ne dépend pas des émotions. Pour reprendre l’exemple de la divulgation d’un secret

à un proche, il est possible de présupposer que l’émotion est un facteur déclenchant. La

norme, cherche à éviter certains comportements par son caractère exécutoire.

En résumé, à la différence des valeurs, toute norme implique une forme d’obligation. Selon

Parson (1971: 11), les valeurs assureraient le maintien des modèles culturels et les normes

assureraient l’intégration des individus dans la société. Kluckhohn (1952) a proposé une

définition fondatrice de la valeur (Parson et al, : 395) qui énonce qu’ « une valeur est une

conception, explicite ou implicite, de ce qui est désirable, pour un individu, ou pour un

groupe d’individus, et qui l’influence dans la sélection d’une action possible, selon ses modes,

son sens, et sa finalité ».

Les normes correspondent ainsi à des règles de conduite, dont le respect est lié à des sanctions

dont le but est d’empêcher l’écart par rapport à la règle. Elles peuvent prendre une forme

explicite, c'est-à-dire des normes claires et connues de tous comme des lois ou des codes de

bonne conduite, ou elles peuvent être implicites, c'est-à-dire qui se déduisent naturellement,

par induction ou conséquence.

Le rôle de régulation et d’intégration sociale des normes

Toute activité collective nécessite de la coordination. C’est le rôle premier des processus que

mettent en place les organisations, pour arriver à produire les biens et services qu’elles

proposent à leur client.

Les processus mis en œuvre dans le cadre de la sécurité de l’information ont pour but

d’assurer que des mesures opérationnelles rendent les normes définies, applicables et gérées,

conformément à la politique voulue par le management.

Ces processus traduisent des règles qui, pour produire les effets escomptés, doivent faire

l’objet d’actions coordonnées. Pillon (2003: 12) précise ainsi que c’est le caractère

contraignant des normes qui est au cœur de la cohésion sociale parce qu’il pemet la régulation

et l’intégration : « la cohésion d’un groupe est obtenue par la limitation de ses besoins

individuels, ou par la coordination des fonctions sociales (la régulation), par le partage de

valeurs et de buts communs (l’intégration). Dans une optique de régulation sociale, la morale

constitue une réponse aux besoins sociaux. En effet, seules les normes morales canalisent les

forces destructrices des passions humaines et fixent des bornes aux désirs de chaque

individu ».

L’origine des normes : individualisme et holisme

Pour Weber (1995), l’individualisme méthodologique fait appel à la rationalisation et fait

l’objet d’un calcul coût-avantage.



Page 114

Cependant, selon Boudon (2002 : 10), l’utilitarisme n’est en rien nécessaire à l’individualisme

méthodologique qui fait appel à la rationalisation. Weber rejetait la sociologie holiste pour lui

préférer des fondements individualistes de l’action. Selon Weber (in Boudon, 2002 :12) : « on

ne peut au contraire négliger l’évidence selon laquelle les causes réelles des phénomènes

sociaux ont pour origine les acteurs individuels, leurs actions, choix, décisions, motivations,

attitudes et croyances. La bonne explication d’un phénomène social est donc celle qui le

ramène à ses causes individuelles, lesquelles doivent être établies par des procédures

scientifiques dûment contrôlées. » En conséquence, l’acteur ne peut pas proposer ou adhérer à

une norme sans justification.

La conception holiste des normes considère qu’elles sont présupposées, héritées, et nous sont

transmises par apprentissage et habitudes dans un environnement donné.

Bourdieu (1980b: 88-89) définit le concept d’habitus comme un « système de dispositions

durables et transposables, structures structurées disposées à fonctionner comme structures

structurantes. C'est-à-dire en tant que principe générateurs et organisateurs de pratiques et

de représentations, qui peuvent être objectivement adaptées à leur but sans supposer la visée

consciente de fins, et la maîtrise expresse des opérations nécessaires pour les atteindre.» Sans

en avoir conscience, l'individu intériorise des conduites et des comportements qui le

structurent en accord avec les exigences de sa classe sociale et de son environnement.

Comment se maintient une norme ?

Le rôle de la sanction :

L’importance d’une norme peut se mesurer au niveau des réprobations que sa transgression

suscite. Les études menées dans le champ de la sécurité de l’information ont montré que les

sanctions, dans le cadre de la théorie de la dissuasion générale (Paternoster, 1996), ont une

influence positive sur l’aptitude des membres d’une organisation à se conformer aux normes

établies.

La sanction n’est cependant pas suffisante, Weber (1922) a montré que les normes doivent

également être justifiées et légitimées.

La croyance comme justification du système normatif :

Des normes, même mauvaises, peuvent ainsi être légitimées si elles sont soutenues par des

croyances individuelles ou collectives.

Comme nous l’avons écrit précédemment, chaque personne a un parcours qui lui est propre

(milieu social, éducation, religion, etc.). Le vécu forge l’expérience. La perception de la



Page 115

réalité dépend de sa capacité cognitive à appréhender la description du réel et de sa rationalité,

avec pour effet possible d’adopter une conception subjective des valeurs et la légitimation de

normes fausses. A l’opposé de la perception individuelle, les croyances partagées, bien que

fausses, peuvent aussi produire de mauvaises normes collectives. Par exemple, la croyance

que les autorités sont incapables de savoir qui échange quoi et avec qui sur Internet peut

conduire les internautes à échanger des ressources alors qu’ils n’en ont pas le droit (l’échange

de productions audiovisuelles protégées par des droits d’auteurs,…).

La légitimité comme vecteur de validité des normes

Comme nous l’avons écrit précédemment, la sanction ne peut seule garantir l’adhésion totale

d’une collectivité à des normes. Celles-ci doivent d’abord être justifiées du point de vue de

l’individu. La légitimation des normes est donc un axe essentiel pour éviter les actes déviants.

Il s’agit de savoir pourquoi ces normes sont tenues pour légitimes, c’est-à-dire acceptées.

Weber (1995 : 27) évoque la légalité :

« Cette légalité peut à son tour avoir une validité légitime, soit en vertu d’une entente des

intéressés à son propos, soit en vertu d’un octroi sur la base d’une domination de l’homme

sur l’homme et d’une obéissance valant comme légitime » ;

Qu’il complète par trois raisons (ibid.: 72) : la tradition, l’exemplarité et la rationalité par

rapport à une valeur.

« Les agents peuvent accorder à un ordre une validité légitime : En vertu de la

tradition : validité de ce qui a toujours été ;

En vertu d’une croyance d’ordre affectif (tout particulièrement émotionnelle) :

validité de la nouvelle révélation ou de l’exemplarité ;

En vertu d’une croyance rationnelle en valeur : validité de ce que l’on a jugé

comme absolument valable ; En vertu d’une disposition positive, à la légalité de

laquelle on croit ».

Ainsi, au-delà de sa réprobation, le maintien d’une norme dépend de la capacité des individus,

à la légitimer de manière objective, ou subjective (par le biais de croyance). Son acquisition

s’inscrit dans un processus de socialisation et d’apprentissage.

L’influence de la socialisation et de l’apprentissage

Bourdieu (1980b : 120-121) définit également l’habitus comme un : «système de dispositions

acquises par l'apprentissage, implicite ou explicite, qui fonctionne comme un système de

schèmes générateurs de stratégies, qui peuvent être objectivement conformes aux intérêts

objectifs de leurs auteurs, sans avoir été expressément conçues à cette fin. » L'habitus est le



Page 116

fruit de l’apprentissage d’un bagage social propre à l’acteur lui permettant de s’intégrer et

d’évoluer dans son milieu social. Soulignons que le capital social est un composant du

bagage, il serait donc structuré par l'habitus, tout comme les comportements de l'individu et

les positions dans l'espace social.

Selon Bourdieu, l’acteur expérimente deux types d'habitus :

L'habitus primaire est issu de l’éducation familiale. Il se structure durant l’enfance

et jusqu’à l’adolescence, période pendant laquelle l’acteur intériorise et apprend

les normes, codes, règles de son groupe social d'appartenance.

Ensuite, l'habitus secondaire est la période qui dure jusqu’à la fin de la vie, et

pendant laquelle l’acteur apprend au travers de son environnement professionnel,

de son implication dans la vie associative etc.

Il est important de noter que l'habitus acquis poursuit l'habitus hérité, mais que ce n’est en rien

une fatalité. Un changement de groupe social peut entrainer des modifications de codes,

normes, goûts et valeurs. Néanmoins, l’habitus hérité est souvent persistant, Bourdieu parle

d’un effet d’inertie de l’habitus.

La dimension évolutive d’une norme par la structuration

Les normes et codes évoluent avec le temps. Soit c’est la norme qui évolue parce qu’elle n’est

plus en phase avec l’évolution des usages, soit, comme nous l’avons écrit à propos de

l’habitus, l’individu change de milieu social et doit donc gérer le changement d’un certain

nombre de normes qui le structurent.

A la suite de Bourdieu, Giddens (1987: 74) énonce dans sa théorie de la structuration que :

«L’étude de la structuration des systèmes sociaux est celle des modes par lesquels ces

systèmes, qui s’ancrent dans les activités d’acteurs compétents, situés dans le temps et dans

l’espace et faisant usage des règles et des ressources dans une diversité de contextes d’action,

sont produits et reproduits dans l’interaction de ces acteurs, et par elle ».

Les structures, parce qu’elles sont produites et reproduites, sont simultanément constituées et

constituantes. D’une part, la structure n’est pas « extérieure » aux individus ; elle est

constitutive de leurs actions. Pour Giddens (1987: 75), le structurel n’est pas que contrainte, «

il est à la fois contraignant et habilitant ». Cette approche, est aussi celle prônée par

Granovetter (1994: 86), pour qui les organisations économiques « sont construites par des

individus, dont l’action est à la fois facilitée et limitée par la structure et les ressources

disponibles des réseaux sociaux où ils s’inscrivent. ».



Page 117

1.3. Synthèse de la sécurité de l’information

La sécurité de l’information s'intéresse à trois aspects, qui sont la Confidentialité, l'Intégrité et

la Disponibilité. Au-delà de ce triptyque, nous avons pu constater notamment au travers des

travaux de Johnston et al. (2008), que les praticiens ont une vision beaucoup plus tournée

vers les mesures technologiques qu’organisationnelles. Ils se différencient en cela des

chercheurs et organismes de sécurité (CLUSIF, CSI) qui insistent surtout sur la dimension

organisationnelle de la sécurité de l’information. Nous partageons cet avis. A quoi bon

multiplier les technologies de protections si les individus les contournent ? D’autant que la

vision des praticiens est manichéenne (Anderson et Moore (2008: 11), les individus

malveillants se trouvent à uniquement à l’extérieur de l’entreprise, or, nous avons pu constater

qu’il n’en est rien (Computer Crime and Security Survey, 2011: 20). Les incidents sont

souvent d’origines internes, et non intentionnels. Les quatre dimensions proposées par Loch

(Loch, 1992: 176) montrent que les incidents, tant d’origine interne et externe, peuvent avoir

les mêmes origines, les mêmes raisons et les mêmes effets. A ce sujet, nous ne partageons pas

l’avis de Brostoff & Sasse (2001 : 43) pour qui les brèches sont souvent délibérées. En effet,

un salarié peut très bien divulguer une information sensible sans en avoir conscience. Comme

nous l’avons expliqué au chapitre précédent, l’acteur peut agir par habitude ou faire preuve

d’un « altruisme intelligent » en pensant agir pour le bien de la communauté. Enfin il peut

exister des failles technologiques non connues dans les systèmes de protection, que personne

ne peut anticiper dans ces conditions. Il ne faut pas oublier que ces systèmes sont produits par

des humains et comportent donc un certain nombre d’erreurs de conceptions (Russel, 2000 ;

Voss, 2001).

La position de Dhillon et Backhouse (2000: 127-128 ; 2001: 126-128) nous semble en

revanche tout à fait intéressante. Elle tient compte de la dimension comportementale,

notamment au travers de valeurs comme la confiance, la responsabilité et l’intégrité. Ces deux

auteurs insistent également sur l’importance de l’éthique, c’est-à-dire du respect des normes et

de la persistance des comportements, donc de l’apprentissage. Nous rejoignons ici certains

points clés des théories du capital social et de l’institutionnalisme. L’importance de

l’apprentissage, en particulier pour le management, a été également souligné par Posthumus et

Von Solms (2008 : 689) ainsi que Workman et al, (2008: 2800).

Si Adams et al, (1997), Zucatto (2004) et Hare (2007), justifient les politiques de sécurité

comme des instruments visant à réduire et contrôler les risques humains, d’autres chercheurs

comme Nijhof et al (2003: 67), David (2002: 506), Whitman (2004 : 2), (Dhillon, 2006 : 6),

insistent particulièrement sur le rôle de ces politiques pour modeler le comportement, afin de

responsabiliser les employés sur leur rôle pour la sécurité des ressources informationnelles.

Cette posture place les politiques à la source de l’intégration de la sécurité de l’information

dans la culture organisationnelle.

Nous partageons l’avis que les politiques ont un rôle responsabilisant, ce qui est conforté par

le résultat de Doherty et Fulford (2005 : 34-35). Il ne suffit pas que la politique existe, et dire

ce qui peut ou ne peut pas être fait, pour que les comportements soient conformes à ce qu’en



Page 118

attend le management de l’institution. De ce point de vue, les positions de Baskerville et

Siponen (2002: 344), et de Von Solms et Von Solms nous semblent tout à fait pertinentes

dans le cadre de notre thèse. Ils insistent en effet sur la dimension culturelle de la sécurité de

l’information du rôle que les politiques jouent dans ce contexte. von Solms et von Solms

(2004), mentionnent en particulier le rôle du management de l’organisation, de la manière

dont les politiques sont structurées, adaptées aux contextes de l’institution et comment

l’apprentissage intervient pour que celles-ci soient efficaces.

Néanmoins, ceci ne pourrait se réaliser sans un modèle de management adapté à cette fin

comme ceux proposés par l’ISO 2700X (International Organization for Standardization, 2005,

2013) ou le SOGP (Standard of Good Practices, 2011) qui s’appuient tous sur la normalisation

des pratiques. La norme apparaît donc comme un outil organisationnel de promotion et de

mise en œuvre de la sécurité.

Dans son analyse entre déviance et conformité, Ogien (2012 : 163) donne à la fois une vision

prescriptive et interprétative de la norme sociale.

La vision prescriptive implique la socialisation et l’apprentissage. Ogien (2012 : 163)

mobilise ainsi le concept d’habitus de Bourdieu (1980b). Dans notre premier chapitre,

l’habitus est un outil de sélection des comportements qui permet aux individus de se

concentrer sur ce qui est le plus stratégique à leurs yeux.

Dans le cadre de la mise en œuvre de la sécurité de l’information, la nature prescriptive des

normes entre en jeu dans la conception des politiques et les programmes d’apprentissage.

Une règle, une norme, la nature des ressources, sont également des éléments structurels

contraignants. En tant que modèle de comportements à suivre, ils sont prescriptifs et exercent

un certain pouvoir d’obligation sur les comportements des acteurs.

Ainsi la théorie de la structuration fait le lien entre - la structure : le réseau social de l’acteur,

l’institution où il exerce quotidiennement sa profession - et le structurel : les normes, les

règles auxquelles il est soumis. Notamment celles dictées par les impératifs de sécurité de

l’information.

Cependant, les acteurs œuvrent dans de multiples structures : réseaux sociaux, institutions,

etc. Comment alors interpréter qu’un type action soit toléré dans une association et pas dans

une firme ? Comment un acteur peut-il se comporter lorsqu’il est soumis à des apprentissages

contradictoires ? A ce propos, Ogien (2012 : 164) écrit que ni la conception prescriptive, ni la

conception interprétative, n’admettent l’absolue congruence entre un individu et un système

de valeurs. Nous pensons que la multiplicité des milieux dans lesquels évoluent les acteurs

peut renforcer l’écart entre un individu et des normes, un système de valeurs propre à une

institution.

Ainsi, la théorie structurationniste (Giggens, 1984), très peu citée dans la littérature consacrée

à la sécurité de l’information, suggère que la seule focalisation sur la culture et les intérêts de

l’institution n’est pas suffisante. La sécurité de l’information ne peut s’envisager sans prendre

en compte l’insertion de ses membres, dans de multiples structures sociales. D’autant que



Page 119

cette insertion détermine également le potentiel de ressources auxquels les membres ont

accès.

Cette dimension structurationniste et les marges de manœuvre que peuvent s’octroyer les

acteurs posent naturellement la question de l’influence et du contrôle des comportements.

Pour comprendre et tenter d’apporter des réponses, il semble primordial de s’intéresser aux

comportements de conformité aux politiques mises en œuvre dans les organisations (Herat et

Rao, 2009 ; d’Arcy et al, 2009 ; Siponen et Puhakainen, 2010 ; Siponen et Vance, 2010 ;

Bulgurcu et al, 2010), et à la sensibilisation à la sécurité de l’information (Furnell, 2006,

Puhakainen et al, 2010, Knapp et al, 2012).



Page 120

2. Pour un approfondissement de la recherche sur des effets de la

culture organisationnelle

2.1. Comportement et conformité vis-à-vis de la sécurité de

l’information

Le facteur humain est souvent considéré comme le maillon faible de la sécurité de

l’information. C’est un facteur clé de protection de l’information. A titre d’exemple, nous

citons des propos rapportés par des agents de la Direction Centrale du Renseignement

Intérieur (DCRI) lors d’une session de sensibilisation à la sécurité de l’information.

Récemment, une grande entreprise française, membre du CAC 40, a mandaté un cabinet

spécialisé pour tester la robustesse de ses mécanismes de sécurité de l’information. Ce cabinet

avait pour mission de pénétrer les systèmes d’information de l’entreprise. Les spécialistes ont

mis deux heures pour pénétrer dans les systèmes d’information, alors que la gestion de la

sécurité y est réputée très rigoureuse et dotée de gros moyens techniques. La méthode est

simple, puisqu’ils ont déposé une clé USB contenant un cheval de Troie25

dans le parking de

l’entreprise. Un employé a trouvé cette clé, et l’a connectée sur son ordinateur, y installant de

fait le cheval de Troie. Les pirates occasionnels ont utilisé ce moyen pour ouvrir une porte de

l’intérieur vers l’extérieur de l’entreprise, en utilisant le même service que le navigateur

Internet présent sur tous les postes de travail. Cet exemple illustre bien le caractère

fondamental du comportement humain. Pour que la sécurité de l’information soit réellement

effective, il aurait fallu que le salarié signale la présence de la clé USB à son manager ou un

correspondant chargé de la sécurité. Son contenu aurait alors pu être vérifié sur un ordinateur

non connecté au réseau de l’entreprise, et la supercherie aurait été découverte.

La prise en compte des utilisateurs est donc impérative dans l’élaboration des stratégies de

sécurité de l'information (Vroom & Von Solms, 2004).

Le modèle de Loch (1992 : 176), adapté par Warkentin, Straub et Malimage (2012 : 2, figure

13), présente le risque humain comme externe ou interne, puis, comme intentionnel ou non

intentionnel. Comme nous l’avons mentionné, les recherches indiquent qu’une grande partie

des problèmes de sécurité sont d’origine interne, et non intentionnelle. Ces paramètres

illustrent l’intérêt de notre recherche, dans la mesure ou les salariés utilisent des supports de

communication qui peuvent être externes aux organisations et échapper à leur contrôle…

25 . Un cheval de Troie est un virus qui permet d’ouvrir une porte sur le système où il est installé. Le pirate n’a

plus qu’à exploiter cette porte pour accéder à ce qu’il désire dans l’entreprise.



Page 121

Figure 13: Les quatre dimensions des systèmes de sécurité de l’information (Warkentin, Straub & Malimage (2012 :2) adapté de Loch, 1992)

Le comportement des utilisateurs a besoin d'être dirigé et contrôlé pour assurer le respect des

exigences de sécurité (Vroom & von Solms, 2004; Dhillon et al, 2007; von Solms & Von

Solms, 2004a). Mieux connaitre les caractéristiques du comportement des utilisateurs peut

permettre d'améliorer et de contrôler ce comportement, en particulier dans des

environnements changeants.

De récentes études scientifiques sur les comportements individuels dans le contexte de la

sécurité du système d'information ont porté à la fois sur les comportements conformes, et non

conformes (Mahmood, Siponen, Straub, Rao, Raghu, 2010). Les comportements non

conformes peuvent être le fait d’employés ou de personnes extérieures à la firme. Ces

comportements peuvent être soit non malveillants (Guo et al, 2011), ou à l’opposé, d’intention

criminelle (Willison, et Warkentin, 2012). Warkentin, Straub et Malimage (2012 : 4-5)

proposent un inventaire exhaustif des recherches menées tant sur les comportements

malveillants que non malveillants (cf. Tableau 6 et 7).



Page 122

Auteurs Collecte des

données

Variable dépendante Théories mobilisées Périmètre

mesuré

Hu et al (2011) Étudiants Activités de piratage Usage des TI

Siponen &

Vance (2010)

Employés,

multiples

organisations

Intention de violer la

politique de sécurité du SI

Technique de

Neutralisation

Usage des TI

D’Arcy & al

(2009)

Employés,

multiples

organisations

Intention de ne pas se

conformer à la sécurité de

l’information

General Deterrence

Theory

Usage des TI

D’Arcy, Hovav

& Galletta

(2009)

Employés,

multiples

organisations

Intention de corrompre

des données par des accès

non autorisés

General Deterrence

Theory

Usage des TI

Zhang et al,.

(2006)

Étudiants Piratage numérique Self-Control,

Self-Efficacity, Punishment

(dissuasion)

Usage des TI

Workman et al,

(2008)

Employés Omission objective et

subjective de la sécurité

Modèle du contrôle par

la menace

Usage des TI

Higgins et al,

(2005)

Étudiants Intention de piratage de

logiciels

General Deterrence

Theory

Usage des TI

Gopal et

Sanders (1997)


logiciels

General Deterrence

Theory

Usage des TI

Skimmer&

Fream (1997)


logiciels et d’utiliser des

accès non autorisés

Social learning Usage des TI

Harrington

(1996)

Employés,

multiples

organisations

Intention de piratage

d’ordinateurs

Déni de responsabilité

(technique de

neutralisation)

Usage des TI

Hollinger

(1993)


logiciels et d’utiliser des

accès non autorisés

Usage des TI

Straub (1990) Employés Piratage d’ordinateurs General Deterrence

Theory

Usage des TI

Tableau 7: Recherches portant sur les comportements malveillants (Warkentin Straub & malimage, 2012 : 4)



Page 123

Auteurs Collecte des

données

Variable dépendante Théories mobilisées Périmètre mesuré

Bulgurcu et

al, (2010)

Employés,

multiples

organisations

Intention de se

conformer

Rationality-Based Beliefs Usage des TI

Johnston et

Warkentin

(2010)

Employés

d’Universités,

Étudiants

L’intention

comportementale

Fear Appeal Usage des TI

Herath et

Rao (2009a,

2009b)

Employés,

multiples

organisations

Intention de se

conformer à la

politique de sécurité

Protection Motivation

Theory ,

General Deterrence

Pression normative

(top management,

manager,etc.)

intentionn de se

conformer, croyance en

l’efficacité de la

SSI, peur de la

sanction

Myyry et al,

(2009)

Employés Conformité à la


Raisonnement moral et

valeurs universelles de

Schwartz

Valeurs

individuelles,

moralité

Siponen et

al, (2007)

Employés,

multiples

organisations

Intention de se

conformer à la


General Deterrence

Theory, Protection

Motivation Theory, the

Theory of Reasoned

Action,

Information Systems

Success, and Triandis’ Behavioral Framework

and Rewards.

Pression normative,

efficacité

personnelle

Siponen et

al, (2007)

Employés,

multiples

organisations

Conformité à la


de l’information


Theory,

Theory of Reasoned

Action,

the Innovation Diffusion

Theory and Rewards

Pression normative,

habitudes

Anderson &

Agarwal

(2006)

Intention de se

protéger d’Internet et

de protéger son

ordinateur


Theory,

Concept of psychological

ownership

Usage des TI

Lee and

Kozar (2005)

Utilisateurs

d’Internet

L’intention

comportementale

Technology Acceptance

Model, Self-identity

Usage des TI

Lee et al,

(2004)

Employés,

Étudiants

Intention d’adoption

des systèmes de

protection

General Deterrence

Theory

Usage des TI

Li et al.

(2004)

Employés,

multiples

organisations

Intention de se

conformer à la


concernant l’usage de

l’Internet

Rational Choice Theory Usage des TI

Kankanhalli

et al, (2003)

Employés Efficience de la

sécurité de

l’information

General Deterrence

Theory

Usage des TI

Tableau 8: Recherches portant sur les comportements non malveillants (Warkentin Straub & Malimage, 2012 :5)



Page 124

Les comportements individuels et leurs origines doivent être analysés sous différents angles.

Les comportements conformes ou non conformes, non malveillants ou malveillants sont

difficiles à mesurer. De nombreuses études en systèmes d’information ont mesuré et étudié

l'influence de différents facteurs qui sont les antécédents de l'intention comportementale pour

se conformer ou non aux normes applicables en sécurité de l’information, aux lois ou aux

politiques organisationnelles et aux procédures relatives à la sécurité des systèmes

d'information.

Quelques études ont également mesuré les comportements réels dans ce contexte. La plupart

des recherches existantes ont porté sur les attitudes non malveillantes telles que l'intention des

individus de se conformer aux politiques de sécurité, plutôt que sur les attitudes malveillantes.

Ces études ont eu recours à diverses théories et modèles qui se rapportent à sécuriser le

comportement en puisant dans les ressources des disciplines de référence telles que la

psychologie sociale, la criminologie, la communication.

Les théories mobilisées comprennent la théorie de la Motivation de Protection (Protection

Motivation Theory), la Théorie de la Dissuasion Générale (Theory of General Deterrence),

l'auto-efficacité (Self-Efficacity), le modèle de l’Extended Parallel Processing Model

(EPPM), le modèle de l’« Appel à la Peur » (Fear Appeal Model), le modèle du choix

rationnel (Rational Choice Model), la théorie des activités de routine (Routine Activities

Theory), la Théorie du Comportement Planifié (Theory of Planned Behavior), le modèle de

l’Acceptation des Technologies (Technology Acceptance Model), la Théorie Unifiée de

l'Acceptation et de l'Utilisation d’une Technologie (Unified Theory of Acceptance and Use of

Technology), la Théorie du Crime Situationnel (Situational Crime Prevention Theory), etc.

Plusieurs recherches récentes en sécurité de l'information ont utilisé ces théories positivistes

de mesure des intentions comportementales telles que la conformité aux politiques de sécurité

ou l'adoption de technologies de sécurité pour dissuader les menaces. Parmi les auteurs

figurent Boss et al. (2009), Herath et Rao (2009), Myyry et al. (2009), Anderson et Agarwal

(2010), Bulgurcu et al. (2010), et Johnston et Warkentin (2010).

Nous notons que seuls Myyr et al (2009) ont proposé un modèle qui associe les valeurs, le

raisonnement moral et l’adoption de comportements de sécurité. Leurs résultats montrent que

des valeurs individuelles d’ouverture (innovation, prise de risque, …) ont une influence

négative sur la conformité, alors que les valeurs de conformité (respect des règles,…) ont une

influence positive.

2.1.1. L’usage des théories de l’action

Il existe peu de travaux scientifiques qui mesurent et étudient les comportements malveillants

tels que la non-conformité avec les politiques de sécurité. Très largement, cela semble

provenir des difficultés à collecter des données, les entreprises ne souhaitant pas

communiquer autour des problèmes rencontrés à ce sujet.



Page 125

Toutefois, nous pouvons noter que la Théorie de l'Action Raisonnée (TRA) (Fishbein et

Ajzen, 1975) et son extension, la Théorie du Comportement Planifié (TCP) (Ajzen, 1985) ont

été appliquées dans plusieurs études liées à la sécurité de l'information. Fishbein et Ajzen

expliquent l'intention d'un individu d’adopter un comportement donné. Ils suggèrent que

l'intention d'effectuer différents types de comportements peut être prédite avec une grande

précision à partir des attitudes envers ce comportement, les normes subjectives et le contrôle

comportemental perçu. Ajzen (1991) précise, en outre, que les intentions ainsi que le contrôle

comportemental perçu représentent une part considérable de la variance dans le comportement

réel.

Comme l'attention sur la sécurité de l'information se déplace vers des perspectives

individuelles et organisationnelles, le respect des employés aux politiques de sécurité de

l’information a émergé comme une ressource socio-organisationnelle clé (Boss et Kirsch

2007; Siponen et al 2007) parce que les employés sont souvent le maillon faible de la sécurité

de l'information (Mitnick et Simon, 2002 ; Warkentin et Willison, 2009). Par conséquent, une

meilleure compréhension des facteurs qui motivent les acteurs à se conformer aux politiques

de sécurité de l’information de l'organisation est essentielle pour aider les responsables à

diagnostiquer les lacunes dans leurs efforts de management de la sécurité en leur fournissant

les moyens de résoudre les problèmes de comportement. Récemment, Pahnila et al (2007),

ainsi que Herath et Rao (2009), ont étudié les facteurs de motivation enracinés dans la théorie

de la dissuasion et la théorie de la motivation à la protection pour expliquer le comportement

des acteurs. L’étude de Bulgurcu et al (2010) vise à approfondir les connaissances sur les

raisons qu’ont les employés à se conformer aux politiques de sécurité en identifiant les

facteurs fondés sur la rationalité enracinés dans la théorie du choix rationnel. Les auteurs

concluent que l'attitude joue un rôle clé dans l'explication de la relation entre les croyances et

les intentions d'évaluation ainsi qu'entre la sensibilisation à la sécurité de l'information et

l'intention. Par conséquent, les auteurs recommandent que l’attitude soit incluse dans le

modèle théorique de la conformité à la politique de sécurité de l'information en tant que

médiateur.

Les résultats de ce travail indiquent également que la sensibilisation à la sécurité de

l’information peut altérer les perceptions qui font que l’employé fait obstacle à la conformité.

La sensibilisation à la sécurité peut, directement ou indirectement, modifier des ensembles de

croyances sur le respect de la politique de sécurité de l'information. Cela implique

l’intégration des valeurs et pratiques de sécurité de l’information dans la culture

organisationnelle.

Siponen et al (2007), ont tenté d’apporter des preuves empiriques sur l’application d’un

modèle comportemental visant à étudier la conformité aux politiques de sécurité dans les

pratiques quotidiennes. Ils ont conçu un modèle théorique combinant la PMT (Protection

Motivation Theory ; Rodgers, 1975), la Théorie de la Dissuasion Générale (William et

Hawkins, 1986), la Théorie de l’Action Raisonnée (Fishben et Ajen, 1975,1980) et la Théorie

de la Diffusion des Innovations (Rodgers, 1962) et les Récompenses qu’ils ont ensuite validé

par une enquête auprès de 971 salariés. Les résultats suggèrent que les employés doivent être

informés et se sentir capables d’agir en faveur de la protection des systèmes d’information de



Page 126

l’entreprise et que les mesures prises par le management soient jugées pertinentes et adaptées

à la réalité des activités par l’ensemble des collaborateurs de la firme.

Les recherches portant sur la modification des comportements ont mis en lumière l’intérêt de

la sensibilisation, et donc de l’apprentissage, ce que nous étudions dans le second paragraphe.

Globalement, il paraît regrettable qu’une large part des études porte sur les intentions et non

sur les comportements en eux-mêmes. De même, nous constatons également que les études

portant sur les aspects organisationnels de la sécurité de l’information sont récentes et la

variable dépendante est souvent évaluée par la pratique des technologies de l’information. Il

n’y a pas à notre connaissance d’études portant sur les comportements relationnels. Nous

constatons également que seule l’étude de Myyr et al. (2009) porte en partie sur la culture

organisationnelle et utilise un modèle basé sur les valeurs de Schwartz. Enfin, l’influence des

réseaux sociaux n’est pas prise en compte dans les études.

D’autres recherches sur les comportements se sont intéressées à la déviance pour expliquer les

comportements intentionnels de non-respect des politiques de sécurité Elles ont mobilisé des

théories issues de la criminologie.

2.1.2. Application des théories de la criminologie

Les recherches menées sur les comportements intentionnels se sont aussi intéressées aux

comportements déviants des utilisateurs et s’appuient sur les théories de la criminologie pour

analyser les comportements et proposer des solutions.

Pour tenter de comprendre les comportements Straub et al, (1993) ont appliqué la théorie de la

dissuasion, avec l'argument que les actions de sécurité de l'information peuvent dissuader les

utilisateurs de commettre des actes non autorisés. Cela contribue également à l'amélioration

de la qualité des politiques (Von Solms & Von Solms, 2004a), à la promotion de la

sensibilisation à la sécurité (Straub, 1990) en développant des structures de responsabilité

(Dhillon et al, 2007) et à la motivation (Workman et al., 2008). Néanmoins Panhila et al,

(2007) ne partagent pas cet avis : la sanction serait inefficace. Chacune de ces études

fournissent des informations importantes sur une question spécifique liée à l'adhésion des

utilisateurs à la politique de sécurité. Ils se réfèrent tous également, à la TRA et la TPB

(Fishbein et Ajzen, 1975; Ajzen, 1985).

La Théorie de la Dissuasion entre dans le champ du contrôle social. Elle remonte au 17ème

siècle avec Bentham (1748-1832) et Beccaria (1738-1794). Elle postule que les individus

pèsent les coûts et les bénéfices avant de commettre un crime, et choisissent le crime quand

les bénéfices qu’il procure, sont supérieurs aux coûts qu’il occasionne. Si l’individu pense que

les chances d’être sanctionné sont importantes et que la sanction sera sévère, alors il ne

commettra pas de crime.



Page 127

Plus récemment, d’autres chercheurs ont approfondi cette théorie, comme Grasmick et Bryjak

(1980) et Piquero et Tibbetts (1996). Parmi les plus intéressants, figurent les travaux de

Cullen (2000 : 367), qui montre que les coûts pris en considération dans la prise de décision

peuvent aussi être informels. La honte (Piquero et Tibbetts, 1996), tout comme la

désapprobation d’amis (Paternoster et Simpson, 1996) peuvent être des facteurs dissuasifs de

l’acte criminel. Néanmoins, pour Tangney (1995) le sentiment de honte affecte l’estime de

soi, d’ailleurs Paternoster et Simpson (1996), font la distinction entre les sanctions informelles

et le sentiment de honte qui selon eux, est une sanction imposée par soi-même. Cependant, la

honte a des effets similaires aux autres sanctions (Braithwaite 1989; Elis et Simpson 1995) et

peut donc être considérée comme dissuasive et être prise en compte par la théorie.

(Paternoster et Simpson, 1993). Le sentiment de honte dissuade et diminue la motivation des

acteurs à commettre une déviance (Grasmick et Bursik 1990; Nagin et Paternoster 1993 ;

Tibbetts 1997).

Siponen et Vance (2010) ont appliqué les théories de la dissuasion (Paternoster & Simpson,

1996) et de la neutralisation (Sykes et Matza 1957).

La théorie de la dissuasion développée par Paternoster et Simpson en 1996 sur la base de la

théorie du choix rationnel, dit que l’usage de la menace, de sanctions, et le sentiment de leur

application effective, est efficace pour dissuader les individus à l’encontre des intérêts d’une

organisation. Harrigton (1996) nuance ces résultats en publiant un article montrant qu’un code

éthique générique a des effets sporadiques et faibles (Harrington, 1996: 273) sur la dissuasion

des employés, mais se révèle plus efficace auprès des salariés qui invoquent fréquemment le

« déni de responsabilité », une forme de rationalisation de leurs actes.

Cependant, Straub et Welke (1998), Kankanhalli et al. (2003) ont montré que cette théorie est

efficace pour minimiser les risques de sécurité. Pour d’Arcy et al, (2009), la sensibilisation,

l’éducation à la sécurité de l’information, ont un effet positif sur le sentiment d’être

sanctionné en cas de mauvaise utilisation des systèmes d’information de l’entreprise, mais la

certitude de sanction n’influence pas l’intention de nuire à l’institution. Siponen et al. (2007),

montrent également que l’application de la théorie de la dissuasion a un effet positif sur la

décision des employés à se conformer à la politique de sécurité de l’entreprise.

Suivant Braithwaite (1989) et Paternoster et Simpson (1996), Siponen et al (2010) ajoutent le

sentiment de honte aux sanctions formelles et informelles comme facteurs influençant le

comportement des employés pour la conformité à la politique de sécurité. Néanmoins, selon

ces auteurs, le rôle des sanctions joue peu lorsque des techniques de neutralisation sont

appliquées (Sykes et Matza, 1957 ; Akers et Sellers, 2004).

La théorie de la neutralisation dérive du courant interactionniste de la sociologie criminelle

(Mead, 1934 ; Beck, 1963 ; Matza, 1964). L’interactionnisme étudie les relations entre

l'auteur d'un acte déviant ou délinquant, l'acte lui-même et la réaction qu'il provoque de la part

de la société.

Au fondement de la théorie de la neutralisation, tant les individus respectueux des lois, que les

criminels croient en général aux normes et aux valeurs de la communauté (Sykes et Matza



Page 128

1957). Alors pourquoi certaines personnes ne respectent-elles pas les règles ? Sykes et Matza

pensent que les individus se rendent psychologiquement capables d’enfreindre des règles ou

de commettre une action non admise par la société en appliquant des techniques de

neutralisation qui ont pour effet de rendre inopérantes certaines normes par la justification de

comportements qui violent ces normes (Rogers et Buffalo 1974). Les techniques de

neutralisation permettent de maintenir une image « non criminelle » tout en enfreignant les

lois. Dans leur définition, Sykes et Matza identifient cinq techniques de neutralisation :

Déni de responsabilité (denial of responsibility) ;

Déni de dommage (denial of injury);

Déni de victime (denial of the victim); dans ce cas, la justification se base sur le fait

que la victime mérite ce qui lui arrive.

Accusation des accusateurs (condemnation of the condemners);

Agissement au nom d’un impératif de loyauté supérieure (appeal to higher loyalties).

Deux autres techniques sont également identifiées par d’autres auteurs :

La métaphore du « ledger » (the metaphor of the ledger, Klockars (1974)) ;

La défense de la nécessité (the defense of necessity, Minor (1981)).

Siponen et Vance (2010) pensent que la peur de la sanction ne peut pas clairement réduire les

risques parce que les membres de l’organisation appliquent des techniques de neutralisation

(Piquero et al. 2005; Sykes et Matza 1957). C’est à dire qu’ils rationalisent leurs actes pour

minimiser leur perception de l’impact sur les risques de sécurité de l’information. Dans une

étude de crimes à l’encontre des Amish, Byers et al. (1999) trouvent que les techniques de

neutralisation prévalent dans leurs justifications. Pershing (2003) a trouvé que les techniques

de neutralisation expliquent l’irrespect des règles dans un environnement militaire. Priest et

McGrath (1970) ont également montré que ces techniques sont utilisées pour justifier l’usage

de drogues illicites.

Ce comportement rationnel induit par l’application de la neutralisation réduit les effets de la

peur de la sanction préconisée par la Théorie Générale de la Dissuasion (General Deterrence

Theory).

Les techniques de neutralisation permettent de maintenir une image « non criminelle » tout en

enfreignant les lois. Par exemple, un employé peut transmettre un document stratégique à un

tiers hors de l’organisation tout en sachant que c’est interdit, mais il se justifie en prétextant

que c’était nécessaire pour obtenir en échange des informations à haute valeur ajoutée pour le

projet en cours dans lequel il est impliqué et que la balance est profitable à l’entreprise

(defense de la nécessité et loyauté supérieure).

Cette théorie est intéressante, parce qu’elle contredit la « General Deterrence Theory ». En

effet, comment les sanctions et la certitude de leur application pourraient-elles avoir un effet

positif sur les employés, si ceux-ci pensent qu’ils n’ont aucune raison d’être sanctionnés ?



Page 129

Selon Eliason et Dodder (1999), quatre techniques de neutralisation sont employées le plus

fréquemment dans le contexte de la sécurité de l’information : le déni de responsabilité, la

métaphore du « grand livre », la défense de la nécessité et l’accusation des accusateurs.

Dans le contexte de la sécurité de l’information, Harrington (1996) a montré que le déni de

responsabilité est significativement corrélé avec l’intention des salariés à violer les règles

d’utilisation des ordinateurs de l’entreprise parce qu’ils jugent que cela n’est pas

répréhensible. Puhakainen (2006) a rapporté une situation où les employés rejettent leur

responsabilité à respecter les règles d’encryption des courriels confidentiels parce qu’ils

rationalisent que la politique de sécurité n’est pas claire.

Déni de responsabilité : Parker (1976) a rapporté que les programmeurs masquaient leurs

erreurs en prétextant qu’elles étaient dues aux ordinateurs.

Déni de dommage : Parker (1998) a rapporté que les pirates informatiques minimisent

fréquemment les dommages qu’ils causent. Selon ces pirates, leurs actions n’étaient pas

criminelles puisqu’elles ne causaient du tort à personne.

Défense de la nécessité : Puhkainen (2006) montre que des employés ne respectent pas les

règles de sécurité en prétextant que leur application les empêcherait de terminer leur travail

dans les temps.

Accusation de l’accusateur: Parker (1998) a rapporté que les pirates informatiques ont justifié

leurs actions en prétextant que, selon eux, la loi était injuste.

Réponse à un besoin de loyauté : Un employé peut dire qu’il doit violer la politique de

sécurité pour faire son travail (Siponen et Ivari 2006).

La métaphore du grand livre : Pour Lim (2002), les employés justifient leur temps passé à

surfer sur Internet au bureau par leur bonne performance au travail. De même des employés

peuvent justifier la violation occasionnelle des règles de sécurité par leur comportement

généralement conforme à ces règles.

Siponen et Vance (2010) mettent en évidence que la neutralisation est un excellent prédicateur

de l’intention des employés à violer les règles de sécurité de l’information et qu’elle affecte

significativement les prédispositions à violer ces règles. Ces résultats s’expliqueraient par le

fait que le mécanisme de rationalisation de l’acte porté par la neutralisation permet à l’acteur

de « casser » les règles tout en s’estimant « faiseur » de règles (Rogers et Buffalo 1974; Sykes

et Matza 1957).

Enfin, et ce résultat est important, l’étude réalisée a le mérite d’identifier des actes concrets de

violation des règles de sécurité dont la révélation d’informations confidentielles à des

étrangers à l’organisation.

On peut toutefois reprocher à ces études:

Le fait qu’elles se cantonnent à un pays (et plus généralement nordiques). Les résultats

ne sont donc pas généralisables.



Page 130

Le fait qu’encore une fois, elles mesurent toujours les comportements par la pratique

des technologies de l’information, mais jamais dans le cadre d’échanges informels par

exemple.

La méthode de mesure. Exceptée pour l’étude de Siponen et Vance (2010) qui utilise

la méthode de scénarii, l’ensemble des travaux adopte un mode de question directe. Il

est directement demandé au répondant s’il ferait tel ou tel acte, après lui avoir expliqué

que cet acte n’est pas conforme.

Il est donc possible de douter de la sincérité d’un grand nombre de réponses.

Les recherches portant sur la modification des comportements ont aussi mis en lumière

l’intérêt de la sensibilisation, , ce que nous étudions dans le second paragraphe.

2.2. La sensibilisation des acteurs

2.2.1. Définition

L’analyse de différentes publications montre que la sensibilisation revêt plusieurs définitions

selon qu’elles sont confondues ou se distinguent de la formation et de l’éducation.

Pour le National Institute of Standard and Technology nord-américain (NIST 800-50, 2003 :

8-9), la sensibilisation n’est pas la formation. Elle a pour but d’attirer l’attention sur la

sécurité et de permettre à chacun de sentir concerné et d’adopter un comportement adéquat.

La sensibilisation s’adresse à une audience large, alors que la formation est dispensée à de

petits groupes. Les participants d’une formation acquièrent des connaissances pratiques qui

leur permettent d’être plus performants dans leurs activités. L’éducation rassemble un

ensemble de connaissances, tant techniques que sociales, ayant pour but de produire des

spécialistes de la sécurité de l’information. Cette distinction entre sensibilisation, formation et

éducation a été adoptée par de nombreux chercheurs, comme par exemple , Chen, Shaw et

Yang (2006 : 3), Kritzinger (2006 : 300), Maeyer (2007 : 49), ou encore le Réseau Européen

sur la Sécurité de l’Information (ENISA, 2006 : 15), selon lequel, la sensibilisation et la

formation forment un mode de changement dans :1) la perception des employés, 2) la culture

organisationnelle, 3) les comportements des employés, 4) la familiarité des employés avec les

politiques et procédures de sécurité, 5) l’intérêt porté à la sécurité de l’information par les

l’ensemble des membres de l’institution.

Pour d’autres chercheurs, ces trois concepts – sensibilisation, formation et éducation- sont

confondus. C’est le cas par exemple de Stanton et al, (2005 : 130), Vroom and von Solms

(2002: 22) qui pensent que sensibiliser les employés inclut qu’ils soient éduqués à

l’importance de la sécurité de l’information. Siponen (2000: 35) considère que la

sensibilisation inclut également la formation et l’éducation.



Page 131

Plus récemment, pour Knapp et al, (2009), la sensibilisation à la sécurité est l’état général de

connaissance des concepts de sécurité. Knapp et al, (2012 : 68) précisent que la sensibilisation

se fait par des réunions d’informations, des formations formelles, des rappels réguliers, des

codes de déontologie ainsi que la promulgation de la politique de l'organisation décrivant

l'utilisation adéquate des ressources du système (D'Arcy, Hovav, et Galletta, 2009; Parker,

1998).

Selon le SOGP (Standard of Good Practices, 2011: CF 2.2) un programme de sensibilisation

doit promouvoir une « culture positive de sécurité ». La distinction entre sensibilisation et la

formation ou l’éducation n’est pas faite. Il s’agit de donner des formations de sensibilisation.

Ces formations doivent notamment être régulières, encouragées par la dirigeance, et

s’adresser à l’ensemble des membres de l’institution.

Une culture positive de sécurité est établie en changeant par la sensibilisation le

comportement des employés, qui est généralement spontané. Ainsi, la définition du NIST

(NIST 800-50, 2003 :8-9) fait la distinction entre plusieurs catégories professionnelles dans

l’institution. L’éducation, par exemple, s’adresse essentiellement à des professionnels de la

sécurité, qui vont devoir la penser et la mettre en œuvre dans l’institution. Peut-on alors

distinguer la sensibilisation de la formation ? En d’autres termes, peut-on sensibiliser sans

former ? A ce sujet, la définition du NIST prend en compte différentes catégories

professionnelles d’acteurs dans sa définition, sans clairement en faire la distinction. Le NIST

se focalise sur les systèmes d’information et dans ce cas, à notre avis, il est normal que la

distinction entre sensibilisation et formation soit faite, car elle représente selon nous la

distinction entre utilisateurs et concepteurs des systèmes d’information. Il est tout à fait

compréhensible de distinguer formation et sensibilisation lorsque la formation consiste à

donner à des développeurs informatiques les bonnes pratiques de programmation pour éviter

les failles de sécurité dans les logiciels que l’institution utilise. Par exemple, Chen et al,

(2006) s’approprient la définition du NIST et proposent dans leur article la création d’une

plateforme Internet de formation à la sécurité de l’information s’adaptant aux besoins de

l’ensemble des membres de l’institution, y compris des informaticiens. Ils testent ensuite cette

plateforme avec des professionnels de la sécurité de l’information.

En revanche, nous pensons que la distinction entre sensibilisation et formation n’est pas

pertinente lorsque l’on s’adresse à des utilisateurs des systèmes d’information pour deux

raisons :

Notre recherche se focalise sur les comportements d’une population hétérogène

d’individus et pas uniquement sur des spécialistes des systèmes d’information. La

sensibilisation consiste donc selon nous : (1) à faire comprendre l’intérêt d’un

comportement de sécurité, (2) à transmettre les bons raisonnements et les bons actes,

(3) à permettre à l’acteur de trouver de l’assistance si besoin.

Les concepteurs de logiciels de sécurité font en sorte que les logiciels de sécurité ne

soient pas contraignants pour les utilisateurs en termes de paramétrage. Par exemple,

je sais qu’il faut que mon ordinateur soit équipé d’un pare-feu pour me protéger des

intrusions, mais je n’ai pas besoin de savoir comment il fonctionne, ni d’avoir des



Page 132

paramétrages complexes à effectuer pour l’activer (par exemple, Windows intègre un

pare-feu activé automatiquement).

Aussi dans le cadre de notre thèse, nous considérons que la sensibilisation et la formation se

confondent lorsqu’il s’agit d’éduquer à l’intérêt de la sécurité et d’adopter les comportements

que l’institution attend de ses membres. D’ailleurs, si nous prenons l’exemple de

sensibilisation (Figure 14) proposée par le NIST (2003), peut-on dire qu’il ne s’agit pas là de

formation ? Par exemple, alors que l’e-mail est devenu un outil commun de communication

professionnelle, expliquer à un salarié qu’il ne faut pas ouvrir un e-mail provenant d’une

source inconnue par risque de contamination d’un virus, c’est, selon nous, les inciter à

s’interroger sur l’impact sécuritaire de leurs actes au quotidien. La sensibilisation ne consiste

pas seulement à faire prendre conscience des risques, mais aussi également à former à un

comportement de responsabilité et de prudence dans l’usage des technologies de l’information

et de la communication, la nature des informations produites ou à échanger, l’attitude vis-à-

vis d’un tiers. Une mesure de sensibilisation peut être, par exemple, de ne pas multiplier les

supports différents tout au long du cycle de production pour une même information ou encore

de faire attention au vol d’information sur le blog (SOGP, 2011 : CF 2.3), etc.



Page 133

Figure 14: Exemple de sensibilisation à la sécurité de l'information (NIST, 2003: D-3)



Page 134

2.2.2. Quelles conditions de réussite ?

Si l’intérêt de la sensibilisation est bien de développer une « culture positive de sécurité »

dans les institutions, cette sensibilisation ne peut être effective que sous certaines conditions.

Même si nous ne pouvons pas toutes les identifier, la littérature nous donne des éléments sur

ce qui a déjà été exploré.

Tout d’abord, et cela semble évident, une formation régulière coûte de l’argent et demande

une organisation. La sensibilisation nécessite donc d’une part, un budget qu’il faut

dimensionner en fonction des objectifs à atteindre et d’autre part, une structure en charge de

son organisation. Cela peut être un responsable nommé qui s’appuie sur une équipe interne ou

une prestation externe.

La sensibilisation doit s’appuyer sur des termes simples et compréhensibles par le plus grand

nombre (ENISA, 2006; Goucher, 2008). Elle doit aussi être conforme à l’organisation de

l’institution, c’est pourquoi l’ENISA (2006) ou encore le SOGP (2011 : SG 1.1.3) précisent

qu’elle doit :

répondre aux besoins des auditeurs, sans quoi ils pourraient s’en détourner,

proposer des actions réalistes,

montrer ce que les auditeurs peuvent gagner à s’impliquer dans la sécurité de

l’information,

correspondre à la stratégie d’affaires, aux objectifs et à la vision stratégique définis par

la dirigeance.

A l’image des politiques de sécurité, la sensibilisation doit également s’appuyer sur la culture

organisationnelle (Casmir and Yngstrom, 2005). Siponen (2000) pense également que la

sensibilisation doit promouvoir la morale et l’éthique qui correspondent aux besoins de

sécurité parce qu’elles sont selon lui des vecteurs puissants de modification des

comportements.

L’implication de la dirigeance (le top management) est aussi un pré-requis à la réussite d’un

programme de sensibilisation (SOGP, 2011 : CF 2.2 ; Maeyer, 2007). Il doit s’assurer que la

promotion des bonnes pratiques est effective et que les moyens financiers, matériels et

humains nécessaires sont alloués.

Furnell (2006) remarque, à l’occasion d’une étude sur le comportement des télétravailleurs,

que la perception de la sécurité à une influence significative sur la sensibilisation. Maeyer

(2007), quant à lui, montre qu’une formation trop informelle, portant sur des sujets trop

généraux, peut être une cause d’échec de la sensibilisation.

Selon nous, les résultats de Furnell (2006) sont intéressants parce qu’ils montrent qu’un

individu, même en dehors de son contexte organisationnel, peut se comporter conformément



Page 135

aux attentes de l’institution s’il perçoit que cela est important. C’est l’effet d’une pression

normative. L’acteur adopte un comportement qu’il pense juste pour ne pas s’exclure de

l’organisation. Néanmoins, cela ne signifie en rien que ces acteurs ont intériorisé les valeurs

de sécurité promues par l’organisation. Il se pourrait que leur comportement se modifie suite à

un changement pour un milieu professionnel où la sécurité sera perçue comme moins

importante. Cela met tout de même en exergue le rôle des acteurs de proximité, et en

particulier celui du manager. En effet, à notre connaissance, les effets de l’attitude du manager

de proximité sur la sensibilisation et le comportement des employés ont très peu été étudiés.

Pourtant, le manager de proximité porte localement l’autorité, la stratégie et les valeurs de

l’institution. Il est un vecteur potentiel, et peut être essentiel, de la sensibilisation et de

l’adoption de comportements conformes aux exigences de sécurité.

Plus récemment, Puhakainen et al. (2010) ont montré également qu’un processus actif et

continu était nécessaire pour améliorer l’efficacité des programmes de sensibilisat ion. Par

ailleurs, Knapp et al, (2012) insistent sur la nécessité de sensibiliser les acteurs aux contenus

des politiques de sensibilisation.

Le Tableau 9, ci-dessous reprend et complète la synthèse des articles traitant de la

sensibilisation, faite par Tsohou en 2008.

Auteurs Variable dépendante

Knapp et al (2012) Les politiques de sécurité

Puhakainen et al. (2010) La continuité de l’apprentissage. Un apprentissage interactif

Spears et al (2010) Implication des salariés dans la mise en œuvre d’un programme de

sécurité

Jhonston et Warkentin (2007) Utiliser des messages alarmistes

Maeyer (2007) Implication du top management

Peltier et al,(2005), Les procédures de travail, Les standards de sécurité

Les ressources d’informations, la gestion des risques

Security Awareness Index Report (2002),

Kritzinger (2006),

Casmir & Yngstrom (2005),

Les politiques de sécurité

Furnell (2006) La perception des acteurs

Casmir & Yngstrom (2005) Budget

Peltier et al,(2005), Casmir & Yngstrom

(2005)

La culture organisationnelle

Hansche (2001a), ENISA (2006), Peltier

(2005), Goucher (2008)

Le langage

Hansche (2001a), ENISA (2006), Peltier

(2005)

La stratégie d’affaire, les but, la vision du management, la

structure de l’organisation

Siponen (2000) La morale et l’éthique

Tableau 9: synthèse des travaux sur la sensibilisation à la sécurité de l’information (traduit et complété de Tshou, 2008: 223)

Ces études montrent une grande diversité de direction qui trahit un manque d’enracinement

théorique autour de la sensibilisation.



Page 136

Nous constatons que la culture organisationnelle n’a fait l’objet que d’une seule étude. De

même, si la politique et l’implication de la dirigeance ont également été peu étudiées, nous

constatons que trois dimensions importantes de la sécurité sont absentes ou quasi absentes de

la littérature :

l’influence du management de proximité est absente des études. Les études souffrent

d’un manque d’investigation sur les effets de la structure organisationnelle de sécurité.

Quels sont les effets, sur les comportements des salariés, de la présence d’un

responsable ou d’un service, dédié à la sécurité ?

Enfin, les effets de la sensibilisation sur l’acquisition interne ou externe

d’informations, alors que l’objectif de confidentialité est bien d’éviter que

l’information sensible soit accessible à des personnes non autorisées, en particulier des

concurrents.

2.3. Relations entre culture organisationnelle et la sécurité de

l’information

La sécurité fait appel à des construits sociaux complexes comme l’identité, la confiance, la vie

privée fluctuant selon le contexte. L’imbrication de ces construits avec la technologie

introduit la notion d’adaptation et de négociation de l’humain à son univers technologique

dont l’intensité est contextuelle.

Cette imbrication entre technique et culture transparaît également dans les définitions

officielles traitant de la sécurité de l’information.

Pour l’ISO, au travers de la norme ISO 17799, la sécurité de l’information est «une méthode

et un cadre pour la mise en œuvre, le maintien, la surveillance et l'amélioration de la sécurité

de l'information qui est conforme à la culture organisationnelle» ((ISO / IEC 17799, 2005),

clause 0.7, p. x). Cette définition tient bien compte des deux composantes, mais les place « au

même niveau ». La technique n’est pas plus importante que la culture organisationnelle et

inversement.

La définition de l’OCDE, prend davantage le parti de la dimension culturelle qu’elle met au

centre de l’activité de sécurité qui dépend largement du niveau de perception des acteurs : «

les gestionnaires de la sécurité devraient adopter une approche globale de gestion. Cette

gestion devrait être basée sur l'évaluation des risques et devrait être dynamique, englobant

tous les niveaux des activités des participants et tous les aspects de leurs opérations. Elle

devrait contenir des énoncés prospectifs de réponses aux menaces émergentes et de

prévention, de détection et de réponses aux incidents, la reprise des systèmes, la maintenance,

des procédures de révision et de vérification. Les politiques de sécurité des réseaux et des

systèmes d'information, les pratiques, les mesures et les procédures doivent être coordonnées

et intégrées pour créer un système cohérent de sécurité. Les exigences de la gestion de



Page 137

sécurité de l'information dépendent du niveau d'implication, le rôle des participants, des

risques encourus et de la configuration système requise. » (OCDE, 2002).

La norme Iso étant très répandue en entreprise, il est donc tout à fait significatif que l’accent

sur les recherches effectuées, tant sur la gestion de la sécurité que sur les mécanismes de

sécurité, ait largement porté sur les moyens de production et les produits (normes, politique,

logiciel) plutôt que sur les contextes et les motivations d’usage des produits par les acteurs.

La littérature sur le management de la sécurité se concentre quant à elle sur les

méthodologies, les cadres, les processus de cycle de vie, plutôt que sur la façon dont ils se

rapportent au contexte dans lequel ils opèrent. Les résultats sont présentés sous une forme

tangible et indépendante de leur environnement (Coles-Kemp, 2008) avec une tendance à se

fixer sur les formes (processus de gestion des incidents, audit etc.) plutôt que sur les

interprétations et les pratiques qui en découlent.

Pourtant, de nombreux chercheurs ont également suggéré que la sécurité de l’information

devrait faire partie de la culture organisationnelle (Von Solms, 2000; Schlienger, et Teufel,

2002, 2003). Knapp et al, (2006) ont constaté que, dans la plupart des institutions, la sécurité

de l’information n'est pas une partie intégrante de la plupart de la culture organisationnelle.

Plusieurs raisons peuvent être énoncées pour expliquer ce phénomène. Par exemple :

Le manque d’investissement financier pour une activité qui ne le justifie pas : Shedden

et al, (2006) ont montré que les organisations ont tendance à traiter les dépenses de

sécurité comme un coût qui ne se justifie qu’une fois qu’un incident a eu lieu, c'est-à-

dire trop tard.

Le manque d’implication des employés : certains chercheurs ont pointé le manque de

participation des salariés dans la mise en œuvre de mesures de sécurité qui reste

souvent du ressort d’un petit nombre (Chia et al, 2002; Koh et al, 2005). Les employés

ne se sentent donc pas concernés.

La mise en œuvre contrainte de mesures de sécurité : l’étude de Maynard & Ruighaver

(2006) montre que la mise en œuvre de politiques de sécurité ne découle pas des

croyances, mais de la nécessité à se conformer à la réglementation et la contrainte

d’audits externes.

La littérature montre également qu'il existe trois types de relation entre la culture

organisationnelle et la sécurité de l’information.

1. La sécurité de l’information n’est pas intégrée dans la culture organisationnelle. (Chia

et al, 2002, Knapp, Marshall, Rainer et al, 2004, Koh et al, 2005) : dans ce cas, la

direction de l’organisation n’est pas impliquée dans la sécurité de l’information. Les

membres de l’organisation ont très peu de connaissances et ne se sentent pas

responsable des problèmes de sécurité. Les organisations ont souvent tendance à

considérer les dépenses de sécurité comme un coût (Shedden et al, 2006). La

sensibilisation à la sécurité est faible. Il s'agit de la situation où l'activité de sécurité de

l'information est uniquement prise en charge par le service informatique.



Page 138

2. La sécurité de l’information est une « sous-culture » de la culture organisationnelle :

les membres de l’organisation au sein du département sont plus conscients des

exigences de sécurité et la formation intermittente à la sécurité est effectuée en

respectant les exigences de la politique. Certains départements des institutions

commencent à accorder de l’attention à la sécurité et la question des pratiques émerge

dans les préoccupations managériales.

3. La sécurité de l’information est intégrée dans la culture organisationnelle : les

pratiques de sécurité des organisations et le sens des responsabilités peuvent se

mesurer au niveau de chaque membre de l’institution. Les mesures de sécurité sont

mises en œuvre globalement et à un niveau relativement élevé de participation. En

outre, il y a des mises à jour régulières de la politique de sécurité. Les membres de

l’organisation se sentent propriétaires de l'information et ils sont motivés à adhérer à la

politique de sécurité. Les pratiques de sécurité deviennent des activités de routine

inconscientes (Von Solms, 2000; Vroom et Von Solms, 2004; Thomson et Von Solms,

2005; Thomson et al, 2006). Tous les membres de l'institution ont intégré les valeurs

de sécurité de l’information distillées par leur management.

Comment faire pour réaliser cette intégration ? L’objectif des cinq composants (cf. section 2

et 5) de la sécurité que nous avons identifiés est de développer de la culture organisationnelle.

Ces composants ont pour but de modifier les comportements individuels ou collectifs (cf.

tableau 7) pour les orienter conformément à la volonté de la dirigeance.

L’individu doit effectivement être pris en compte. Chaque membre d’une institution est

influencé par ses caractéristiques sociales, son parcours, ses relations, etc. S’appuyant sur la

Théorie de l’identité sociale (Tajfel, 1978; Tajfel et Turner, 1979), Straub et al, (2002) et

Galivan et Strite (2005), proposent la métaphore de l’oignon virtuel « dynamique » qui

conceptualise la culture comme un ensemble de strates culturelles résultant des différentes

identités sociales de l’individu. Straub et al,(2002 : 19) pensent que plutôt que de supposer

que les individus épousent certaines valeurs culturelles fondées sur l'appartenance à un groupe

culturel, il faut se demander si leurs valeurs sont similaires à celles d’autres groupes culturels

et si les résultats de ces valeurs sont perçus comme similaires. Comme pour les couches d’un

oignon, la culture globale d’un individu se compose d’un ensemble de sous-cultures. Selon

Straub et al (ibid. : 20), la culture doit être mesurée à un niveau individuel, même s’il s’agit

d’un phénomène de groupe. Les individus peuvent avoir des caractéristiques culturelles qui ne

font pas partie de la culture de groupe. Les différentes couchent qui constituent l’oignon

virtuel se composent de valeurs et ne sont ni figées ni imperméables, leur agencement

s’adaptant en fonction des circonstances.

Pour fonctionner, l’adaptation des individus aux besoins de sécurité de l’institution doit à la

fois s’adresser au groupe, mais aussi que les individus choisissent d’y adhérer et de modifier

leur comportement.

Cette adaptation des comportements forme la culture organisationnelle selon le schéma

proposé par Schein (1985b: 13-21). Ce schéma définit trois niveaux de culture



Page 139

organisationnelle (cf. chapitre 3). Les artefacts (les produits visibles), les valeurs des

individus, les hypothèses fondamentales (ce qui est acquis).

En retour, la culture organisationnelle influence les politiques de sécurité et les programmes

de sensibilisation. Par exemple, lorsque les principes de base sont acquis, un programme de

sensibilisation peut être renforcé en traitant des problématiques plus pointues.

Le parcours de la littérature nous a permis d’identifier plusieurs variables (cf. Tableau 8) aptes

à développer la culture organisationnelle, mais leurs impacts, en particulier sur les pratiques

effectives, restent très peu étudiés.

1. Les politiques de sécurité ;

2. L’implication de la dirigeance (le top management) ;

3. La sensibilisation ;

4. La structure organisationnelle ;

5. Le budget ;

6. L’implication du management.

Selon nous, la notion de budget reste discutable, tout comme la structure organisationnelle.

Peut-on par exemple raisonnablement penser qu’un employé situé dans un laboratoire de

R&D a conscience du budget alloué à la sécurité de l’information ? De même, la structure

organisationnelle est un concept très large. S’agit-il de la structure hiérarchique, de

l’implantation physique des sites ?

Nous pensons que ces deux notions peuvent être rapprochées, notamment par l’existence

d’une organisation en charge de la sécurité de l’information. Cette organisation agit sur le

terrain, elle est visible sur l’organigramme de l’institution et nécessite un budget de

fonctionnement. Son existence prouve l’importance que revêt la sécurité de l’information

pour la direction. Aussi, nous proposons de remplacer les variables que sont la structure

organisationnelle et le budget, par l’existence d’une structure organisationnelle dédiée à la

sécurité de l’information.

Certaines mesures de sécurité agissent directement au niveau de l’organisation, c’est une

sensibilisation « de masse », pendant que d’autres agissent directement sur les individus. C’est

une sensibilisation individuelle qui cherche à modifier la culture individuelle pour l’aligner

sur la culture organisationnelle.

Le Tableau 9 ci-dessous montre comment les composants de sécurité agissent sur la culture

individuelle ou organisationnelle, dans une boucle vertueuse.



Page 140

Composant Groupe impacté

Culture (Schein, 1985b)

Implication et la promotion par la

dirigeance

Organisation organisationnelle

Les politiques

Organisation spécialisée de

gestion et de contrôle

Sensibilisation Individu Individuelle

Implication du manager de

proximité

Expériences passées Individu Individuelle

Tableau 10: Action des composants de sécurité sur la culture individuelle/organisationnelle

2.3.1. Synthèse sur l’étude des effets des comportements et de

sensibilisation

Ces études sur le comportement des individus sont riches d’enseignements et apportent des

éléments d’analyse intéressants pouvant permettre de faire progresser dans l’adhésion des

employés aux politiques de sécurité. Il est néanmoins nécessaire de souligner quelques limites

communes à l’ensemble de ces études. Tout d’abord, elles se focalisent sur un seul pays.

L’influence de la culture nationale n’a pas été mesurée alors que Leidner et Kayworth (2006)

ont montré que cette dernière joue un rôle important dans les pratiques des employés en

matière de systèmes d’information.

Par ailleurs, les répondants à ces études ont déclaré eux-mêmes leur intention de se conformer

aux exigences de la politique de sécurité de l'information, et il est possible que certains

cachaient leurs véritables actes ou intention de non-conformité. En effet, ces comportements

seraient perçues comme socialement indésirables. L'absence de recherches scientifiques pour

mesurer ces comportements négatifs, c'est-à-dire les comportements volontairement déviants,

peuvent être dus à plusieurs raisons. Tout d'abord à cause du biais de désirabilité sociale et un

biais d'acquiescement. Ils sont donc souvent réticents à révéler des informations négatives sur

eux-mêmes (Trevino, 1992).

Les études existantes mesurant les comportements malveillants ont utilisé la méthode

d'enquête qui oblige les répondants à déclarer s'ils ont l'intention de violer les politiques. Si

Influence

Cultive

Influence



Page 141

les déclarations sont fausses, les résultats de la recherche ne valent rien. Comment récolter les

données ? Certains chercheurs comme Siponen et Vance (2010) se sont inspirés de Piquero et

al, (1996) et ont utilisé la méthode des scénarii. Néanmoins cette problématique n’a été que

partiellement abordée dans la littérature des systèmes d’information en science de gestion

(Warkentin, Straub, Malimage, 2012).

Deuxièmement, en raison de l'absence d'un cadre de méthodologique validé, dans ce contexte,

les chercheurs peuvent être réticents à s’engager et explorer les raisons de la malveillance. Il

existe bien plusieurs articles de recherches qui ont mesuré l'intention comportementale (non

intentionnelle ou non malveillante), mais la question demeure de savoir si les intentions

comportementales conduisent toujours à un comportement réel en particulier dans le contexte

de la sécurité de l’information.

Les contextes de violation des règles de sécurité devraient aussi être plus largement testés. Par

exemple, l’étude de Siponen et Vance (2010) est axée sur la formation à l’envoi de courriels

non cryptés et ses conséquences pour la sécurité de l’information. D’autres contextes

devraient être testés comme l’usage des réseaux sociaux. Plus généralement, les contextes

choisis mettent toujours en scène l’acteur dans l’usage des technologies de l’information.

Pourtant la sécurité de l’information concerne aussi des comportements plus généraux,

comme le fait de se confier à un proche, de parler dans un ascenseur etc..

Il faudrait également confirmer ou infirmer le résultat qui montre que l’implication du

management est importante pour faire adhérer les employés. Ceci est d’autant plus nécessaire

que pour Wylder (2003), le management est trop éloigné du quotidien des employés pour

avoir une influence sur leurs comportements.

Enfin, la plupart de ces études accordent peu d'attention au fait que les attitudes, les croyances

et les comportements des employés d'une organisation peuvent être influencés à la fois par la

culture nationale ou organisationnelle et leurs interactions. Par exemple, la justification par la

nécessité, d’un acte déviant comme par exemple l’échange non autorisé d’informations, peut

être dû à un environnement trop cloisonné et ne laissant pas suffisamment circuler

l’information entre les membres de l’institution.

Seule l’étude de Myyr et Al. (2009) s’intéresse aux effets des valeurs, mais seuls les effets des

valeurs individuelles sont mesurés. Les valeurs organisationnelles ne sont pas considérées

dans leur étude. Pourtant, la culture organisationnelle est généralement définie comme un

ensemble de valeurs communes, des croyances, des hypothèses et des pratiques qui façonnent

et dictent les attitudes et les comportements des employés au sein des organisations (Denison,

1990; Schein, 1992; Cameron et Quinn, 1999). Par conséquent, nous pensons que les

comportements des employés ne peuvent pas être analysés sans une compréhension fine des

contextes d’action et de la symbolique qui les prescrit.

Même si ces comportements peuvent aussi fournir un certains nombre d’indices sur les

contextes qui justifient l’action, la compréhension de la culture organisationnelle nous semble

indispensable pour comprendre pourquoi, et comment, le comportement des employés peut

avoir un impact sur les pratiques de sécurité. En effet, la relation entre la culture



Page 142

organisationnelle et le comportement des employés doit être envisagée lors de la mise en

œuvre des pratiques de sécurité car elle influe sur la façon dont les employés se comportent

dans les organisations (Von Solms et Thomson, 1988 :170 ; Thomson et al, 2006).

Le développement d’une culture organisationnelle intégrant des préoccupations de sécurité de

l’information s’obtient notamment par la sensibilisation des membres de l’institution.

La sensibilisation est plus selon nous, qu’un éveil à la sécurité. La sensibilisation doit avoir

pour objectif de créer une culture organisationnelle intégrant les besoin de sécurité de

l’information. Ce n’est pas une simple information générale dispensée à l’ensemble d’une

communauté. La sensibilisation est aussi une formation, elle doit inculquer des

comportements parfois basiques mais efficaces de protection des informations, d’évitement et

de réaction face aux risques.

Parmi les composants organisationnels essentiels d’un programme de sensibilisation, nous

retenons l’implication de la dirigeance, qui est très couramment citée parce qu’elle est

également à l’origine de la conception des politiques de sécurité, et parce que, selon Schein

(1985a: 2), l’unique talent d’un leader est sa capacité à créer et à gérer la culture de

l’organisation.

La perception des acteurs (Furnell, 2006) est selon nous un concept intéressant dont l’action

sur la sensibilisation a peu été explorée jusqu’à présent. La perception de l’importance de la

sécurité de l’information pour l’institution a-t-elle une influence positive sur le comportement

des acteurs ? Par exemple, le simple fait qu’un employé sache que des sessions de

sensibilisation sont dispensées est-il de nature à influencer son comportement ?

Si la littérature identifie clairement le rôle des dirigeants, elle ne dit rien de celui que peut

jouer le manager de proximité, excepté pour l’étude de Panilha et al (2007), mais qui porte

sur l’intention à se conformer et non sur une pratique effective. Ce manager, comme tous les

salariés, doit suivre un programme de sensibilisation. Néanmoins, à notre connaissance, son

influence sur le comportement de sécurité des salariés n’a pas été explorée. De même, nous

n’avons référencé qu’une seule étude (Siponen et Vance, 2010) sur les effets des habitudes sur

le comportement actuel des acteurs. Pourtant, l’habitus (Bourdieu, 1980b) permettrait

l’intégration culturelle, ce qui conduirait le salarié expérimenté à accepter et intégrer plus

facilement les pratiques de sécurité. A l’inverse, Sellin (1938, 1983) pense dans sa théorie du

conflit de culture (cf. chapitre 3) que le refus de s’adapter à un nouveau contexte culturel est

générateur de déviance.

L’objectif de la sensibilisation - la création d’une « culture positive de sécurité » intégrée à la

culture organisationnelle – ne va pas de soi. Comment les composants de la création des

politiques et de la sensibilisation interviennent-ils dans le processus de modification de la

culture organisationnelle ? Et comment peut-on dire que la culture organisationnelle a intégré

les activités de sécurité ? Nous proposons d’apporter des éléments de réponses à ces questions

dans le chapitre suivant.



Page 143

En effet, selon la littérature, la culture organisationnelle ne devrait pas simplement être prise

en compte dans les politiques, mais devrait aussi irriguer les pratiques de management. Les

pratiques individuelles de sécurité de l’information devraient s’intégrer dans un ensemble de

pratiques collectives et ce sous l’influence des politiques mises en œuvre, de la promotion

exercée par le leadership, et d’une structure de gestion.

Certains composants de sécurité agissent au niveau individuel, pendant que d’autres agissent

sur la culture collective. La figure 14 ci-dessous illustre les relations entre culture

individuelle, culture organisationnelle et pratiques de sécurité. Nous introduisons l’attitude

managériale dans les pratiques de management. Nous pensons en effet que l’engagement de la

direction ne suffit pas et qu’il faut aussi que le management de proximité adopte une attitude

positive et volontaire vis-à-vis de la sécurité, ce qui n’a été que trop peu étudié jusqu’à

présent.

Figure 15: Relations entre pratiques managériales de sécurité, culture individuelle et culture collective

S’aligne sur

Culture

organisationnelle

Au niveau de

l’organisation

Dirigeance

Manager de proximité

Management de proximité

Sensibilisation

Définit

Culture

organisationnelle

Au niveau individuel

Promeut,

évalue

Promeut

Définit

Cultive

Cultive

Influence

Promeut,

évalue

Influence

Politique

Organisation



Page 144

Ce chapitre nous a permis de définir la sécurité de l’information et de voir ce en quoi elle est

importante pour l'organisation.

Nous nous sommes focalisés sur l’identification des menaces et des contre-mesures, la

définition des politiques de sécurité, l’importance de la norme, les limites des études

comportementales, le produit et le processus de la sensibilisation et l’influence de la culture

organisationnelle.

L’étude des menaces et contre-mesures nous a permis d’identifier la confidentialité comme

l’une des préoccupations majeures des responsables de la sécurité de l’information dans les

organisations. Ce qui est cohérent avec notre objet de recherche car les principaux risques de

sécurité dans l’échange d’information via les réseaux sociaux, sont des risques de

confidentialité. Nous avons également constaté que les contre-mesures des menaces de

sécurité appliquées dans les institutions sont d’ordre dissuasif.

Les institutions utilisent la sécurité de l’information pour réglementer les usages des systèmes

d’information et les comportements humains en général. Elles définissent pour cela des

politiques et des programmes de sensibilisation pour éduquer et contrôler le personnel et pour

améliorer en permanence les niveaux de sécurité.

Ce travail nous a également permis d’identifier les faiblesses des organisations en matière de

sécurité de l’information. La première limitation réside dans le contrôle jugé indispensable par

de nombreux chercheurs (Vroom & Von Solms, 2004). En effet, comment contrôler ce qui

échappe à l’organisation ? Comment garantir que le comportement des employés est

conforme à la politique de sécurité de l’organisation lorsque celui-ci échange des informations

avec des membres de son réseau social ? Nous touchons les limites du contrôle technologique

et managérial. La deuxième limitation est relative au manque de connaissance sur

l’influence du management de proximité et des expériences passées sur les

comportements des employés. A notre connaissance, une seule étude s’est intéressée au rôle

que tient le manager de proximité. La troisième limitation réside dans l’absence de mesure

de l’influence des valeurs organisationnelles sur les comportements et, enfin, la

quatrième limite est relative à l’absence de prise en compte de l’influence des réseaux

personnels des acteurs, comme si les salariés étaient isolés et sans autres influence que

celle de l’institution dans laquelle ils évoluent.

Nous n’avons recensés qu’une seule étude qui considère les valeurs individuelles de

conformité (respect des règles, recherche de la stabilité, etc.) comme un facteur positif de




Page 145

sensibilisation. De même, seulement trois publications prennent en compte, uniquement pour

mesurer les intentions à se conformer aux règles de sécurité. Par ailleurs, les mesures

effectuées portent quasi systématiquement sur les usages des technologies de l’information.

Les comportements relationnels, par exemple, ne sont que trop peu évalués.

Il n’existe pas non plus, selon nous, d’études portant, d’une part, sur l’influence des réseaux

personnels, le tissu relationnel, et d’autre part, sur les interactions entre valeurs individuelles

et valeurs collectives. Pourtant la métaphore « dynamique » de l’oignon virtuel (Straub et al,

2002 ; Galivan et Strite, 2005) propose une conception holistique de la culture, où la culture

globale d’un individu se compose de multiples sous-cultures héritées des caractéristiques

sociales et du parcours personnel et professionnel. L’acteur peut donc adopter un

comportement conforme à une culture dont il est familier, mais qui ne correspond pas aux

attentes de l’institution.

Ceci est d’autant plus important que les recherches récentes sur la sécurité de l’information

portent sur les études de comportements relatifs à l’intention non criminelle ou criminelle qui

mobilisent les théories comportementales, de l’apprentissage, et de neutralisation. Or, ces

études sont discutables car :

L’exactitude des résultats est dépendant du degré de sincérité des répondants qui, craignant

d’éventuelles sanctions, peuvent masquer leurs véritables comportements.

L’environnement dans lequel les décisions sont prises n’est pas considéré. Pourtant, une

institution où les différents départements sont fortement cloisonnés et où l’information circule

mal peut, par exemple, inciter ses membres à échanger de l’information de manière illicite

alors même qu’ils ont parfaitement intégré les normes contraignantes du milieu dans lequel ils

évoluent.

Ces limitations mettent en avant l’intérêt de la culture organisationnelle pour un ancrage

durable des comportements de sécurité qui dépasse les frontières de l’organisation et qui lui

sont favorables. La littérature relative à l’intention montre que les chercheurs ont encore

accordé peu d'attention aux effets de la culture individuelle et de la culture organisationnelle

sur les comportements de sécurité.

Les travaux menés sur la sécurité de l’information nous permettent de faire évoluer (cf. Figure

13) le modèle initial proposé en Figure 9 pour y intégrer les interactions entre les composants

de sécurité, l’individu et l’institution.



Page 146

Figure 16: Transaction stratégique – influences du capital social et de la sécurité de l’information

La culture organisationnelle est bien une partie intégrante de la sécurité de l’information dans

les institutions. C’est un outil à disposition du management, mais encore faut-il l’utiliser de

manière pertinente.


Obligation

Empathie

Nécessité Devoir

Amour- propre

Amour de soi Antipathie

Sympathie


Institution


l’institution

Culture organisationnelle

Intérêt pour

soi

Culture individuelle



Tran

saction

d’éch

ange


Force des liens

Homogénéité/Hétérogénéité

Rationalité limitée, Altruisme intelligent

Capital

Redondance

Politiques de

sécurité

Promotion du

leadership

Sécurité de

l’information

Réseau personnel de l’individu

Attitude

managériale

Sensibilisation du

personnel

Expériences passées

Liberté



Page 147

III. Chapitre 3

La culture Organisationnelle comme cadre d’analyse



Page 148

Figure 17: Architecture du chapitre 3

1 - La culture organisationnelle

- Introduction

- Approfondissement de la culture

organisationnelle

2- Opérationnalisation

- Théories culturalistes de la déviance

- Mesures de la culture organisationnelle


Si la culture organisationnelle est une composante majeure de la sécurité

de l’information, elle peut aussi être à la source de la déviance. Mesurer et

comparer les effets de la culture organisationnelle et de la culture

individuelle serait un préalable pour orienter l’action.

- Ancrage atour des théories

culturalistes de la déviance :

comprendre les différences de

comportements entre groupes

d’individus

- Le choix d’une échelle de mesure

- Mobilisation

- Justification

- Fondations

Inhibante et habilitante



Page 149

1. La culture organisationnelle

Cette revue de littérature sur le domaine de la culture en général et de la culture

organisationnelle nous permettra d’en révéler les principales caractérisations, les dimensions

et les différentes approches de mesures.

Nous proposons d’étudier ce que le courant sociologique de la déviance nous apprend sur les

facteurs culturels qui peuvent être à l’origine de comportements déviants en entreprise. Ces

comportements peuvent soit poser des problèmes de sécurité de l’information, soit être des

facteurs d’innovation (Alter, 2000).

1.1. Les sources de la culture

La culture est d’abord un concept anthropologique. Tylor (1876) considéré comme une

référence par la communauté scientifique, donne la définition suivante de la culture : « un tout

complexe qui inclut les connaissances, les croyances, l'art, la morale, les lois, les coutumes et

toutes autres dispositions et habitudes acquises par l'homme en tant que membre d'une

société » (in Herskovits, 1950 : 9).

Herskovits (1950 :3), lui aussi anthropologue, propose la définition suivante : « la culture est

ce qui dans le milieu est dû à l'homme. » Il commente sa définition par les mots suivants

« On reconnaît implicitement par cette phrase que la vie de l'homme se poursuit dans un

cadre double : l'habitat naturel et le milieu social. Cette définition indique aussi que la

culture est plus qu'un phénomène biologique ». La culture est le produit d’un apprentissage

qui est fonction de l’entourage et qui porte sur des croyances, des comportements, des

techniques, des normes.

Selon Herskovits (1950 : 10):

1. La culture est universelle en tant qu'acquisition humaine, mais chacune de ses

manifestations locales ou régionales peut être considérée comme unique.

2. La culture est stable, mais elle est aussi dynamique et manifeste des changements

continus et constants.

3. La culture remplit, et dans une large mesure détermine, le cours de nos vies, mais

s'impose rarement à notre pensée consciente.

Trois courants anthropologiques ont également défini le concept de culture : l’anthropologie

interprétative, l‘anthropologie cognitive et l’anthropologie structurale.

L’anthropologie interprétative est marquée par les travaux de Geertz (1972 : 21) qui définit la

culture comme : «un modèle de significations incarnées dans des symboles qui sont transmis

à travers l’histoire, un système de conceptions héritées qui s’expriment symboliquement, et au

moyen desquelles les hommes communiquent, perpétuent et développent leur connaissance de

la vie et leurs attitudes devant elle ».



Page 150

Dans la culture, ce sont les formes symboliques qui vont structurer l’expérience vécue des

individus. Par exemple, un calendrier structure le temps. Mesurer la culture sur une base

symbolique, interprétative, nécessite de repérer les données, les éléments qui sont associés

aux symboles, de comprendre leur signification et d’établir les liens entre valeurs, croyances

et actions dans un contexte (Smircich, 1983: 350). Ce type de mesure a été appliqué avec

succès pour les modèles comme TAM, Technology Acceptance Model (Venkatesh, Morris,

Davis and Davis, 2003), la « Theory of Reasoned Action » (TRA, Fishbein and Ajzen, 1975)

ou la « Theory of Planned Behavior » (Ajzen, 1991 ; Walsh et Kefi, 2008 :72).

Le courant cognitif est représenté par Goodenough (1971) et Agar (1982) pour lesquels la

culture consiste en des connaissances partagées (Smircich, 1983: 348) et Rossi et O'Higgins

(1980) pour lesquels la culture est un système de cognition partagée ou un système de

connaissance et de croyances (Smircich, 1983: 348). Aussi, analyser les caractéristiques de la

culture revient à déterminer les règles qui régissent les interactions en identifiant les règles qui

guident l’action et la structure des connaissances.

Selon le courant structural et psycho dynamique, la culture est une manifestation et

l’expression du fonctionnement inconscient de l’esprit (Smircich, 1983 : 348) et cette

conception ne se révèle pas pertinente pour étudier la culture en sciences des organisations.

Smircich (1983 : 339) a déclaré que ce que nous appelons une «perspective culturelle» des

organisations recouvre en fait une série de cinq domaines de recherche : la gestion comparée,

la culture d'entreprise, la cognition organisationnelle, le symbolisme organisationnel et les

processus inconscients de l'organisation. « Dans les deux premiers domaines, la culture est

une variable organisationnelle dépendante ou, indépendante, externe ou interne ». Dans les

trois derniers domaines, la culture n'est pas une variable à tous, mais c'est « une métaphore

racine pour conceptualiser l'organisation » (Smircich, 1983 : 342).

Smircich (1983) nous fournit un cadre théorique très utile qui nous permet de diviser la

recherche sur la culture en deux volets:

L’approche « has » : la culture est considérée comme une caractéristique ou une variable

affectée ou affectant d'autres variables au sein des organisations. La culture est alors

considérée comme un mécanisme de régulation ou d'adaptation contribuant à la performance

globale de l'organisation, et l’approche « is » qui repose beaucoup plus fortement sur la

tradition anthropologique. L’organisation "est" la culture, ou la culture est une «métaphore»

pour étudier les organisations.

Les applications concrètes du «has» se rapportent à l'approche du flux sociobiologique de la

pensée étendue à la théorie des organisations, les applications concrètes de l'approche « is » se

rapportent aux perspectives cognitives, symboliques, structurelles et psycho-dynamiques sur

les études de l'organisation et de la culture (cf. Figure 18).



Page 151

Figure 18: Intersection entre les concepts de culture en anthropologie et en sciences des organisations (source : Smircich, 1983)

Dans le cadre de notre thèse, nous nous situons dans la perspective organisationnelle. La

culture est une variable de l’organisation. Toutes ces définitions font de la culture un

apprentissage qui s’opère par l’interaction avec l’environnement et qui structure nos

comportements. La culture est aussi représentée par la production humaine, les artefacts de

Schein (1985b). Cette approche nous permet de considérer que la culture d’un individu n’est

pas uniforme, mais peut être composée de plusieurs sous-cultures, selon la métaphore de

l’oignon virtuel (Straub et al, 2002). Cette approche nous permet également de considérer

que les règles qui régissent les comportements et les interactions, forment une culture

comprise comme un système symbolique, dont la compréhension est nécessaire pour susciter

l’adhésion.



Page 152

1.1.1. La culture nationale

Hofstede et al, (1990) distinguent trois niveaux de culture selon la place de la socialisation : la

culture organisationnelle, la culture occupationnelle et la culture nationale.

L’étude montre que les différences entre cultures organisationnelles ne s’expliquent pas de la

même manière qu’entre les cultures nationales.

Il peut y avoir des différences de valeurs considérables entre les employés d’une même firme

à travers le monde (exemple d’IBM pris par Hofstede comme terrain d’expérimentation),

alors dans un même pays où les employés ont des valeurs quasiment identiques, les

différences de cultures organisationnelles sont repérées dans les pratiques des salariés.

La Figure 19 schématise le travail de l’équipe d’Hofstede (1990) pour déterminer la part que

prennent les valeurs ou les pratiques dans la socialisation, suivant les trois niveaux d’analyse.

Niveau Place de la socialisation

Figure 19: Différences culturelles (Hofstede & al, 1990)

Les valeurs sont acquises depuis l’enfance dans le cercle familial, puis l’école et d’autres

lieux de socialisation.

L’analyse d’Hofstede s’appuie sur celle de Berger et Luckman (1986) distinguant tout comme

Bourdieu avec l’habitus (1980b), de la socialisation primaire (au cours de l’enfance) à la

socialisation secondaire (celle de la vie d’adulte). L’enfant devenu adulte dispose d’un bagage

de valeurs qui lui serviront à s’intégrer dans son milieu professionnel, que ce soit une

entreprise, une association, une administration publique ou autre. La socialisation passe donc

par l’apprentissage des pratiques (usages, symboles, conventions, etc.). Les pratiques

organisationnelles sont acquises dans un contexte culturel propre à l’organisation (idéologie,

histoire et missions de l’entreprise, etc.).

VALEURS

PRATIQUES

Nation

Occupation

Organisation

Famille

École

Lieu de Travail



Page 153

La culture occupationnelle est un espace de développement de l’individu fortement associé

aux valeurs comme aux pratiques.

Trice (1993), quant à lui, met en avant la culture professionnelle. Selon lui, la culture

professionnelle comporte un ensemble unique d’idéologies, de croyances, et de pratiques qui

découle de l’éducation et des expériences professionnelles des acteurs d’une même

profession. La culture professionnelle est propre au métier pratiqué, à une communauté de

pratique. Selon Guzman et al (2006), ce groupe d’individus emploie les idéologies distinctes

de chaque membre pour accentuer le comportement dans le contexte de son métier. Il existe

ainsi de nombreuses sous cultures, qui forment ensemble une culture organisationnelle

globale et certaines d’entre elles sont définies par l’identité professionnelle d’un groupe

particulier (Guzman et al, 2006).

Johnson et Al. (2005) montrent via les « cadres culturels de référence » qu’il existe des

croyances et des comportements partagés au plan national, sectoriel ou fonctionnel. Selon les

auteurs, le contexte influence directement les attentes des parties prenantes. Ceci renvoie

également aux « sphères d’influences » proposées par Schneider et Baroux (1997) qui sont

relatives à la culture régionale, sectorielle, métier, fonctionnelle, etc.

D’autres facteurs culturels agissent sur les comportements professionnels. Les normes et

attentes diffèrent selon les pays ce qui n’est pas sans conséquence sur les organisations dont

l’implantation est internationale. Ces institutions doivent tenir compte des différentes cultures

nationales. Hofstede (1980) caractérise la culture nationale par quatre dimensions

constitutives :

1. l’aversion face à l’incertitude,

2. la distance hiérarchique,

3. la masculinité/féminité ,

4. l’individualisme/collectivisme.

La culture nationale à deux niveaux nationaux (Hofstede, 1980: 262), vue comme une

« programmation mentale », a fait l’objet de nombreuses recherches académiques jusqu’à

l’émergence de l’approche de la culture organisationnelle proposée par E. Schein (1984).

Pour notre part, nous considérons que l’étude de la culture nationale peut constituer un

préalable à l’étude la culture organisationnelle. Les jeunes adultes, par exemple, qui s’insèrent

pour la première fois dans une institution, une organisation comme une entreprise, une

association, n’arrivent pas dénués de culture. Ils ont acquis un certain nombre de dispositions

qui doivent leur permettre de s’insérer dans un milieu social et de s’y adapter. L’objectif de la

culture organisationnelle serait alors l’adaptation de la culture nationale à un contexte

spécifique. Les frontières ne sont pas imperméables, les cultures organisationnelles sont aussi

fortement empreintes de cultures nationales. Néanmoins, il existe des différences qu’il faut

prendre en compte. Par exemple, les salariés d’une multinationale doivent s’adapter à des

contraintes culturelles issues du pays d’origine de la firme. Des processus d’innovation, de

production sont pensés à partir du siège de la direction et sont déployés à travers le monde.

Les employés locaux ont la charge de s’y adapter.



Page 154

C’est pourquoi nous pensons qu’une culture nationale peut développer un ensemble de

valeurs et de comportements tout à fait valorisant du point de vue de la sécurité de

l’information. Cependant, cette culture n’est pas suffisante, compte tenu de la nécessaire

adaptation des individus aux caractéristiques, à l’identité et à l’environnement de l’institution

dans laquelle ils s’intègrent.

1.1.2. Pourquoi choisir la culture organisationnelle ?

De grands organismes internationaux comme l’ISO (2005) et l’OCDE (2003) soulignent la

nécessité d’intégrer les pratiques de sécurité de l’information dans la culture

organisationnelle des organisations.

Par ailleurs, comme l’a souligné Von Solms (2000,2006), nous sommes dans l’ère où la

sécurité de l’information bénéficie d’une structure organisationnelle et entre dans les activités

de gouvernance de l’entreprise.

Nous avons aussi pu voir que la direction devait être impliquée au plus haut niveau dans la

mise en œuvre de la sécurité de l’information dans l’entreprise et il se trouve que la culture

organisationnelle est formée par les comportements des membres dominants des organisations

comme les dirigeants (Schein, 1992).

Un autre point qui milite en faveur du choix de la culture organisationnelle dans la conception

de notre modèle de recherche est que nous nous intéressons aux usages des employés dans

leurs réseaux sociaux et à leur management dans une perspective de sécurité. Notre travail est

articulé autour de la dynamique relationnelle. La culture organisationnelle se justifie dans la

mesure où les salariés et leur management sont en interaction dans la gestion continue de la

sécurité.

Enfin, l'importance de la culture organisationnelle comme déterminant de la réussite dans la

gestion de la sécurité de l'information, a également été identifiée (Dhillon & Blackhouse,

2001). Une des principales conclusions de leur étude est que la plupart des approches en

sécurité de l'information ont tendance à offrir des solutions qui ignorent les aspects sociaux de

la sécurité et de la structure informelle des organisations. Ils suggèrent que la gestion de la

sécurité de l'information nécessite l'adoption d'une approche socio-organisationnelle

étroitement reliée aux niveaux organisationnels et individuels, plutôt que d'être dans un

contexte plus large de valeurs et d’enjeux au niveau national.

Comme nous l’avons écrit dans la section consacrée à la culture nationale, celle-ci peut

produire un « bagage de base », un ensemble de valeurs et de comportements directement

profitables aux institutions. Néanmoins, ce bagage ne pourrait probablement pas répondre à

l’ensemble des besoins, parce qu’il nécessite une adaptation, un enrichissement propre aux

caractéristiques et à l’identité de l’institution.



Page 155

1.1.3. La culture organisationnelle

La culture organisationnelle se réfère aux systèmes de croyances et de valeurs partagées par

l'ensemble des membres de l'organisation et qui se développent au sein d'une organisation

(Schein, 1984),. Elle oriente les comportements de ses membres pour former un

comportement coordonné afin de survivre dans l'environnement dynamique (Denison, 1990;

Schein, 1992). La culture organisationnelle est formée par les comportements des membres

dominants des organisations et en premier lieu les dirigeants (Schein, 1984, 1992, 1996).

Robbins (1989) a fait valoir que la culture organisationnelle propose un certain nombre de

fonctions au sein des organisations. Elles comprennent un rôle normatif qui établit des

distinctions entre les organisations. La culture organisationnelle facilite l'engagement des

employés pour les organisations.

Ouchi et Johnson (1978) et Ouchi (1983) considèrent dans leurs études sur les entreprises de

type « A » et « Z » que la culture organisationnelle est à la fois la tradition et le climat d’une

entreprise impliquant des valeurs et des croyances. Toutefois, Watts (2005) souligne que la

revue de la littérature en culture organisationnelle révèle un débat incessant sur la distinction

entre les significations liées aux concepts de « culture » et de « climat ». Le climat

s’intéresse aux perceptions individuelles des membres de l’organisation au sujet d’une idée ou

d’une chose particulière, tandis que la culture se rapporte aux valeurs et aux modes de

comportements généraux (Pettigrew, 1990). Reichers et Schneider (1990) pensent que le

climat est une manifestation de nature temporelle de la culture.

Selon Smirchich (1983 : 344), la culture organisationnelle est « La glue sociale ou normative

qui rassemble les individus ». L’auteur considère que selon l’approche « is », l’organisation

est une culture.

Schein (1984 : 3, 1992, 1996) se réfère à des cultures comme « le niveau le plus profond des

hypothèses fondamentales tacites et des croyances qui sont partagées par les membres d’une

organisation […] Un ensemble d’hypothèses de base qu'un groupe donné, a inventé,

découvert ou développé, en apprenant à faire face aux problèmes liés à l'adaptation externe

et d'intégration interne, et qui ont suffisamment bien fonctionné pour être considéré comme

valide, et donc être enseignés aux nouveaux membres comme une bonne façon de percevoir,

de penser et de sentir par rapport à ces problèmes ».

La culture organisationnelle serait donc un ensemble de croyances, de valeurs, de normes et

de réalisations partagées par les membres d’un groupe. Elle aurait pour conséquence d’unir

ces membres autour d’objectifs communs pour le bien de l’organisation.

Ces différentes conceptions de la culture organisationnelle s’intègrent dans le cadre théorique

de l’économie institutionnaliste et du capital social que nous avons évoqué dans le premier



Page 156

chapitre. Cette culture permet à chaque membre d’une institution ou d’un réseau social d’agir

dans l’intérêt de la communauté à laquelle il appartient.

1.2. Modèle d’analyse de la culture organisationnelle selon Schein

Selon Schein (1985b), le développement de la culture organisationnelle est le fait des

dirigeants et plus généralement, des employés faisant preuve de leadership dans les

organisations. Selon lui, la culture organisationnelle existe sur trois niveaux (cf. Figure 20)

où la culture se construit de l’explicite vers l’implicite, de ce qui est observable à ce qui n’est

pas matérialisé.

1. Les artefacts sont les résultats visibles et tangibles de l’activité fondée sur des valeurs

et des hypothèses. Les artefacts comprennent le comportement des membres, les

habitudes, les rites, etc. ;

2. Les valeurs dans les organisations sont les principes sociaux, des philosophies, des

objectifs, des normes et des croyances considérés comme ayant une valeur intrinsèque

pour les membres de l'organisation.

3. Les hypothèses fondamentales représentent ce qui est pris pour acquis par les membres

d’une organisation. L’hypothèse fondamentale est une réponse à un problème connu.

Figure 20: Les trois niveaux de la culture organisationnelle (d’après Schein, 1984)

Le premier niveau est composé des hypothèses de base (« Basic Underlying Assumptions »),

qui sont des données inconscientes pour l’individu, des croyances acquises pour toujours, des

perceptions, des pensées et des manières de ressentir, non négociables, c'est-à-dire acquises

une fois pour toutes, et qu’il est très difficile de changer, au sein des organisations. Ce niveau

de réalité correspond à un besoin cognitif de stabilité, provoquant, en cas de déstabilisation,

des manifestations d’anxiété et des réactions de mécanismes de défense.



Page 157

Le second niveau est composé des valeurs partagées par les individus («Espoused Values»).

Ces valeurs naissent de la résolution d’un problème rencontré par une organisation, qui «

mémorise » cet événement fondateur par la promotion d’une valeur, ou, inversement, par

l’adoption, dès les origines, d’un certain nombre de valeurs fondatrices. Celles-ci servent de

guide et permettent de trouver une solution, en situation d’incertitude, ou lorsque des

événements imprévus surviennent, afin de les résoudre.

Enfin, le troisième niveau est constitué par les artefacts (« Artifacts »), c'est-à-dire les

conséquences visibles, tangibles des activités fondées sur les hypothèses de base et sur le

partage des valeurs. Il peut être (exemples cités par l’auteur) question de l’environnement

physique ou architectural, des créations artistiques, des mythes et des histoires racontées

depuis longtemps, de listes de valeurs promulguées, des rituels, des cérémonies, etc. Il s’agit

également des comportements de groupe, visibles, des processus organisationnels devenus,

tous, en général, routiniers. Toutes ces données observables ont une valeur symbolique, dont

l’interprétation n’est pas donnée une fois pour toutes, mais qui nécessitent pour être comprises

une bonne connaissance des organisations concernées.

Comme on peut le constater, les valeurs ne constituent pas le seul objet d’étude relatif à la

culture d’entreprise. Il n’en demeure pas moins fondamental. Les valeurs sont au centre du

modèle. Elles ne peuvent pas être observées sinon par les comportements.

Dans une tentative d’établir une typologie de la culture organisationnelle, Hofstede et al,

(1990) font remarquer que ces cultures peuvent être décrites partout dans le monde par

certaines dimensions typiques liées aux pratiques. Leurs travaux menés auprès de 36

entreprises danoises et néerlandaises aboutissent à la proposition d’une typologie à six

dimensions de la culture organisationnelle :

1. La culture du processus / résultat : dans la culture « processus », chacun perçoit sa

pratique en fonction de son niveau et de son rôle dans l’organisation. C’est à opposer à

la culture du « résultat » où chacun perçoit sa pratique de façon identique ;

2. La culture orientée travail / employé : dans la culture « orienté travail », la

responsabilité est orientée sur la performance du travail alors qu’à l’opposé, la culture

« orientée employé » se focalise sur le bien être des employés ;

3. La culture professionnelle / paroissiale : dans le premier cas le critère d’identification

essentiel est basé sur la profession ou dans le deuxième cas sur le lieu de travail ;

4. La culture de système ouvert/fermé : qui se réfère au style de communication

interne/externe ;

5. La culture de contrôle serré / délié : se réfère au degré de formalisation et à

l’importance accordée à l’exactitude ;

6. La culture pragmatique / normative : se réfère aux modalités de prise de considération

des signaux provenant de l’environnement.

Leidner et Kayworth (2006), tout comme précédemment Deter et Schroeder et Mauriel

(2000), ont fait l’inventaire des différentes dimensions de la culture organisationnelle. Le

tableau ci-dessous synthétise l’inventaire de Leidner et Kayworth (2006 : 361-362).



Page 158

Références Dimensions

Beyer (1998) Les bases de la vérité et de la rationalité dans l'organisation - la motivation - la

stabilité par rapport à un changement, une innovation, le développement

personnel, la coordination et la responsabilité.

Blake & Mouton (1964) Le souci de production ou les soucis des personnes.

Cook & Laferty (1987, 2003) Passivité, agression, constructivisme, orientation sur la production ou sur les

personnes.

Denison & Mistitra (1995) La mission, l’implication, la constance, l’adaptabilité.

Ouchi (1980); Wilkins &

Ouchi (1983)

La hiérarchie, le marché, les clans

Schein (1992) Les bases de la vérité et de la rationalité dans l'organisation ; La nature du temps et de l'horizon temporel - de motivation -d’orientation du travail, des

tâches, envers les collaborateurs ; L’isolation ou la collaboration / coopération.

Tableau 11: Dimensions de la culture organisationnelle (Leidner et Kayworth, 2006 : 361-362)

1.3. Les valeurs individuelles et organisationnelles

Les valeurs ont tour à tour été comparées à des croyances (Allport, 1961 ; Rokeach, 1973), à

des attitudes (Campbell, 1963, Rokeach, 1968), à des besoins (Maslow, 1954), à des intérêts

(Allport, 1961; Perry, 1954; Rokeach, 1973), à des traits de personnalité (Rokeach, 1973;

Roccas et al, 2002), ou encore à des standards ou des critères de choix (Rokeach, 1973;

Rosenberg, 1956 ; Smith, 1969). Nous évoquerons les différents concepts proches du concept

de valeur, principalement à partir des travaux de Rokeach (1968, 1973).

Les approches anthropologiques, sociologiques, et psychosociologiques qui comme nous

l’avons vu lors de l’analyse des fondements de la recherche sur la culture, sont en effet

complémentaires pour définir les valeurs, en particulier à partir des travaux de Kluckhohn

(1952), de Parsons (1971), de Rokeach (1968, 1973), et de Schwartz (1994).

Ceci nous amènera ensuite à travailler sur les contextes organisationnels, en particulier avec

des auteurs s’étant attachés, à décrire le fonctionnement de la culture organisationnelle

(Mitroff et Kilman, 1975 ; Ouchi, 1981 ; Quinn et Rorhbaugh, 1981, 1983 ; Deal et Kennedy,

1982 ; Mc Donald et Gandz, 1992 ; Cameron et Freeman, 1991 ; Goffe et Jones, 1998).

1.3.1. La définition des valeurs selon Kluckhohn

Kluckhohn (in Parsons et al, 1952: 395) a proposé une définition fondatrice des valeurs : «

une valeur est une conception, explicite ou implicite, de ce qui est désirable, pour un individu,

ou pour un groupe d’individus, et qui l’influence dans la sélection d’une action possible,

selon ses modes, son sens, et sa finalité ».

Pour Kluckhohn, une valeur, même si elle n’est pas toujours explicitée, est l’expression d’un

choix d’un acteur ou d’un groupe d’acteurs. Le choix se porte sur ce que l’on estime devoir

désirer, sur la base de la morale, ou d’un raisonnement influencé par une situation donnée.



Page 159

Un individu ne respectant pas les valeurs d’une société est considéré comme déviant ou au

mieux marginal et serait soit rapidement invité à modifier son comportement, soit tout

bonnement écarté de son groupe d’appartenance. Aussi pour Kluckhohn (1952 : 400), les

valeurs existent « parce que la vie sociale serait impossible sans elles. Le fonctionnement du

système social dans son ensemble serait mis en échec dans l’atteinte des buts collectifs ; les

individus ne pourraient pas obtenir ce dont ils auraient besoin de leurs congénères, en terme

personnel et émotionnel […] ».

Les valeurs sont un élément essentiel du fonctionnement social, car elles poussent à agir. Elles

freinent les tentatrices pour maintenir l’acteur dans son système social. Les valeurs

influencent donc l’acteur dans ses choix. Face à une situation donnée, celui-ci va choisir la ou

les valeurs les plus adéquates et les hiérarchiser pour guider son action tout en préservant ses

intérêts. Aussi les choix que nous faisons peuvent ne pas être issus d’un calcul purement

rationnel. Par exemple, un acteur se trouvant seul dans une rue et ramassant un portefeuille

qui ne lui appartient pas peut choisir de le ramener aux objets trouvés sous l’effet de la valeur

d’honnêteté et celle de la compassion, alors qu’un pur calcul rationnel l’aurait poussé à

prendre l’argent s’y trouvant.

1.3.2. La définition des valeurs selon Rokeach

Pour définir ce qu’est une valeur, Rokeach (1973: 3) s’appuie sur cinq postulats :

1. Il existe un nombre limité de valeurs pour chaque individu ;

2. Toutes les valeurs sont partagées et s’expriment à des degrés différents selon les

individus ;

3. Les valeurs sont organisées en systèmes ;

4. Il existe des lieux d’«hébergement» des valeurs comme la culture, la société, les

institutions, et la personnalité des individus. Ces lieux sont antérieurs à l’existence

des valeurs elles-mêmes, pour les individus ;

5. Enfin, les conséquences des valeurs peuvent être mises à jour, au niveau social,

rendant leur étude possible.

Chaque acteur forme son propre système de valeurs en les hiérarchisant au fur et à mesure de

leur apprentissage. Sur la base des travaux d’Allport (1961), Rokeach considère qu’une valeur

est une croyance qui permet d’agir en prescrivant ou de proscrivant les attitudes en fonction

de leur désirabilité émotive ou cognitive et nous avons vu qu’une croyance peut tout à fait être

à l’origine d’une norme de conduite.

A la suite de Lovejoy (1950), Hilliard (1950), Kluckhohn (1951), Kluckhohn et Strodtbeck

(1961), Rokeach pense que puisque les valeurs permettent d’agir, elles se réfèrent alors à un

mode de conduite qui est soit à long terme et basé sur des valeurs terminales d’ordre

idéologique (la paix sur terre), soit à court terme et qui nécessitent l’action immédiate sur la

base de valeurs instrumentales comme le courage.



Page 160

Les valeurs sont applicables à des degrés divers. Alors que certaines personnes ne transigent

pas sur certaines valeurs comme l’honnêteté par exemple, d’autres considèrent que voler un

voleur n’est pas si grave. Par conséquent les valeurs sont à la fois individuelles et collectives

mais ne s’appliquent pas à toutes les situations sociales dans un groupe donné. Tous les

acteurs qui sont honnêtes dans un même groupe n’ont pas tout à fait le même degré

d’application de l’honnêteté. Enfin les valeurs sont indépendantes du statut social, de l’âge et

du sexe. Par exemple, le courage s’applique dans les trois cas de figure. Ce dernier point est

cependant discuté par Cohen (1955), qui soutient au travers de la théorie de la sous culture

qu’un groupe social peut s’écarter des valeurs communes d’une société parce qu’il n’arrive

pas à faire reconnaitre ses performances dans le système de valeur institué.

1.3.3. La définition des valeurs selon Schwartz

Reprenant en particulier la définition et la classification des valeurs de Rokeach (1973),

Schwartz (1992, 1994, 2006) identifie dans la littérature six caractéristiques fondamentales

concernant les valeurs :

1. La valeur est une croyance associée de manière indissociable aux affects ;

2. Elle est terminale ou instrumentale au sens de Rokeach (1973), c'est-à-dire qu’elle

peut exprimer un état final de l’existence. Elle peut se traduire par des

comportements immédiats ou différés ;

3. Elle permet de transcender des situations spécifiques, vécues par les individus ;

4. Elles servent d’étalon ou de critère, et guident les individus dans la sélection ou,

dans l’évaluation du comportement, des personnes ou des événements.

5. Elle est organisée avec d’autres valeurs pour former un système de valeurs ;

6. L’importance relative de multiples valeurs guide l’action.

Schwartz se différencie de Rokeach en insistant sur l’importance des buts généraux qui

dépassent les situations et les objectifs concrets, poursuivis par les individus. Les valeurs

n’ont pas toutes la même importance, mais elles ont en commun de servir de révélateurs, de

principes fondateurs permettant de guider la vie des individus ou des groupes.

Nous en retenons trois concepts fondamentaux associés aux valeurs : Les besoin (ce qui est

désiré), les croyances et les attitudes.

1.3.4. Valeurs et croyances

Pour Rokeach (1968 : 113), « une croyance est une proposition, consciente ou inconsciente

qui se déduit de ce qu’un individu dit ou entreprend, et qu’il est possible d’introduire par la



Page 161

phrase : ‟ je crois que… ” ». Selon l’auteur, la croyance permet de faire des choix et mène

l’action. Il existe trois types de croyances :

1. les croyances descriptives ou existentielles ( je crois qu’il fait beau),

2. les croyances évaluatives, qui se basent sur une évaluation personnelle (je crois que

cet homme est honnête), et

3. les croyances prescriptives, qui se ramènent à une forme d’exhortation (je crois qu’il

est préférable de terminer les travaux avant qu’il pleuve).

Rokeach (1968 : 113) ajoute que chaque croyance possède fondamentalement trois

composantes.

1. Une composante cognitive, qui représente les connaissances d’un individu, et qui sont

retenues en fonction de ce qui est pour lui, juste ou faux, bon ou mauvais, désirable ou

indésirable ;

2. Une composante affective, qui se rattache au vécu affectif de l’individu et qui peut être

à l’origine de conflits de valeurs.

3. Une composante comportementale.

Les valeurs, au même titre que le système total de croyances, se rapportent à la bonne manière

de se comporter (dimension instrumentale) ou de rechercher des états finaux (dimension

terminale) dans l’existence, jugés importants ou non, et qui représentent de ce fait pour

l’individu une certaine « valeur ».

Les valeurs représentent les croyances auxquelles un individu adhère, concernant des modes

de conduite ou des objectifs poursuivis, projetés à plus ou moins long terme.

A cela, Schwartz (1992, 2006 : 931) ajoute que si les valeurs sont des croyances, elles sont

inextricablement liées aux émotions et non pas à des idées ou un calcul froid. Ce qui nous

conduit à penser que le facteur émotionnel, la spontanéité de l’acte, caractériserait un

agissement cherchant à maintenir la congruence entre le comportement et les valeurs qui sont

menacées dans un contexte précis.

Nous allons maintenant traiter du rapport qui existe entre les valeurs et les attitudes

individuelles.

1.3.5. Les valeurs et les attitudes individuelles

Selon Rokeach (1968 : 112), « une attitude est une organisation relativement durable de

croyances concernant un objet ou une situation, et qui prédispose un individu à réagir d’une

certaine manière ». Les attitudes sont des prédispositions à agir qui sont:



Page 162

1. Durablement installées chez les individus.

Pour Rokeach (1968), l’attitude demeure indépendante de la manière dont elle est par

ailleurs apprise par l’individu, au fil de son histoire.

2. Une organisation de croyances.

Les attitudes sont une organisation de croyances inter-reliées entre elles, orientées vers un

objet commun. Les attitudes ont de plus des caractéristiques cognitives et affectives, du fait

que celles-ci soient composées de croyances qui sont liées entre elles, et qui présentent ces

deux composantes.

Il peut exister différents types d’organisations, comme la pluralité des croyances qui

constituent une attitude, ou une pluralité d’attitudes qui constituent un système plus large

d’attitudes reliées entre elles.

De plus, il peut exister également des systèmes encore plus larges, constitués par les

croyances, les attitudes et les valeurs des individus.

Comme dans l’étude de Bulgurcu et al (2010), les attitudes sont étudiées vis-à-vis d’objets, à

travers des situations données, et rarement l’inverse. L’incidence des attitudes vis-à-vis du

type de prédisposition menant à l’action, est constituée d’un ensemble de prédispositions,

activées dans un contexte particulier. La réponse apportée permet de révéler l’attitude, qui

existe à l’état latent chez l’individu.

3. L’aspect préférentiel de la réponse, apportée par l’individu.

Cette préférence peut être guidée par l’affect ou une évaluation dans un contexte donné.

Schwartz (2006: 931) distingue les attitudes des valeurs. Les attitudes sont selon lui, tout

comme les normes, des concepts restreints qui ont trait généralement à des actions, des objets

ou des situations particulières. Les valeurs ont la particularité de permettre à l’individu de

s’adapter à différentes situations, dans différents milieux, et donc de déterminer l’attitude la

mieux à même de satisfaire les intérêts individuels ou collectifs. Nous retenons de ce principe

que la valeur précède l’attitude et donc le comportement quand celui-ci n’est pas inné,

conformément au mécanisme proposé par Schein (1984).

1.3.6. Les valeurs et les besoins

Pour Rokeach (1973 : 20), s’intéresser aux valeurs revient à s’intéresser indirectement aux

besoins des individus. Les valeurs sont spécifiquement humaines. Elles traduisent des

besoins psychologiques et l’émanation d’une demande sociale et institutionnelle. Les valeurs

sont une transformation qui les rend socialement désirables et défendables. Il précise (ibid. :

23), que les besoins sont antérieurs aux valeurs. La similarité des besoins réduit le nombre



Page 163

total de variations possibles en façonnant les systèmes de valeurs de nombreuses personnes de

la même manière

L’approche de Schwartz et Blitsky (1987, 1990) concernant les valeurs, est directement axée

sur l’existence de besoins, considérés comme universels, quels que soient les contextes

culturels explorés. Ces auteurs complètent la définition de Rokeach, en cherchant à

approfondir le lien qui peut exister entre les motivations universelles des individus et leurs

« traductions » concrètes, par les valeurs. Les valeurs sont formées par les trois exigences

humaines universelles, valables quels que soient les individus ou les sociétés : les besoins en

tant qu’organismes biologiques, nécessité d’une interaction sociale coordonnée, besoin de

survie et de bien être des groupes.

De même, pour Latham et Pinder (2005 : 491), les valeurs des individus s’enracinent dans

leurs besoins mais ne leur sont pas similaires. En effet, si elles sont bien constitutives d’une

force de motivation, elles sont acquises du fait du processus cognitif et de l’expérience des

individus alors que les besoins sont innés.

Afin de satisfaire les besoins, Schwartz (1992, 2006 :931) pense que les valeurs guident la

sélection ou l’évaluation des actions, des politiques, des personnes et des événements. « On

décide de ce qui est bon ou mauvais, justifié ou illégitime, de ce qui vaut la peine d’être fait

ou de ce qui doit être évité en fonction des conséquences possibles pour les valeurs que l’on

affectionne ».

Détaillons ainsi plus précisément la relation qui existe entre les besoins et les valeurs, à partir

des travaux de Schwartz et Bilsky.

1.3.7. Les domaines de motivation universels

La théorie des valeurs de Schwartz et Bilsky (1990) s’articule autour de trois concepts

fondamentaux. Les types de buts personnels, la contribution aux intérêts personnels et les

domaines de motivation.

Les types de buts personnels correspondent à la classification proposée par Rokeach (1973),

Lovejoy (1950) et Resher (1969). Mais selon Schwartz et Bilsky (1993 : 79), cette

classification n’est pas satisfaisante. Sur un plan conceptuel, la distinction entre but et moyens

n’est pas très nette. Selon eux, un but peut devenir un moyen et inversement. A l’image du

plaisir qui peut servir à atteindre le bonheur, des valeurs terminales peuvent devenir

instrumentales pour atteindre d’autres valeurs terminales (Schwartz et Bilsky, 1993 : 79).

La contribution aux intérêts se justifie par le fait que les valeurs sont des buts. Une

caractérisation des valeurs par la contribution aux intérêts qu’elles sont censées apporter

serait plus pertinente, selon qu’elles concernent spécifiquement l’individu (comme la

recherche de «plaisir », ou l’«indépendance»), la collectivité (comme la valeur «égalité» ou la



Page 164

valeur «responsabilité») ou bien qu’elles contribuent à un niveau mixte, à la fois pour

l’individu et pour la collectivité (comme la valeur « sagesse ») (ibid. : 80).

Néanmoins, citant Hofstede (1980), Schwartz et Bilsky rappellent que les sociétés varient

selon l’importance que leurs membres accordent à l’individualisme et au collectivisme. Même

si la valeur garde un sens universel, cette distinction entre individualisme et collectivisme,

peut conduire à modifier les intérêts auxquels les individus croient qu’une valeur particulière

contribue, voire à ce que les intérêts soient des caractéristiques de la notion de valeur.

Les domaines de motivation (Schwartz & Bilsky, 19990) représentent une autre facette de la

définition des valeurs. Ils expriment l’existence d’exigences individuelles universelles,

s’exprimant dans tout type de société, véritables « fondations » des systèmes de valeurs

individuelles, que Schwartz et Bilsky (1987 : 551), dans leur théorie structurelle des valeurs

humaines universelles, ont défini dans un premier dans une typologie de sept domaines, que

Schwartz (1994) portera ensuite à dix :

1. Le pouvoir : la recherche d’un haut statut social, le prestige, la domination, le contrôle;

2. L’accomplissement : la réussite, le succès personnel au travers d’une compétence

personnelle ;

3. L’hédonisme : le plaisir, la gratification sensuelle et émotionnelle;

4. La stimulation : le goût pour la nouveauté, les défis ;

5. L’autonomie : la liberté de penser et d’agir, la créativité, l’exploration ;

L’universalisme : l’appréciation, la compréhension et l’acceptation de soi, des autres,

et du monde environnant ;

6. La bienveillance : la protection active et amélioration du bien-être d’autrui ;

7. La tradition : l’attachement aux symboles, le respect des traditions, la dévotion, le

dévouement;

8. La conformité : la retenue face aux actions et impulsions susceptibles de heurter les

autres et de transgresser les normes établies ;

9. La sécurité : la stabilité de la société, des groupes d’appartenance, des relations, de

soi-même, la sécurité, l’harmonie le respect des règles et de l’autorité.

1.3.8. La structuration des domaines de motivation selon le modèle

théorique de Schwartz

Schwartz (1994 : 24) propose un agencement circulaire des valeurs pour représenter un

continuum en termes de motivations. Plus deux valeurs sont proches l’une de l’autre sur ce

cercle, plus les motivations correspondantes sont similaires ; à l’inverse, plus deux valeurs

sont distantes, plus les motivations qui les sous-tendent sont antagonistes. Il faut cependant

souligner que la partition du domaine des valeurs en dix grands types est une commodité

arbitraire.



Page 165

Schwartz conserve également le principe qu’il avait déjà explicité avec Bilsky (1990), d’une

continuité ou d’une opposition entre les différents domaines de motivation relatifs aux

valeurs. Ces dix domaines motivationnels s’enchaînent de la manière suivante.

Dans la continuité :

1. Le pouvoir et l’accomplissement font ressortir la considération et la supériorité

sociale ;

2. L’accomplissement et l’hédonisme font ressortir la recherche de satisfaction, centrée

sur soi-même ;

3. L’hédonisme et la stimulation font ressortir la recherche de stimulation et de plaisir ;

4. La stimulation et l’autonomie font ressortir l’intérêt intrinsèque recherché dans la

nouveauté et dans la maîtrise de l’environnement ;

5. L’autonomie et l’universalisme expriment la confiance que les personnes ont

concernant leur propre jugement et le réconfort trouvé dans les diverses situations de

l’existence ;

6. L’universalisme et la bienveillance font ressortir l’intérêt porté aux autres et le

dépassement des intérêts, perçus comme étant trop personnels, voire égoïstes ;

7. La bienveillance et la conformité font ressortir des comportements normatifs orientés

vers des relations humaines fermées et déjà jouées d’avance ;

8. La bienveillance et la tradition expriment le dévouement à l’intérieur du groupe

d’appartenance et la valorisation des relations au sein du groupe ;

9. La conformité et la tradition font ressortir le lien de subordination de l’individu à

l’égard des attentes, socialement imposées ;

10. La tradition et la sécurité expriment les aménagements consentis dans la vie sociale,

en vue d’obtenir des certitudes dans la vie ;

11. la sécurité et la conformité expriment la recherche de maintien de normes sociales, qui

apporterait une protection dans l’existence ;

12. La sécurité et le pouvoir expriment la volonté de contrôler les relations et les

ressources, afin d’éviter la menace que représenterait l’incertitude, liée à la vie.

Dans l’opposition:

Par principe, les types motivationnels qui relèvent de l’intérêt individuel, s’opposent à ceux

qui représentent les intérêts collectifs. Il faut cependant rappeler que, selon Schwartz et Bilsky

(1993 : 81), cette distinction peut être discutée, voire remise en cause :

L’autonomie s’oppose à la conformité sociale. Affirmer son action et sa pensée de manière

indépendante serait en contradiction avec la retenue liée au conformisme social.

L’orientation sociale s’oppose à l’accomplissement de soi. Se préoccuper des autres

interférerait avec la recherche du succès personnel.



Page 166

Alter (2000) diverge sur ce point, l’innovateur avide de reconnaissance et de réussite agit pour

le bien de l’institution à laquelle il appartient, voire pour le bien de la société dans son

ensemble, lorsqu’il s’agit aussi d’un entrepreneur comme Steve Jobs par exemple. C’est aussi

en quelque sorte le point de vue d’Alain Caillé (1992, 2006, 2009) pour qui le

désintéressement paie. Le don répondrait à la recherche de l’accomplissement de soi. Par

ailleurs, peut-on dire que l’abbé Pierre n’a pas finalement atteint une forme

d’accomplissement, en s’occupant avec succès de loger des pauvres gens ? Nous pensons que

l’examen des valeurs individuelles est nécessaire pour comprendre la nature des motivations

de l ‘accomplissement personnel. L’abbé Pierre n’était peut-être pas ambitieux, mais peut-on

en dire autant de Steve Jobs ?

L’accomplissement de soi s’oppose à la sécurité. La recherche du succès irait à l’encontre des

relations sociales présentant un haut niveau de stabilité. Cette opposition de types de

motivations est adoptée par Alter (2000) pour qui l’innovateur prend un risque qu’il essaye de

contrôler, et Sarasvathy (2001) selon laquelle l’innovateur anticipe le risque pour l’éviter.

L’hédonisme s’oppose à l’orientation sociale. Se préoccuper de son plaisir et de son confort

rentrerait en contradiction avec le souci de se préoccuper de la société.

Schwartz (1994 :24 ; 2006/4 : 964) représente la structure des domaines motivationnels de la

manière suivante (Figure 21).

Figure 21: modèle théorique figurant les relations entre les types motivationnels de valeurs les types de valeur d’ordre supérieur et les dimensions bipolaires des valeurs (Schwartz, 1994 : 24 ; 2006/4 : 964)



Page 167

Dans ce modèle théorique, l’autonomie et la stimulation, expriment l’ouverture au

changement et s’oppose à la dimension du conservatisme, rassemblant la sécurité, la

conformité et la tradition. La bienveillance et l’universalisme traduisent l’altruisme et

s’opposent à la dimension de recherche du développement personnel, obtenu par la recherche

du pouvoir et par l’accomplissement personnel. Enfin, l’hédonisme serait à la fois relié à

l’ouverture au changement et au développement personnel.

1.4. Synthèse sur la culture organisationnelle

L’’étude de la culture organisationnelle nous permet de la définir comme une variable de

l’organisation, un apprentissage qui s’opère par l’interaction avec l’environnement et qui

structure les comportements. Cette approche nous permet de considérer que la culture d’un

individu n’est pas uniforme, mais peut être composée de plusieurs sous cultures selon la

métaphore de l’oignon virtuel (Straub et al, 2002 ; Gallivan et Strite, 2005). Adopter cette

vision d’une culture formée de différentes couches, c’est considérer que les règles qui

régissent les comportements et les interactions forment une culture, comprise comme un

système symbolique dont la compréhension est nécessaire pour susciter l’adhésion.

Si selon nous la culture nationale peut permettre à chaque membre d’une nation d’acquérir

des comportements salutaires du point de vue de la sécurité de l’information (la Commission

Nationale Informatique et Liberté éduque à la protection de la vie privée sur Internet), cette

culture n’est pas suffisante pour garantir que les comportements individuels et collectifs

répondent aux exigences spécifiques de la dirigeance et du contexte d’affaires des institutions.

Tout comme Von Solms (2000,2006) et Dhillon & Blackhouse (2001) nous pensons que les

responsables en charge de la sécurité de l’information ne peuvent s’affranchir des aspects

sociaux de la sécurité et de la structure informelle des organisations. D’autant que la

conception de notre modèle de recherche met en scène des acteurs en interaction et le

management de la sécurité autour de la dynamique d’échange.

Les valeurs sont au centre du modèle de la culture organisationnelle proposé par Schein

(1984), que nous avons adopté. Ces valeurs sont pour nous d’un grand intérêt puisqu’elles

répondent à des besoins individuels et collectifs et déterminent les attitudes. Le modèle des

valeurs de Schwartz (1994) a retenu toute notre attention puisqu’il se propose d’être universel,

adapté à tous les individus et à toutes les sociétés.

Ce modèle met en opposition les valeurs individuelles et les valeurs collectives regroupées en

dix types motivationnels. Si nous partageons ce point de vue lorsqu’il s’agit d’opposer le

groupe motivationnel l’accomplissement de soi au groupe de sécurité, nous pensons que

l’opposition entre l’accomplissement de soi et l’orientation sociale peut être discutée. Alter

(2000) et Sarasvathy (2001) montrent que les innovateurs sont motivés par la créativité,

l’atteinte de leurs objectifs et la reconnaissance sociale, mais ils n’en font pas des acteurs

motivés par le pouvoir et l’ambition. La réussite peut très bien passer par la satisfaction

d’améliorer le bien-être de la société. L’abbé Pierre, pour reprendre un autre exemple déjà

cité, s’est probablement accompli en vouant sa vie pour le bien être d’autrui.



Page 168

L’étude de la culture organisationnelle et des valeurs nous permet de progresser dans la

compréhension de ce qui ferait que les institutions réussissent à limiter autant que possible les

incidents de sécurité de l’information, par une acculturation et l’apprentissage de

comportements adéquats (cf. chapitre 2). Le développement de valeurs de sécurité est un

travail de longue haleine, mais qui peut s’avérer payant pour les organisations. Mieux

connaitre les valeurs qui guident les employés, et mieux connaitre par quels moyens cette

acculturation serait effective, pourrait permettre d’améliorer la conception des programmes de

sensibilisation. Par exemple, en diffusant des messages portant sur l’importance que peut

avoir la sécurité sur la confiance qui peut s’instaurer avec les partenaires, etc.

Cependant, les incidents de sécurité peuvent être involontaires ou au contraire volontairement

provoqués (cf. Chapitre 2), et c’est ce dernier point que nous proposons d’approfondir sous

l’angle de l’approche sociologique et culturaliste de la déviance.



Page 169

2. Opérationnalisation

2.1. Les théories du courant culturaliste de la déviance

2.1.1. Qu’est-ce que la déviance ?

Pour Cusson (1992), « La déviance est l’ensemble des conduites et des états que les membres

d’un groupe jugent non conformes à leurs attentes, à leurs normes ou à leurs valeurs et qui,

de ce fait, risque de susciter de leur part réprobation et sanctions. […] La déviance apparaît

d’emblée comme une activité qui déçoit une attente, qui viole une norme sociale ou qui nie

une valeur. Elle présuppose l’existence d’un univers normatif». (1992, 389-390)

Selon Ogien (1995 : 6), « toute collectivité humaine se perpétue en faisant respecter un

certain ordre de valeurs par l’ensemble de ses membres ; et des normes de conduite viennent

préciser les manières de faire et de penser que ces valeurs imposent».

Selon Alter (2000), l’innovateur « ordinaire », celui qui intéresse notre propos est déviant par

nature. La déviance est un phénomène ni marginal, ni périphérique au changement. Elle en est

au contraire le principal vecteur. Elle est portée par des acteurs qui, d’une part, transgressent

les règles, les normes, les conventions ou les routines et qui, d’autre part, remettent en cause

les logiques de justice portées par les systèmes de sanction. Ces innovateurs bouleversent en

quelque sorte la hiérarchie des valeurs établies et se justifient par le bénéfice qu’ils procurent

à l’institution ou la société.

Comme le montre les trois définitions précédentes, le comportement déviant d’un individu ou

d’un groupe d’individu se définit selon nous comme « tout comportement non conforme aux

normes, dicté par les valeurs d’un groupe ou d’un agrégat plus large d’appartenance, justifié

par les avantages qu’il procure pour l’individu ou le groupe d’individus qui l’exerce ».

Selon nous, la déviance n’est pas un comportement directement non conforme aux valeurs,

mais aux normes qui en découlent. En effet, les valeurs des individus ne sont pas hiérarchisées

de la même façon. Aussi, ce qui peut sembler être une déviance pour les uns, ne l’est pas

forcément pour les autres. Au contraire, les normes découlent d’un consensus qui légitime les

limites à ne pas dépasser, aussi, « nul n’est censé ignorer les normes dans une organisation

sociale ».

Dans le cadre de la sécurité de l’information, nous avons vu que le management de

l’organisation, au plus haut niveau, édicte des politiques qui fixent des normes

comportementales afin que tous les membres de l’organisation adoptent d’une part un



Page 170

comportement conforme à la législation, et d’autre part un comportement conforme à ce que

la direction juge comme important pour réduire les risques sur la sécurité de l’information.

De la même manière, un individu peut être considéré comme déviant par les membres de son

réseau social s’il ne respecte pas les règles communes. Rappelons en effet que la confiance est

un paramètre fondamental pour profiter des avantages que procure un tel réseau.

Même si l’ensemble des comportements non conformes à ce qu’une culture organisationnelle

considère comme acceptable ne sont pas intentionnels, les théories de la déviance peuvent

cependant en expliquer une grande partie.

Trois grands courants théoriques sont utilisés dans le domaine de la criminologie, le

fonctionnalisme, l’interactionnisme et le culturalisme. Nous avons choisi de nous focaliser sur

ce dernier, dans la mesure où le concept fondamental est celui de système culturel : la

déviance est définie comme un phénomène culturel ; comprendre et expliquer la déviance

conduit à s’interroger sur les phénomènes de socialisation, d'acculturation ou de déculturation.

Ce concept de système culturel s’intéresse aux différences de comportement des individus

lorsqu'ils appartiennent à divers milieux culturels, et les mécanismes de socialisation par

lesquels ils se différencient de leur culture d’origine. La déviance est envisagée par les

sociologues culturalistes, soit comme le produit d'une transmission culturelle, soit encore

comme un conflit de culture ou encore une sous-culture.

2.1.2. La théorie des associations différentielles

La théorie des associations différentielles est née des travaux d’Edwin Sutherland (1966).

Cette théorie postule, que l’apprentissage des normes et des procédés ne se déroule pas pour

tout le monde dans les mêmes contextes de relations (Robert, 2012 : 64).

Selon sa théorie, le comportement déviant est appris de la même manière que le

comportement conformiste; il n'est ni inhérent à l’individu, ni inventé par lui. Il est appris au

contact d'autres individus par un processus de communication qui limite la diffusion large des

informations (par exemple, l’e-mail serait proscrit), principalement dans des petits groupes.

Cet apprentissage comprend d'abord l'apprentissage des techniques nécessaires pour

commettre l'infraction et ensuite l'apprentissage de « l'orientation des mobiles, des pulsions,

des rationalisations et des attitudes » (Sutherland et Cressey, 1966 : 88-89) qui permettront de

la commettre.

L’association différentielle est l’interprétation favorable ou défavorable à la transgression de

la loi ou la norme.

Pour Sutherland, les associations différentielles ne sont pas toutes de poids égal et n'ont pas

toutes la même importance : certaines ont un impact, une influence plus grande que d'autres.

Ce poids varie avec la fréquence, la durée, l'antériorité et l'intensité de chaque association

particulière :



Page 171

la fréquence : plus on est exposé à un modèle déviant, plus le risque s'accroît de

devenir déviant,

la durée : plus les contacts avec les modèles déviants sont longs et plus le risque

s'accroît de les adopter pour son propre comportement,

l'antériorité : elle exerce une influence décisive en ce sens qu'en règle générale, le

comportement conformiste ou déviant développé dans l'enfance peut persister toute

la vie. L'apprentissage socioculturel se faisant, en premier lieu, dans le sein de la

famille d'origine, l'enfant peut être élevé, dressé à la déviance,

l'intensité : elle se rapporte au prestige du modèle déviant ou non-déviant.

Sutherland pense également que les comportements déviants et conformes sont issus des

mêmes valeurs. Par exemple, la fiabilité est une valeur qui s’exprime autant envers un chef

mafieux, qu’envers une autorité judiciaire. Dans ces conditions si la déviance est l’expression

d’un ensemble de besoins et de valeurs, l’étude des valeurs ne serait pas explicative des

comportements des acteurs.

Nous soulignons également le parallèle évident entre cette théorie et l’intérêt de l’étude des

réseaux sociaux. Ainsi, un réseau à liens forts serait effectivement propice aux comportements

déviants. Comme le soutien Coleman (1988) à l’opposé de Burt (1992), le réseau à liens forts,

pourrait être porteur d’opportunités et soutenir des comportements déviants.

2.1.3. La théorie des conflits de culture

Cette théorie causale de Sellin (1938) postule que la criminalité s'explique par les conflits de

culture, entendus comme conflits entre normes de conduite.

Tout ce qui est interdit aujourd’hui ne sera pas forcément interdit à un certain moment dans

l'avenir. C’est ce que dit Reynaud (1997) quand il énonce que la principale activité des

organisations est de supprimer, modifier ou créer continuellement de nouvelles normes.

La définition de la déviance a donc un caractère variable dans le temps, tout comme les

croyances et les valeurs des individus au fur et à mesure de leur parcours de vie, de leurs

rencontres, de la nature des interactions qu’ils opèrent avec d’autres individus et plus

globalement, des mécanismes de socialisation.

Ces idées sont donc des éléments culturels qui vont s'insérer dans des modèles - ce que Sellin

appelle des configurations d'idées- ayant tendance à se fixer, à s'incorporer dans l'esprit de

chaque individu. Un individu appartient simultanément à plusieurs groupes sociaux. Or,

chacun de ces groupes est normatif. Être accepté dans ces groupes nécessite des normes de

conduite spécifiques, qui ne sont pas toutes identiques d’un groupe à l’autre. Plus un individu

est inséré dans des groupes sociaux différents, moins il y aura de chance que les normes de

ces groupes soient uniformes, et plus il lui sera nécessaire d’adapter ses comportements.



Page 172

C’est ce qui pousse Sellin à dire alors qu'un conflit de normes existe chez un individu quand il

est confronté à deux normes qui s’opposent, quand la norme de conduite d'un groupe dont il

fait partie émet une réponse à une situation alors que la norme d'un autre groupe dont il fait

aussi partie permettrait une réponse complètement contraire. L’individu fait alors le choix du

comportement qui se rapproche le plus de ses propres valeurs ou expériences et risque de

dévier de la norme du groupe dans lequel il se trouve.

Selon Sellin, les conflits de culture peuvent finalement se produire dans trois types de

situations :

1. quand des codes culturels différents se heurtent à la frontière de zones de culture

contigües,

2. quand la loi d'un groupe culturel est étendue pour couvrir le territoire d'un autre

groupe culturel, et

3. quand les membres d'un groupe culturel émigrent dans un autre groupe culturel.

Sellin en arrive à distinguer deux types de conflits :

1. Les conflits primaires sont les conflits de culture qui procèdent de la migration de

normes d'une culture à une autre, ou encore qui se développent à la frontière de deux

cultures lors d'une colonisation ou encore par l'effet de migrations d'un groupe dans

d'autres ;

2. Les conflits secondaires sont les conflits internes à un même système culturel qui sont

dus à un processus de différenciation sociale engendrée par l'évolution de la culture de

différents groupes sociaux.

Le premier cas peut s’illustrer par exemple par un changement d’institution. L’individu migre

d’une petite entreprise vers une multinationale. Un certain nombre de normes changent, et ce

changement peut créer des conflits de valeurs.

Le deuxième cas peut s’illustrer par les différences normatives qui peuvent exister dans une

même institution, entre un département de R&D et un département de contrôle qualité, par

exemple.

Il existe cependant des critiques à l’égard de ce concept :

Selon Jean Pinatel (1960 : 48), l’étude de la criminologie ne peut s’abstenir de

l’analyse psychologique du délinquant. Sellin néglige les problèmes de personnalité

qui pourtant, sont fondamentaux. Le prestige des modèles culturels n'est pas le même

pour tous et dépend de variables individuelles,

Sellin n’explique pas pourquoi il existe une culture délinquante à transmettre,

pourquoi elle a tel ou tel contenu et pourquoi elle est distribuée de telle ou telle façon.

Cette théorie reste néanmoins très intéressante. Hormis entre deux groupes qui portent des

valeurs opposées, comme par exemple une organisation maffieuse et une préfecture de police,



Page 173

on peut douter que les normes entre deux groupes différents divergent profondément.

Néanmoins, le passage d’une petite entreprise, où les activités sont peu formalisées, vers une

multinationale, où les procédures sont beaucoup plus lourdes, ou encore, le passage d’une

organisation à but non lucratif vers une organisation marchande, nécessite une adaptation aux

normes qui divergent forcément en partie, de par les différences de structures ou de buts.

Cette notion de conflit de normes fait appel selon nous, à l’habitus (Bourdieu, 1980b), à

l’intériorisation par l’acteur des valeurs, des normes et des comportements qui permettent son

adaptation. Ainsi, il pourrait exister selon nous, des moments, des situations où, l’acteur

acceptant difficilement une norme en vigueur, choisit d’adopter une attitude apprise, tolérée

dans un autre groupe auquel il appartient ou a appartenu, parce qu’il est plus conforme à ses

valeurs.

2.1.4. La théorie générale de la sous-culture

La théorie de la sous-culture est une théorie explicative de la déviance. Pour Cohen (1955),

chaque individu évolue dans une société basée sur un système de valeurs, et se voit assigner

une position dans la hiérarchie sociale. Des sous-cultures en marge de la culture dominante se

constituent lorsque certains groupes ne parviennent plus à faire apprécier leurs performances

ou leurs actions par rapport aux valeurs instituées. Cette différenciation d’appartenance

culturelle forme des clivages qui :

accentuent davantage, d'une part, la séparation du groupe par rapport à la société

globale, et d'autre part, la dépendance des membres du groupe les uns par rapport aux

autres,

rendent le retour à la culture dominante impossible aux individus qui s’en sont écartés.

L’acte déviant est l’aboutissement d'un processus d’interaction constante entre son auteur et la

situation. Ce processus de passage à l'acte peut donc voir son cours se modifier quand il y a

changement, soit de la personnalité de l'auteur de l'acte, soit de la situation, soit des deux.

La théorie générale de la sous-culture (Albert. K. Cohen, 1955) se définit à partir de la

délinquance juvénile. Au départ, Cohen pose comme phénomène majeur de la délinquance

juvénile l'existence d'une sous culture délinquante qu'il définit de la façon suivante :

elle est non utilitaire : par exemple, le vol est une activité valorisée par elle-même et

non pour le profit que l'on peut en retirer.

elle est mal intentionnée : les méfaits sont accomplis par défi, pour nuire ou faire

souffrir.

elle est négativiste : les conduites sont en opposition systématique avec les normes

établies ;

Pour qu'une sous-culture soit possible, il faut d'abord que les individus rencontrent les mêmes

problèmes d’adaptation à la vie sociale. Une fois regroupés, ils vont, pour parvenir à leur fin,



Page 174

développer des solutions, en opposition avec la société qui les écarte, ce que Cohen appelle

des « innovations ».

Selon Cohen, il y a un processus d'élaboration commune de la nouvelle solution, un processus

d’innovation qui développe une sous-culture, dans la mesure où choisie par l'un, elle n'a de

pertinence sociale que si elle est acceptée par les autres. Ces « innovations » deviennent ce

que Cohen appelle de « nouveaux standards » du groupe, c’est-à-dire des règles qui vont

conduire leurs comportements. Ces règles perdureront tant que leur utilité sera démontrée.

Cette théorie de la sous-culture, développée pour expliquer la délinquance juvénile, pourrait

expliquer les comportements déviants de réseaux formant des cliques. Les cliques sont des

réseaux fermés rassemblant des personnes se connaissant et ayant les mêmes valeurs.

Cependant, penser que des salariés, regroupés en petits nombres, décident d’un commun

accord de faire fi des règles des institutions, nous semble osé et hasardeux. Nous serions alors

dans le cas où des employés commettraient volontairement des actes déviants par soucis de

nuire. Ce profil n’est pas adapté à celui de l’innovateur.

2.1.5. Une vision moins négative de la déviance

Un grand nombre d’études tentent de relier une forme de déviance à un contexte particulier (le

vol et le sentiment de frustration, le vandalisme…). Pour Bennet et Robinson (2004), les

travaux réalisés sur la compréhension de ces types de déviance font peu le lien entre ces

inconduites avec, d’une part, le fonctionnement de l’organisation, puis d’autre part, les

réponses de l’organisation et des salariés qui les subissent.

Les années quatre-vingts marquent le virage des considérations portées par les chercheurs sur

la déviance. Ainsi, Hollinger (1986) met davantage l’accent sur les objectifs de la déviance. Il

distingue deux types de comportements correspondant à des déviances :

Les « productions deviance », sont des comportements contreproductifs, tels le refus de suivre

les consignes et les ordres, l’adoption de cadences ralenties, etc.

Les « property deviance », sont des comportements portant atteinte au patrimoine de

l’entreprise, tels que le vol ou le vandalisme.

Vardi et Weiner (1996) s’intéressent aux « organizationals misbehaviours ». Selon eux, la

confrontation entre un individu et l’organisation peut placer l'acteur en situation de déviance

(nous retrouvons ici l’opposition entre les valeurs centrées sur l’intérêt individuel et celles

centrées sur l’intérêt collectif proposé par Schwartz (1992)) .

Ils identifient trois types d’ « organisational misbehaviour » (OMB).

Ceux qui ont pour objet la recherche d’un bénéfice pour l’individu au détriment de

l’organisation (OMB de type S). Ils visent trois catégories de cibles :

Le travail lui-même (par exemple en détournant des informations) ;



Page 175

Les propriétés de l’organisation, ses ressources ou ses symboles (par exemple un

brevet) ;

L’utilisation pour soi de ce qui fait l’identité de l’entreprise comme ses logos, voire le

détournement de ses compétences.

Les OMB de type D caractérisent la volonté de nuire par la détérioration de matériels ou de

locaux.

Les OMB de type O ont pour objet la recherche d’un intérêt pour l’organisation. L’objectif est

d’obtenir un bénéfice pour l’organisation, par exemple en falsifiant des documents pour

permettre à l’entreprise d’emporter un marché.

Enfin, et nous l’avons largement évoqué, l’innovateur « ordinaire » (Alter, 2000) est un acteur

qui pratique la déviance pour le bien de l’institution.

2.1.6. Synthèse du courant culturaliste de la déviance

Le courant culturaliste pose le conflit et l’apprentissage comme des sources de déviance. Ces

théories nous semblent pertinentes dans le cadre de notre thèse. En effet, c’est bien cette

notion de conflit qui intervient dans le cas d’une déviance « positive » pour l’organisation à

l’image des agissements de l’innovateur selon Alter (2000). De plus, le fait que de nombreux

acteurs sont insérés dans de multiples structures (réseaux sociaux, associations, etc.) militerait

pour que les différences normatives, auxquelles ils doivent s’adapter, les poussent dans

certains cas à opter à un instant donné pour des comportements qui ne correspondent pas à

ceux promus par la norme en vigueur dans l’institution pour laquelle ils agissent. Par ailleurs,

leur réseau personnel peut constituer une source d’opportunité, un incitateur et un soutien

pour des actes déviants.

2.2. Mesure de la culture organisationnelle

Le concept de culture organisationnelle semble, malgré la profusion des méthodes

développées pour son évaluation (Watts, 2005 ; Müller, Kraemmergaard et Mathiassen,

2008), l’un des plus difficiles à opérationnaliser et à mesurer. C’est pour cette raison que

Schein (2004) considère les enquêtes quantitatives comme inadéquates à la mesure de la

culture organisationnelle et plaide de la sorte pour le développement des approches

qualitatives afin de pouvoir appréhender les stades les plus profonds de la culture. C’est ainsi

qu’il mobilise « the Clinical Inquiry Framework », comme une approche qualitative, pour

évaluer la culture organisationnelle en profondeur. Cette méthode s’appuie essentiellement sur

la technique des groupes de travail. Participer aux groupes de travail permet de capter les

nuances qualitatives des cultures et des sous-cultures. Cela permet aux participants

d’expliciter et de comprendre leur propre culture (Schein, 2004). Cette méthode exige



Page 176

également la présence de conseillers dont le rôle est d’aider les participants à exprimer des

hypothèses tacites par la suggestion des jargons, des codes vestimentaires ou tout autre

artéfact potentiel. Une fois la culture décrite au moyen des artefacts, les employés sont invités

à exprimer les valeurs implicites à ces artéfacts.

Hofstede et al. (1990) plaident pour les études hybrides qualitatives/quantitatives. Bien que la

démarche qualitative soit plus adaptée à évaluer la profondeur de culture organisationnelle, il

s’avère nécessaire de fournir une surface quantitative aux résultats obtenus. Les résultats

empiriques d’ Hofstede et al. (1990) montrent qu’une grande partie de la différence culturelle

est expliquée par six dimensions indépendantes, reliées à des concepts tirés de la sociologie

organisationnelle. Les différences de la culture organisationnelle résident donc au niveau des

« pratiques quotidiennes perçues par les membres de l’entreprise » : « contrairement à la

littérature qui considère les valeurs partagées comme le noyau de la culture d’entreprise

(Peters et waterman, 1982), ce sont les perceptions des pratiques quotidiennes partagées qui

forment ce noyau » (Hofstede et al, 1990 : 311).

Au contraire de Schein, Denison (1996) pense qu’il est tout à fait possible d’effectuer des

mesures de la culture organisationnelle au moyen d’outils quantitatifs. O’Reilly, Chatman et

Cadwell (1991) ont développé et validé un instrument de mesure quantitatif pour évaluer

l’adhésion des employés à la culture de leur organisation.

Différents modèles d’analyse sont disponibles pour étudier la culture organisationnelle

comme celui de Mitroff et Kilmann (1975) et celui de Quinn et McGrath (1985) utilisé par

Mc Donald et Gandz (1992).

2.2.1. Le modèle de Mitroff et Kilman

Le Mitroff et Kilmann (1975, 1976) propose une typologie matricielle qui postule l’existence

de quatre types de cultures distinctes. Ces quatre types de cultures sont le « clan », la «

hiérarchie », l’« adhocracie », et le « marché » (Mitroff et Kilmann, 1975, 1976). Ces

propositions de groupes culturels sont cohérentes avec les travaux de Williamson (1975),

d’Ouchi (1980), de Mintzberg (1979), de Wilkins et d’Ouchi (1983). Néanmoins, ce modèle

ne nous semble pas convaincant dans la mesure où il oppose le fonctionnement inductif

justifié par l’individualisme, la participation, l’interaction, la spontanéité et la flexibilité au

fonctionnement déductif justifié par l'ordre, la stabilité, la linéarité, et la rationalité. Par

exemple, nous ne comprenons pas en quoi l’individualisme ne pourrait pas justifier le

fonctionnement déductif ou serait incompatible avec les valeurs d’ordre. De même

l’individualisme est a priori contraire à la participation, mais ils font tous les deux parti des

valeurs qui caractérisent le fonctionnement inductif, ce qui nous semble contradictoire.

La Figure 22 présente les 4 types de cultures distinctes :



Page 177

Figure 22: Les quatre types de cultures organisationnelles selon Mitroff et Kilmann 1984 :6)

2.2.2. Le modèle de Cameron et Freeman

S’inspirant des travaux de Campbell (1977), de Quinn (1988), de Smircich (1983) de Wilkins

et d’Ouchi (1983), Cameron et Freeman (1991) proposent un modèle très proche du modèle

des valeurs concurrentes. Il en reprend les mêmes variables et utilise les valeurs proposées par

McDonald et Gantz (1992). Ce modèle est plus complet que celui des valeurs concurrentes.

Il intègre trois niveaux d’analyse par cadrant- le style dominant de leadership, les bases

relationnelles et les orientations stratégiques- qui permettent certainement une analyse plus

fine de la culture organisationnelle. Néanmoins ce modèle ne nous semble pas adapté à

l’analyse de la culture individuelle qui fait aussi partie de notre étude.



Page 178

Processus Organique : flexibilité et spontanéité

LE CLAN : quotidien et intégration

Valeurs fondamentales :

Cohésion

Participation

Travail d’équipe

Sens de la famille Style dominant de leadership :

Mentor

Facilitateur

Bases relationnelles :

Loyauté

Tradition

Cohésion interpersonnelle

Orientations stratégiques :

Développement des ressources humaines

Engagement

L’ADHOCRATIE: compétition et différenciation


Créativité

Adaptabilité

Style dominant de leadership :

Entrepreneur Innovateur


Entrepreneuriat

Flexibilité

Prise de risques


Innovation

Croissance

Exploitation de nouvelles ressources

LA HIERARCHIE : quotidien et intégration


Ordre

Règle

Uniformité


Coordonnateur

Administrateur


Règles

Procédures

Orientations stratégiques : Stabilité

Prévisibilité

LE MARCHÉ : compétition et différenciation


Compétitivité

Performance


Directeur

Producteur


Résultats

Production et compétition


Avantage compétitif Supériorité

Processus mécanique : stabilité et contrôle

Tableau 12: Modèle tétra-factoriel de Cameron et Freeman (1991)

2.2.3. Le modèle des relations sociales de Goffee et Jones

Goffee et Jones (1998) analysent la culture organisationnelle en se distinguant nettement du

modèle des valeurs concurrentes et du modèle tétra factoriel. Ils proposent de mesurer la

culture organisationnelle selon deux types de relations sociales. Celles-ci peuvent être

animées par la sociabilité (la bienveillance qui existe entre les membres) et/ou la solidarité (la

détermination partagée par les membres de l’organisation, pour atteindre des objectifs

communs). La sociabilité constitue selon les auteurs le cœur des relations non instrumentales.

Elle englobe donc l’empathie et la compassion pour autrui. Concernant la solidarité, elle est à

la base des relations instrumentales permettant l’atteinte d’objectifs collectifs. Ce modèle est

très intéressant. Il relie les effets de réseau à la réussite de l’entreprise. Néanmoins, comme

pour le modèle tétra-factoriel, nous pensons que ce modèle n’est pas adapté à l’analyse de la

culture individuelle.



Page 179

Sociabilité élevée

Culture réticulaire : solidarité faible

Forces :

- Développement de la confiance et de la

loyauté

- Tolérance et esprit d’équipe

- Pensée créative

- Intelligence émotionnelle des leaders Faiblesses :

- Manque de confrontation dans les

discussions

- Transfert non systématique des

connaissances

- Formation de petits groupes

Culture communautaire: solidarité élevée

Forces :

- Bienveillance envers les pairs

- Passion pour le travail

- Engagement et loyauté

- Motivation à réaliser des performances

- Valeurs familiales Faiblesses :

- Difficulté à concilier sociabilité et solidarité

- Développement d’un esprit clanique et d’un

sentiment collectif de toute puissance

- Leader charismatique intimidant

Culture fragmentée : solidarité faible

Forces :

- Autonomie élevée des membres

- Diversité des membres permettant

l’exploration originale de problématiques

- Valorisation de l’intelligence

- Structuration de l’action peu coûteuse

Faiblesses :

- Peu de respect des procédures

- Présence de forces « égoïstes »

- Faible apprentissage organisationnel

Culture mercenaire : solidarité élevée

Forces :

- Energie élevée consacrée à l’atteinte des

résultats

- Rapidité d’action

- Prise de risque

- Pragmatisme et discipline

Faiblesses : - Capacité limitée à composer avec un environnement

complexe

- Intolérance à l’erreur qui défavorise la créativité et

l’innovation

- Insensibilité pour les individus

Sociabilité faible

Tableau 13: Le modèle des relations sociales de Goffee et Jones (1998)

2.2.4. Le modèle des valeurs concurrentes de Mc Donald et Gandz

Le modèle des valeurs concurrentes (Den Hartog et al, 1996; Denison et Mishra, 1995;

Hooijberg et Petrock, 1993; McDonald et Gandz, 1992; Quinn, 1998), repris de Quinn et

McGrath (1985), regroupe des valeurs fondamentales qui seraient révélatrices de types

culturels déterminés., eux-mêmes repérables par deux dimensions.

Les exigences de l’environnement externe en matière de « changement » ou de

« Stabilité » (statut quo);

l’orientation stratégique « interne » ou « externe » de l’organisation, c'est-à-dire orientée

vers la poursuite d’objectifs de performance à moyen ou à court terme, ou orientée vers la

cohésion du groupe (c'est-à-dire la valorisation des relations entre les salariés, au sein de

l’organisation) ;

Certaines valeurs sont regroupées pour déterminer des typologies culturelles distinctes :



Page 180

une culture de type clanique valorise les valeurs de tolérance, de considération, de

coopération, de respect, d’équité, d’humour, d’intégrité morale, de franchise, et

d’égalité sociale ;

Une culture d’ouverture au changement, valorisent les valeurs d’adaptation,

d’autonomie, de créativité, d’accomplissement personnel, de prise de risque ;

Les organisations de type « Marché » valorisent les valeurs de pugnacité, de

persévérance, et d’initiative ;

Une culture de la hiérarchie valorise les valeurs de prudence, d’économie des

ressources, de formalisme, de rationalité, de respect de l’autorité, et d’ordre.

Selon nous, ce modèle est le plus explicite et le plus complet concernant la relation qui existe

entre la culture d’entreprise et les valeurs. Néanmoins, certaines valeurs qui nous semblent

importantes n’apparaissent pas comme la préservation de la réputation par exemple. Alors que

dans un univers économique de plus en plus connecté, la réputation des institutions et la

confiance sont des valeurs de plus en plus importantes.

TYPE « RELATIONS » TYPE « CHANGEMENT »

LE CLAN : culture « clanique »

Objectif : Cohésion du groupe

Valeurs saillantes :

Ouverture d’esprit

Considération

Coopération

Marquer du respect

Équité

Tolérance

Humour

Intégrité morale

Franchise

Égalité sociale

L’ADHOCRATIE : culture « entrepreneuriale »

Objectif : Objectifs généraux


Adaptabilité

Autonomie

Créativité

Accomplissement personnel

Prise de risque

LA HIERARCHIE : culture «bureaucratique »

Objectif : Processus de régulations


Prudence

Économie des ressources

Formalisme

Être rationnel

Respect de l’autorité

Être ordonné

LE MARCHÉ : culture « pragmatique »

Objectif : Poursuite des objectifs


Pugnacité

Persévérance

Initiative

TYPE « STATUS QUO » TYPE « TACHE »

Tableau 14: Modèle des valeurs concourantes (McDonald, P. et Gandz, J.,1992 :69)



Page 181

2.3. Le choix d’une échelle de mesure des valeurs

Plusieurs échelles de valeurs sont disponibles dans la littérature, nous proposons d’en détailler

quelques-unes afin de justifier notre choix.

2.3.1. L’échelle de Rokeach

Rokeach (1973) considère deux groupes distincts de valeurs. Le premier groupe est composé

d’une liste de dix-huit valeurs terminales et le second de 18 valeurs instrumentales, classées

par ordre alphabétique.

Valeurs terminales Valeurs instrumentales

Une vie passionnante Ambition

Une vie aisée Largeur d’esprit

Le sentiment d’accomplissement Compétence

Un monde en paix Entrain

Un monde beau Courage

L’égalité Pardon

La sécurité familiale Efficacité

La liberté Honnêteté

Le bonheur Imagination

L’harmonie intérieure Indépendance

L’amour mature Intelligence

La sécurité nationale Logique

Le plaisir Amour

La reconnaissance sociale Courtoisie

Le respect de soi Obéissance

L’amitié Fiabilité

La sagesse Maitrise de soi

Le salut Propreté

Tableau 15: Les 36 valeurs selon Rokeach (1973)

Deux catégories de valeurs terminales sont retenues par Rokeach (1973) :

les valeurs vécues par les individus et relevant des convictions intimes sans relation

immédiate avec l’entourage intime comme la « recherche de salut »,



Page 182

les valeurs terminales interpersonnelles, c'est-à-dire tournées vers la société dans son

ensemble comme par exemple la « fraternité ».

L’auteur propose aussi de retenir deux catégories de valeurs instrumentales :

Une première catégorie de valeurs liées à la morale, et

Une seconde catégorie de valeurs liées à la compétence des individus.

Il est important de retenir qu’un conflit de valeur peut naître entre deux valeurs du même

groupe ou entre les deux groupes.

Figure 23: Catégories de valeurs selon Rokeach (1973)

Le modèle proposé par Rokeach a été critiqué, pour plusieurs raisons. Tout d’abord, les

valeurs terminales de « plénitude amoureuse », « le salut », « un monde en paix » et « un

monde de beauté » semblent peu adaptées au contexte professionnel (Finegan, 2000). Le

même reproche peut être fait à propos des valeurs instrumentales « l’amour », le « pardon »,

le fait d’ « être gai », ou d’être « propre » ou « aimant ». De plus au plan méthodologique :

le classement des valeurs opéré peut être sujet à variation compte tenu que les critères de

choix des individus peuvent changer dans le temps,

le classement des valeurs demande un certain temps, ce qui peut décourager les individus

sondés, avec le risque qu’ils abandonnent leur participation. Pour finir, le nombre

important de valeurs, 36 au total, peut, lui aussi, être complexe à mesurer.

2.3.2. L’échelle des valeurs de McDonald et Gandz

Pour élaborer ce modèle, les auteurs ont posés les trois questions suivantes à un panel de

quarante-cinq dirigeants lors d’entretiens directifs.

1. Quelle importance accordez-vous au concept de valeurs partagées ?

2. Quelles dimensions liées aux valeurs partagées, vous semblent-elles importantes ?

3. Quelles stratégies et quelles techniques, peuvent être, selon vous, appliquées afin

d’utiliser ces valeurs dans le management ?



Page 183

Une liste de vingt et une valeurs est retenue à l’issu des entretiens. Trois autres valeurs ont été

rajoutées, après échange auprès d’experts et après comparaison avec les échelles d’England

(1967) et de Rokeach (1973). Ces valeurs sont « l’autonomie », «l’obéissance », et le

«respect de l’autorité ». L’ensemble des valeurs proposées par les auteurs est rassemblé dans

le tableau suivant.

Tableau 16: Les valeurs selon McDonald et Gandz (1992: 68)

Cette échelle est tout à fait intéressante dans la mesure où elle propose vingt-quatre valeurs,

ce qui semble tout à fait exploitable dans un travail de recherche. Les auteurs ont, de plus,

effectué un travail critique de comparaison des valeurs avec celles proposées par Allport

(1960), par England (1967) et par Rokeach (1973). Enfin, cette échelle a été construite dans

Valeurs Définitions proposées par McDonald & Gandz

L’adaptabilité Être flexible et pouvoir changer, en fonction de circonstances

nouvelles

La pugnacité Être accrocheur et poursuivre ses objectifs avec vigueur

L’autonomie Être indépendant et être libre d’agir

L’ouverture d’esprit Accepter différents points de vue et opinions

La prudence Être prudent et minimiser l’exposition au risque

La considération Être bienveillant, bon et prévenant

La coopération Être coopératif et savoir travailler avec les autres

Marquer du respect Être poli et respecter la dignité individuelle

La créativité Développer de nouvelles idées et appliquer des approches innovantes

L’accomplissement personnel S’accomplir en progressant, en apprenant et en se développant

La persévérance Travailler longtemps et avec intensité afin d’atteindre les résultats

La préservation des ressources Être économe et attentif aux dépenses

La prise de risque Adopter une approche par essais et erreurs, pour résoudre des problèmes

L’équité Être juste et fournir la récompense adaptée, en fonction du mérite

La tolérance Être tolérant et compréhensif quand des erreurs se produisent

Le formalisme Faire respecter les protocoles, maintenir la tradition

L’humour Savoir mettre de l’ambiance et être enjoué

L’initiative Saisir les opportunités et prendre des responsabilités sans hésiter

Être rationnel Raisonner et prendre des responsabilités sans hésiter

L’intégrité Avoir de l’honneur et respecter des valeurs éthiques

Le respect de l’autorité Suivre les directives et se conformer aux règles

La franchise Être droit, sincère et franc, dans les discussions

Être ordonné Être soigneux, ordonné et bien organisé

L’égalité sociale Être l’égal des autres et éviter les différences de statut



Page 184

le cadre des recherches menées sur la culture organisationnelle, en particulier à partir des

travaux de Quinn et Rohrbaugh (1981, 1983), qui s’inscrivent eux-mêmes dans ceux de

Mintzberg et suivent en cela une approche systémique.

2.3.3. L’échelle Schwartz et Bilsky (1992, 1994) et de Schwartz (2012)

Schwartz et Bilsky (1992, 1994) proposent la mesure de cinquante-six valeurs nécessaires,

selon eux, pour traduire les dix types motivationnels fondamentaux et universels que nous

avons mentionnés précédemment. Ces valeurs sont regroupées autour de deux dimensions. Le

conservatisme, s’opposant à l’ouverture et au changement et le développement personnel,

s’opposant à l’altruisme (cf. Figure 24).

Les cinquante-six valeurs sont classées et énoncées ci-dessous : le premier classement est

réalisé par type motivationnel, le second énumère les valeurs et propose leur définition.



Page 185

Type motivationnel Définition Valeurs

Pouvoir (interaction,

groupe)

Statut social, prestige, contrôle et

domination des personnes et des

ressources

Le pouvoir social, l’autorité, la fortune, préserver

son image publique, la reconnaissance sociale

Accomplissement

(interaction, groupe)

Succès personnel, compétence, en

accord avec les standards sociaux

en vigueur

La réussite, être capable, l’ambition, l’influence,

l’intelligence, le respect de soi

Hédonisme

(organisme)

Plaisir et gratification personnelle Le plaisir, profiter de la vie

Stimulation

(organisme)

Besoin d’excitation, de nouveauté

et de défi

La hardiesse, une vie variée, une vie excitante

Auto-orientation

(organisme,

interaction)

Indépendance de pensée et

d’action

La créativité, la liberté, l’indépendance, la

curiosité, choisir ses propres buts

Universalisme

(groupe, organisme)

Compréhension, appréciation, la

tolérance et la protection du bien-

être de tous les hommes et de la

nature

L’ouverture d’esprit, la sagesse, la justice sociale,

l’égalité, un monde en paix, un monde de beauté,

l’harmonie, avec la nature, la protection de

l’environnement, l’harmonie personnelle

Bienveillance

(organisme,

interaction, groupe)

Préservation et amélioration du

bien-être des personnes avec

lesquelles on est en contact

personnel fréquent

Être serviable, l’honnêteté, le pardon, la loyauté,

être responsable, l’amitié authentique, un amour

profond, une vie spirituelle, un sens à la vie, le

détachement

Tradition (groupe)

Respecter ou se conformer aux

idées, aux coutumes, que la culture

ou la religion impose à l’individu

L’humilité, accepter son sort dans la vie, être

pieux, le respect des traditions, être modéré

Conformité


Freiner les actions, inclinations et

pulsions contraires aux normes et

attentes sociales

La politesse, l’obéissance, l’autodiscipline, le

respect des parents et des personnes âgées

Sécurité (organisme,


Sécurité, harmonie, stabilité dans

la société

La sécurité familiale, la sécurité nationale, l’ordre

social, la propreté, l’échange des services, le sens

de l’appartenance, la santé

Tableau 17: Source: Schwartz S.H. (1994 : 2)



Page 186

Valeur Définition

Égalité Disposer des mêmes chances que les autres

Harmonie intérieure Paix avec soi-même

Pouvoir social Contrôle sur les autres, domination

Plaisir Satisfaction des désirs

Liberté Liberté d’action et de pensée

Vie spirituelle Les questions importantes sont d’ordre spirituel

Sentiment d’appartenance sentiment que les autres se soucient de moi

Ordre social Stabilité de la société

Une vie passionnante Avoir des expériences stimulantes

Avoir des buts dans la vie Avoir des buts dans la vie

Politesse Courtoisie, politesse

Richesse Argent, biens matériels

Sécurité nationale Protection de la nation contre les ennemis

Respect de soi Croyance en sa propre valeur

Réciprocité Éviter l’endettement, rendre les services

Créativité Imagination

Un monde en paix Un monde sans guerre et sans conflit

Respect de la tradition Respect des coutumes

Amour adulte Profonde intimité émotionnelle et spirituelle

Autodiscipline Maîtrise de soi, résistance à la tentation

Détachement Se désintéresser de préoccupations mondaines

Sécurité familiale Sécurité pour les proches

Reconnaissance social Témoignage de respect des autres envers soi

Unité avec la nature Se sentir proche de l’environnement

Une vie variée Une vie de nouveautés, de changements

Sagesse Expérience du vécu, Compréhension profonde de la vie

Autorité Le droit de diriger, de commander

Amitiés profondes Soutien sincère des amis

Un monde de beauté Une grande place pour la nature et les arts dans la vie

Justice sociale Correction des injustices, plus d’égalité

Indépendant Autonome, auto-suffisant

Modéré Rejeter les idées et comportements extrêmes

Fidèle Fidèle à ses amis, son groupe d’appartenance

Ambitieux Désireux de s’élever dans l’échelle sociale

Tolérant Accepter les idées des autres

Humble Modeste, effacé

Audace Amour du risque, de l’aventure

Protection de l’environnement Protection de l’environnement

Influent Avoir un impact sur les autres et sur les évènements

Honorant les anciens Respect des parents et des ainés

Choisir ses propres objectifs Disposer de son libre arbitre

Être en bonne santé Ne pas tomber malade

Être capable Être compétent, efficace et efficient

Accepter ma part dans la vie Se soumettre aux évènements, être résigné

Honnête Sincérité

Protéger son image publique Être soucieux de son apparence, de l’image que l’on renvoie.

Obéissant Tenir ses obligations, être dévoué

Intelligent Être capable de raisonner, faire preuve de logique

Utile Travailler pour le bien être des autres

Profiter de la vie Jouir des plaisirs de la vie

Pieux Croire en dieu, laisser une grande place à la religion

Responsable Fiable

Curieux Explorer, s’intéresser à tout

Pardonnant Être prêt à pardonner aux autres



Page 187

Valeur (suite) Définition (suite)

Avoir du succès Réussir ses objectifs

Propre Être propre, méticuleux

Tableau 18: Définition des 56 valeurs individuelles, Schwartz, 1994: 61)

Figure 24: Structure de valeurs individuelles par types motivationnels (Schwartz, 1994 : 24 ; 2006/4:964)

Ce modèle peut être critiqué pour les mêmes raisons que celui de Rokeach (1973) dont il est

inspiré. Il contient lui aussi des valeurs difficilement mesurables dans un cadre professionnel

comme « un monde en paix » ou « la vie spirituelle », etc. De même, la mesure de cinquante-

six valeurs nous semble problématique.

Néanmoins, ces travaux sont parmi les plus utilisés par les chercheurs en sciences de gestion.

La liste des valeurs proposées peut tout à fait être adaptée au contexte de l’étude pour en

écarter les moins adaptées.

Récemment, Schwartz et al. (2012) ont proposé une mise à jour de cette liste de valeurs, suite

à une étude menée dans quinze pays. En conservant le concept phare de continuum, ces

auteurs ont cherché à simplifier son échelle et à en améliorer la validité interne. Le nombre de

valeurs est considérablement réduit puisqu’il passe de cinquante-six à dix-neuf. Cependant

cette simplification pose, selon nous, des problèmes d’interprétation et d’opérationnalisation.

Par exemple : la valeur d’autonomie regroupe les valeurs d’apprentissage, de créativité et de



Page 188

choix des objectifs. De même, la valeur de conformité regroupe les valeurs d’obéissance, de

respect des règles et de l’autorité. Ainsi, pour comprendre, ce qui finalement, motive l’acteur,

il faut déterminer qu’elles « sous-valuers » sont dominantes. Par exemple, l’acteur est-il

autonome parce qu’essentiellement créatif ou parce qu’il cherche surtout à déterminer lui-

même ses objectifs. En somme, établir cette nouvelle liste de dix-neuf valeurs individuelles ne

suffit pas. Il faut toujours poser cinquante-six questions et déterminer avec le plus de

précisions possibles, quelles valeurs agissent précisément.

2.3.5. Synthèse sur la mesure de la culture organisationnelle

Dans ce chapitre, nous avons proposé un balayage arbitraire de quelques principaux modèles

d’analyse de la culture organisationnelle. Tous ces modèles se basent sur une contingence

2x2. A partir du croisement de deux variables, ils proposent quatre modalités culturelles pour

expliquer la manière dont les institutions forment leurs conditions d’existence.

Nous avons opté pour le modèle des valeurs concurrentes. Ce modèle est explicite et complet

pour mesurer la culture organisationnelle, même si selon nous certaines valeurs méritent

d’être revues. De plus, nous pensons que ce modèle, contrairement aux autres, est utilisable

pour mesurer les valeurs individuelles.

Quelle échelle joindre au modèle ? Notre travail de recherche nous permet d’écarter celle de

Rokeach (1973) dont la mise en œuvre en suivant une méthodologie quantitative nous semble

trop complexe. Nous estimons que le travail sur les valeurs de Schwartz est très complet et

doit être utilisé. Néanmoins les cinquante-six valeurs identifiées ne peuvent toutes être

utilisées. Un rapprochement avec l’échelle de Mc Donald et Gantz nous permettra d’effectuer

ce travail pour définir une liste de valeurs pertinentes dans le cadre de notre thèse.



Page 189

Le travail de recherche nous a permis de comprendre les liens entre la culture

organisationnelle et la sécurité de l’information.

La sécurité de l’information s’exprime avant tout dans les pratiques des individus et en

l’occurrence des employés des organisations.

Ces pratiques répondent à des exigences normatives qui traduisent les valeurs qui comptent

pour l’organisation et donc sa culture organisationnelle. Néanmoins, les normes pour être

appliquées, doivent être légitimées, ce qui justifie l’intervention de la dirigeance et du

management en général, mais aussi une adaptation des normes aux contextes d’action. Par

ailleurs, le mode de fonctionnement de certains managers et la nature changeante de normes

peuvent laisser place à des interprétations ou des croyances se traduisant par des

comportements contraires aux attentes de l’institution.

La culture organisationnelle se mesure par le système de valeurs qu’elle porte, mais aussi par

les pratiques que l’on peut observer (Hofstede, 1990).

L’étude des théories de la déviance nous a permis d’établir que toute organisation doit aussi

faire face à des attitudes déviantes qui sont le corollaire de l’ordre imposé pour la cohésion

des groupes et l’atteinte des objectifs de l’organisation, et ce, même si ces comportements

déviants ne sont pas toujours négatifs pour les institutions.

La littérature parcourue nous donne des clés d’analyse de la culture organisationnelle et de

son implication dans la formation des comportements des acteurs. Ces derniers peuvent ne

plus se reconnaitre dans la culture commune, et se rapprocher d’autres groupes partageant un

autre système de valeurs. Ils peuvent aussi faire partie d’autres structures sociales qui

fonctionnent sous un autre système de culture, comme les réseaux personnels et plus

généralement les réseaux sociaux, dont on peut dire, par exemple, qu’ils ne sont pas motivés

par l’atteinte d’objectifs financiers. Ainsi, les acteurs peuvent être confrontés à des conflits

culturels internes, et donc faire des choix qui ne sont pas toujours favorables aux

organisations. Ces choix peuvent aussi être dus à une interprétation favorable ou défavorable

de la transgression d’un règlement et n’aurait rien à voir avec l’expression de besoins ou de

valeurs. Cette dernière explication implique que pour agir, le déviant a besoin d’opportunités,

de soutiens et d’exemples, qu’il trouve dans son réseau social.

Le parcours de la littérature nous a également permis de sélectionner les échelles de mesure

des valeurs individuelles et systémiques proposées par Schwartz (1994), mais aussi celle de

3. Ce qu’il faut retenir du Chapitre 3



Page 190

McDonald et Gandz (1992) afin de les recouper pour mesurer les valeurs individuelles et de

groupes. Ces échelles sont complémentaires et il est tout à fait judicieux de les croiser

(Finegan, 2000: 164) pour avoir une liste la plus exhaustive de valeurs applicables à

l’environnement professionnel.



Page 191

Chaque individu cherche à anticiper le futur, ce que Commons dans la théorie

institutionnaliste, conceptualise par « la futurité ». Cette anticipation conduit à la recherche et

l’acquisition de ressources rares, dans des opérations que Commons (1934) nomme des

transactions d’échange. Ce comportement fait de chaque individu, un innovateur « ordinaire »

(Alter, 2000). Un entrepreneur du quotidien qui, soit entrerait en conflit avec les institutions,

soit chercherait à anticiper les risques (Sarasvathy, 2001) pour les éviter, mais qui, dans tous

les cas, s’appuierait sur son réseau social pour maximiser ses chances de réussite.

Ce comportement d’anticipation pose la question de la manière dont sont acquises les

ressources rares que mentionnent Commons.

A l’heure de l’économie de la connaissance, ces ressources sont principalement immatérielles,

des informations, qui font la richesse, la particularité, la compétitivité des institutions qu’elles

soient à but lucratif comme des firmes ou des associations caritatives.

Pour comprendre comment un acteur peut obtenir ces informations, nous nous sommes

intéressés à la théorie du capital social. Le parcours des définitions, l’étude des conditions

d’action, des facteurs d’influences ainsi que des avantages et des risques nous conduisent à

poser que le capital social d’un individu peut être présenté comme :

L’ensemble des ressources que lui procure l’appartenance à un ou plusieurs groupes

d’individus, dans l’objectif d’anticiper le futur. Il est fonction de la structure du réseau

personnel, du capital culturel, économique et symbolique de l’agent. Le capital social, est

actionné par les valeurs individuelles et régulé par les valeurs et les normes collectives,

qui animent l’institution à laquelle il appartient.

Pour paraphraser Commons (1934), l’individu ne peut s’affranchir du cadre moral et

réglementaire dans lequel il évolue. En somme, l’individu doit composer avec la culture de

son environnement. L’habitus, lui permet d’acquérir des automatismes pour mieux se

concentrer sur ce qui est stratégique. Néanmoins les études sur les effets de la structure des

réseaux ne proposent pas de positions franches sur le caractère opportuniste des individus. De

même, tant Alter (2000) que Sarasvathy (2005, 2008), pensent que les innovateurs ont tout

intérêt à faire preuve d’altruisme. Pour Alter, c’est la logique du don qui domine (Caillé,

2009) alors que Sarasvathy (2005), mobilise un concept très proche, né de l’esprit d’Herbert

Simon (1977) : « l’altruisme intelligent », un comportement docile apte à convaincre nos

interlocuteurs de nous aider.

Conclusion de la 1er

partie



Page 192

Selon Alter et Sarasvathy, la question de l’opportunisme ne serait pas judicieuse. Les

échanges se font dans une réciprocité différée pour satisfaire des intérêts mutuels.

Ensuite la question reste posée de savoir, si les échanges d’information dans les réseaux

sociaux, mettent à l’abri les institutions de la diffusion incontrôlée, et donc de la

dévalorisation de leurs ressources informationnelles. Cette interrogation nous incite à

comprendre la manière dont les institutions protègent leur information.

Dans le chapitre 2 consacré à la sécurité de l’information, nous avons parcouru la littérature

sur les fondamentaux de cette pratique et sur les travaux de recherches. Nous avons découvert

que bien que la culture organisationnelle soit identifiée comme une composante à part entière

de cette discipline, cette dimension reste encore fortement négligée. Les travaux de recherche

sont récents et s’intéressent principalement, d’une part aux intentions et d’autre part, aux

usages des technologies de l’information. Pourtant, si l’humain est le maillon faible du

système, c’est son comportement de manière générale qu’il faut éduquer. Différents travaux

ont évalués un grand nombre de variables comme la sensibilisation, les mauvaises habitudes,

la peur de la sanction, etc. Néanmoins, nous soulignons que les effets des valeurs, de la

présence d’une structure organisationnelle, des changements d’environnements ou encore du

management de proximité, sont des variables organisationnelles qui n’ont pas, ou très peu été

évaluées. De même, l’influence du réseau social (que nous considérons comme le réseau

personnel de l’acteur) n’est pas prise en compte.

Finalement, la figure ci-dessous représente les 3 anneaux des bases théoriques qui fondent

notre raisonnement. La culture est un maillon, un lien entre capital social et sécurité de

l’information (SSI). Nous nous appuyons sur la métaphore de l’oignon virtuel (Straub et al,

2002) pour montrer que les multiples influences culturelles d’un individu peuvent le conduire

à faire des choix contraires aux intérêts des institutions.

Figure 25: Entrelacement des bases théoriques: Capital social - Sécurité de l'information- Culture

Organisationnelle

Ce constat amène naturellement à s’interroger sur le comment d’une culture organisationnelle

et les causes culturelles de la déviance. Les sociologues identifient les conflits de culture

(Sellin, 1938) et les sous-cultures (Cohen, 1955) qui trouvent leur source dans un manque de

reconnaissance. Sutherland (1962), avec la théorie de l’association différentielle, écarte les

valeurs de la responsabilité de la déviance pour leur préférer les opportunités que crée un

réseau de relations.

Capital social

Culture Organisationnelle

SSI



Page 193

Ces différentes théories, nous conduisent à penser, que l’enrichissement des recherches sur la

culture organisationnelle est d’actualité. Nous proposons d’étudier les effets de cette culture,

dans ses interactions avec la culture individuelle et l’enchâssement des salariés dans de

multiples structures relationnelles.

A l’issu de ces trois chapitres théoriques, nous proposons le modèle de recherche suivant :

Figure 26: Transaction stratégique – influences du capital social et de la sécurité de l’information

Force des liens

Redondance


Obligation

Liberté

Empathie

Nécessité Devoir

Amour- propre

Amour de soi

Antipathie

Sympathie


Institution

Environnement externe

à l’institution

Culture

organisationnelle

Intérêt pour

soi

Culture individuelle



info

rm

atio

ns

con

fiden

tielles

con

fiden

tielles


Rationalité limité,

Altruisme intelligent

Capital

Politiques de

sécurité

Promotion du

leadership

Sécurité de

l’information

Le capital social

Attitude

managériale

Sensibilisation

du personnel

Expériences passées



Page 194

PARTIE 2

ETUDE EMPIRIQUE ET RESULTATS DE LA RECHERCHE



Page 195

IV.CHAPITRE IV

CHAPITRE IV: METHODOLOGIE ET CONCEPTION DE

L’ETUDE EMPIRIQUE



Page 196

Figure 26: architecture du chapitre 4

1 - L'approche opérationnelle

1- Construction des hypothèses

2- Opérationnalisation des hypothèses

2- Approche méthodologique

1- Méthodologie d'investigation

2- Méthodologie de test et d'analyse


Le design de la recherche : hypothèses, opérationnalisation et

méthodologie de la recherche

Le choix du terrain et des

méthodes d’analyse

Le questionnement et sa

traduction opérationnelle



Page 197

Suite à la revue de la littérature présentée dans les chapitres précédents, nous proposons un

modèle conceptuel de l’obtention d’informations à valeur commerciale, stratégiques,

organisationnelles et opportunes. Les informations à valeur commerciales sont généralement

sensibles pour les institutions (MaRS26

). Les informations stratégiques concernent les choix

stratégiques de l’institution ou de son environnement. Les informations organisationnelles

sont relatives à l’organisation de l’institution, ses processus, etc.

Les informations stratégiques et organisationnelles permettent à l’acteur de mieux

appréhender son environnement global et d’anticiper l’avenir. Les informations opportunes

sont celles que le demandeur de l’information ne devrait pas obtenir. Elles constituent un

avantage dans la mesure où elles enrichissent le portefeuille d’informations en possession et,

améliorent la compréhension de l’acteur de l’environnement qui l’entoure.

Ce chapitre, décrit la méthodologie de mise en œuvre de la recherche, pour tester les liens

entre les construits constitutifs de ce modèle.

Nous avons constaté que les recherches sur les facteurs d’acquisition d’informations sensibles

ou opportunes n’existent pas. D’autres en revanche s’en approchent, en structurant leurs

travaux sur des paradigmes positivistes et, sur la base de recueils d’informations de terrain.

Leur visée est explicative, par l’analyse des relations causales entre différents types de

variables.

Nous suivons également cette méthodologie afin de produire une connaissance actionnable,

de nature objective et a-contextuelle.

Dans ce chapitre, nous commençons par élaborer nos hypothèses de recherche. (Section 1,

paragraphe 1.1), puis la manière dont nous avons opérationnalisé les différents construits du

modèle proposé (section 1 paragraphe 1.2). Ensuite, nous exposons nos choix

méthodologiques d’investigation (section 2 paragraphe 2.1) Nous expliquons les raisons qui

sous-tendent le choix d’une enquête auprès de salarié, et des objets d’étude et de la procédure

de recueil des données puis, nous distinguons les variables réflexives des variables formatives

(section 2 paragraphe 2.2). Enfin, nous présentons la méthodologie de développement et de

validation des instruments de mesure et celle du test des hypothèses de recherche (section 3).

26 http://www.marsdd.com/articles/confidential-information-and-trade-secrets/

http://www.marsdd.com/articles/confidential-information-and-trade-secrets/



Page 198

1. L’approche opérationnelle

1.1. Construction et justification des hypothèses de recherche

En nous basant sur la revue de la littérature, nous exposons dans cette section le processus de

développement du modèle conceptuel ainsi que les hypothèses de la recherche.

Selon nous, aucune recherche n’a combiné le capital social, l’influence des valeurs

individuelles et organisationnelles et la sensibilisation à la sécurité de l’information. De plus,

à notre connaissance, aucune recherche n’a encore porté sur l’influence de la sécurité de

l’information sur l’acquisition d’information stratégique par les individus.

Ce modèle se compose de trois axes :

1- le capital social et en particulier les théories structurales (Granovetter, 1973 ; Burt,

1992) et la théorie des ressources sociales (Lin, 1999),

2- la théorie des valeurs universelles de Schwartz (1994),

3- Les mesures organisationnelles de sécurité de l’information pour lesquelles aucun

fondement théorique et modèle n’existe actuellement.

1.1.1. Le modèle conceptuel

Le modèle conceptuel est construit en prenant en compte diverses échelles puisées dans la

littérature. Ces échelles mesurent le capital social, les valeurs individuelles, les valeurs

organisationnelles et les indicateurs organisationnels de sécurité de l’information.

L’apport du capital social

Les effets du réseau social sur l’acquisition des informations stratégiques, organisationnelles,

commerciales et opportunes se traduisent par les trois dimensions que nous avons détaillées

dans notre revue de littérature

Le contenu des liens : la Théorie de la force des liens faibles (Granovetter, 1973),

dont les variables sont la fréquence d'interaction, la proximité émotionnelle, l’objet de

l’échange,…

La structure du réseau : la théorie des trous structuraux (Burt, 1992) qui s’évalue par

la taille, la densité, la contrainte,…



Page 199

Les attributs des acteurs : la théorie des ressources sociales (Lin, 1999) qui considère

l’organisation, le niveau hiérarchique, la localisation géographique,…

Ces trois théories proposent des axes complémentaires explicatifs de l’accès à des ressources

informationnelles. La théorie des liens faibles s’attache au contenu des liens. Les dimensions

affectives, temporelles ou fréquentielles de la relation expliquent les bénéfices qu’une

personne obtient de ses relations. Même si cette approche est parfois contestée, la force des

liens conduirait à augmenter la densité des réseaux et par voie de conséquence, le nombre

d’informations y circulant, leur vitesse de circulation et leur caractère officieux.

Comme nous l’avons déjà mentionné dans le premier chapitre, la combinaison de ces trois

théories nous permet de prendre en compte l’ensemble des informations, simples ou

complexes, que l’acteur peut obtenir, soit grâce à ces liens forts (connaissances complexes),

soit grâce à ses liens faibles (connaissances simples, mais rares). En combinant la théorie des

liens faibles et celle des trous structuraux, nous pouvons aussi bâtir des hypothèses sur le

contenu émotionnel des échanges (l’amitié permettrait d’obtenir des informations officieuses),

et sur les stratégies adoptées par les individus (la position d’intermédiaire permet d’obtenir

des informations d’ordre politique).

Ces deux premières théories, permettent de répondre à la question que se pose l’innovateur

selon Sarasvathy (2001) : « Qui je connais » ?

La troisième théorie, celle des ressources sociales (Lin, 1999), souligne que l’acteur, de par

ses attributs, c’est-à-dire ses caractéristiques sociaux économiques, est un « aimant qui attire

des relations par le potentiel de ressources qu’il représente ». Comme l’a écrit Lazega

(2006), disposer de capital social, c’est avoir quelque chose à échanger.

Cette théorie suppose également, que par effet miroir, les membres d’un réseau disposent de

ressources. Aussi, la diversité des ressources peut constituer un atout précieux pour l’accès à

des informations variées.

Cette théorie répond, selon nous, entièrement à la deuxième question de

l’innovateur (Sarasvathy, 2001) : « Ce que je sais ». Cependant elle ne répond que

partiellement à la troisième et dernière question : Qui je suis ?

La réponse partielle à cette question souligne l’absence d’une composante essentielle à

l’analyse du capital social et relative à la personnalité de l’acteur : sa culture et celle de

l’environnement dans lequel il évolue.

La littérature identifie bien des valeurs comme l’amitié ou la confiance comme des éléments

essentiels du capital social. Cependant, les effets des valeurs, dans leurs interactions avec le

milieu environnent, ne sont que partiellement pris en compte. Or les valeurs sont d’une part au

centre de la culture individuelle et organisationnelle (Schein, 1984), et d’autre part, elles sont

à l’origine des motivations du don (Caillé, 2009).



Page 200

L’apport des théories culturalistes de la déviance, de la théorie des valeurs

universelles et du modèle des valeurs concurrentes

La culture organisationnelle facilite l’engagement des membres pour le bien des organisations

(Robbins, 1989). Schein (1984), place les valeurs au centre de son modèle de la culture

organisationnelle. Les valeurs sont les principes sociaux, des philosophies, des objectifs, des

normes et des croyances considérés comme ayant une valeur intrinsèque pour les membres de

l'organisation.

Or, si des valeurs communes peuvent avoir pour fonction de préserver les organisations en

général, elles peuvent également être à la source de comportements déviants.

Un conflit de culture (Sellin, 1938) par exemple, peut naître lorsqu’un individu n’accepte pas

les nouvelles normes qu’on lui impose et préfère agir selon les normes auxquelles il est

habitué. Une sous-culture (Cohen, 1955), « méchante », peut naître dans un groupe se sentant

rejeté par la société. Par ailleurs, les délinquants communiquent rarement par des médias de

masse. Cette information est importante parce qu’elle peut caractériser un comportement

d’échange d’information volontaire et donc conscient.

Il y a donc du sens à bâtir un modèle confrontant valeurs individuelles et valeurs

organisationnelles. Un tel modèle permet d’étudier les convergences ou les divergences de

comportement entre une personne et une institution.

La théorie des types motivationnels des Schwartz adaptée au modèle des valeurs concurrentes

(Den Hartog et al, 1996; Denison et Mishra, 1995; Hooijberg et Petrock, 1993; McDonald et

Gandz, 1992; Quinn, 1998) permet de proposer une typologie par type de cultures

dominantes, pour les organisations et les individus :

Cette typologie traduirait la perception que peuvent avoir les acteurs, des valeurs

organisationnelles en phase ou en opposition avec leurs valeurs individuelles, dans le but

d’obtenir de l’information. Ce comportement pourrait faire courir un risque à l’institution,

selon le degré de sensibilité des ressources informationnelles échangées.

L’objectif de la sécurité de l’information, par la sensibilisation, consiste alors en l’orientation

des valeurs organisationnelles afin que celles-ci inculquent des comportements responsables

dans la manipulation des informations.

L’apport des travaux sur la sensibilisation à la sécurité de l’information

Les travaux sur la sensibilisation à la sécurité de l’information sont relativement récents et

peux nombreux (environ 15 études, publiées dans des revues de rang 1 et 2 au classement

CNRS 2011). Il n’existe pas de modèles disponibles des effets de la sensibilisation sur



Page 201

l’acquisition d’informations. Nous pouvons cependant, utiliser et compléter des indicateurs

communément admis par la communauté scientifique.

Compte tenu de notre objet de recherche, nous avons retenu les indicateurs de sensibilisation,

d’implication de la dirigeance, d’existence de politiques et d’existence d’un service de

gestion. Nous avons ajouté deux autres variables à un indicateur : l’attitude du manager et

l’expérience antérieure de la sécurité de l’information.

1.1.2. Le cadre conceptuel général et variables principales

Notre parcours de la littérature a mis en évidence plusieurs variables relatives aux

comportements d’échange d’informations des acteurs sous l’influence du capital social, des

valeurs et des mesures organisationnelles de sécurité (SSI).

Le contenu des liens, la redondance structurale et la redondance d’attributs des acteurs, lui

donnent accès à des fournisseurs d’information qui n’offrent pas tous les mêmes services,

mais qui font partie du réseau social de l’acteur.

La culture organisationnelle médiatise la culture individuelle. Les mesures organisationnelles

de sécurité de l’information influencent les valeurs organisationnelles.

Le concept d’habitus (Bourdieu, 1980b) incite à penser que l’expérience antérieure de la

sécurité influence le comportement des acteurs.

La nature sensible ou non de l’information, influence le choix du support de communication

utilisé. Le type de média, la sécurité organisationnelle de l’information et le capital social,

agissent sur l’acquisition d’informations.



Page 202

Figure 26: cadre conceptuel général de la recherche

Variables

d’environnement

Variables du capital social

Variables de la SSI

Variables culturelles

Culture

Individuelle

Culture

Organisationnelle

SSI

Organisationnelle

Redondance

structurale

Acquisition

d’information de valeur Cible de

l’information

Contenu

des liens

Redondance

d’attributs

Ressources

d’anticipation

Expérience de l SSI

Média de

communication



Page 203

A présent, nous nous intéressons au développement des hypothèses de recherche relatives aux

variables étudiées. Nous proposons par la suite un modèle conceptuel global précisant les

relations entre les différents construits identifiés.

1.1.3. Les hypothèses de recherche

Nous présentons dans cette sous-section les hypothèses de recherche en distinguant les

hypothèses relatives aux variables centrales du modèle conceptuel. Le modèle conceptuel

global proposé est présenté à la fin de la sous-section.

Les hypothèses relatives aux variables principales du modèle

Les effets du capital social

Dans certains cas, le capital social des individus peut bénéficier à la collectivité, l’institution à

laquelle ils appartiennent. Burt (1997a) montre par exemple que le capital social permet les

activités de courtage qui apportent des informations émanant d'autres acteurs à l'acteur

central. Dans la mesure où cette activité de courtage se fonde sur une sortie réciproque

d'informations, l'ensemble du réseau bénéficiera de la diffusion de l'information. Dans son

étude sur l'industrie du vêtement, Uzzi (1997: 46) a constaté que le transfert d'informations à

grain fin entre les entreprises leur permet de mieux prévoir les demandes futures et d'anticiper

les préférences des clients. Hansen (1999) montre que les liens faibles facilitent la recherche

efficace et à faible coût de nouvelles informations par des équipes de développement de

produits. Ces auteurs suggèrent que des liens forts facilitent la recherche à moindre coût,

d’informations complexes et le transfert de connaissances tacites.

La littérature sur le capital social foisonne de résultats montrant que les trous structuraux ont

un impact positif sur l’actualité et la pertinence de l’innovation (Adler et Know, 2002 :29 ;

Boxman et al, 1991; Burt, 1992; Fernandez & Weinberg, 1997; Granovetter, 1973; Lin et al,

1981; Meyerson, 1994 ; Burt, 1987; Coleman, Katz, et Menzel, 1966; Rogers, 1995). Il en est

de même pour l’innovativité ou la créativité (Galunic 2001, Burt 2004, Rodan et Galunic

2004), ou encore la performance individuelle (Burt 2004, Rodan et Galunic 2004).

Néanmoins, ces études ne disent rien sur le caractère opportun des informations qui transitent

par le trou structural.

Or, même si Coleman (1988) écrit que la fermeture dess réseaux diminue les effets

d’opportunités, la littérature montre plus généralement le contraire. Burt (1992) ou Portes

(1998 : 15), suggèrent que les réseaux fermés facilitent l’opportunisme pour satisfaire les

intérêts privés.

De même, une forte densité n’est pas toujours synonyme de liens forts. Nous avons aussi

souligné qu’Alter (2009) écrit que plus les individus échangent des connaissances et des



Page 204

savoir-faire, plus ils échangent de l’émotion, des représentations et des valeurs, et plus les

individus acceptent de donner des choses variées, personnelles et engageantes.

Par ailleurs, le principe de confidentialité de l’information, qui vise à protéger la compétitivité

des institutions, implique de ne pas diffuser des informations de valeur à l’extérieur de ses

murs, et en particulier vers la concurrence. Or le principe de non-redondance d’attribut (Lin et

al, 1981 ; Lin, 1999) suggère que plus un acteur dispose de contacts géographiquement

dispersés, plus il obtient des informations riches et variées.

Dans ces conditions, nous posons les hypothèses suivantes :

Les effets de la culture organisationnelle et individuelle

Caillé (2009), écrit que les valeurs sont aux sources des motivations à agir. Si l’on se réfère à

la littérature sur la culture organisationnelle (Schein, 1985b, 2004), le leadership est une

condition essentielle pour forger une culture organisationnelle et faire respecter une culture

organisationnelle et les règles associées. Dans ses conditions, une forte valeur de leadership

impliquerait le respect des règles de sécurité si elles sont promues au plus haut niveau

hiérarchique de l’organisation.

Myyr et al. (2009) ont réalisé un des rares recherches portant sur les effets des valeurs

individuelles et sur la conformité aux règles de sécurité de l’information des entreprises. En

mobilisant la théorie universelle des valeurs de Schwartz et celle du raisonnement moral, ils

montrent que les valeurs individuelles d’ouverture au changement (innovation, audace,

autonomie, etc.), favorisent l’adoption de comportements non conformes aux règles de

sécurité de l’information. Alors qu’à l’opposé, les valeurs individuelles de conformité incitent

les salariés à les respecter. Cependant, nous pouvons regretter que cette étude ne considère ni

les valeurs organisationnelles, ni les types motivationnels liés à l’accomplissement ou le

dépassement de soi. Nous pouvons néanmoins trouver des éléments, nous permettant d’étayer

nos hypothèses sur les effets de la culture organisationnelle:

Von Hippel (1987:4-5) déclare que les ingénieurs de firmes différentes, mais qui fabriquent

des produits similaires en suivant des processus proches, s’échangent des informations. Ces

échanges s’appuient sur le mécanisme de réciprocité (Mauss, 1950; Caillé, 2006 et 2009).

Les protagonistes révèleraient si nécessaire les savoir-faire propriétés de leur firme. Shrader

(1991), à partir des travaux de Von Hippel, montre que des informations techniques sont

H1 Le réseau personnel permet d’avoir accès à des informations stratégiques,

organisationnelles, commerciales, opportunes et confidentielles

H1a Un réseau fermé (clique) favorise l’accès à des ressources (humaines)

d’informations stratégiques et organisationnelles.

H1b Les ressources (humaines) d’informations stratégiques et organisationnelles de

l’acteur lui fournissent de l’information stratégique, organisationnelle,

commerciale, opportune et confidentielle.



Page 205

échangées de manière informelle entre les firmes, y compris entre compétiteurs. Les employés

cherchent à satisfaire les intérêts économiques de leur firme. C’est pourquoi ils ne participent

pas à l’échange s’il comporte un risque pour sa santé économique. La nature de leurs relations

personnelles serait secondaire. Shrader (1991 :12-13) insiste également sur les effets

amplificateurs de la réciprocité perçus par les acteurs pour qui, plus l’information reçu a de

valeur, plus le récepteur est redevable de l’émetteur. L’échange d’informations qui procurent

un avantage compétitif est possible si :

le récepteur n’est pas en compétition directe avec l’émetteur ou s’il n’est pas membre

d’une firme rivale,

les domaines d’applications des informations échangées sont différents. Dans ce cas,

le bénéfice peut même être conséquent pour les deux firmes.

Le compétiteur peut acquérir ces informations par d’autres sources.

Kreiner et Shultz (1993: 197-198) précisent que quand les rivaux coopèrent et échangent de

façon informelle des idées qui ne constitues pas en l’état des savoirs

commercialisables (« sellable truth »), la valeur de l'information supplémentaire acquise dans

l’échange est supposée dépasser la perte de valeur occasionnée par son partage. Le partage de

cette idée prometteuse est peu coûteux, et les parties prenantes de l’échange peuvent tirer des

dividendes substantiels de son développement et de son exploitation.

Toujours dans le secteur de la R&D, Simon et Tellier (2008 : 158) relèvent la relation entre la

recherche de la reconnaissance sociale et la divulgation d’informations confidentielles. Les

effets des liens forts cités précédemment (Alter, 2009), indiquent également que l’amitié

permettrait d’outrepasser les règles de sécurité. Pour souligner à nouveau ce fait, Chollet

(2005 : 177) recueille le témoignage d’ingénieurs en R&D qui confient ne pas respecter les

règles de confidentialité au nom de l’amitié qu’ils portent à leurs relations. Cependant plus

largement, ce même auteur pense que la collaboration entre membres d’un même réseau

social implique le respect des règles professionnelles.

Compte tenu de ces éléments, nous postulons que :

H2 Les valeurs individuelles incitent à capter de l’information opportune ou

confidentielle.

H3 Les valeurs individuelles incitent à capter de l’information provenant de l’extérieur

de l’organisation.

H4 Les valeurs individuelles influencent le capital social pour l’obtention

d’informations stratégiques, organisationnelles, commerciales, opportunes ou

confidentielles.

H5 Les valeurs organisationnelles perçues incitent à capter de l’information provenant

de l’extérieur de l’organisation.

H6 Les valeurs organisationnelles perçues n’incitent pas à capter de l’information

opportune ou confidentielle.



Page 206

Les effets des médias de communication

Nous avons également relevé de la littérature sur la déviance (Cohen, 1955) que les groupes

déviants évitent d’utiliser des médias de communication de masse. Cela implique une possible

conscience de l’acte qui doit rester discret compte tenu de son caractère hors norme. Cette

dimension de l’échange est importante. La plupart des études sur la sécurité de l’information

s’intéressent aux comportements des salariés dans leurs usages des Technologies de

l’Information et de la Communication (Vance et Siponen, 2010 ; Bulgurcu et al, 2010; Straub

Welke, 1998 ; Straub, 1990). Nous n’avons relevé dans la littérature que la sécurité

organisationnelle sensibilise sur les risques relatifs aux usages des outils de communication

électronique comme les virus les chevaux de Troie, etc. (Vance et Siponen, 2010 ; D’Arcy et

al, 2009,). Nous posons donc l’hypothèse suivante.

H7 L’obtention d’informations opportunes ou confidentielles se fait de préférence via

des rencontres physiques ou des supports physiques (clés USB, CDROM, etc.).

Les effets des mesures organisationnelles de sécurité de l’information

La littérature sur les effets des mesures organisationnelles de sécurité de l’information montre

que, dans l’esprit de la théorie de la culture organisationnelle, toutes les mesures promues par

l’autorité hiérarchique ont des effets positifs sur le respect des règles de sécurité : la

connaissance des politiques de sécurité (Knapp et al, 2012 ; D’Arcy et al, 2009), la

sensibilisation (D’Arcy et al, 2009, Dinev et Hu, 2007, ENISA, 2006, Doherthy et Fulford,

2005), l’implication de la dirigeance (SOGP, 2011 ; Peltier et al, 2005,NIST 800-50, 2003 ),

la structure de l’organisation (Peltier, 2005 ; ENISA, 2006 ; Hansche, 2001a). Néanmoins, les

mesures effectuées portent essentiellement sur les usages des technologies de l’information et

de la communication. Elles portent aussi sur les comportements ou plutôt les intentions de

comportement, et non sur les valeurs individuelles ou organisationnelles. Aussi, nous posons

que :

H8 La culture organisationnelle médiatise les effets des mesures organisationnelles de

sécurité de l’information contre l’obtention d’informations opportunes ou

confidentielles.

La littérature ne met pas non plus en avant le rôle du manager de proximité, qui selon nous,

compte tenu de la théorie de la culture organisationnelle, devrait être un acteur majeur de la

sécurité de l’information. Parsons (1951) écrit que Les rôles prescrivent aux individus

comment ils doivent se comporter. Ainsi le manager endosse le rôle de leader et montre à son

entourage ce que son rôle exige de lui. Dans une vision classique, le rôle du manager est

fonctionnel orienté sur la tâche (Fayol, 1916) ou interactionniste (Mintzberg, 1973).

Cependant la théorie de la structuration (Giddens, 1984) apporte un nouvel éclairage. Selon

Willmott (1987), le concept de dualité du structurel de Giddens permet d’envisager le rôle du



Page 207

manager dans une perspective institutionnelle et stratégique. L’activité du manager s’inscrit

dans une perspective structurationniste et récursive de l’action. Il contribue à construire la

stratégie des organisations, à donner du sens aux actions et à le transmettre autour de lui

(Rouleau, 2005). En suivant ce raisonnement, le manager donne du sens à la sécurité de

l’information et le transmet à ses collaborateurs.

Aussi, nous postulons que :

H9 La culture organisationnelle médiatise les effets du manager de proximité contre

l’obtention d’informations opportunes ou confidentielles.

Nous remarquons également que les effets de l’expérience ne sont pas explorés dans la

littérature. Pourtant, la vision prescriptive implique la socialisation et l’apprentissage Ogien

(2012 : 163). L’étude de Puhakainen et al. (2010) porte sur les méthodes d’apprentissages, et

montre des effets positifs sur l’intention de respecter les règles. Vance (2010) a montré que

les habitudes pouvaient expliquer des mauvais comportements non-intentionnels, mais il ne

dit rien concernant l’inverse.

La théorie du conflit de Culture de Sellin (cf. Chapitre 3, section 3.1.2), nous incite cependant

à prendre en compte les changements qui interviennent dans la carrière d’un acteur. En

particulier, ceux qui impliquent un changement d’environnement et de culture de travail.

Aussi, nous posons l’hypothèse que :

H10 L’expérience antérieure de la sécurité de l’information accentue les effets des

pratiques actuelles de sécurité de l’information.

Les effets de l’orientation interne/externe des flux d’informations

Nous ne trouvons pas de traces, dans la littérature consacrée à la sécurité de l’information, de

l’influence que peut avoir l’objectif de l’information pour celui qui la demande, sur son

comportement. Pourtant, March et Simon (1958) ont démontré que la prise en compte de

l’incertitude est un comportement clé des organisations. Thompson (1967) suggère qu’une des

activités principales des firmes est de s’adapter aux incertitudes de son environnement. Les

petites et moyennes entreprises exportatrices par exemple, sont à la recherche d’informations

sur leur environnement externe. Une grande part d’entre elles mobilisent leurs ressources

internes, mais aussi leurs partenaires (Amabile et al, 2012 :105) pour capter des informations

stratégiques pour leurs activités. Aussi nous postulons que :



Page 208

H11 La collecte d’informations opportunes concerne essentiellement les informations

relatives aux activités externes à l’institution

Les variables de contrôle.

Après avoir présenté les hypothèses de recherche relatives aux construits, nous passons à

présent à l’exposé concernant les variables de contrôles qui peuvent avoir un effet direct sur la

variable latente endogène, ou modérer les effets des variables prédictives.

Les caractéristiques sociodémographiques des salariés.

Les effets de l’âge :

L’âge peut avoir une influence sur la composition du capital social. Il est aussi en partie lié à

l’expérience. Selon Bridges et Villemez (1986) le capital social tend à diminuer avec l’âge.

Cependant d’autres chercheurs trouvent une relation inverse (Coleman, 1990, Kalmijn, 2003;

Wellman et al, 1997), alors qu’Erickson (2003) et Lambert et al, (2006) démontrent que les

effets de l’âge produisent une augmentation puis une diminution du capital social sous l’effet

du vieillissement. Ces derniers sont rejoints par McDonald et Mair (2010 : 347), dont l’étude

menée auprès de 2995 personnes de nationalité américaine montre que les ressources sociales

augmentent avec l’âge, puis déclinent à partir de 50 ans. La relation entre l’âge et

l’accumulation de capital social suivrait donc une courbe curvilinéaire.

De même, l’âge a une influence sur le contenu des liens. Pour Kalmijn (2003) ou encore

(Wellman et al, 1997), l’âge tend à réduire les effets de l’amitié dans la composition des

réseaux. Cornwell et al, (2008) et Kalmijn (2003), montrent que les liens forts sont plus

présents dans les populations jeunes, mais moins fréquents que les liens faibles quand il s’agit

d’expliquer l’élévation du statut social. De plus, différentes études sur la sécurité de

l’information considèrent que l’âge est un facteur important de non-conformité aux règles de

sécurité, et l’utilise comme variable de contrôle (Gattiker et Kelley 1999 ; Leonard et Cronan,

2001 ; Leonard et al, 2004 ; D’Arcy et al, 2009 ; Vance et Siponen, 2010). Par ailleurs, le

concept d’habitus (Bourdieu), nous incite à penser que l’individu jeune, est moins sensible à

la sécurité de l’information alors qu’un individu plus âgé sera plus expérimenté.

Les effets de l’ancienneté :

La variable ancienneté correspond à la notion « d’organizational tenure » dans la littérature

sur capital social (Uzzi, 1999 ; Leana et van Buren, 1999 ; Ahuja et Galetta, 2003 ; Rodan et

Galunic, 2004 ; Perry-Smith, 2006). Ces recherches relient l’ancienneté à la réussite



Page 209

professionnelle parce qu’elle implique une stabilité des relations avec les collaborateurs. Par

ailleurs l’ancienneté dans l’entreprise favorise l’adhésion aux mesures organisationnelles de

sécurité.

Les effets du statut social :

Le statut de l’individu a aussi une importance plusieurs fois soulignée dans la littérature, le

débat consistant à déterminer si un cadre dirigeant gravit les sommets grâce à son capital

humain ou à son capital social (Lin, 2008 ; Lin, 1999 ; Marsden & Hurlbert, 1988 ; Lin et al,

1981). Toutes ces études concluent que le capital social aide considérablement la progression

sociale. Cependant le recensement effectué par Lin (1999) montre un résultat mitigé avec sept

études sur onze, selon lesquelles ; le capital social est lié à l’élévation sociale. Par ailleurs,

plus un acteur monte les échelons de la hiérarchie, plus il se doit d’adopter un comportement

de leader en phase avec les exigences de la dirigeance.

La taille de l’institution

Plus la taille d’une institution est petite, moins l’acteur dispose de ressources internes pour se

constituer un capital social, et moins l’institution dispose de moyens pour mettre en œuvre la

sécurité de l’information. Le Clusif (2012) mentionne à chaque rapport annuel que les petites

et Moyennes Entreprises (PME) connaissent de graves carences de mise en œuvre de mesures

organisationnelles de sécurité. Plusieurs raisons expliquent cela ; manque de moyens

financiers, manque d’expertise, manque de personnel.

Le tableau 19 ci-dessous synthétise nos questions de recherche, s’en suit le schéma conceptuel

global en figure 27.



Page 210

Influences des variables du capital social, de la culture organisationnelle et de la SSI

H Intitulé

Eff

ets

du

capit

al s

oci

al H1a Un réseau fermé (clique) favorise l’accès à des ressources (humaines) d’informations

stratégiques et organisationnelles.

H1b Les ressources (humaines) d’informations stratégiques et organisationnelles de l’acteur lui

fournissent de l’information stratégique, organisationnelle, commerciale, opportune et

confidentielle.

Eff

ets

des

val

eurs

indiv

iduel

les

H2 Les valeurs individuelles incitent à capter de l’information opportune ou confidentielle.

H3 Les valeurs individuelles incitent à capter de l’information provenant de l’extérieur de

l’organisation.

H4 Les valeurs individuelles influencent le capital social pour l’obtention d’informations

stratégiques, organisationnelles, commerciales, opportunes et confidentielles

Eff

ets

des

val

eurs

org

anis

atio

nnel

les H5

Les valeurs organisationnelles perçues incitent à capter de l’information provenant de

l’extérieur de l’organisation.

H6 Les valeurs organisationnelles perçues n’incitent pas à capter de l’information opportune

ou confidentielle.

Eff

ets

des

méd

ias

de

com

mu

nic

atio

n H7 L’obtention d’informations opportunes ou confidentielles se fait de préférence via des

rencontres physiques ou des supports physiques (clés USB, CDROM, etc.).

L’e

ffet

des

mes

ure

s

org

anis

atio

nnel

les

de

sécu

rité

H8 La culture organisationnelle médiatise les effets des mesures organisationnelles de

sécurité de l’information contre l’obtention d’informations opportunes ou confidentielles.

L’e

ffet

du

man

ager

de

pro

xim

ité



L’e

ffet

de

l’ex

pér

ience

anté

rieu

r d

e

la S

SI

H10 L’expérience antérieure de la sécurité de l’information accentue les effets des pratiques

actuelles de sécurité de l’information.

Eff

ets

de

l’ori

enta

tion d

e

l’in

form

atio

n

H11 La collecte d’informations opportune concerne essentiellement les informations relatives

aux activités externes à l’institution.

Tableau 19: Hypothèses des construits centraux



Page 211

Figure 27: Modèle conceptuel

Culture

Valeurs

Organisationnelles


SSI

SSI Organisationnelle

Managers

Expérience de la SSI

VAR

DEPENDANTE

Structure

Ressources Capital Social

Variables de contrôle

Caractéristiques

individuelles

Taille de l’entreprise

Obtention

d’informations

Média de

communication

Média

H2, H6

H7

H1a

H8, H9

H1b

H10

Orientation du flux

d’information

Orientation

H3, H5

H11

Liens direct Liens indirect Contrôle

H4

Ressources



Page 212

1.1.4. Synthèse de la construction des hypothèses

L’objectif de cette première section était d’établir un modèle conceptuel et une liste

d’hypothèses de recherche.

En nous appuyant sur l’analyse de la littérature scientifique, nous avons adopté une approche

multi-méthodes (triangulation méthodologique) qui a permis de mieux comprendre

l’influence et le statut des différentes variables identifiées dans la revue de la littérature.

Nos résultats montrent que trois types de facteurs influencent le comportement des individus

dans l’échange d’information : ceux liés au capital social, ceux liés aux valeurs individuelles

et organisationnelles, et ceux liés aux mesures organisationnelle de sécurité de l’information.

Les construits centraux de notre modèle - le capital social, les valeurs individuelles et

organisationnelles, les mesures organisationnelles et l’expérience antérieure de sécurité de

l’information - sont supposés avoir une influence directe ou indirecte sur la variable

dépendante : la nature des informations obtenues par le salarié.

Les variables individuelles, les caractéristiques sociodémographiques des salariés et les

variables environnementales ont une influence directe sur les construits ou une influence

modératrice sur les relations entre les construits.

Ensuite nous avons proposé un modèle conceptuel général qui montre qu’il y a plusieurs

facteurs principaux qui influencent le comportement des salariés dans leur démarche

d’obtention d’informations.

Pour les construits centraux de notre modèle :

Le capital social : redondance structurale et d’attributs du réseau personnel, force des

liens, ressources informationnelles disponibles ;

Les valeurs individuelles et organisationnelles d’ouverture au changement, de

conformité, d’affirmation et de dépassement de soi ;

L’utilisation des médias de communication ;

Les mesures organisationnelles de sécurité de l’information : la sensibilisation,

l’implication de la dirigeance, l’existence d’une structure de gestion, l’existence de

politiques ;

La perception que revêt la sécurité de l’information pour le manager de proximité ;

L’expérience antérieure de sécurité de l’information.

Nous avons sélectionné des variables de contrôle couramment utilisées dans la littérature :

les caractéristiques des répondants : l’âge, le statut, l’expérience dans l’entreprise et

dans la fonction

La taille de l’institution.



Page 213

Nous avons également proposé, onze hypothèses sont formulées, dont une se décline en sous-

hypothèse. Elles correspondent à des liens directs ou indirects entre les variables étudiées.

1.2. Opérationnalisation des construits

Pour tester et valider notre modèle, nous avons choisi la méthode PLS. Selon Chin

(1998), l’approche PLS (Partial Least Square) est une méthode prédictive et de construction

de la théorie dont l’un des objectifs est la mesure du pouvoir prédictif de la variable

dépendante (Hsieh, Lai et Shi, 2006). Chin et Newsted (1999 : 337) identifient cinq raisons

majeures d’utilisation de PLS: un objectif de recherche prédictif, la construction d’un

nouveau modèle, un changeant de modèle théorique, des mesures non ou partiellement

établies, un modèle complexe. Il faut également noter qu’à la différence de Lisrel, PLS

manque d’un indice de validation globale du modèle (Henseler et al. 2009 : 297).

Les construits d’un modèle sont inobservables directement, et il est nécessaire de proposer

une manière concrète de les appréhender. C’est la phase d’opérationnalisation.

Selon Crié (2005), un construit peut être réflexif ou formatif. Un construit est réflexif si l’on

considère que les variables manifestes sont un effet (reflet) de la variable latente, alors qu’un

construit est formatif lorsque ses indicateurs en sont la cause. Dans un construit formatif les

indicateurs ont des conséquences communes (Diamantopoulos, 2011 : 340).

Le choix d’un modèle formatif n’est pas une alternative équivalente à un modèle réflexif

(Howell et al, 2007 ; Bagozzi, 2007), mais dépend de la manière dont sont liés les indicateurs

(Edwards et Bagozzi 2000). Par ailleurs, le travail sur des indicateurs formatifs est bien plus

complexe que sur des indicateurs réflexifs (Diamantopoulos, 2011). Le choix de la méthode

doit s’appuyer sur une définition conceptuelle claire (Barki, 2008; MacKenzie, 2003). En

effet, selon Crié (2005 : 20) « une mauvaise spécification du sens causal entre un construit et

ses mesures conduit inévitablement à des conclusions erronées en ce qui concerne les

relations structurelles avec les construits ».

Dans cette recherche, nous utilisons des construits réflexif et formatifs. En effets, pour

prendre un exemple, la force des liens regroupe trois mesures qui ne sont pas nécessairement

corrélées : l’ancienneté de la relation, la fréquence des contacts et la proximité émotionnelle

des liens.

Nous utiliserons également des mesures à la fois subjectives et objectives (Nunnally, 1978) et

des échelles ordinales de type Likert, largement acceptées pour la mesure d’opinions, pour sa

facilité de compréhension et pour sa faible sensibilité au mode collecte (Vernette, 1991 ;

Evrard, Pras et Roux, 2009).

Conformément au procédé de Schwartz (1994), nous avons choisi une échelle à neuf barreaux

pour la mesure des valeurs. Les mesures relatives à la variable dépendante, aux variables

individuelles et d’environnement sont effectués sur une échelle à sept barreaux qui seraient



Page 214

plus faciles à mémoriser, posent moins de problème de normalité et semblent donc être

meilleures en termes de validité, de fiabilité et de pouvoir de discrimination (Preston et

Colman, 2000). Pour la mesure des variables relatives à la sécurité de l’information, nos

échelles varient de trois à cinq barreaux car nos questions attendent parfois une réponse

précise et, une échelle fixe et trop détaillée pour tous les items n’aurait pas été adaptée.

Nous nous intéressons d’abord à la mesure des construits centraux (2.1), avant d’aborder la

mesure des construits individuels (2.2)

1.2.1. La mesure des construits centraux

La mesure des effets du capital social

Pour les calculs, nous avons utilisé le logiciel E-Net (Borgatti, 2003) spécifiquement étudié

pour mesurer les réseaux personnels. Ce logiciel gratuit permet de calculer les degrés de

redondance structurale et d’évaluer les indicateurs de la redondance d’attributs et de la force

des liens. Les calculs peuvent se faire soit, sur des variables continues, ou soit, sur des

variables catégorielles.

La limite du réseau personnel étudié.

Lors de notre parcours de la littérature, nous avons retenu qu’un individu ne se confie qu’a

deux à trois de ses relations (Degenne et Forsé, 2004). Or, c’est bien cette caractéristique qui

nous intéresse. En effet, l’un des indicateurs de notre variable dépendant est l’acquisition

d’information opportune. Cela impliquerait des relations à liens forts, parce qu’elles

permettraient de faire circuler rapidement de l’information engageante (Granovetter, 1985).

Pour notre travail de recherche, nous limiterons donc la taille du réseau personnel à trois

individus maximum.

L’élaboration d’un générateur de nom

A notre connaissance, il existe trois types de générateurs : le générateur de position, le

générateur de ressources et le générateur de nom.

Lin, Fu et Hsung (2001) propose un générateur de position qui consiste à demander aux acteurs

de sélectionner dans une liste toutes les catégories sociales pour lesquelles ils connaissent



Page 215

quelqu’un. Ce type de générateur n’est pas adapté à notre besoin parce qu’il ne permet pas

d’effectuer des mesures des effets de la structure des relations.

Van der Gaag et Snijders (2004) ont également mis au point un générateur de ressources. Il

est demandé aux répondants d’énumérer les professions de leurs contacts. Là encore, ce

générateur n’est pas adapté parce qu’il ne contient pas de données structurales. Néanmoins,

nous précisons que notre questionnaire contient des questions non pas relatives aux types de

ressources, mais plus précisément aux types d’informations que les membres du réseau

fournissent.

Un générateur de nom opère un échantillonnage du nombre de contacts réels (Marsden 1990 :

458). Il permet au chercheur d’aider les répondants à construire leur réseau personnel. La

première question consiste à demander à la personne de réfléchir avec qui elle a eu des

relations dans les derniers mois. Une fois que les personnes identifiées par des noms, initiales

sont à l’esprit des répondants, nous pouvons poser les autres questions relatives à la structure

et au contenu des liens. Cette méthode introduit des biais, parce qu’il est important que les

individus se souviennent bien des contacts qu’ils ont eu les mois précédents. Sinon, ils ont

tendance à référencer des contacts qu’ils ont vus récemment et à reconstituer des réseaux à

liens forts (Brewer et Webster, 1999). Cependant, Ce biais ne constitue pas un problème dans

le cadre de notre étude, puisque nous nous focalisons justement sur le réseau « de confiance »

qui serait à liens forts.

Pour Bernard, Killworth et Sailer 1982: 30) : « ce que disent les gens sur leurs

communications n’a aucune ressemblance avec leur comportement ». Lors d’une étude

portant sur différentes population, Ces auteurs ont effectivement noté que prêt de 50% des

répondants prétendaient avoir des relations qui n’existaient pas. Cependant, un générateur de

nom basé sur des données observables ne donnerait pas nécessairement un meilleur résultat.

Rien n’indiquerait effectivement qu’un individu rencontre l’ensemble de ses contacts

importants durant la période d’observation.

En synthèse, nous optons pour le générateur de noms qui est le seul adapté à notre contexte

d’étude.

La construction du générateur de noms :

Les membres d’un réseau personnel peuvent être source de multiples types de ressources et

nous nous intéressons à deux d’entre-elles : les apports stratégiques (l’anticipation) et le

soutien aux initiatives (la politique). Il paraît donc judicieux de constituer une échelle multi

indicateur. C’est d’ailleurs l’approche de Poldony et Baron (1997) et de Burt (1997) qui pense

que cette échelle donne de meilleurs résultats qu’une échelle mono-indicateur.



Page 216

Pour bâtir notre générateur de nom, nous avons adapté celui proposé par Burt (1992) et

Podolny et Baron (1997), dont les générateurs ont été utilisés dans plusieurs études

importantes (Galunic, 2001 ; Rodan et Galunic 2004). Nous nous distinguons, cependant, des

deux sources principales à plusieurs points de vue. Nous avons conservé les éléments qui

nous paraissaient pertinents pour notre étude, et supprimé ce qui nous semblait au contraire

peu judicieux, comme par exemple toutes les questions relatives aux liens négatifs, , aux

domaines extra-professionnels, et aux relations d’amitiés, etc.

Nous avons porté notre attention sur les apports en informations qui sont stratégiques pour les

acteurs et sur les soutiens aux initiatives que leurs relations peuvent produire. Ces deux

notions ressortent clairement de la littérature (Alter, 2000 ; Sarasvathy, 2001; Akritch et al,

2002a ; Akrich et al, 2002b ; Sarasvathy et Dew, 2005 ; Callon et Ferrary, 2006 ; Sarasvathy

et al, 2008). Les individus recherchent des collaborateurs qui les soutiennent, qui ont la

volonté et la capacité de défendre leurs projets. Les informations stratégiques sont celles qui

sont utiles à l’anticipation, comme par exemple un changement à venir dans l’organisation

managériale, le développement d’un nouveau produit dans l’institution ou chez un concurrent,

etc.

Notre générateur porte donc sur trois membres du réseau et sur deux types de ressources

produites :

GENERATEUR DE NONS

Question : Inscrivez les initiales ou le diminutif de 1 à 3 de vos

contacts à l'extérieur ou dans votre entreprise et qui représentent

pour vous des:

Adaptée de

sources d'informations stratégiques – STRAT Poldony et Baron(1997)

soutiens de vos initiatives – SOUTIEN Burt (1992)

Tableau 20: le générateur de noms

Afin d’aider les répondants, nous avions apportés les précisions suivantes :

Les conseils stratégiques vous aident à comprendre ce qui se passe dans votre

environnement et à anticiper l'avenir (quels sont les projets qui seront financés dans

les prochains mois ? ...).

Les soutiens de vos initiatives font la promotion de vos idées (vous encouragent à

proposer des projets,....).

La mesure de la force des liens

En plus de la définition donnée par Granovetter (cf. Chapitre 1, Section 1.31.), Lincoln (1982)

définit la force des liens dyadiques comme : « une propriété inclusive qui reflète le degré de



Page 217

stabilité d’un lien exigeant en terme d’investissement en temps et en ressources ». D’après

Marsden et Campbell (1984), il existe plusieurs façons de mesurer la force des liens :

La proximité émotionnelle :

Il s’agit de l’intensité émotionnelle telle que définie par Granovetter (cf. Chapitre 1, Section

1.3.3). Cette notion de la force des liens a fréquemment été utilisée (Lovas et Sorenson, 2005 ;

Rodan et Galunic, 2004 ; Hansen, Podolny et Pfeffer, 2001 ; Seibert, Kraimer et Liden,

2001 ; Galunic, 2001 ; Podolny et Baron, 1997 ; Burt 1992).

Mardsen et Campbell (1984 : 494) ont évalué les indicateurs de la force des liens et

l’influence que peuvent avoir ses indicateurs prédictifs, selon eux, la proximité est le meilleur

indicateur possible. En effet, la proximité émotionnelle serait en moyenne l’indicateur le

mieux corrélé à la force des liens et le moins corrélé aux variables prédictive d’un construit.

La fréquence:

La fréquence est le nombre d’interactions dans un temps donné. Cette notion est aussi

abondamment utilisée dans la littérature (Reader et al, 2011 ; Levin et Cross, 2004 ; Hansen,

Podolny et Pfeffer, 2001 ; Podolny et Pfeffer, 2001 ; Gargiulo et Benassi 2000 ; Burt 1992).

Cependant, Mardsen et Campbell (1984 : 493), prenant l’exemple des relations de voisinage,

trouvent que la fréquence est un indicateur moyennement corrélé à la force des liens, peu

corrélé à la proximité émotionnelle et inversement corrélé à l’ancienneté, mais surtout,

fortement pollués par les indicateurs prédictifs.

L’ancienneté :

L’ancienneté figure la durée de la relation. Cette notion est peu utilisée par les différents

auteurs recensés (Shi et al. 2009 ; Perry-Smith, 2006 ; Levin et Cross, 2004 ; Hansen, 1999).

Récemment, dans une étude marketing sur l’industrie de service Shi et al. (2009 : 665)

utilisent l’ancienneté come mesure de la force des liens, parce qu’elle reflète selon eux : « La

mesure dans laquelle les partenaires sont liés… la capacité de la relation de résister à la fois

des défis internes et externes ». Ces auteurs définissent trois caractéristiques de la force des

liens : « affective » (attachement émotionnel), « cognitive» (croyance que la relation est et

restera rémunératrice) et « conative » (engagement à soutenir la relation, même face à des

mesures d'incitation à l'interrompre). Cette approche est conforme à la définition de la force

des liens proposée par Lincoln (1982).

Certains auteurs utilisent ces différentes variables de manière distincte comme, par exemple,

Podolny et Baron (1997) qui utilisent séparément la fréquence et la proximité. Ces deux

notions ne sont effectivement pas nécessairement corrélées. D’autres auteurs, comme Levin et

Cross (2004) par exemple, raisonnent à l’inverse de Poldony et Baron et combinent la



Page 218

proximité et la fréquence moyennes. Reagans et McEvily (2003) choisissent, eux, d’utiliser le

produit de ces deux indicateurs. Notons que l’ensemble de ces exemples révèlent la

préférence des auteurs pour ces indicateurs au détriment de l’ancienneté et que, récemment,

Mardsen et Campbell (2012 : 20) ont de nouveau souligné la pluri-dimensionnalité de la force

des liens.

Synthèse sur le choix des indicateurs de la force des liens :

Bien que les travaux récents soulignent la pertinence de la fréquence comme indicateur de la

force des liens, nous pensons qu’il faut rester prudent à son égard. Dans un milieu

professionnel, la fréquence peut simplement signifier que les acteurs sont dans un même

service, un même bureau. Il s’agit alors de la conséquence de la proximité géographique ou

d’activité professionnelle. A l’inverse, l’ancienneté et la proximité des liens nous semblent

plus proches. Elles symbolisent deux dimensions de la relation qui dépasse les obligations du

quotidien. La durée et la proximité de la relation impliquent des choix personnels. On choisit

de rester longtemps en contact ou de rompre la relation. On choisit aussi ses amis. On ne

choisit pas avec qui on partage un bureau.

Dans ces conditions, la fréquence n’est peut-être pas un indicateur pertinent de la force des

liens, mais elle peut très bien être une source d’informations précieuse pour les individus.

Aussi nous décidons de ne pas l’écarter du questionnaire dans un premier temps.

Notre questionnaire portant sur la force des liens se compose des questions suivantes, posées

pour chaque contact enregistré par le générateur de noms. Les échelles sont notées de 1(le

moins) à 4 (le plus).

CONSTRUIT: LIENS

Indicateur Question Source

Proximité

PROX

Est-ce que vous vous sentez

Pas du tout

proche

Un peu proche Proche Très proche

Inspiré de Burt

(1992

Fréquence

FREQ

A qu’elle fréquence échangez-vous…

Tous les ans Tous les mois Toutes les

semaines

Tous les jours

Inspiré de Burt

(1992)

Ancienneté

ANC

Depuis combien de temps connaissez-vous…

Moins de 6

mois

De 6 mois à 1

an

De 1 à 3 ans Plus de 3 ans

Inspiré de

Perry-Smith

(2006)

Tableau 21: mesure du construit LIENS



Page 219

La mesure d’une valeur unique pour tout le réseau :

Parmi l’ensemble des relations qu’entretient chaque répondant, comment obtenir une valeur

de la mesure de la force des liens pour l’ensemble du réseau ? La littérature nous propose

deux méthodes.

1. Le décompte du nombre de liens faibles et de liens forts. Cette méthode permet de

traiter l’échantillon de manière dichotomique, en fonction de l’orientation que l’on

souhaite lui donner (les apports de la force ou de la faiblesse des liens). Cette méthode

nous interroge cependant parce qu’elle peut par exemple lier la réussite ou l’échec à

un nombre de liens forts ou faible, sans tenir compte de la dimension du réseau.

2. Une conception continue de la force des liens, ou la moyenne des variables produits

une valeur indicative de la force du lien. Cette méthode nous semble porter moins de

contradictions que la première et nous décidons pour cette raison d’appliquer un score

moyen des indicateurs. Par exemple, une personne ayant trois contacts qu’elle connait

depuis un an (valeur 2), depuis un à trois ans (valeur 3) et plus de trois ans (valeur 4)

aura un score moyen d’ancienneté de (2+3+4)/3 = 3.

La mesure de la redondance structurale

La littérature identifie plusieurs mesures disponibles de la redondance structurale.

La taille du réseau :

La taille est donnée par le nombre de liens. L’usage de cette variable se fonde sur l’idée, que

plus les contacts sont nombreux, plus l’acteur a de chance d’obtenir ce qu’il veut. Cette

assertion peut être vraie, suivant la théorie des trous structuraux les liens ne sont pas

redondants, c’est-à-dire que le réseau forme une étoile ou ego (l’acteur principal) est

positionné au centre du réseau et ses alter (ses contacts) ne se connaissent pas. Cette mesure

ne tient donc pas compte des effets de la redondance des liens. Utiliser cette variable nous

priverait des informations relatives à la fermeture des réseaux. La faiblesse de cet indice a

conduit Burt (1992) à développer les mesures structurales suivantes :

La densité du réseau :

La densité reprend la notion de taille, mais en y intégrant les liens qui existent entre toutes les

relations. Plus un réseau est dense, plus il est redondant. La formule de calcul est la suivante :

soit N, le nombre de liens, la densité D se calcule par la formule suivante :

Burt, 1992 (50-56) propose également deux notions supplémentaires : l’effet de taille et la

contrainte.



Page 220

La taille effective :

L’effet de taille prend en compte le nombre d’interconnexions entre chaque acteur. Il est

fortement lié à la densité. Plus la densité est élevée, plus la taille effective est élevée. Plus les

acteurs sont interconnectés entre eux, plus le réseau est redondant et moins l’acteur central a

du pouvoir sur ces relations puisqu’il n’est pas nécessairement dans une position

d’intermédiaire.

La contrainte :

La contrainte est aussi une mesure qui considère le nombre de contacts et la densité du réseau.

Elle mesure la part que prend un alter (un contact) dans l’ensemble des relations. A l’inverse

de la taille effective, la contrainte diminue quand le nombre d’alter croît, quel que soit le niveau

de densité.

Le choix de la variable à utiliser :

Selon nous, la contrainte et la taille effective ont l’avantage sur la densité de prendre en

compte un effet taille. Ce sont des mesures plus complexes, qui donnent une vision plus juste

de la structure des relations. La contrainte étant la plus utilisé dans la littérature (Burt, 2010,

2007, 2004, 1997, 1992, Reagans et Zuckerman, 2003; Seibert, Kraimer et Liden, 2001).

Une technique supplémentaire offerte par le logiciel E-net (Borgatti, 2003) consiste à

pondérer les calculs de redondance par des paramètres de la force des liens. Un tel choix

nécessite de postuler qu’un indicateur du contenu de la relation en particulier, serait plus

contraignant que les autres pour l’acteur central. Or la littérature sur la force des liens

témoignent de leurs effets positifs. L’intensité des relations n’est donc en rien une contrainte.

Suivant ce constat, nous décidons de ne pas pondérer les liens.

La mesure de la variable à utiliser :

Cette mesure consiste à établir des liens en fonction du degré de connaissances que les

membres d’un réseau ont entre eux.

Cette méthode est, à notre connaissance, la seule disponible. Elle a cependant été critiquée

puisqu’elle suppose que le répondant a une vision suffisamment précise des relations qu’il

entretient alors que sa réponse est soumise à sa perception de la réalité.

En nous inspirant de la méthode de Burt (1992), nous posons les questions suivantes : soit A,

B et C, les trois noms saisis par un répondant.



Page 221

CONSTRUIT: NRS


Contrainte

NR_S

Est-ce que A connait bien B et C ?

B C

McEvily et Marcus (2005)

Inspiré de Burt

(1992)

Est-ce que B connait bien C ?

C

Tableau 22: mesure du construit NRS

Lorsqu’on utilise un générateur de noms, il n’est pas d’autre méthode possible que celle que

nous avons présentée. Elle peut toutefois être critiquée. Sa principale limite renvoie à la

capacité qu’elle suppose du répondant à évaluer les liens entre les alters, que plusieurs auteurs

ont mis en doute (Krackhardt et Kilduff, 1999 ; Marsden 1993).

Selon Krackhardt et Kilduff (1999), deux biais de perception sont identifiables. Le premier est

émotionnel (Krackhardt et Kilduff 1999 : 771-772) et le second est cognitif (ibid. : 774).

Le biais émotionnel relève de la dissonance cognitive. Un individu qui est très proche de 2

personnes souhaiterait qu’elles soient aussi proche l’une de l’autre. Il a donc tendance à

exagérer le degré émotionnel de la relation de ses alters. Le biais cognitif agit dans la

situation inverse. Quand un individu ne sait pas vraiment si deux de ses relations se

connaissent, il a tendance à exagérer l’état de la relation.

Les travaux de Burt (2010 : 290) confirment cette analyse, mais tout de même, 87,5% de son

échantillon reportent l’état des relations de leurs contacts avec exactitude. Les erreurs

d’appréciations se situent aux extrêmes, suivant la même logique que les biais émotionnels et

cognitifs.

L’outil reste donc selon nous valide pour notre étude. En effet, nous ne demandons pas aux

répondants d’indiquer avec précision le degré d’intensité que leurs relations entretiennent

entre elles, si elles sont très proches ou au contraire très distantes. Nous leur demandons

simplement si elles se connaissent bien.

La mesure de la non-redondance organisationnelle

Le choix et la mesure des attributs :

Il existe plusieurs indicateurs de mesure la non-redondance d’attributs.



Page 222

La non-redondance hiérarchique : l’écart des responsabilités assumées dans

l’institution entre l’acteur central et ses relations.

La non-redondance organisationnelle : la dispersion organisationnelle.

La non-redondance technique : la distance relative aux savoir-faire.

La non-redondance géographique : l’éloignement physique.

Il nous semble pouvoir écarter facilement la distance géographique. En effet, l’objet de notre

étude porte sur l’échange d’informations sous l’effet de la sécurité de l’information et les

réseaux de petite dimension procurant le plus d’avantages pour l’acteur central. Ces

conditions impliquent soit une proximité géographique, soit un moyen d’échange numérique

qui annule l’effet de la distance physique.

De même, nous n’observons pas dans la littérature consacrée à la sécurité de l’information,

que les effets du statut social ne sont pas considérés. Nous avons même constaté que la

position hiérarchique ne figure pas non plus dans les variables de contrôle (Pahnila et

Siponen, 2007 ; Jhonston et al, 2009 ; D’Arcy et al, 2010 ; Puhakainen et Siponen, 2010 ;

Siponen et Vance, 2010, Bulgurcu et al, 2010). Par ailleurs, selon le principe de réciprocité

(Caillé, 2009), la valeur du don est liée à la valeur de l’objet donné (qu’il s’agisse d’un bien

physique ou immatériel). Ce qui sous-entend que les deux parties de l’échange sont capables

de faire des dons de valeurs équivalentes et qu’ils se trouvent très probablement dans des

positions hiérarchiques similaires.

En revanche, les principes fondateurs de la sécurité de l’information (cf. chapitre 2,

Introduction) nous indiquent que leur objectif étant de préserver, voire d’améliorer leur

compétitivité, les institutions sont très fortement préoccupées par la protection de leurs savoir-

faire vis-à-vis du monde extérieur et en particulier bien sûr de la concurrence. La plupart des

études (Straub, 1990, Straub et Welke, 1998 ; Pahnila et Siponen, 2007 ; Jhonston et al, 2009 ;

D’Arcy et al, 2010 ; Puhakainen et Siponen, 2010 ; Siponen et Vance, 2010 ; Bulgurcu et al,

2010) cherchent les effets de la sensibilisation sur les comportements. Les mesures

s’appuient sur les usages des technologies de l’information et de la communication. Ils

évaluent en fait, l’intention de respecter, ou le respect effectif des règles d’usage, notamment

via les pratiques de communications électronique. Or, un salarié communique avec des

personnes dont la profession n’est pas nécessairement identique à la sienne. Par exemple, un

technicien, échange avec des commerciaux, des techniciens commerciaux, des consultants,

etc. En conséquence, nous retenons la non-redondance organisationnelle et technique dans le

cadre de notre thèse.

La non-redondance organisationnelle :

Comme nous le mentionnons dans la justification du choix de nos attributs, les études

consacrées à la sécurité de l’information font peu cas de la répartition organisationnelle des

acteurs. Ceci s’explique par une vision dichotomique des types de malveillance qui sont

classifiées comme internes ou externes aux institutions, puis comme malveillantes ou non

malveillante (cf. figure 11, loch 1992 et figure 12, Warkentin et al, 2012). La fonction



Page 223

qu’exerce un salarié est parfois utilisée comme variable de contrôle (D’Arcy, 2009), mais le

principe de confidentialité et donc le devoir de discrétion qu’imposent les règles de sécurité

de l’information implique que le risque se situe bien dans la diffusion non contrôlée de

l’information vers l’environnement extérieur. Nous considérons donc que, dans le cadre de

notre étude, la non-redondance organisationnelle se situe dans l’opposition interne/externe à

l’organisation. Cependant, il faut tout de même garder à l’esprit que plus une information

sensible se diffuse dans une organisation, plus elle s’expose à des défaillances humaines et à

une « fuite » vers l’extérieur.

Le tableau 23 ci-dessous expose notre mesure de la redondance d’attribut organisationnel.

Soit A, un contact identifié du répondant :

CONSTRUIT : NRO


Non-Redondance

organisationnelle

NR_O

Est-ce que A appartient à la même organisation que vous (entreprise,

service publique,…)

Oui Non

Inspiré de

Burt (1992)

Tableau 23: mesure du construit NRO

La non-redondance technique :

Dans leur étude consacrée à la diversité des domaines techniques des réseaux personnels à

mesurer, Rodan et Galunic (2004) développent une échelle de mesure de la distance

euclidienne entre les différents membres du réseau. Cette technique implique que chaque

membre évalue la distance technique qui le sépare d’un autre, puis la distance euclidienne est

calculée à partir de toutes les distances entre paires. Cette technique nous semble bien trop

complexe à utiliser et inadaptée à nos choix méthodologiques.

Nous développons donc une échelle basée sur la distance moyenne (comme pour les mesures

de la force des liens) en conservant, comme Rodan et Galunic, une échelle à 4 degrés.

Cette méthode a cependant une limite. Dans le cas d’un acteur ayant deux membres dans son

réseau pratiquant des spécialités techniques proche de la sienne, la distance technique est

égale à 3 (3+3/2) alors qu’une personne ayant deux relations ayant des spécialités techniques

différentes et identiques aura le même score (4+2/2=3). Pourtant le niveau de redondance est

très différent.



Page 224

CONSTRUIT : NRT


Non-Redondance

Technique

NR_T

Le domaine de spécialité de A est-il proche du votre ?

Très différent

(1)

Différent (2) Proche (3) Identique (4)

Inspiré de Rodan et

Galunic (2004)

Tableau 24: mesure du construit de non-redondance technique (NRT)

La mesure des effets des valeurs individuelles et organisationnelles

Nous consacrons cette section à l’élaboration d’une échelle de mesure des valeurs

individuelles et organisationnelles, dans un contexte de travail et dans le respect (ou non) des

pratiques organisationnelles de sécurité de l’information. Dans un premier temps, nous

présentons l’échelle proposée par Wils et al, (2007), inspirée des travaux d Schwartz (1994,

2006). Nous proposons l’adaptation de cette échelle à notre contexte d’étude, que nous

confrontons à celle de Mac Donald et Gantz (1992) et une la nouvelle échelle de Schwartz et

al, (2012).

Le choix d’une échelle de mesure

Plusieurs études proposent des échelles des valeurs. Notre analyse de la littérature nous

conduit (cf. chapitre 3, section 2) à identifier l’échelle des valeurs organisationnelles de Mc

Donald et Gantz (1992) et l’échelle des valeurs individuelles de Schwartz (1994). Nous

souhaitons confronter leurs résultats pour ainsi augmenter la force de notre échelle.

L’étude des valeurs a été menée par Schwartz (2006) dans 70 pays, ce qui lui confère une

grande validité empirique (Wach et Hammer, 2003) et un caractère universel. En

conséquence, nous souhaitons conserver cette dimension qui donne un caractère plus

généralisable à notre étude. Cependant, elle se consacre aux valeurs individuelles et à notre

connaissance, seule l’étude de Wils et al, (2007) conduite auprès de 174 professeurs

québécois propose un modèle une échelle des valeurs au travail basée sur ces travaux, à partir

des quatre pôles de valeurs (cf. tableau 25 ci-dessous).



Page 225

Les quatre pôles de valeurs :

Pôle Type motivationnel Définition

Affirmation de

soi (AFS)

Pouvoir (interaction,

groupe)

Statut social, prestige, contrôle et domination des personnes et des ressources

Accomplissement


Succès personnel, compétence, en accord avec les standards sociaux en

vigueur

Dépassement

de soi (DES)

Bienveillance (groupe,

organisme)

L’intérêt porté aux autres

Universalisme

(groupe, organisme)

Compréhension, appréciation, la tolérance et la protection du bien-être de

tous les hommes et de la nature

Ouverture au

changement

(OUV)

Stimulation

(organisme)

Besoin d’excitation, de nouveauté et de défi

Auto-orientation

(organisme,

interaction)

Indépendance de pensée et d’action

Hédonisme

(organisme)

Plaisir et gratification personnelle, sensuelle et émotionnelle

Conformité

(CON)

Bienveillance

(organisme,


Préservation et amélioration du bien-être des personnes avec lesquelles on est

en contact personnel fréquent

Tradition (groupe) Se conformer aux idées, aux coutumes, que la culture ou la religion impose à

l’individu

Conformité


Freiner les actions, inclinations et pulsions contraires aux normes et attentes

sociales

Sécurité (organisme,


Sécurité, harmonie, stabilité dans la société

Tableau 25: les 4 pôles de valeurs (Schwartz, 2006: 8)

Ces auteurs proposent la correspondance entre les valeurs individuelles (VI) et les valeurs

individuelles au travail (VIT) que nous avons regroupés selon leurs recommandations (ibid. :

313) dans les pôles suivants (cf. tableau 25, 26, 27 et 28). Quarante-deux valeurs sur

cinquante-six valeurs sont conservées. Ce nombre de valeurs est selon nous bien trop élevé

pour les exploiter telles quelles dans notre questionnaire. Un second travail d’épuration en

ligne avec nos objectifs est nécessaire.



Page 226

La seule étude pourtant sur l’influence des valeurs individuelles (Myyr et al, 2009) montre

que les types motivationnel d’ouverture au changement et de conformité ont une influence

respectivement négative et positive sur le respect des règles de sécurité. Cependant cette étude

ne dit rien, ni sur les valeurs sélectionnées pour la mesure, ni sur les effets des autres types

motivationnels.

Les types motivationnels d’hédonisme, d’auto-orientation et de stimulation constituent le pôle

de valeurs d’ouverture au changement.

L’hédonisme comprend le plaisir (ici au travail) et la jouissance de la vie. Rien dans la

littérature relative aux réseaux sociaux, aux comportements des innovateurs ou à la sécurité de

l’information, nous indiques que ces valeurs ont un rapport avec l’échange d’information. Il

nous semble également difficile de justifier que ces deux valeurs peuvent avoir un effet sur

l’obtention ou le don d’informations opportunes. En conséquence nous décidons d’écarter ces

deux valeurs.

La stimulation comprend l’audace, la passion du travail et le goût pour des activités variées. Il

nous semble que la passion du travail ou la variété des activités peuvent difficilement être

liées aux pratiques de diffusion d’informations.

Au contraire, nous conservons l’audace, c’est-à-dire la prise de risque, qui nous semble en

lien directe avec la décision de ne pas respecter des règles ou au contraire de s’y conformer.

D’ailleurs, tant Sarasvaty (2001) qu’Alter (2000) montrent que la gestion du risque est

centrale et conditionne le succès de l’innovateur. De même ces deux auteurs soulignent que la

créativité est une valeur qui caractérise l’innovateur et qui nécessite d’avoir un regard critique

et une capacité à concevoir la nouveauté. Ce qui implique une certaine autonomie d’action.

Compte tenu de ces éléments, nous décidons d’écarter également les valeurs « passion du

travail » et « activités variées ».

Ouverture au changement

Définition VI (Schwartz, 1994) VIT (Wils et al,

2007)

VIT

retenues

Satisfaction des désirs Plaisir Plaisir au travail

Liberté d’action et de pensée Liberté Liberté Retenu

Avoir des expériences stimulantes Une vie passionnante Passion du travail

Imagination Créativité Créativité Retenu

Une vie de nouveauté, de

changement

Une vie variée Des activités variées

Amour du risque, de l’aventure Audace Audace Retenu

Disposer de son libre arbitre Choisir ses propres objectifs Autonomie d’action Retenu

Jouir des plaisirs de la vie Profiter de la vie Non applicable

Saisir des opportunités sans hésiter Initiative Initiative Retenu

Explorer, s’intéresser à tout Curieux Auto-apprentissage Retenu

Tableau 25: valeurs individuelles d'ouverture au changement (d’après Wils et al, 2007:313)



Page 227

Le pôle de valeurs de conformité (cf. tableau 26) se compose des types motivationnels de

tradition, de bienveillance, de conformité et de sécurité.

Nous écartons « la politesse », « le respect de la tradition », « le respect des anciens », « la

modération », « l’humilité », « la santé » « le sentiment d’appartenance » et « la propreté »,

qui ne sont pas des valeurs en liens avec l’échange d’information et le respect des normes au

travail.

Nous avons souligné (cf. chapitre 1) à quel point la valeur de réciprocité est importante pour

le développement et le maintien du capital social. Compte tenu de l’abondante littérature sur

ce sujet, qui tend unanimement à faire de la réciprocité un principe de fonctionnement des

réseaux sociaux, nous considérons que cette valeur est présente de façon importante dans les

valeurs individuelles. Néanmoins, la réciprocité n’est pas une valeur au travail. On ne se rend

pas service, mais on fait ce que l’on à faire dans l’intérêt de la communauté. Ce principe reste

valable pour expliquer le fonctionnement des échanges dans les réseaux personnels, mais ne

sera pas analysé en termes de valeur lors de cette thèse.

Nous conservons l’obéissance (le respect des règles) puisque cette valeur est au cœur des

attentes des managers de la sécurité de l’information (cf. chapitre 2). Nous conservons

également la sécurité familiale (la stabilité) qui est liées aux valeurs de travail par la stabilité

de l’emploi. Ce choix s’explique par l’impact sur la pérennisation de l’emploi que pourrait

avoir un manquement aux règles d’entreprise.

Tableau 26: valeurs individuelles de conformité (d’après Wils et al, 2007:313)

Conformité

Définition VI (Schwartz, 1994) VIT (Wils et al, 2007) VIT

retenues

Sentiment que les autres se soucient de moi Sentiment d’appartenance Sentiment

d’appartenance

Stabilité de la société (règles) Ordre social Ordre social

Courtoisie, politesse Politesse Politesse

Protection de la nation contre les ennemis Sécurité nationale Non applicable

Éviter l’endettement, rendre les services Réciprocité Non applicable

Respect des coutumes Respect de la tradition Respect de la tradition

Sécurité pour les proches (stabilité de

l’emploi, des relations)

Sécurité familiale Sécurité familiale Retenu

Rejeter les idées et comportements extrêmes Modération Modéré

Modeste, effacé Humilité Humble

Respect des parents et des ainés Honorant les anciens Non applicable

Ne pas tomber malade Être en bonne santé Non applicable

Se soumettre aux évènements, être résigné Accepter ma part dans la vie Non applicable

L’obéissance Le respecter des règles Retenu

Dévotion La dévotion Non applicable

Spiritualité - Laisser une grande place à la

religion

Piété Non applicable

Être propre, méticuleux – conditions de

travail

Propreté Consciencieux



Page 228

Le pôle de valeurs « affirmation de soi » (cf. tableau 27) se compose des types motivationnels

de pouvoir et d’accomplissement.

Nous pensons pouvoir écarter les valeurs « intelligence », de « richesse » et le « respect de

soi » des préoccupations qui nous semblent être des valeurs trop éloignées pour expliquer les

comportements qui nous intéresse.

« La compétence » peut avoir un lien avec l’échange d’information, mais nous nous

focalisons sur l’échange d’informations de nature prospective et commerciales liées aux

pratiques organisationnelles internes et externes aux institutions et qui ne concernent pas le

savoir-faire propre à l’individu. Nous faisons également le choix d’écarter l’ambition. En

effet, contrairement à « la réussite », cette valeur, n’a pas été identifiée par Alter (2000) et

Sarasvathy (2001) comme une valeur motrice de l’innovation. L’innovateur n’est pas motivé

par l’ambition personnelle, mais par la réussite et la créativité. Il en est de même avec

l’influence. Certes, les travaux de Sarasvathy (2001) montrent que le succès de l’innovateur

dépend de sa capacité à entrainer des soutiens dans ses projets, mais cela relève selon elle

d’un « altruisme intelligent » qui s’appuie au sur la docilité, c’est-à-dire le respect des

normes. En ce sens, l’innovateur n’utilise pas son savoir-faire ou la manipulation pour

influencer son entourage Au contraire, il attire vers lui des soutiens grâce à sa capacité à

montrer qu’il agit pour le bien d’un collectif et donc que les produits de son projet

bénéficieront à l’ensemble.

Nous conservons les autres valeurs que sont « le pouvoir social », « la reconnaissance

sociale », « le respect de l’autorité » et « la réussite sociale ». En effet, nous l’avons écrit à

maintes reprises, l’innovateur est motivé par la réussite et la reconnaissance sociale

(Sarasvathy, 2002 ; Alter, 2000). S’attirer les soutiens politiques dont il a besoin pour

défendre ses projets nécessite de respecter l’autorité, la hiérarchie. Sinon l’acteur s’exposerait

à des rejets systématiques de la part des décideurs. La « préservation de la réputation » est

aussi une valeur qui nous semble centrale. Elle traduit la capacité d’un individu à mener à

bien un projet et à entrainer des soutiens (mobilisation du capital social). Enfin, la direction de

projets, l’entrainement de soutiens nécessitent une capacité de leadership (le pouvoir social).



Page 229

Affirmation de soi


retenues

Contrôle sur les autres, domination Pouvoir social Pouvoir social Retenu

Argent, biens matériels Richesse Salaire décent

Croyance en sa propre valeur Respect de soi Respect de soi

Témoignage de respect des autres envers

soi

Reconnaissance

sociale

Reconnaissance sociale Retenu

Le droit de diriger, de commander Autorité Le respect de l’autorité Retenu

Désireux de s’élever dans l’échelle

sociale

Ambitieux Ambitieux

Avoir un impact sur les autres et sur les

évènements

Influence Influence

Être compétent, efficace et efficient Être capable Être capable

Être soucieux de son apparence, de

l’image que l’on renvoi.

Protéger son image

publique

Protéger sa réputation Retenu

Être capable de raisonner, faire preuve de

logique

Intelligent Intelligent

Réussir ses objectifs Avoir du succès Avoir du succès Retenu

Tableau 27: valeurs individuelles d’accomplissement de soi au travail (d’après Wils et al, 2007: 313)

Le pôle de valeurs de dépassement de soi se compose des types motivationnels de

bienveillance et d’universalisme. Nous supprimons les valeurs de « justice », de « tolérance »,

d’égalité », le pardon et l’honnêteté.

Nous conservons les valeurs « d’amitié ». Cette valeur est directement en lien avec

l’altruisme, un moteur du don. La « responsabilisation » est aussi selon nous une valeur

importante pour l’innovateur parce qu’elle indique une capacité à assumer la réussite comme

l’échec, ce qui est de nature à rassurer des partenaires. La « collaboration » se réfère à la

capacité à travailler en groupe et donc à trouver des compromis dans la négociation pour la

construction collective d’un projet. La « loyauté » n’est autre que la fidélité. Cette valeur est

un indicateur de fiabilité de l’innovateur pour son entourage. Elle signifie que l’on peut

compter sur lui, qu’il intègre les objectifs et les valeurs collectives. La loyauté est intimement

liée à la confiance. En effet, pour Caillé (2009), on ne peut avoir confiance en quelqu’un qui

pourrait se détourner de la relation si une autre opportunité plus alléchante se présente à lui.

C’est le principe d’engagement dans la relation qui implique la fidélité.



Page 230

Dépassement de soi


retenues

Disposer des mêmes chances que les autres Égalité Égalité

Paix avec soi-même Harmonie intérieure Non applicable

Satisfaction des désirs Plaisir Non applicable

Les questions importantes sont d’ordre

spirituel

Vie spirituelle Non applicable

Avoir des expériences stimulantes Une vie passionnante Non applicable

Un monde sans guerre et sans conflit Un monde en paix Non applicable

Profonde intimité émotionnelle et spirituelle Amour adulte Non applicable

Se désintéressé de préoccupations mondaines Détachement Non applicable

Se sentir proche de l’environnement Unité avec la nature Non applicable

Une vie de nouveauté, de changement Une vie variée Non applicable

Expérience du vécu, compréhension profonde

de la vie

Sagesse Non applicable

Soutient sincère des amis Amitiés profondes Amitiés profondes Retenu

Une grande place pour la nature et les arts

dans la vie

Un monde de beauté Non applicable

Correction des injustices, plus d’égalité Justice sociale Justice sociale

Accepter les idées des autres Tolérant Tolérant

Protection de l’environnement Protection de

l’environnement

Non applicable

Loyauté Fidélité Etre fidèle à ses

collaborateurs Retenu

Sincérité Honnête Honnête

Travailler pour le bien être des autres Utile Collaborer Retenu

Jouir des plaisirs de la vie Profiter de la vie Non applicable

Assumer des responsabilités Responsable Responsable Retenu

Être prêt à pardonner a autrui Pardonnant Pardonnant

Tableau 28: valeurs individuelles de dépassement de soi (d’après Wils et al, 2007: 313)

Finalement, nous conservons 17 valeurs que nous validons en les confrontant à la nouvelle

proposition des types motivationnels de valeurs Schwartz (2012), puis, suite à leur

transformation au niveau organisationnel, aux travaux de Mc Donald et Gantz (1992).

Suite à une étude menée auprès des entreprises, Mc Donald et Gantz (1992) propose en effet

un ensemble de vingt-quatre valeurs organisationnelles fortement inspirées de l’échelle de

Rockeach (1973), qu’ils classent selon la typologie proposée par Quinn et McGrath (1985).

Dans leurs récents travaux, Schwartz et al. (2012: 669) proposent également une nouvelle

échelle de valeurs, née de différents constats. Tout d’abord, le concept de continuum (la

représentation circulaire) des valeurs reste selon eux une conception tout à fait pertinente, et

largement négligée par la communauté scientifique. Cependant, les nombreux travaux menés

sur la base de leur échelle de valeur datant de 1994 montrent parfois des problèmes de

mesure, et en particulier de la multi-colinéarité entre valeurs adjacentes et une validité interne

parfois faible sur certains facteurs, puisque dix valeurs se situes dans des frontières floues

(ibid. : 668). Leur étude auprès de 6000 personnes réparties dans dix pays les conduit à

proposer dix-neuf valeurs au lieu de cinquante-six, et à recomposer le continuum circulaire.



Page 231

Certaines valeurs sont décomposées en sous-types, de manière à réduire « le flou aux

frontières des types motivationnels» et à redéfinir les complémentarités et les oppositions

entre valeurs. Par exemple « l’autonomie de faire » (self-direction-action) s’opposerait au

respect des règles parce qu’elles contraignent les acteurs dans leurs actions. Le tableau ci-

dessous permet d’établir la comparaison entre notre échelle, la nouvelle échelle de Schwartz

(2012) et celle de McDonald et Gantz (1992).

Correspondance entre notre échelle de valeurs individuelles et organisationnelles, les valeurs individuelles

de Schwartz (2012 : 669) et les valeurs organisationnelles de Gantz (1992 : 68)

Echelles proposée Schwartz (2012 : 669) Mc Donald Gantz (1992)

Liberté d’agir et de

penser

Liberté d’agir et de penser

Autonomie d’action Autonomie d’action Autonomie d’action

Innovation (Créativité) Stimulation Etre innovant

Risque (Audace) Agir avec précaution, minimiser les risques

Initiative Prendre des initiatives

Auto-apprentissage Développement personnel

Sécurité familiale Sécurité personnelle et de

l’environnement proche

Agir avec précaution, minimiser les risques

Respecter des règles Respect des règles Respecter les règles

Pouvoir social Contrôle sur les autres personnes

Respect de l’autorité Respect de l’autorité Même valeur que pour le respect des règles

Reconnaissance

sociale

Reconnaitre sur la base du mérite

Protection de sa

réputation

Assurer sa sécurité et du pouvoir par la

protection de son image publique

Réussite Réussir en respectant les normes

sociales

Atteindre ses buts

Amitiés profondes Etre un acteur de disponible et de confiance dans les groupes

Loyauté Intégrité morale

Collaborer Etre coopératif

Se responsabiliser Se responsabiliser

Tableau 29: comparaison de notre échelle avec celle de Schwartz (2012) et McDonald et Gantz (1992)

La nouvelle échelle proposée par Schwartz nous permettrait d’utiliser moins d’indicateurs, ce

qui allégerait le questionnaire. Cependant, elle manque de validité empirique compte tenu de

sa publication récente. Par ailleurs, les regroupements ne facilitent pas nécessairement

l’analyse. Par exemple, il peut être utile de savoir que la prise de risque conduit à s’écarter

d’avantage des règles que le désir d’autonomie, parce qu’elle pourrait être mieux contrôlée

par le management, par exemple en installant des environnements de test qui permettent à

chaque salarié d’évaluer des solutions avant de les mettre en production, etc.

Il est également frappant de constater que l’échelle de McDonald et Gantz (1992) bannie des

valeurs organisationnelles. La liberté d’action et de pensée et l’amitié sont des valeurs

absentes de leur échelle. Cela rejoint le cadre transactionnel de Commons (1934). Un membre

d’un collectif ne peut agir en dehors du cadre qui régit la vie commune ; Il doit agir dans



Page 232

l’intérêt collectif et non strictement le sien. De même, l’amitié n’est pas nécessaire pour

travailler ensemble. Cette échelle lie aussi le respect des règles au respect de l’autorité, nous

comprenons cette logique. Si les règles viennent du sommet de la pyramide, alors ne pas les

respecter revient à ne pas respecter la hiérarchie.

Compte tenu que l’amitié et la liberté d’action sont des valeurs importantes, identifiées dans

la littérature comme facteurs d’influence des comportements non conformes aux règles de

sécurité (Alter, 2009 ; Myyr et al, 2009), nous décidons néanmoins de les maintenir. De plus,

il nous semble trop réducteur d’adopter une démarche dichotomique en ce qui concerne le

respect des règles et de l’autorité. Il est selon nous tout à fait possible de respecter la

hiérarchie, mais de ne pas respecter certaines règles, parce qu’elles nous semblent par

exemple, inappropriées à une situation donnée.

Aussi nous décidons de conserver notre propre échelle, dont il faut définir les modalités de

codage (cf. Tableau 30), les questions qui s’y rapporte (cf. Tableaux 31 et 32) et les modalités

d’évaluation (cf. Tableaux 33).

Variables des pôles et valeurs individuelles et organisationnelles

Pôles Echelles proposée Valeur

individuelle

Valeur

Organisationnelle

OUV (Ouverture)

Choix des objectifs (Autonomie

d’action)

VI_Cob VO_Cob

Auto-apprentissage VI_App VO_App

Initiative VI_Ini VO_Init

Innovation (Créativité) VI_Inn VO_Inn

Liberté d’agir et de penser VI_Lib VO_Lib

Risque (Audace) VI_Ris VO_Ris

CON (Conformité) Respecter des règles VI_Reg VO_Reg

Stabilité (Sécurité familiale) VI_Sta VO_Sta

AFS

(Affirmation de soi)

Pouvoir social VI_Pou VO_Pou

Protection de sa réputation VI_Rep VO_Rep

Reconnaissance sociale VI_Rec VO_Rec

Respect de l’autorité VI_Aut VO_Aut

Réussite VI_Reu VO_Reu

DES (Dépassement de soi) Amitiés profondes VI_Ami VO_Ami

Collaborer VI_Col VO_Col

Loyauté VI_Loy VO_Loy

Se responsabiliser VI_Resp VO_resp

Tableau 30: variables des valeurs individuelles et organisationnelles



Page 233

CONSTRUIT: VALEURS INDIVIDUELLES

Pôles des

valeurs

individuelles

Valeurs

individuelles

Questions : Ce qui me semble important c’est…

I_OUV VI_Cob choisir mes propres objectifs

VI_App apprendre par moi-même

VI_Ini prendre des initiatives

VI_Inn apporter de la nouveauté

VI_Lib avoir une liberté d’action et de pensée

VI_Ris oser de nouvelles choses

I_CON VI_Reg respecter les règles

VI_Sta avoir des relations stables

I_AFS VI_Pou être un leader

VI_Rep préserver ma réputation

VI_Rec être apprécié à ma juste valeur

VI_Aut respecter l'autorité

VI_Reu atteindre mes objectifs

I_DES VI_Ami avoir des relations amicales avec les membres de mon

réseau

VI_Col collaborer avec les membres de mon réseau

VI_Loy être digne de confiance

VI_Resp assumer des responsabilités

Tableau 31: questions relatives aux valeurs individuelles

CONSTRUIT: VALEURS ORGANISATIONNELLES

Pôles

organisationnels

Valeurs

Organisationnelles

Questions

O_OUV VO_Cob que les employés choisissent leurs propres

objectifs

VO_App que les employés apprennent par eux-mêmes

VO_Ini que les employés prennent des initiatives

VO_Inn que les employés fassent preuve d’innovation

VO_Lib que les employés soient libres d’action et de

pensée

VO_Ris oser de nouvelles choses

O_CON VO_Reg que les employés respectent les règles de

l'entreprise

VO_Sta proposer des emplois à long terme

O_AFS VO_Pou pratiquer un management basé sur le contrôle

VO_Rep préserver la réputation de l'entreprise

VO_Rec apprécier les compétences des employés à leur

juste valeur

VO_Aut que les employés respectent l'autorité hiérarchique

VO_Reu que les employés atteignent leurs objectifs

professionnels

O_DES VO_Ami que les employés aient des relations amicales dans

l'entreprise

VO_Col que les employés collaborent entre eux

VO_Loy que les collaborateurs soient fiables

VO_Res que les employés se responsabilisent par eux-

mêmes

Tableau 32: Questions relatives aux valeurs organisationnelles



Page 234

Le choix du questionnaire et des indicateurs

Schwartz (1994, 2006,2009, 2012) propose deux types de questionnaires pour mesurer les

valeurs.

Le Schwartz Value Survey (SVS) :

Le SVS est le premier type de questionnaire utilisé en 1992. Ce questionnaire affiche deux

listes d’éléments de valeur. Le premier contient 30 questions qui décrivent les états finaux

potentiellement souhaitables sous forme de substantif, le second contient 26 ou 27 questions

qui décrivent des moyens potentiellement souhaitables d'agir sous la forme d’adjectif. Chaque

question exprime un aspect de l'objectif de motivation d'une valeur. Une phrase explicative

fournit les éléments de compréhension pour chaque question posée.

Les répondants évaluent l'importance de chaque élément de valeur « comme un principe

directeur dans leur vie ». L’échelle est construite sur une base de 9 points marqués 7 (d'une

importance extrême), 6 (très important), 5, 4 (neutre), 3 (important), 2, 1 peu important), 0

(pas important), -1 (contraire à mes valeurs). Les répondants répondent généralement dans

une fourchette allant de « un peu important » à « très important ». L'échelle permet aussi aux

répondants d'indiquer leur opposition aux valeurs.

Le Portrait Value Questionnaire (PVQ) :

Ce questionnaire a été développé pour s’adresser à des enfants de onze ans (Schwartz et al,

2001). Chaque répondant se voit assigner un questionnaire de 40 items. Ces items

représentent les aspirations, les objectifs, les vœux qui correspondent aux valeurs d’une

personne fictive, de même sexe que le répondant. Ce dernier doit dire à quel point cette

personne lui ressemble. Par exemple : « cette personne aime toujours décider de ce qui doit

être fait ou ne pas être fait, à quel point cette personne vous ressemble-t-elle ?. L’échelle

proposée compte 8 degrés.

Le choix du questionnaire :

Compte tenu que le QVS oblige à respecter le sexe des répondants et que notre méthodologie

d’enquête ne le permet pas, nous choisissons la méthode SVS, par ailleurs fortement

éprouvée.

La distinction faite entre le substantif et l’adjectif est héritée de Rokeach (1973). Néanmoins,

les recherches de Schwartz que cette distinction n’a pas d’importance quant au fond

(Schwartz, 2009 : 8). Nous décidons donc ne pas utiliser cette méthode pour alléger notre

questionnaire.

Notre questionnaire des valeurs, dont nous proposons un exemple ci-dessous (voir l’annexe

15 pour les détails complets), compte deux volets de dix-sept questions, l’un dédié aux

valeurs individuelles et l’autre aux valeurs organisationnelles. Le nombre et le contenu des

construits dépendent de l’analyse factorielle confirmatoire. Nous avons prévu quatre



Page 235

construits pour les valeurs individuelles et organisationnelles, correspondant aux quatre pôles

de valeurs (I_OUV, O_OUV) OUVERTURE, (ICON, O_CON) CONFORMITE, (I_AFS,

O_AFS) AFFIRMATION DE SOI et (I_DES, O_DES) DEPASSEMENT DE SOI. S’il

s’avère que certaines valeurs soient non factorisables, mais justifiées par la théorie, alors le

construit portera le nom de la valeur en majuscule. Comme par exemple : VI_APP, le

construit de la valeur individuelle d’apprentissage I_APP, non factorisable.



Ce qui me semble important c’est…

Abs pas N Tout à fait

Schwartz

(1994)

Valeurs

organisationnelles

Dans mon entreprise, ce qui est important c’est…

Abs pas N Tout à fait

Schwartz

(1994)

Tableau 33: mesure des valeurs individuelles et organisationnelles

La mesures des indicateurs de la sécurité organisationnelle

La littérature (cf. chapitre 2) décrit plusieurs axes possibles de protection des informations

selon que l’acte est intentionnel ou non.

Les pratiques organisationnelles de sécurité de l’information

Les mesures concernant les actes non intentionnels sont éducatives et consistent en un

ensemble de mesures organisationnelles regroupées sous l’acronyme SETA (user awareness

of Security policies; Security Education, Training, and Awareness (D’Arcy et al, 2009 : 79).

La sensibilisation est considérée comme le moyen d’assurer la sécurité de l’information. Son

contenu dépend des politiques en vigueur. Elle s’appuie sur une structure interne de gestion

des activités de sécurité. Les mesures concernant les actes intentionnels sont dissuasives et

axées sur la sanction.

La sensibilisation :

Nous ne revenons pas sur le débat portant sur la distinction entre sensibilisation, formation et

éducation. Nous avons considéré (cf. Chapitre 2, Section 2.2), que la formation et l’éducation



Page 236

s’adresse à des populations spécifiques qui ont besoin d’une certaine expertise (les

développeurs de logiciels par exemple). La sensibilisation constitue une formation générale

ayant pour but de susciter l’intérêt et de donner les bons réflexes de prudence et de protection.

La sensibilisation est considérée et organisée comme une formation, soit de groupe et plus ou

moins interactive (Siponen et Puhakainen, 2010), soit virtuelle, sur une plateforme de

formation de l’intranet (Chen, 2006). Elle constitue :

Soit un sujet en elle-même (Siponen et Puhakainen ; Puhakainen, 2006 ; Peltier 2005 ;

Enisa, 2006, NIST, 2003).

Soit une sujet secondaire, un outil au service d’une finalité autre (Knapp, 2012 ;

D’arcy et al, 2009 ; Stanton et al, Knapp, 2004)

Les politiques de sécurité :

Les politiques peuvent être définies comme des guides nécessaires à l’atteinte des objectifs

de sécurité de l’information (Gaston, 1996 : 175). Elles définissent, clarifient ce qui est

acceptable ou ne l’est pas, et c’est pour cela que Knapp et al, (2012) suggèrent que donner la

connaissance des politiques aux salariés peut réduire le nombre d’incidents de sécurité. Ces

auteurs suivent ainsi Straub et Welke (1998), selon lesquels l’efficacité des politiques dépend

de la qualité de leurs applications. Par exemple, un salarié peut ignorer que la politique de

sécurité interdit de transporter des documents sur une clé USB, à l’extérieur de l’institution.

Une connaissance à jour de politique permettrait de limiter la fréquence de ce genre de

situation (Myyry et al, 2009 ; Doherty et Fulford, 2003; Straub et Welke, 1998).

L’implication du management :

La littérature montre que la dirigeance est à l’origine des politiques de sécurité, elle légitime

les règles et impulse la dynamique organisationnelle pour que les individus agissent dans

l’intérêt de l’institution (von Solms et von Solms, 2004 : 176). La dirigeance, peut influencer

l’efficacité des mesures de sécurité : sensibilisation, culture organisationnelle, adéquation des

politiques aux besoins et le renforcement des politiques (Knapp et al, 2007). Ces travaux

montrent que l’implication du management semble nécessaire à la réduction des risques ;

néanmoins, nous n’avons pas identifié de publications relatives à l’influence que peut avoir le

manager de proximité sur les comportements des employés. Ceci nous semble pourtant

important, d’autant que Rainer et al, (2007 : 101) montrent que parmi les dix préoccupations

des managers en matières de sécurité, le support de la dirigeance arrive en première position;

l’existence de politiques est classée sixième, juste devant la culture organisationnelle

positionnée en septième position.

De même, si l’expérience passée dans l’institution est un facteur d’adhésion aux pratiques de

sécurité de l’information (Herat et Rao, 2009 ; Pahanila et Siponen, 2007), à notre

connaissance, rien n’est dit sur l’influence que peut avoir l’expérience dans une autre

institution, et donc potentiellement, une autre culture.



Page 237

Les mesures concernant les actes intentionnels

Les mesures de sécurité concernant les actes intentionnels ont un objectif dissuasif. La

recherche c’est intéressée aux effets d’une structure de gestion de la sécurité et de la sanction

(D’Arcy et al, 2009 ; Straub et Welke , 1998 ; Sykes et Matza, 1957).

La structure de gestion de la sécurité de l’information :

Une structure de gestion de la sécurité met en œuvre et gère les outils nécessaires à la

protection de l’information. Selon Richardson (2007, 2010), plus des deux tiers des

entreprises réalisent des audits de sécurité. Straub et Welke (1998) montre que les contrôles

effectués grâce à ces outils ont un effet dissuasif des comportements déviants, si tant est que

les acteurs ont conscience de l’existence de ces contrôles électroniques. Les travaux de

Jhonston et al, (2004) vont dans le même sens, la surveillance des supports électroniques de

communication dissuade les comportements non conformes aux exigences de sécurité.

La théorie de la dissuasion enracinée (Gibbs, 1975) postule qu’une sanction sévère dissuade

les actes déviants. Plusieurs études ont montré que la sanction peut avoir un effet dissuasif sur

les actes non conformes aux règles de sécurité de l’information (Straub, 1990, Straub et

Welke, 1998, Siponen et Pahnila, 2007), mais elle aurait peu d’effets lorsque les salariés

agissent sous l’influence des techniques de neutralisations (Siponen et Vance, 2010). Par

ailleurs, la perception génèrerait également plus d’effets positifs que la certitude de la

sanction (D’Arcy et al, 2009).

Le choix des mesures des effets des pratiques organisationnelles de

sécurité de l’information

La conception des programmes de sensibilisation n’étant pas en lien avec notre sujet, nous

écartons la littérature la concernant.

De nombreux auteurs mesurent les effets de la sensibilisation, des politiques ou de l’existence

d’une structure de gestion, en se basant sur la perception des acteurs (Knapp et al, 2012 ;

Bulgurcu et al, 2010 : A1; Herat et Rao, 2009 :123 ; D’Arcy et al, 2009 : 95 ; Choi et al,

2008 : 493). Ces chercheurs interrogent les acteurs sur leur perception de l’existence de

politiques relatives à la gestion des mots de passe, de l’existence de sessions de

sensibilisation, de l’implication de la dirigeance ou du sentiment de surveillance de toutes les

modifications faites sur les données stockées dans les systèmes d’informations.

D’autres auteurs mesurent les effets des pratiques organisationnelles en évaluant les effets des

pratiques effectives des acteurs (Johnston et Warkentin, 2010 : A2 ; Dinev et Hu, 2006 : 407,

Stanton et al, 2004 :8).



Page 238

Les questionnaires axés sur les pratiques effectives s’appliquent à un contexte d’usage des

technologies de l’information. Par exemple, Choi et al,(2006), utilisent une variable fondée

sur le suivi que portent les acteurs au développement des antivirus, Jhonston et Warkentin

(2010) utilisent une variable mesurant la compétence des acteurs à utiliser un antivirus. Nous

pensons que cette méthode n’est pas adaptée à notre sujet de thèse.

A l’inverse, travailler sur la perception des acteurs nous semble tout à fait pertinent et adapté à

notre contexte. Les nombreuses études qui ont utilisé cette méthode obtiennent des résultats

probants. De plus, cela permet d’alléger le questionnaire, tout en cherchant à obtenir une

vision holistique de l’importance que prend la sécurité de l’information dans la culture

organisationnelle.

Nous avons également fait le choix de ne pas mesurer les effets de la sanction. En effet, nous

pensons que ce type de mesure nécessite d’être contextualisé et de comprendre les

motivations des acteurs. Est-ce un acte intentionnel ou non-intentionnel ? Pratiqué sous

l’influence des techniques de neutralisation ? La complexité de l’interprétation qui en découle

ne nous autorise pas à introduire une mesure des effets de la sanction dans notre questionnaire

qui manipule une combinaison de facteurs complexes. Le tableau 34 ci-dessous liste les

questions posées pour le construit des variables organisationnelles de sécurité, le tableau 35

correspond au construit relatif à l’influence du manager de proximité, le tableau 36 présente le

construit de l’expérience précédente de la sécurité.

Par ailleurs, Nous avions prévu d’utiliser deux indicateurs pour mesure les effets de

l’expérience de la sécurité de l’information : L’expérience précédente dans une autre

institution et l’expérience précédente dans une autre fonction professionnelle. Cependant

seulement 120 participants ont déclaré avoir exercé d’autres fonctions professionnelles.

Compte tenu de la faiblesse des réponses, nous décidé d’écarter cet indicateur de notre

modèle. Le construit Sec_PREC ne compte donc qu’un seul indicateur, celui de l’expérience

dans une précédente institution.

CONSTRUIT: SEC_ORGA


Existence de

politiques

SEC_POL

Mon entreprise possède des politiques de sécurité de l’information

Oui Non Je ne sais pas

Inspiré de

D’Arcy et al,

(2009)

Implication de la

dirigeance

SEC_TOP

Le top management communique sur l’importance de la sécurité de

l’information …

jamais Moins de 1 fois/ an Au moins 1 fois/an

Choi et al. (2006)

Bulgurcu et al,

(2010)



Page 239

Sensibilisation

SEC_SENSIB

Mon entreprise propose à ses salariés une sensibilisation à la sécurité

de l’information

Pas du tout

Probablement non Probablement oui Tout à fait

Inspiré de

D’Arcy et la,

(2009)

Structure de gestion

SEC_SERV

Mon entreprise dispose d’un service dédié à la sécurité de

l’information

Oui Non Je ne sais pas

Choi et al. (2006)

Bulgurcu et

al,(2010)

Tableau 34: mesure du construit SEC_ORGA

CONSTRUIT : SEC_MANAGER

Indicateur Question

Perception du manager

SEC_MANAGER

Pour mon manager, la sécurité de l’information est …

Pas du tout

importante

Un peu important

Assez importante

Importante Très

importante

Tableau 35: mesure du construit SEC_MANAGER

CONSTRUIT : SEC_PREC

Indicateur Question

Expérience précédente

SEC_PREC_ENSE

Dans la précédente entreprise que j'ai fréquentée, la sécurité de l'information était

appliquée de manière…

Beaucoup moins

stricte

Moins stricte identique

Plus stricte Beaucoup plus stricte

Tableau 36: mesure du construit SEC_PREC

La mesure des effets des médias de communication

Cet usage des supports électroniques amovibles, par sa discrétion, est potentiellement

révélateur d’un comportement de déviance (Cohen, 1955). En effet, dans son explication de la

théorie de la sous-culture, Cohen suggère que les délinquants évitent les médias de masse,

pour leur préférer des moyens de communication discrets. Le choix d’un média de

communication plutôt qu’un autre pourrait donc soit révéler une intention malveillante, soit

démontrer que les acteurs ont conscience de la nature de leurs actes.



Page 240

La littérature consacrée à la sécurité de l’information abonde de travaux consacrés à l’étude

des comportements des salariés dans l’usage des technologies de l’information et de la

communication (Vance, 2010 ; Vance et Siponen, 2010 ; Dinev et al, 2009). L’usage d’une

clé USB, par exemple pose problème parce qu’il permet de véhiculer des virus très facilement

d’un ordinateur à un autre. De même, si la clé n’est pas cryptée, sa perte ou son vol permet à

l’acquéreur d’accéder à des documents potentiellement confidentiels.

La clé USB permet de sortir discrètement des documents hors de l’organisation, et de les

répliquer en quelques secondes. A l’inverse, la messagerie électronique est surveillée, les

messages sont archivés et ce ne serait donc pas un moyen discret d’échanger de l’information.

La simple rencontre physique est une autre solution, mais sans support électronique ayant une

capacité de stockage importante comme la clé USB, les informations échangées le sont soit

sous forme papier, soit verbales. Dans ce dernier cas, elles sont nécessairement brèves et

simples.

Le tableau 37 ci-dessous présente notre construit MEDIAS relatif aux moyens de

communications employés pour l’échange d’informations.

CONSTRUIT : MEDIAS

Indicateur Question

Expérience

précédente

MED_PHY

MED_MAIL

MED_SUP

J’obtiens de l’information de la part de mes contacts via...

Très

rarement

Parfois Très

fréquemment

Des rencontres physiques

Des échanges d’emails

Des supports physiques

(USB, CDROM,…)

Tableau 37: mesure du construit MEDIAS

La mesure des effets de l’orientation interne/externe de l’information

Dans le cadre de ses activités, l’acteur est amené à recevoir de l’information en provenance de

l’intérieur de l’organisation, ou de la concurrence (extérieur à l’organisation) et plus

généralement l’environnement externe (partenaires, clients, fournisseurs,…). La quantité le

sens du flux et la nature de l’information reçue dépendent de la position dans l’institution. Un

cadre dirigeant aura plus d’information sur les mouvements de la concurrence, un acheteur

connaitra les fournisseurs, etc.

Le sens du flux d’information est aussi dépendant du réseau de relations qu’entretient le

salarié, les contacts externes que cet individu maintient peuvent le fournir en informations

utiles. C’est le principe du courtier en information, des trous structuraux (Burt, 1992).



Page 241

Le sens du flux est aussi dépendant des valeurs de la personne. Une personne curieuse,

créative sera plus intéressée par des informations nouvelles et variées qui pourraient faire

germer des nouvelles idées.

Le sens du flux d’information modifie aussi la portée stratégique de l’information. Un

commercial peut être intéressé de savoir quels concurrents vont répondre aux mêmes appels

d’offre que lui. Un chef de projet peut lui, vouloir savoir quel sera le projet phare sur lequel il

pourrait se positionner.

Le sens du flux d’information a donc une importance très lourde sur la nature de

l’information parce qu’il lui donne du sens. Nous considérons donc que ce paramètre

constitue une variable explicative de la réception d’information. En conséquence, nous avons

créé un construit ORIENTATION (cf. tableau 38) pour prendre en compte le sens du flux

d’information.

CONSTRUIT : ORIENTATION

Indicateur Question

Cible de

l’information

ACT_ENSE

ACT_CONCU

Les informations que j’obtiens au travail concernent les activités…. de l’entreprise

Très

rarement

Parfois Très fréquemment

Internes

De la concurrence

Tableau 38: mesure du construit ACT

La mesure de la variable dépendante

Quelle méthodologie adopter pour limiter les biais de réponse :

Demander à un individu s’il commet des actes qu’il ne devrait pas commettre n’est pas une

chose aisée. Les travaux menés jusqu’à présent en sécurité de l’information proposent deux

méthodes :

Demander directement au répondant s’il commet des actes répréhensibles. Dans ce cas, les

réponses peuvent être faussées par la volonté de l’acteur de masquer ses actes pour

paraître plus acceptable (le biais de désirabilité ; Trevino, 1992). Cette méthodologie est

appliquée dans les travaux de recherche des pays scandinaves. Nous considérons

cependant que franchise qu’elle requiert de la part des répondants la rend difficilement

applicable dans les pays latin comme la France.

Utiliser la méthode des scénarios (Paternoster, 1996). Cette méthode limiterait les biais

de désirabilité. Cependant sa complexité alourdirait considérablement notre questionnaire.



Page 242

Pour développer notre méthodologies, nous avons répondu à deux questions : à quels types

d’informations s’intéresser, et faut-il s’intéresser au don ou à la demande ?

A quels types d’informations s’intéresser ?

Qualifier le degré de sensibilité et les types d’informations que les individus collectent est

essentiel à notre travail de recherche.

L’un des principes fondamentaux de la sécurité de l’information est de préserver la

confidentialité des informations (cf. chapitre 2). La préservation de la confidentialité inclut

que la plus grande discrétion soit observée dans l’échange des informations sensibles et que

ces informations ne soient pas distribuées à n’importe qui, mais aux seuls destinataires

légitimes. D’après MaRS27

, une organisation Canadienne dont l’objectif est de mener des

missions d’innovation, une information devient confidentielle, quand elle a d’abord une

valeur commerciale. Nous retenons de cette définition que la nature commerciale de

l’information est par nature sensible. Comme le notent différentes recherches, l’innovateur

peut également être intéressé par d’autres types d’informations. Sarasvathy (2001) montrent

bien que les innovateurs cherchent à améliorer l’existant, à prédire l’avenir et à obtenir des

soutiens à leurs projets. Ils cherchent donc les informations organisationnelles et stratégiques,

qui leur permettent d’une part de savoir comment l’institution fonctionne, mais aussi

comment elle évolue dans son environnement. Ils peuvent ainsi anticiper en se rapprochant

par exemple des personnes clés, en se positionnant avant leurs collaborateurs sur des projets

majeurs. Ces informations peuvent avoir une importance de premier plan pour les institutions.

En effet, au-delà des informations ayant une valeur commerciale, le projet de loi sur la

sécurité des affaires fourni une typologie de six autres types d’informations : « économiques,

industrielles, financières, scientifiques, techniques ou stratégiques ».

Nous nous intéressons à l’influence de la sécurité de l’information et du capital social sur les

stratégies individuelles des acteurs. Dans notre contexte, seules les informations stratégiques

relatives à l’institution nous intéressent. A un niveau individuel, l’information stratégique

peut être relative aux positions stratégiques de l’organisation (implantation dans un nouveau

pays, cessation d’une activité, orientation (de recherche et de développement, …). Toutefois,

toutes les informations permettant de connaître le fonctionnement d'une organisation, ainsi

que ses mécanismes de coordination et/ou utiles à l’anticipation peuvent se révéler

particulièrement pertinentes pour initier ou conduire un projet d'innovation. Par exemple, pour

un individu, il peut s’agir de la connaissance du calendrier des réunions au cours desquelles

les projets sont décidés, de la mise en place d'un nouveau processus de recherche, sur lequel

l’acteur concerné pourrait se positionner, de connaitre quel manager sera prochainement

nommé à la tête du service, etc. De même, cette définition ne mentionne pas la dimension

27 http://www.marsdd.com/articles/confidential-information-and-trade-secrets/

http://www.marsdd.com/articles/confidential-information-and-trade-secrets/



Page 243

organisationnelle des institutions. Selon nous, cette dimension qui correspond par exemple à

un changement de management, de mode de collaboration, de processus de productions, etc.,

est au centre de l’activité quotidienne des salariés, quelque soit leur profession. D’ailleurs,

Alter (2000) en a fait le cœur de son sujet sur l’innovation ordinaire.

Compte tenu de ces éléments, nous considérons, dans le cadre de notre thèse, que dans leurs

activités quotidiennes et quelque soit leur profession, les individus recherchent de

l’information ayant une valeur commerciale, nouvelle et n’étant pas censée leur

parvenir, nécessitant de la discrétion, concernant l’organisation ou la stratégie de leur

institution et de son environnement.

Faut-il s’intéresser au don où à la demande d’informations ?

Dans le premier chapitre, notre parcours de la littérature nous a permis d’une part, de

caractériser l’innovateur comme un individu cherchant à prévoir ou à anticiper le futur, et

d’autre part, à définir le capital social d’un individu comme : « l’ensemble des ressources

que lui procure l’appartenance à un ou plusieurs groupes d’individus dans l’objectif

d’anticiper le futur. Le capital social est fonction de la structure du réseau personnel, du

capital culturel, économique et symbolique de l’individu. Le capital social est actionné par

les valeurs individuelles sous la contrainte des valeurs collective qui animent l’institution à

laquelle il appartient ».

Ainsi selon Commons (1934), les individus seraient tous des « innovateurs ordinaires »

cherchant à prévoir l’avenir (Alter, 2000), ou à l’anticiper (Sarasvathy, 2001).

Cette innovation passe par l’acquisition d’informations, qui constitue notre variable

dépendante. Cette acquisition d’informations peut stimuler l’innovation par la génération de

connaissances et l’adhésion de soutiens relationnels. Comme l’exprime Alter (2000) et

Sarasvathy (2001), l’innovateur s’entoure de relations qui l’aident à bâtir son projet.

L’innovation est donc dépendante du capital social et des facteurs culturels qui lui sont liés.

Dans cette perspective, l’innovateur apparaît comme un « demandeur d’informations ». Il a

besoin de connaissances pour développer et mener ses projets à termes. La capacité à capter

de l’information est pour lui, une compétence majeure qui implique la réciprocité des

échanges. En effet, ces échanges fonctionnent selon la théorie du don (Mauss, 1950 ; Caillé,

2009). Cette théorie postule que tout individu est motivé par la quête de reconnaissance ;

laquelle se traduit par des actions motivées par l’intérêt pour soi, l’intérêt pour autrui, la

liberté et l’obligation d’agir.

Par ailleurs, le don n’est jamais désintéressé et suppose d’engager des offrandes de valeurs.

Le premier intérêt à donner résiderait sans la satisfaction de soi. Satisfaire à une demande,



Page 244

c’est être reconnu par le demandeur. Le deuxième intérêt consisterait à rendre son

interlocuteur dépendant et redevable (Caillé, 2009).

Pour Alter (2000), l’innovateur est un altruiste motivé par la réussite, alors que pour

Sarasvathy (2001), l’innovateur est un créatif, qui fait preuve d’un altruisme intelligent, c'est-

à-dire qu’il se met en disposition pour satisfaire les autres afin d’être lui-même satisfait à son

tour.

In fine, il apparaît que l’innovateur commence à donner, afin de pouvoir être à son tour

demandeur. Ainsi, le don pourrait être motivé par la recherche du pouvoir (Caillé, 2009) ou

par la réponse à une demande. Le don et la demande cherchant tous deux à satisfaire des

valeurs individuelles communes, comme l’illustre le schéma suivant:

Figure 28 : Demander - donner

Nous faisons partie du même réseau, nous

partageons les mêmes valeurs.

Nous voulons être reconnu et anticiper l’avenir.

Je donne parce que

- Je veux te rendre redevable

- Je te suis redevable

- Je partage ton objectif,

- Je veux partager ta réussite

- J’ai confiance

- Je t’apprécie

- …

Je demande parce que

- Tu m’es redevable

- Je veux atteindre mon

objectif,

- Je t’apprécie

- J’ai confiance

- …



Page 245

Ainsi, il apparaît dans de nombreuses recherches (Caillé, 2009 ; Alter, 2009 ; Lazega, 2006)

que le don est étroitement associé à la demande. De fait, chercher à savoir si des informations

sortent d’une institution alors qu’elles ne le devraient pas, revient pour une large part à

demander à ses membres s’ils donnent, ou s’ils reçoivent différents types d'informations.

Dans cette perspective, Chollet (2005 : 174-175), mentionne deux attitudes intéressantes des

ingénieurs en R&D, dans l’usage de leur réseau personnel.

Premièrement, ils ne demandent pas d’informations confidentielles, parce que cela peut être

interprété comme un faible niveau de bienveillance, puisque : « la demande constitue une

invitation explicite à ne pas respecter ses obligations professionnelles et, in fine à se mettre

en danger ». Deuxièmement, la valeur, la nouveauté de l’objet de l’échange proposé par le

donneur incite les deux parties à échanger. Chollet (2005 : 174) précise, en ce sens que la

durabilité et la qualité des échanges d'information dépendent très étroitement de ce que les

acteurs concernés apportent: S’ils mettent toujours des banalités, cela signifie qu’ils ne

veulent pas se dévoiler. (…) Ils parlent avec vous comme on joue au poker : ils donnent le

minimum requis pour voir ce que les autres joueurs ont, mais ils ne donneront pas plus. Au

contraire, quand quelqu’un commence à parler de choses nouvelles, intéressantes, quand il

les met sur la table, les commente,... quand il n’hésite pas à faire ça, c’est pour moi une

incitation à faire pareil ».

Ces différents exemples illustrent, selon nous, deux points essentiels.

Premièrement, l’individu semble avoir conscience de l’importance et de la nature de ce qu’il

demande. Il ne le demande pas, parce que cela l’engagerait trop par la suite. Cette dimension

de l’échange est importante. En effet, la protection de l’information confidentielle a pour

objectif de protéger la compétitivité de l’institution face à la concurrence (cf. introduction du

chapitre). Il faut protéger l’information confidentielle. Il ne faut pas la donner. La

sensibilisation porte sur la non-divulgation d’information, un acte de don.

Pourtant, cette illustration montre qu’un individu peut se mettre en danger, non pas en

donnant, mais aussi en demandant une information. En effet, Alter (2009), Chollet (2005),

Bouty (2000), Shrader (1993) et Von Hippel (1987) montrent bien que le donneur répond à

une demande, il donne ce qu’attendent les demandeurs qui s’engagent alors dans l’échange.

De plus, et c'est un argument central pour notre recherche, l’évaluation du respect de la

confidentialité par les individus est très difficile à mesurer. Premièrement, la nature

répréhensible d’une violation de la règle rend l’aveu difficile. Deuxièmement, le biais de

désirabilité (Trevino, 1992) peut inciter les acteurs à masquer ce qui les marginaliserait plutôt

que de dire la vérité. Enfin, interroger les acteurs pour savoir s’ils demandent de l’information

confidentielle suppose qu’ils sachent la définir et l’identifier, c’est-à-dire d’en extraire un sens

(Thiétart, 1990).



Page 246

Ce dernier point est particulièrement important dans la mesure où, comme le précise, par

exemple, l’article 2 de la proposition de loi française sur la protection des affaires28

, sont

considérées comme pouvant être confidentiels et donc protégés : « des documents ou

renseignements de nature économique, commerciale, industrielle, financière, scientifique,

technique ou stratégique, ne présentant pas un caractère public dont la divulgation serait de

nature à compromettre gravement les intérêts d’une entreprise, en portant atteinte à son

potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou

financiers ou à sa capacité concurrentielle, notamment ceux ayant fait l’objet de mesures de

protection spécifiques prévues à l’article 325-1 du code pénal. »

Cette définition entre dans le cadre de documents précis et structurés, qui devront faire l’objet

d’un estampillage indiquant leur degré de confidentialité. Elle ne s’applique donc pas à des

informations formulées, par exemple, par quelques phrases ou notes. Pourtant, les travaux de

Von Hippel (1987) ou Shrader (1991) montrent que les échanges informels peuvent conduire

à des fuites d’informations qui ont une importance stratégique pour les institutions. Bouty

(2000) ajoute que le niveau de confidentialité des informations serait bien souvent laissé à la

discrétion des ingénieurs. A ce propos, le Clusif29

(2012 :5) mentionne dans son rapport

annuel que « pour beaucoup d’entreprises, la sécurité reste une histoire de mise en place de

solutions techniques ». En l’absence de politiques de sécurité qui comprennent la

classification de l’information par degré de sensibilité, il est probable que les propos de Bouty

soient encore fréquemment d’actualité de nos jours dans de nombreuses institutions.

Comment alors évaluer la propension d’un acteur à ne pas donner ou demander des

informations sensibles ? Pour répondre à cela, nous nous référons à Von Solms (2004), selon

lequel, la culture organisationnelle prend en compte la sécurité de l’information, quand les

acteurs se sentent responsables des informations qu’ils manipulent. Aussi, selon nous, le

premier acte de responsabilité, serait soit que le donneur ne diffuse pas une information à une

personne quand celle-ci ne lui est pas destinée, ou soit, que le demandeur ne cherche pas à

obtenir une information qui ne lui est pas destinée.

Par ailleurs, se concentrer sur la demande permet non seulement de déterminer quels types

d’informations recherchent les membres d’une organisation, et donc quels types d’innovations

ils peuvent produire, mais aussi de comprendre comment la sécurité de l’information agit sur

l’innovateur : si elle l’inhibe, le stimule, ou l’incite à rechercher un type information plutôt

qu’une autre, et donc à produire un type d’innovation plutôt qu’un autre.

Compte tenu de ses développements, dans le cadre de notre thèse, nous retenons qu’un

individu commet une « faute de sécurité » s’il demande à un tiers, des informations

confidentielles ou qu’il ne devrait pas recevoir.

La qualification du type d’informations :

28 http://www.senat.fr/leg/ppl11-284.pdf 29 Club de la Sécurité de l’Information Français



Page 247

Les informations nécessitant de la discrétion (INFO_DIS) sont confidentielles par définition.

Leur divulgation à de mauvais destinataires peut causer du tort à son bénéficiaire. Nous

rappelons que la confidentialité est l’un des principes fondateurs de la sécurité de

l’information.

Les informations ayant une valeur commerciale (INFO_COM), qui sont généralement

sensibles et considérées comme confidentielles et à protéger (MaRs, agence canadienne de

l’innovation).

Les informations stratégiques (INFO_STRAT), elles sont définies dans le questionnaire

comme étant des informations relatives aux choix stratégiques de l’institution ou de son

environnement.

Les informations organisationnelles (INFO_ORG), dont la définition fournie aux répondants

indique qu’elles sont relatives à l’organisation et aux processus de l’institution et de son

environnement.

Les informations qui ne devraient pas normalement parvenir à l’acteur (INFO_NDP), que

nous nommons également des informations OPPORTUNES. C’est-à-dire des informations

qui ne regardent pas directement l’activité de l’individu qui en bénéficie. Une culture

organisationnelle ayant intégrée les principes de la sécurité de l’information, éduque les

membres des institutions à une gestion responsable de l’information (Von Solms, 2001: 507 et

2010 : 484). Ne pas fournir à quelqu’un une information qui ne le regarde pas est le premier

niveau qui révèle un comportement responsable. D’autant que selon le principe de rationalité

limitée (Simon, 1947), les acteurs ne déterminent pas toujours avec précision la portée des

informations qu’ils manipulent. Sans une classification précise des informations, l’acteur se

fiant à son expérience peut commettre des impairs. Le tableau 37 ci-dessous présente notre

construit de la variable dépendante.

CONSTRUIT : INFO

Indicateur Question

INFO_STRAT

INFO_DIS

INFO_NDP

INFO_ORG

INFO_COM

Les informations que j’obtiens au travail ...

Très

rarement

Parfois Très

fréquemment

Nécessitent de la discrétion

Ont une valeur

commerciale

Concernent la stratégie de

mon entreprise ou de son

environnement

Concernent l’organisation

de mon entreprise ou de

son environnement

Ne devraient pas

normalement me parvenir

Tableau 39: mesure du construit de la variable dépendante



Page 248

1.2.2. La mesure des construits individuels et environnementaux

La mesure des construits individuels

La mesure des caractéristiques individuelles

Comme cela a déjà été mentionné lors de l’élaboration des hypothèses, le capital social et le

respect des règles relatives à la sécurité de l’information évoluent avec l’âge, l’ancienneté et

le statut social.

Nous distinguons l’ancienneté dans l’entreprise de l’ancienneté dans la fonction. En effet, ces

deux types d’ancienneté sont complémentaires pour influer sur le degré de redondance des

réseaux personnels. Le tableau ci-dessous décrit les variables individuelles

CONSTRUIT : CARACTERISTIQUES (contrôle)

Indicateur Question

Age

AGE

Mon âge

(-) 31 ans 31-46 ns (+) 46 ans

Ancienneté dans

l’entreprise

ANC_ENSE

Mon ancienneté dans l’entreprise

(-) de 6 mois

6 mois - 1 an 1-3ans 3-10 ans (+) 10 ans

Ancienneté dans la

fonction

ANC_FONC

Mon ancienneté dans la fonction

(-) de 6 mois

6 mois - 1 an 1-3ans 3-10 ans (+) 10 ans

Statut

STATUT

Mon statut

Non cadre Cadre Cadre supérieur Cadre dirigeant

Tableau 40: mesures du construit CARACTERISTIQUES



Page 249

La mesure des construits environnementaux

Nous avons défini la taille de l’entreprise et l’objectif de l’information comme des variables

environnementales.

L’objectif de l’information fait référence aux types d’informations qui intéressent les

individus en fonction de leur activité. Un technicien de maintenance des bâtiments peut

naturellement recevoir plus d’informations interne qu’externe alors que ce serait l’inverse

pour un cadre commercial. Le tableau ci-dessous décrit les variables environnementales.

CONSTRUIT : T_ENSE (contrôle)

Indicateur Question

Taille de

l’institution T_ENSE

Nombre de salariés dans mon entreprise

(-) 10 11-50 51-250 251-500 501-1000 (+) 1000

Tableau 41: mesure des construits T_ENSE



Page 250

2. Approche méthodologique

2.1. Méthodologie d’investigation

Nous présentons successivement le choix d’une enquête auprès des salariés (3.1), les choix

liés au terrain d’étude (3.2) et les choix liés à la méthode de recueil des données (3.3).

2.1.1. Le choix d’une enquête auprès des salariés

Nous avons choisi de mener une enquête auprès des salariés, du secteur privé, public ou

associatif (cf. questionnaire en annexe 15).

D’une part, notre étude s’intéresse à l’usage des réseaux personnels au service de stratégies

individuelles, au sens de l’acteur stratégique de Crozier (1977), et d’autre part, le facteur

humain est en effet reconnu comme le maillon faible de la sécurité de l’information (Mitnick ;

2002 ; NIST, 2003).

Plusieurs études sur les usages des réseaux personnels et sur la sécurité de l’information ont

été menées, mais aucune à notre connaissance n’associe les deux concepts en les liants à un

facteur commun : la culture.

Ce constat justifie notre étude auprès des salariés, confrontés d’un côté à la nécessité

d’anticiper, d’améliorer l’existant, de créer de la nouveauté, et de l’autre à la nécessité de

protéger la compétitivité de leurs firme, ou plus généralement de leur institution, terme

générique que nous utilisons pour faire référence aux travaux de Commons (1934) et pour

rassembler dans une référence unique, toute organisation, marchande ou non marchande.

Les objectifs de notre recherche consistent à étudier les facteurs explicatifs de l’accès à de

l’information de valeur, entre opportunité et règles de sécurité de l’information. Plus

précisément il s’agit pour nous de mieux comprendre le comportement des acteurs dans

l’acquisition d’informations : à quelles informations accèdent-ils, qui mobilisent-ils pour y

parvenir, sous l’influence de quelles valeurs agissent-ils, par quels moyens échangent-ils

l’information et comment les règles de sécurité de l’information interviennent-elles dans ce

processus ?

En conséquence, une étude à destination d’un panel large de salariés nous semble appropriée.



Page 251

2.1.2. Le choix du terrain et la méthodologie de recueil des données

Le choix du terrain

Le terrain est constitué de salariés de diverses spécialités, en provenance de divers secteurs

d’activités :

Les entreprises adhérentes du PRIDES30

Chimie de la région Provence Alpes Côtes

d’Azur (NOVACHIM Chimie).

Le pôle de compétitivité aéronautique PEGASE31

qui regroupe de grands industriels

(tels que Eurocopter, Dassault, Thalès Alenia Space ou encore Areva et des

institutions de recherche (ONERA, INRIA, Université Paul Cézanne Marseille, Ecole

Centrale Marseille) et de PME.

Des salariés du secteur de l’énergie, PME et grandes entreprises.

Des salariés de grandes entreprises du secteur des télécommunications,

Des salariés du secteur public d’Etat et territorial (ministères, conseils généraux, etc.).

Des salariés de la grande distribution.

Des salariés de PME et du secteur associatif et de l’informatique.

Nous obtenons ainsi un échantillon diversifié et homogène, regroupant plusieurs domaines de

spécialité dans plusieurs secteurs d’activités, ce qui, nous le pensons, donnera plus de force à

nos résultats et à nos propositions.

La méthodologie de recueil des données

Compte tenu de la population que nous ciblons, nous avons choisi la méthode

d’administration du questionnaire par Internet, que nous avons hébergé sur la plateforme

Internet de l’université Aix-Marseille. Cette université dispose en effet d’un service de

création de questionnaires en ligne, ainsi que d’un système de diffusion en masse (courriels)

qui comprend un mécanisme de relance. Les données sont ensuite exportables au format texte,

tableur Excel, SPSS ou R.

Selon Dillman (2000 :400), « il n’existe pas de méthodes d’enquête qui offre autant

d’avantages pour un si faible coût ». Selon Thiétart et al., (2007 : 233), le défaut de ce type

de questionnaire réside dans l’absence du contrôle de l’échantillon. Cette objection est peu

recevable dans le cadre de notre étude. En effet, notre base de mails est massivement

composée d’adresses professionnelles, donc individualisées. Non seulement, nous savons à

qui nous nous adressons, mais nous savons aussi que c’est bien cette personne qui va

30 Les « PRIDES » sont des réseaux d’entreprises qui maillent l’ensemble du territoire et représentent la plupart des filières de compétences des acteurs économiques, http://www.critt-chimie-paca.com/critt-portal/cms/60/accueil.dhtml 31 http://www.pole-pegase.com/



Page 252

répondre. De plus, les outils de gestion disponibles sur la plateforme de gestion nous

permettent de nous assurer que les personnes ont répondu et qu’elles ne peuvent le faire

qu’une fois deuxième fois grâce à l’attribution à chaque participant, d’une clé de connexion

personnelle et à usage unique.

Le questionnaire que nous avons diffusé auprès d’une base de 4000 courriels, est anonyme.

Les questions sont accompagnées d’une aide à la compréhension et nous avons laissé la

possibilité à chaque participant de revenir sur ces réponses tant qu’il ne les a pas validées.

L’élaboration du questionnaire

Le questionnaire est une technique d’interrogation individuelle, standardisée, composée d’une

suite de questions présentées dans un ordre prédéfini. Il se doit d’être simple, précis et concis,

pour en faciliter la compréhension et éviter les abandons et les erreurs de mesure.

Dans notre questionnaire (disponible en annexe 15), nous abordons pour chaque participant :

La constitution de son réseau personnel ;

Ses valeurs individuelles et sa perception des valeurs organisationnelles de

l’institution où il travaille ;

Les informations qu’il obtient dans le cadre de ses activités professionnelles ainsi que

l’objet de l’information : activités internes à l’instittution ou relative à la concurrence ;

Les médias d’échange d’informations qu’il utilise ;

Sa perception des mesures organisationnelles de sécurité de l’information en œuvre

dans son institution ;

Les variables individuelles et environnementales.

La formulation des questions doit d'être simple et précise, pour être sûr que tous les

participants comprennent bien les questions posées de la même façon. Nous avons opté pour

des questions fermées, conformément aux objectifs de la recherche. Pour nous en assurer,

nous avons pré-testé le questionnaire auprès d’un échantillon de la population de 20

personnes et de quelques universitaires. Leurs remarques ont été intégrées avant sa diffusion à

l’ensemble des 4000 participants potentiels.

Le questionnaire est structuré en 4 parties :

La première partie est consacrée à la description du réseau personnel.

La première question, le générateur de nom, est la plus délicate, il faut identifier, puis

nommer jusqu’à trois personnes particulièrement utiles pour les activités professionnelles.

Nous avons précisé que des initiales ou un diminutif suffisait. En effet, cette question s’est

avérée être une source de rejet pendant la phase de pré-test.



Page 253

Cette partie est mesurée sur une échelle de Likert à 4 degrés conformément à la méthode

préconisée par Burt (1992).

La deuxième partie interroge les participants sur leurs valeurs individuelles et leur perception

des valeurs organisationnelles. Cette partie est mesurée sur une échelle de 9 point suivant les

préconisations du Schwartz Value Survey (1994).

La troisième partie concerne les comportements des participants : quelles sont les

informations captées, de quel périmètre interne/externe de l’institution proviennent-elles, par

quels médias sont-elles obtenues? Cette partie est mesurée sur une échelle de Likert à 7 degrés

(de très rarement à très fréquemment).

La quatrième partie intègre les questions relatives à la perception de la sécurité

organisationnelle de l’information, les caractéristiques des répondants et les données

environnementales. La section consacrée à la sécurité de l’information est mesurée sur des

échelles différentes, selon que l’on demande une réponse catégorielle (oui/non) ou une

évaluation perceptuelle (comment se comporte votre manager). La perception du manager et

de l’expérience de la sécurité de l’information est évaluée sur une échelle à 5 degrés, la

sensibilisation sur une échelle à 4 degrés, l’existence de politique et d’un service de gestion

sur 2 degrés et l’implication du top-management sur 3 degrés.

En effet, la théorie et les ouvrages spécialisés en sécurité de l’information énoncent

clairement que les politiques de sécurité doivent être diffusées auprès des salariés (Clusif,

2012 ; CSI, 2011 ; ENISA, 2006 ; ISO/27000, 2005). C’est une pratique essentielle. Dans

l’absolu, un salarié doit savoir si une politique existe ou pas. Nous avons suivi le même

raisonnement pour la question portant sur l’existence d’un service de gestion de la sécurité.

Un tel service est présent sur l’organigramme, doté d’un budget et composé de professionnels

qui se rendent visibles, se déplacent, etc. Par ailleurs, nous avons choisi de demander aux

participants d’évaluer le nombre d’intervention du « top management » (la dirigeance). Une

réponse précise permet de signaler le degré d’attention que le salarié peut porter à ce type de

communication.

2.2. Choix d’une mesure réflexive ou formative

Un modèle de mesure peut être soit réflexif, soit formatif (Bollen et Lennox, 1991; Edwards

et Bagozzi, 2000) ou mixte (Diamantopoulos et Winklhofer, 2001). Une erreur de

modélisation conduit à une mauvaise spécification du modèle.

La méthode réflexive s’applique quand une variation d'un indicateur « I » est associée à

variation d'un construit latent « C ». En conséquence la variation de « I » reflète un

changement dans « C ». Les flux de causalité vont du construit (la variable latente) à

l’indicateur. Ceci sous-tend que les construits peuvent être représentés par des indicateurs

corrélés positivement (Bollen et Lennox, 1991; Edwards et Bagozzi, 2000; Fornell, 1982)



Page 254

Dans une relation formative, les indicateurs se combinent sans que leur corrélation soit

nécessaire. Les flux de causalité vont alors des indicateurs vers le construit (Blalock, 1964;

Diamantopoulos et Winklhofer, 2001; Edwards et Bagozzi, 2000) Bien que les modèles

réflexifs dominent en psychologie et en sciences de gestion, les modèles formatifs sont

communs en économie et en sociologie. Coltman et al. (2008 : 5) proposent une synthèse des

différentes arguments qui permettent de faire le choix d’une relation réflexive ou formative

entre les variables latentes et les indicateurs.

Considérations Modèle réflexif Modèle formatif Références

Considérations théoriques

Nature du construit Le construit latent existe

indépendamment des

indicateurs

Les indicateurs forment

le construit

Borsboom et al. (2003, 2004)

Sens de la causalité entre indicateur et variable

latente

Des variations dans le construit impactent les

indicateurs. L’inverse est

faux

Des variations dans les indicateurs impactent le

construit. L’inverse est

faux.

Bollen et Lennox (1991).

Edwards and Bagozzi (2000);

Rossiter

(2002); Jarvis et al. (2003)

Caractéristiques des

indicateurs

Les indicateurs partagent

un thème commun.

Les indicateurs sont

interchangeable, en

retirer ou en ajouter ne

modifie pas

conceptuellement la

variable

Les indicateurs ne sont

pas liés

conceptuellement.


pas interchangeables. Un

ajout ou un retrait

d’indicateur modifie

conceptuellement la

variable

Rossiter (2002) ; Jarvis et al.

(2003)

Considérations empiriques

Corrélations inter-item Les indicateurs doivent

être fortement corrélés

(des tests de validité sont nécessaires)


pas corrélés, mais ils vont

dans la même direction

Cronbach (1951); Nunnally et

Bernstein (1994); Churchill

(1979);

Diamantopoulos et Siguaw

(2006). Relations entre les

indicateurs et les

antécédants/conséquences

de la variable

Les indicateurs évoluent

dans le même sens que

les


de la variable.

Les indicateurs peuvent

ne pas évoluer dans le

même sens que les


de la variable.

Bollen and Lennox (1991);

Diamantopoulos and

Winklhofer (2001);

Diamantopoulos and Siguaw

(2006)

Erreurs de mesures et

colinéarité

Les termes d’erreurs

peuvent être évalués

Les termes d’erreurs ne

peuvent être évalués dans

un modèle uniquement

formatif. Le test de vanishing tetrad

peut être conduit pour vérifier

si la variable est formative ou

réflexive.

Un test de colinéarité doit

être mené.

Bollen and Ting (2000);

Diamantopoulos

(2006)

Tableau 42 : Choix d’un modèle réflexif ou formatif (d’après Coltman et al, 2008: 5)

Compte tenu de ces éléments, les variables des valeurs individuelles et organisationnelles sont

réflexives. Par exemple, le retrait de la valeur de réussite n’affecte pas conceptuellement le

pôle de valeur d’affirmation de soi. Il en est de même pour les variables de la sécurité de



Page 255

l’information. Compte tenu de l’importance du point précédent, il nous a semblé pertinent

d’apporter une confirmation plus large à notre approche. Nous nous sommes donc

directement adressés à Shalom Schwartz. Sa réponse nous indique que les valeurs humaines

ne sont bien des indicateurs réflexifs (cf. en annexe 16, l’échange de mail avec S. Schwartz).

Seule la variable CARACTERISTIQUES pose un problème de délimitation conceptuelle.

En effet, il n’y pas de raison par exemple, que l’âge soit lié au statut social. Cependant les

indicateurs peuvent être fortement corrélés. Un test de vanishing tetrad (Bollen et Ting, 2000)

sera conduit pour déterminer la nature de cette variable. Le test du tetrad détermine la nature

de la variable par la différence entre le produit de deux paires de covariances et le produit

d’autres paires de covariances tirées aléatoirement. Un résultat nul indique que la variable est

réflexive.

Les variables du capital social NRA et LIENS sont formatives. La proximité, l’ancienneté de

la relation et la fréquence des contacts forment le concept de la force des liens mais ne sont

pas liés entre eux. Il en est de même pour la proximité géographique et la proximité

technique.

La variable dépendante INFO est formative. Une information sensible n’est pas la même

chose qu’une information que l’on ne doit pas recevoir. Il en est de même pour :

Les flux d’informations internes/externes (variables ORIENTATION). La

récupération d’informations concernant l’activité interne de l’institution ou les

activités de la concurrence ne sont pas corrélées.

Les supports de communication (MEDIAS). Il n’y a pas nécessairement de

corrélation entre l’usage de courriel, de médias amovibles ou de rencontres physiques.

Le tableau 43a précise lesquelles de nos variables latentes (ou construits) sont formatives.

Indicateurs Variable

Variables du capital social

NRO NRA (non-redondance

d’attributs)

NRT

PROX LIENS (force des liens)

ANC

FREC

Variable ORIENTATION

ACT_ENSE ORIENTATION

ACT_CONCU

Variable MEDIAS

MED_PHY MEDIAS

MED_SUP

MED_MAIL

Variable dépendante INFO

INFO_DIS INFO

INFO_NDP

INFO_STRAT

INFO_ORG

INFO_COM

Tableau 43a: Variables formatives du modèle



Page 256

A l’inverse les variables : des valeurs individuelles, des valeurs organisationnelles et de la

sécurité de l’information sont réflexives.

En effet, et nous l’avons déjà évoqué, les valeurs humaines forment des construits réflexifs.

De même, la conception des mesures de sécurité de l’information impliquent un construit

réflexif. La présence de politiques et d’un service de gestion découlent directement de

l’implication du management. L’existence de programmes de sensibilisation est corrélée à

l’implication du management et à la présence de politiques.

Le tableau 43b précise lesquelles de nos variables latentes (ou construits) sont réflexives.

Indicateurs Variable

Variables des valeurs individuelles

Suivant analyse multi

variée


variée

Variables des valeurs organisationnelles


variée


variée

Variable du manager de proximité

SEC_Manager SEC_MANAGER

Variable Expérience de la sécurité de l’information

SEC_Exp_Prec SEC_EXP_PREC

Variable de sécurité organisationnelle


variée

SEC_ORGA

Tableau 44b: Variables réflexives du modèle

2.3. La méthodologie de développement et de validation des échelles de

mesure et celle de test des hypothèses de recherche

2.3.1. La méthodologie de développement et de validation des échelles de

mesure

La méthodologie de développement et de validation des instruments de mesure est basée sur

le paradigme de Churchill (1979). Cependant, nous avons aussi pris en compte sa version

mise à jour (Gerbing et Anderson, 1988) et ses critiques (Rossiter, 2002).

Le développement des échelles de mesure

Dans cette recherche, nous avons aussi pris en compte les travaux de Gerbing et Anderson

(1988) qui ont adapté le paradigme de Churchill (1979) en considérant qu’il convient : pour

les construits réflexifs, de s’assurer de l’unidimensionnalité des blocs d’indicateurs de mesure



Page 257

des concepts par l’analyse factorielle confirmatoire et pour les construits formatifs, de vérifier

l’absence de multi-colinéarité. Nous pourrons ainsi nous assurer de la validité et de la fiabilité

des instruments de mesure.

La validation et l’épuration des instruments de mesure

Nous nous intéressons à quatre points dans la phase de validation des instruments de mesure :

les conditions préalables à l’analyse multi-variée, l’analyse factorielle exploratoire, la fiabilité

et la validité des instruments et l’analyse factorielle confirmatoire. Une présentation plus

détaillée de ces points est donnée en annexe 10. Nous réalisons toutes les analyses multi-

variées avec le logiciel SPSS 17.0.

Les conditions préalables à l’analyse multi-variée

Des conditions préalables sont nécessaires aux méthodes d’analyse multi-variée qui sont

utilisées dans la validation des instruments de mesure Kline (2010).

L’absence de valeurs manquantes et de valeurs extrêmes :

Les valeurs manquantes ou extrêmes peuvent avoir un impact significatif sur les résultats.

Les valeurs manquantes doivent être traitées, soit par la suppression de l’observation

(méthode listwise), soit par le remplacement par la moyenne de la série (ou entre deux points

voisins).

Les valeurs extrêmes doivent être détectées grâce aux graphiques de la boite à moustaches, au

test de la distance de Mahalanobis et à la distance de Cook.

La multi-normalité des données :

Les données doivent suivre une distribution normale multi-variée pour que les analyses

puissent être effectuées de manière valide. Nous réalisons une analyse graphique à l’aide des

histogrammes affichant les courbes gaussiennes et la mesure des coefficients d’asymétrie

(skewness) et d’aplatissement (kurtosis) dont les coefficients doivent respectivement être

compris entre [-1 et 1] et [-1,5 et 1,5]. Nous réalisons également un test de Kolmogorov-

Smirnov.

Néanmoins, en nous basant sur l’expérience de Schwartz (2009), nous pensons que les

données de mesures des valeurs ne seront pas normales. Dans la majeure partie des cas, les

réponses sont réparties entre le quatrième et le neuvième barreau de l’échelle. Le niveau

d’asymétrie de ces mesures sera très certainement au-dessus de 1,5.

L’absence de multi-colinéarité entre les variables :



Page 258

Etant donné que notre modèle utilise des construits formatifs, nous devons être

particulièrement attentifs à la présence de multi-colinéarité. La multi-colinéarité est la forte

dépendance linéaire entre deux variables. Elle peut entraîner des résultats non souhaités

(matrice non définie positive, variances négatives, instabilité des paramètres estimés, etc.).

Pour évaluer la multi-colinéarité, nous nous basons sur les VIF (Variances Inflation Factor),

qui ne doivent pas dépasser 10 et sur la tolérance qui doit être supérieur à 0,3.

L’homogénéité des échantillons :

Le test de Levene permet de mesurer l’homogénéité des échantillons sur l’ensemble des

variables individuelles et environnementales. Ce test doit être concluant pour éviter

d’attribuer la variance de l’acquisition d’informations à une variable donnée, alors qu’elle

serait due à une répartition non homogène des valeurs de cette variable.

Fiabilité et validité des variables réflexives

L’analyse factorielle exploratoire

L’analyse factorielle exploratoire (Analyse en Composantes Principales) est une méthode qui

permet de résumer les variables étudiées en un nombre réduit de facteurs, d’identifier et

d’interpréter les dimensions conceptuelles des variables initiales.

Les conditions de factorisation des données :

Il est recommandé d’examiner d’abord les corrélations entre les variables qui doivent être

significatives et comprises entre 0,3 et 0,7 de préférence. Si ces conditions sont remplies, il

convient de s’intéresser à deux tests :

- Le test de sphéricité de Bartlett : ce test vérifie si la matrice de corrélation est

statistiquement différente d’une matrice d’identité. Une valeur élevée, significative à p<0,001

est favorable au rejet de l’hypothèse nulle de non corrélation entre les variables.

- Le test de KMO (Kaiser-Meyer-Olkin) : le KMO indique dans quelle proportion les

variables ou énoncés retenus forment un ensemble cohérent et mesurent de manière adéquate

un concept. Une valeur supérieure à 0,7 est requise.

Le nombre d’axes à retenir :

Il convient de faire la distinction entre les critères de rétention (scree, Kaiser, % de variance

extraite). Les indicateurs utilisés habituellement sont les suivants :

Le critère du scree de Cattel (1966) et le critère du coude : ce sont des solutions

graphiques basées sur les valeurs propres.



Page 259

Le critère de Kaiser (1960) : il postule que seuls les facteurs ayant des valeurs propres

supérieures à 1 doivent être retenus.

Le pourcentage de variance extraite : dans cette recherche, nous avons la préférence

pour un seuil minimum de 50%/

L’interprétation des axes :

L’interprétation des axes est basée sur l’examen des communautés (communalities) et des

coefficients de corrélation entre les variables initiales (loadings).

Les communautés : elles mesurent la part de variance de la variable expliquée par les facteurs

retenus. Nous supprimons tous les énoncés ayant des communautés faibles (inférieures à 0,5).

Les coefficients de corrélation ou loadings : Ils permettent de voir la contribution factorielle

des variables sur les facteurs retenus. Comme pour les communautés, nous supprimons les

énoncés ayant des valeurs inférieures à 0,5.

Le choix de la rotation :

En cas de corrélation des variables, la rotation oblique (Promax) est souvent préférée (Evrard,

Pras et Roux, 2009). En l’absence de corrélations entre les variables, la rotation orthogonale

(Varimax) est effectuée. Une fois les facteurs déterminés, il faut s’assurer de leur fiabilité,

c’est-à-dire de leur validité, leur cohérence interne.

La fiabilité et la validité des instruments de mesure

La fiabilité :

La fiabilité ou validité interne décrit dans quelle mesure les items qui composent une échelle

sont pertinents pour le construit sous-jacent.

Nous utilisons l’alpha de Cronbach qui vérifie si les énoncés d’une échelle mesurent

conjointement le même construit. Un alpha de Cronbach inférieur à 0,7 doit être rejeté

La validité des instruments de mesure

Un instrument de mesure valide permet d’appréhender de manière satisfaisante le phénomène

que l’on cherche à mesurer.

La validité faciale et la validité de contenu :

C’est le degré auquel l’opérationnalisation d’un construit représente bien toutes les facettes du

concept.



Page 260

La validité de trait (de construit) :

Elle indique si les indicateurs d’un construit sont une bonne représentation du concept étudié.

Elle comprend la validité convergente de la validité discriminante.

La validité convergente:

Elle indique si les indicateurs mesurant le même construit sont bien corrélés. La méthode de

calcul se base sur le critère du pourcentage de variance extraite (AVE) entre les variables

latentes et leurs indicateurs qui doivent être supérieurs à 0,5 (Fornell et Larcker, 1981).

La validité discriminante:

Elle consiste à vérifier si les indicateurs mesurant des construits différents sont faiblement

corrélés. Selon Fornell et Larcker (1981), la variance partagée entre deux variables latentes (le

carré de leur corrélation) doit être inférieure à la variance partagée entre chacune de ces

variables et ses indicateurs.

La Validité nomologique :

Elle évalue à quel degré les prévisions basées sur un concept qu’un instrument est censé

mesurer sont confirmées. C’est un type de validité externe qui concerne les relations entre les

concepts. Avec PLS, la validité nomologique peut être évaluée par un le test du Q² (Stone et

Geisser, 1975) des blocs de variables par la méthode du blindfolding. Le test de blindfolding

n’est pas applicable aux variables formatives ou réflexives à un seul indicateur. La validité

externe d’un modèle mixte Réflexif/formatif ne peut être que partiellement testée. En effet,

elle ne se mesure qu’à partir des variables réflexives ayant plusieurs indicateurs. Dès lors, son

interprétation devra être menée avec précaution.

Validité des instruments de mesure pour des construits formatifs

Contrairement aux modèles réflexifs, ni la validité de contenu, ni l’unidimensionnalité du

construit ne peuvent être utilisées pour valider un modèle formatif ou sa qualité (Bollen et

Lennox, 1991; Cohen et al. 1990; Chin et Gopal, 1995).

Alors qu’un modèle réflexif exige que les indicateurs soient fortement corrélés, la validité

d’un modèle formatif peut être remise en cause par la présence de colinéarité.

(Diamantopoulos et Winklhofer 2001: 272).

Les modèles formatifs sont en effet basés sur l’analyse de régressions multiples et la présence

de multi-colinéarité augmente significativement le taux d’erreurs standard (Backhaus et al.

2003 : 88).

Le test du VIF (Variance Inflation Factor) est utilisé pour mesurer la multi-colinéarité entre

deux indicateurs ou construits. Il n’existe pas de seuils clairement définis pour statuer sur le



Page 261

niveau de multi-colinéarité, cependant, une règle communément admise fixe que sa valeur ne

peut dépasser 10 avec un seuil de tolérance supérieur à 0,3.

Construction du modèle structurel

La construction du modèle dans la phase confirmatoire est basée sur les équations

structurelles et s’appuie sur plusieurs points. Evrard, Pras et Roux (2009) proposent quatre

étapes : spécification, identification, estimation et test du modèle.

Nous justifions notre choix de méthode d’équation structurelle avant d’apporter des précisions

sur les points suivants, qui sont indispensable à la justification de nos résultats: l’estimation

des paramètres, l’identification du modèle et l’interprétation des résultats.

Le choix de la méthode d’équations structurelles

Selon Chin (1998), les modèles d’équations structurelles donnent plus de flexibilité dans

l’interprétation entre théorie et données (Chin, 1998). Ces méthodes permettent d’analyser des

modèles causals mettant en relation des variables latente donc observables, explicatives et à

expliquées. Nous distinguons deux méthodes d’équations structurelles, LISREL et PLS

(Partial Least Square). Ces deux méthodes sont fréquemment appliquées aux études en

systèmes d’information. Siponen et Vance (2010), Bulgurcu et al (2010), D’Arcy et al,

(2009), pour ne citer qu’eux, ont validé leurs modèles en utilisant LISREL.

Cependant, LISREL impose la normalité des données, or cette normalité est rarement

constatée dans les études cherchant à mesurer les valeurs humaines (Schwartz, 2009), ce qui

est le cas pour notre échantillon. La méthode LISREL n’est donc pas adaptée à notre étude.

Faut-il pour autant utiliser PLS ?

Selon Jöreskog et Wold (1982), la méthode PLS est particulièrement adaptée au

développement théorique et aux applications prédictives. L’usage de PLS se justifie lorsque le

chercheur tente d’expliquer des relations entre des variables multiples. Les modèles

d’équations structurelles examinent la structure des corrélations dans une série d’équations

reflétant les relations entre les différents construits du modèle étudié. Par ailleurs l’approche

PLS : (1) ne présente pas de problèmes d’identification, (2) ne distingue pas les indicateurs

formatif et réflectif, contrairement à l’approche LISREL, (3) valide des construits à un seul

indicateur, contre 3 à 4 pour LISREL et (3) elle est moins sensible à la taille des échantillons

(Hair et al, 2006 : 878).

Plusieurs logiciels proposent le PLS : Amos, PLS-Graph, R, SmartPLS. Dans cette étude,

nous utiliserons SmartPLS 2.0 M3 (Ringle et al, 2005).



Page 262

Ce logiciel dispose d’une interface graphique, de la possibilité de traiter des modèles mixtes

réflexifs et formatifs, ainsi qu’un système de production de rapports utiles à l’analyse et de

l’option Blindfolding, permettant de valider le caractère prédictif du modèle.

Estimation du modèle

L’estimation des paramètres dans les équations structurelles conduit à s’intéresser à trois

points :

Le choix de la matrice de données :

Nous avons choisi d’utiliser la matrice de variances-covariances qui est davantage indiquée

lorsqu’on cherche à tester une théorie et à la généraliser (Roussel et alii, 2002).

La taille de l’échantillon :

Selon Chin (1998), la taille maximale de l’échantillon de mesure se calcule en multipliant par

dix le nombre d’indicateurs composant la variable latente sélectionnée selon l’une des deux

options suivantes : soit la variable latente avec le plus grand nombre d’indicateurs formatifs

(c’est-à-dire la plus grande équation de mesure), soit la variable latente dépendant du plus

grand nombre de variables.

La méthode d’estimation :

SmartPLS propose une solution d’estimation du modèle par bloc de variables avec la

procédure du blindfolding (Wold, 1982)

D’une manière générale, la qualité du modèle de mesure peut être appréhendée sur la base de

son pouvoir explicatif. Ce dernier est évalué par le coefficient de détermination (R²) des

variables endogènes. La qualité globale du modèle peut être évaluée par l’intermédiaire d’un

coefficient de détermination (R²) général (Lohmöller, 1989). Il correspond à la moyenne des

coefficients de détermination observés sur les variables dépendantes.

Notre revue de la littérature portant sur l’utilisation de l’approche PLS dans différents

domaines, suggère de faire la distinction entre la qualité globale et la qualité de mesure pour

chaque bloc de variables.

La qualité globale du modèle : le test d’adéquation (GoF)

Tenenhaus et al, (2005) suggère l’utilisation d’un GoF (Godness of Fit ; Amato et al, 2004)

obtenu par le produit de la moyenne géométrique de la variance expliquée (R²) des différents

construits, de l’indice de la redondance et de la communalité. La redondance et R² ne sont pas

calculés pour les construits exogènes.



Page 263

L’indice GoF peut être obtenu par la formule suivante : GoF = √ [(Moyenne (R²)) ×

Moyenne (Communality)]

La valeur de l’indice GoF doit être supérieure à (0,30) puisque celle-ci représente le seuil

limite recommandé (Tenenhaus et al, 2005).

La qualité de chaque bloc de variable

La qualité de mesure pour chaque bloc de variable peut être examinée à la lumière des

résultats de la procédure de Blindfolding sous SmartPLS. L’approche de Blindfolding,

proposée par Wold (1982) a été adoptée pour calculer les « cv-communality » et « cv-

redundancy ». L’indice (H²) de « cv communality » mesure la qualité du modèle de mesure

pour chaque bloc de variables. La moyenne des indices de « cv-communality » peut être

utilisée pour mesurer la qualité globale du modèle de mesure s’ils sont positifs pour tous les

blocs de variables. La qualité de chaque équation structurelle est mesurée par l’indice de « cv-

redundancy ». La moyenne des indices de « cv-redundancy » (F²) liée aux blocs endogènes

peut être utilisée pour mesurer la qualité globale du modèle structurel, s’ils sont positifs pour

tous les blocs endogènes.

La valeur 0,30 est considérée comme seuil limite pour ces deux indices.

Les limitations de l’estimation du modèle :

L’indice GOF ne peut être calculé lorsque des variables sont formatives ou ne contiennent

qu’un seul indicateur (Henseler, Marko et Sarstedt, 2012 :570). Pour pallier ce problème,

Esposito, Vinzi et al, (2010) recommandent de ne calculer le GOF que sur les variables ayant

plusieurs inficateurs réflexifs. Néanmoins, on peut s’interroger sur la pertinence de ce calcul

lorsque ces indicateurs ne représentent qu’une faible partie du modèle globale. Chin (2010 :

687) suggère de réaliser l’estimation globale d’un modèle formatif à partir d’un modèle

réflexif équivalent. Ce que nous ne pouvons pas faire dans le cadre de cette thèse, compte

tenu de l’originalité de notre modèle.

De même, l’utilisation du blindfloding (calcul du Q²) proposé par Tenehaus (2005),

disponible dans SmartPLS, ne fonctionne pas sur des construits formatifs ou des construits

réflexifs à un seul indicateur (Ringle, Sarstedt et Guericke, 2012)32

.

Or, notre variable dépendante et certaines variables explicatives sont justement des

construits formatifs ou réflexifs à un seul indicateur. Les résultats des analyses factorielles

peuvent également nous contraindre à créer d’autres variables à un indicateur s’il s’avère

qu’ils sont théoriquement justifiés.

32 http://www.pls-sem.com/doc/AMS-WMC-2012-Atlanta-PLS-SEM-Ringle_Sarstedt.pdf

http://www.pls-sem.com/doc/AMS-WMC-2012-Atlanta-PLS-SEM-Ringle_Sarstedt.pdf



Page 264

Identification du modèle

Identifier un modèle consiste à calculer une estimation unique de ses paramètres (Roussel et

alii, 2002). Même avec un modèle complexe, la méthode PLS n’est pas contrainte par des

besoins d’identification (Hair et al, 2011). En effet, l’analyse de modèles avec les méthodes

CBSEM (LISREL) basées sur la covariance nécessite d’identifier le modèle. Cependant, la

méthode PLS à une approche basée sur des composants qui ont une estimation explicite

(loadings, weights). Le chercheur doit seulement spécifier les d’indicateurs représentant les

variables latentes (ou construits) et les liens structurels qui les lient (Chin, 2010 : 668).

La méthodologie de test des hypothèses de recherche

D’abord, nous présentons la méthode de test des hypothèses liées aux relations structurelles

directes. Ensuite, nous abordons la méthodologie de test des hypothèses concernant les effets

indirects. Enfin, nous mettons l’accent sur la méthodologie de test des hypothèses liées aux

variables individuelles continues ou catégoriques.

La méthode du test sous équations structurelles

Pour tester nos hypothèses de recherche entre les construits centraux, nous nous basons sur les

trois points suivants (Roussel et alii, 2002 ; Kline, 2010) :

- La significativité des coefficients de régression non standardisés : la valeur du test en t de

Student est associée à chaque coefficient pour vérifier que la relation hypothétique est

statistiquement différente de zéro. La valeur du t (two-tailed) doit être de :

1.96 pour un seuil de significativité de 5%,

2.58 pour un seuil de significativité de 1%,

3.11 pour un seuil de significativité de 2‰

3.29 pour un seuil de significativité de 1‰.

- La force des coefficients de régression standardisés : les coefficients standardisés, qui

permettent d’estimer l’importance relative des « chemins », sont compris entre 0 et 1. Plus la

valeur de ces coefficients est élevée, plus le lien entre les variables latentes est fort.

- Le pourcentage de variance de la variable endogène (R²) ou corrélation multiple au carré :

ce pourcentage équivaut au R² de la régression. Il se calcule en soustrayant à 1 le carré du

coefficient standardisé du terme d’erreur associé à la variable latente. Chin (1998 : 323)

suggère qu’un R² de 0,67 ; 0,33 et 0,19, peut être considéré respectivement comme

« substanciel », « modéré » et « faible ».



Page 265

Ce chapitre avait pour objectif de détailler la méthodologie et la conception de l’étude

empirique.

La première section a été l’occasion de présenter la construction et la justification des

hypothèses de recherche, l’opérationnalisation des construits, la méthodologie d’investigation

ainsi que la méthodologie de développement et de validation des échelles de mesure et celle

de test des hypothèses de recherche.

En l’absence de travaux cherchant à mesurer l’influence des réseaux sociaux sur la conformité

aux règles de sécurité dans les institutions, nous avons proposons un modèle de l’acquisition

d’informations de valeurs, sous l’influence de la sécurité de l’information, des réseaux

sociaux et des valeurs individuelles et organisationnelles. Les échelles proposées sont

inspirées de la littérature consacrées aux réseaux sociaux (Granovetter, 1973, Burt 1992, Mc

Evily et al, 2005), aux valeurs universelles (Schwartz, 1994, 2006, 2009, 2012, Mc Donnald

et Gantz, 1992) et à la sécurité de l’information (D’Arcy et al, 2009, Choi et al, 2006).

La troisième section nous a permis de présenter les choix méthodologiques d’investigation.

Nous avons fait le choix d’une étude auprès des salariés de divers secteurs d’activités et de

diverses tailles d’institution (entreprises, secteur public, associations). Cette diversité de

population nous assure, du moins nous l’espérons, une grande homogénéité des participants.

Nous avons également présenté la méthode de recueil des données, un questionnaire

« accessible en ligne » administré par Internet, que nous avons validé auprès d’un panel de 20

salariées et deux professeurs d’université.

La quatrième section été l’occasion d’aborder la méthodologie de développement et de

validation des échelles de mesure et de test des hypothèses de recherche. Nous avons opté

pour la réalisation d’une analyse multi-variée, suivi d’une analyse prédictive basée sur la

méthode PLS.




Page 266

V.CHAPITRE V

Validation des instruments de mesure des construits



Page 267

Figure 29: architecture du chapitre 5

Test des hypothèses de recherche

Présentation descriptive

Validation du modèle structurel

Test des hypothèses

Discussion et mise en perspective

A propos...

du capital social

des valeurs

de la sécurité de l'information

des variables de contrôle


Validation des instruments de mesure et des hypothèses

Mise en perspective des

résultats qui font la plus-

value de la recherche

Validation de la pertinence

du construit et de

l’approche conceptuelle



Page 268

Ce chapitre est consacré à la validation des instruments de mesure des variables utilisées dans

notre modèle de recherche. La validation des instruments de mesure des variables latentes est

basée sur le paradigme de Churchill (1979) et sa version mise à jour (Gerbing et Anderson,

1988). Il s’agit d’une phase importante de la recherche car sans des instruments de mesure

fiables et valides, il est impossible de tester le modèle global de recherche (Evrard, Pras et

Roux, 2009).

Pour chaque échelle de mesure, nous conduisons d’abord une analyse factorielle exploratoire

des variables réflexives pour déterminer la structure factorielle du construit sous-jacent.

Ensuite, nous réalisons une analyse factorielle confirmatoire avec la méthode des équations

structurelles.

L’analyse factorielle confirmatoire est importante dans la mesure où elle permet d’évaluer la

fiabilité (cohérence interne) et la validité des construits. Les tests relatifs à la fiabilité et à la

validité sont donc abordés. Dans le souci d’éviter les redondances, la présentation détaillée

des résultats est fournie en annexes 10.

Ce chapitre est composé de trois sections :

La section 1 présente les échantillons utilisés et les analyses préliminaires de l’adéquation des

données à l’analyse multi-variée.

La section 2 présente la validation des échelles de mesure des construits centraux du modèle

de recherche.

La section 3 aborde la validation et la mesure des variables individuelles du modèle de

recherche.



Page 269

1. Présentation des échantillons et analyses préliminaires

L’objectif principal de cette recherche est de comprendre les interactions entre la mobilisation

du capital social et le respect des règles de sécurité de l’information, dans l’acquisition

d’informations par les acteurs. Nous avons collecté 335 questionnaires, dont 25 étaient

incohérents. Ensuite, nous avons écarté tous les questionnaires pour lesquels les participants

déclaraient ne pas avoir eu une expérience précédente dans une autre institution. Finalement,

près de 300 réponses ont été retenues.

1.1. Présentation du jeu de données

Nous présentons la répartition des répondants dans les variables sociodémographiques.

1.1.1. Les variables sociodémographiques

En termes d’âge, 47% des échantillons sont compris entre 31 et 46 ans. 29% des participants

ont plus de 46 ans et 24% ont moins de 31 ans.

En termes de statut, 18% des échantillons sont non cadres, 56% sont cadres, 13% sont des

cadres supérieurs et 13% sont des cadres dirigeants. La proportion de personnes

« encadrantes » est relativement importante. Un test de Khi² (khi²=105,844, phi=615,

v=0,355, p<001) montre que la population non cadre provient essentiellement des secteurs de

l’agroalimentaire (14%), de l’informatique et des télécoms (14%) et de la distribution (12%).

Les cadres dirigeants exercent plutôt dans le secteur juridique et comptable (20%), l’énergie

et les déchets (17%) et la recherche et le développement (12%).

Par ailleurs, 15% des répondants ont moins de un an d’ancienneté dans l’institution, 21% ont

une ancienneté de un à trois ans, 32% sont dans l’institution depuis au moins trois ans et 32%

y sont salariés depuis plus de dix ans. Les répondants sont donc globalement fidèles à leur

institution. Ils sont aussi 16% à avoir récemment changé de fonction (depuis moins de un an),

environ 31% à occuper le même poste depuis moins de trois ans, 31% depuis moins de dix

ans et 21% depuis plus de dix ans. Les participants se montrent donc globalement peu mobiles

dans leurs activités au sein de leur institution. 77% des échantillons ont un emploi à durée

indéterminée.

La moyenne de la taille des institutions représentées est assez élevée, 55% d’entre elles

comptent en effet plus de 1000 salariés, environ 13% ont de 250 à 500 salariés, 12% sont des



Page 270

PME moyennes (de 50 à 250 personnes) 9% sont des PME de petite taille (11 à 50 personnes)

et 11% sont des TPE (moins de 10 salariés).

Les secteurs d’activités représentés sont pour une grande part l’informatique et les télécom

(22%), l’énergie et les déchets (14%), suivis de l’administration publique et le secteur

associatif (7%) puis l’aéronautique et l’automobile (7%), la distribution (7%) et la recherche

et le développement (6%).

37% des répondants sont spécialisés en informatique et télécom, 16% travaillent dans une

fonction de recherche et de développement. Enfin, la direction d’entreprise, la gestion et le

commerce représentent chacun environ 10% de nos échantillons.

Synthèse

Nos échantillons sont globalement assez homogènes avec un taux très majoritaire de cadres et

d’institutions de grandes tailles, réparties dans des secteurs variés, mais à dominante

informatique, télécom et industrielle. Les tableaux récapitulatifs sont donnés en annexe 1.

1.1.2. Comparaison globale des valeurs individuelles et

organisationnelles perçues

Les valeurs, tant individuelles qu’organisationnelles, restent globalement perçues comme

supérieures à la moyenne.

Les salariés semblent particulièrement sensibles aux valeurs individuelles de réputation de

leur image publique, de loyauté, de pouvoir, de liberté d’action et de pensée, d’initiative et

d’amitié.

L’analyse des valeurs moyennes montrent que les salariés jugent leurs valeurs individuelles

comme plus importantes que les valeurs organisationnelles. La tendance s’inverse cependant

pour les valeurs de collaboration, de respect des règles, de respects de l’autorité et le respect

de la réputation, qui semble être considérés comme des valeurs fortes des organisations.

Nous observons un équilibre relatif des perceptions individuelles et organisationnelles sur les

pôles de dépassement et d’affirmation de soi. En outre, les individus se perçoivent comme

plus ouvert au changement et moins attachés aux règles que les organisations.

L’organisation (l’institution) semble donc être perçue comme un lieu de coordination exerçant

plutôt une forte contrainte normative.

L’écart le plus important (2 points) entre les valeurs individuelles et la perception des valeurs

organisationnelles s’observe sur les valeurs d’autonomie de direction et la liberté d’action et



Page 271

de pensée. Le salarié souhaiterait à priori, être plus autonome et libre que l’organisation le lui

autorise.

Figure 30: Courbes de comparaison des valeurs individuelles et organisationnelles

,00

1,00

2,00

3,00

4,00

5,00

6,00

7,00

8,00

9,00

Rec Pou Rsk Lib Inn Ami Cob App Ini Loy Col Res Reg Aut Rep Sta Reu

Comparaison des Valeurs Individuelles et organisationnelles

Valeurs Individuelles Valeurs Organisationnelles

Valeurs Individuelles (Mini) Valeurs Organisationnelle (Mini)

8,18 7,93 7,77 7,77 7,71 7,49 7,26 6,91 6,73 6,71 6,55 6,38 6,37 6,36 6,29 5,75

5,17

Classement des valeurs Organisationnelles

valeurs Organisationnelles



Page 272

Figure 31: Classement par la moyenne des valeurs individuelles et organisationnelles

8,50 8,31 8,17 8,11 7,80 7,61 7,44 7,44 7,36 7,32 7,16 7,12 7,05 6,97 6,83 6,72 6,25

Classement des valeurs Individuelles

valeurs Individuelles



Page 273

Affirmation de soi Ouverture au Changement

Conformité Dépassement de soi

Figure 32: Comparaison des pôles de valeurs selon le modèle de Quinn et Mc Grath (1985)

Reconnaissance Réputation Autorité Pouvoir

8,31 7,32 6,72 6,25 6,73

7,93 7,73

5,75

Comparaison des pôles de valeurs d'affirmation de soi - Individu / Organisation


8,11 7,80 7,44 7,44 7,05 6,82 6,29 6,55 6,71 6,37 5,17 6,36

Comparaison du pôle de valeurs d'Ouverture au Changement - Individu/Organisation


Stabilité Règle

7,36 7,16 6,91

8,18

Comparaison des pôles de valeurs de conformité - Individu / Organisation


8,50 8,17 7,61 7,12 6,97 7,71 7,77 7,26 6,38 7,49

Comparaison des pôles de valeurs de Dépassement de soi - Individu / Organisation




Page 274

1.1.3. Comportement des salariés dans l’échange d’information

Les tableaux ci-dessous présentent les données descriptives des indicateurs des informations

reçues, puis du sens du flux d’informations (c’est-à-dire de l’activité de la concurrence ou de

l’activité interne).

Indicateurs N Minimum Maximum Moyenne Ecart type

INFO_DIS 280 1 7 4,47 1,641

INFO_NDP 280 1 7 2,39 1,496

INFO_STRAT 280 1 7 4,39 1,756

INFO_COM 280 1 7 4,23 1,973

INFO_ORG 280 1 7 4,95 1,603

Tableau 45: Analyse descriptive des indicateurs d’échange d’information


ACT_ENSE 280 2 7 6,19 1,058

ACT_CONCU 280 1 7 3,74 1,888

Tableau 46: Sens du flux d'informations interne/externe

Nous nous sommes intéressés aux comportements des répondants dans l’échange

d’informations (les tableaux détaillés figurent en annexe 4).

En moyenne, les participants à l’étude reçoivent « de parfois à assez fréquemment » de

l’information stratégique, organisationnelle, commerciale et, nécessitant de la discrétion. Les

informations qu’ils reçoivent leur sont plutôt bien destinées puis qu’ils déclarent en moyenne

recevoir de l’information opportune de « rarement à assez rarement ».

Par ailleurs, l’examen de l’orientation interne/externe des flux d’informations montre que les

acteurs sont plutôt intéressés par l’information interne qu’ils reçoivent en moyenne

« souvent ». En revanche, ils captent de l’information sur la concurrence, en moyenne de

« assez rarement à parfois ».

40% des salariés reçoivent parfois de l’information nécessitant de la discrétion et 14% en

reçoivent très souvent alors que 6% n’en reçoivent que « très rarement ». Ils sont 75% à en

recevoir de « parfois à très fréquemment ».

25% des salariés reçoivent parfois de l’information opportune. Ils sont 42,5% à n’en recevoir

que très rarement et 1% à en recevoir très fréquemment.

30% des salariés reçoivent « parfois » de l’information stratégique, 8% « très rarement » et

13% « très fréquemment ». Globalement, ils sont 76% à recevoir de « parfois à très

fréquemment » de l’information stratégique.



Page 275

Ils sont 17% à recevoir « parfois » de l’information à valeur commerciale. 14,5% n’en

reçoivent que « très rarement » et 13% en reçoivent « très fréquemment ». Ils sont 68% à

recevoir de « parfois à très fréquemment » de l’information à valeur commerciale.

Les salariés sont 19,5% à recevoir « parfois » de l’information organisationnelle. 4% n’en

reçoivent que « très rarement » et 15,5% en reçoivent « très fréquemment ». Ils sont 85% à

recevoir de « parfois à très fréquemment » de l’information organisationnelle.

La figure 33, ci-dessous, schématise la fréquence de réception en fonction de la nature des

informations. Nous remarquons que la réception d’informations opportunes (celles qui ne

doivent pas normalement parvenir au récepteur) suit une tendance inverse à la réception

d’informations confidentielles. Ceci tend à dire que ces types d’informations sont inversement

corrélés et que le respect de la confidentialité des informations (les informations nécessitant

de la discrétion) est globalement respecté. Néanmoins, nous remarquons également un pic

commun à l’information stratégique, confidentielle et opportune (zone de fréquence : parfois),

qui laisserait entendre que les informations confidentielles et opportunes concerneraient

essentiellement les informations stratégiques. Cependant, la figure 34 montre que les

informations opportunes ou confidentielles sont aussi en relation avec les informations ayant

une valeur commerciales et l’activité de la concurrence (figure 34). Nous remarquons

également que la courbe de réception d’informations opportunes et celle relative à l’activité

de la concurrence suivent un cheminement quasi parallèle (figure 34).

Figure 33: Flux de réception d'informations

01020304050

Très rarement Parfois Trèsfréquemment

Réception d'informations

Confidentielle Opportune Stratégique Commerciale Organisationnelle



Page 276

Figure 34: Flux de réception d'information: objet et orientation

1.1.4. Perception de la sécurité de l’information

Le tableau ci-dessous présente les données descriptives de la sécurité de l’information

N Minimum Maximum Moyenne Ecart type

SEC_SENSIB 280 1 4 3,03 1,139

SEC_POL 280 1 2 1,85 ,339

SEC_TOP 280 1 3 2,324 ,814

SEC_MANAGER 280 1 5 3,85 1,191

SEC_SERV 280 1 2 1,65 ,463

Tableau 47: Valeurs descriptives des indicateurs de sécurité de l'information

Les répondants sont en moyenne conscients de l’existence de programmes de sensibilisation à

la sécurité de l’information, de l’existence de politiques et d’une structure de gestion de la

sécurité de l’information. Cependant, la dirigeance (SEC_TOP) semble peu s’impliquer dans

la sécurité de l’information puisqu’elle communique, en moyenne, moins d’une fois par an.

Les participants perçoivent que la sécurité de l’information est importante pour leur manager.

Ils jugent également qu’il n’y a pas de différence entre la manière dont est gérée la sécurité de

l’information dans leur institution et celle qui était en vigueur dans leur institution précédente.

0

10

20

30

40

0

20

40

60

Trèsrarement

Parfois Trèsfréquemment

flux de réception d'informations interne/externe à l'institution (orientation)

Confidentielle Opportune Stratégique Commerciale

Organisationnelle Activités Internes Activités Externes



Page 277

1.1.5. Médias d’échanges d’informations

Les participant à l’enquête échange assez fréquement par des rencontres physiques ou leur

messagerie électronique. Ils échangenten moyenne peut fréquement via des supports

physiques.

N Minimum Maximum Moyenne Ecart type

MED_SUP 280 1 7 3, 4 1,926

MED_PHY 280 1 7 5,81 1,278

MED_MAIL 280 1 7 5,53 1,542

Tableau 48 : valeurs descriptives des indicateurs des médias d'échanges d'informtions

1.1.6. Le réseau personnel des participants

Nous avons limité le nombre de contacts à trois. Nous obtenons ainsi les trois contacts

maximum qui apportent le plus d’avantages aux répondants.

Avec une contrainte de 0,68 en moyenne et un écart type de 0,22, le réseau personnel des

répondants est plutôt fermé, mais la contrainte n’étant pas maximale, il ne constitue pas une

clique. Par ailleurs la contrainte n’étant pas nulle, le répondant n’est jamais totalement en

position de négociateur. L’ancienneté, la proximité, et la fréquence des relations sont assez

importantes. Les répondants voient leurs contacts au moins une fois par semaine en moyenne,

et se connaissent depuis un à trois ans. Ils sont aussi assez proches de leurs relations.

L’indicateur de non-redondance organisationnelle (NR-O) montre également que le réseau

personnel de proximité est composé de personnes évoluant dans la même institution avec des

activités professionnelles assez proches mais non identiques. Environ la moitié des contacts

fournissent un soutien aux initiatives ou un soutien en apport d’informations stratégiques. Les

informations stratégiques sont ici des informations tant organisationnelles que relatives à

l’environnement externe ou à la stratégie de l’institution. Elles permettent à l’acteur

d’anticiper les évolutions (changement de management, arrivée d’un nouveau projet, nouvelle

implantation de site, etc.) interne et externes (activité de la concurrence, des partenaires et

fournisseurs, etc.).



Page 278


NR_S_C 280 ,33 ,93 ,6843 ,228

ANC 280 1 4 3,29 ,830

FREQ 280 1 4 3,10 ,639

PROX 280 1 4 2,88 ,696

NR_O 280 1 2 1,64 ,385

NR_T 280 1,000 4,000 2,780 ,694

SOUTIENS 280 ,000 1,000 ,420 ,286

STRAT 280 ,000 1,000 ,431 ,265

Tableau 49: valeurs descriptives du réseau personnel

1.2. Analyses préliminaires d’adéquation des données pour l’analyse

multi-variée

1.2.1. Traitement des valeurs manquantes

Sur 335 questionnaires récoltés, 25 étaient incomplets et 30 ont été écartés parce les

répondants n’ont pas d’expérience de la sécurité de l’information dans une entreprise autre

que celle où ils évoluent actuellement.

Nous avons testé les 280 réponses valides pour notre étude. L’ensemble des questions portant

sur les valeurs ne comportait pas plus de 2% de valeurs manquantes. Les questions portant sur

la sécurité de l’information en comptaient au maximum 10%. Nous avons remplacé les

valeurs manquantes par la moyenne aux points voisins (cf. annexes 2.3 ; 3.3 ; 4.3 ; 5.3 ; 6.3 ;

7.3).

1.2.2. Les valeurs extrêmes ou aberrantes

Nous avons effectué une recherche des valeurs extrêmes ou aberrantes sur les variables

quantitatives en nous basant sur la boîte à moustaches (cf. annexes 2.1 ; 3.1 ; 4.1 ; 5.1 ; 6.1 ;

7.1). La boîte à moustaches n’a décelé l’existence de valeurs extrêmes ou aberrantes que sur

trois échantillons de la variable SEC_POL. Cette variable est catégorielle (Oui/Non). En

conséquence, et après vérification, nous rejetons l’hypothèse de valeur aberrante sur cette

série.



Page 279

1.2.3. Normalité et absence de multi-colinéarité

Pour évaluer la normalité des données (cf. annexes 2.2 ; 3.2 ; 4.2 ; 5.2 ; 6.2 ; 7.2), nous avons

d’abord tracé la courbe gaussienne de normalité pour chaque variable étudiée et les résultats

indiquent une absence de normalité des données. Ensuite, nous avons utilisé les tests de

Kolmogorov-Smirnov.

Pour les valeurs individuelles et organisationnelles, les résultats obtenus rejettent l’hypothèse

de normalité des données (cf. annexe 3.2). Les données d’asymétrie et d’aplatissement

dépassent fréquemment les bornes admises pour une quasi normalité des données,

respectivement [-1 ; +1] et [-1,5 ; +1,5]. Rien d’étonnant à cela, Schwartz (2009) indique que

les résultats des sondages sur les valeurs sont très fréquemment concentrés sur la partie droite

de l’échelle (de neutre à tout à fait).

Les variables concernant la réception d’informations rejettent également la normalité, mais la

quasi-normalité est admissible compte tenu des données d’aplatissement et d’asymétrie, tout

comme les indicateurs des médias de communication, et ceux de la sécurité de l’information.

Les données relatives à la force des liens sont elles aussi à la quasi-normalité.

Les données de multi-colinéarité sont exposés lors de l’analyse structurale concernant les

construits formatifs.

1.2.4. Homogénéité de la variance

Un test de Levene (cf. annexe 8) a été effectué entre les variables prédictives et la variable

dépendante. L’absence de résultats significatifs montre que l’hypothèse de non homogénéité

de la variance peut être rejetée.

2. Validation des échelles de mesure des construits centraux du

modèle

Pour chaque construit réflexif, nous procédons à l’analyse factorielle exploratoire (en

composantes principales) sur SPSS 17.0 pour évaluer la validité convergente et/ou la validité

discriminante des construits.

Les échelles de mesure des valeurs individuelles de Schwartz sont réputées pour leur faible

taux de validité interne ((Schwartz, 1999, 2012).



Page 280

2.1. Le test de vanishing tetrad sur la variable CARACTERISTIQUES

Bollen et Ting (2000) ont développé le test de vanishing tetrad pour valider le caractère

réflexif ou formatif d’une variable.

Le test du tetrad détermine la nature de la variable par la différence entre le produit de deux

paires de covariances et le produit d’autres paires de variables tirées aléatoirement. Nous

effectuons le test en utilisant les covariances entre les quatre indicateurs STATUT,

ANC_ENSE_ANC_FONC et AGE. Le résultat nul obtenu indique que la variable latente

est réflexive (cf. annexe 10.1)

2.2. Examen de la matrice de corrélation

Avant d’effectuer l’analyse du modèle structurel, Haenlein et Kaplan (2004), Brunhn & al.

(2008), et Sosik & al (2009) recommandent d’examiner les statistiques descriptives et les

corrélations afin de valider l’existence des liens postulés.

L’examen des corrélations (annexes 10.3 et 10.5 ), montre que les indicateurs des valeurs

individuelles VI_Loy, VI_Cob, VI_Rec, VI_Lib et VI_Ami, ne sont pas corrélés avec les

indicateurs de la variable dépendante. Il en est de même pour les indicateurs des valeurs

organisationnelles VO_Lib, VO_Cob et VO_Ami. Nous n’utiliserons donc pas ces indicateurs

lors de l’analyse factorielle exploratoire.

Nous vérifions également l’existence de relations entre les variables des valeurs

organisationnelles et celles de la sécurité de l’information (cf. annexe 10.6), ainsi qu’entre les

variables du capital social (cf. annexe 10.7). Les résulats montrent que des liens existent bien.

En outre nous constatons que les corrélations significatives entre les variables réflexives sont

toutes au dessus du seuil de 0,3 (cf.annexes 10.14 à 10.19). Ces variables peuvent donc être

factorisées.

2.3. Analyse Factorielle Exploratoire

Pour analyser les résultats des analyses factorielles, nous avons retenu les principales

composantes correspondant à des valeurs propres supérieures à 1, selon le critère de Kaiser, et

un pourcentage de variance expliquée supérieur ou égal à 50%. Dans nos analyses factorielles,

nous avons suivi une démarche itérative en éliminant au fur et à mesure les indicateurs une

communalité inférieure à 0,4 et en retenant ceux dont la contribution factorielle est supérieure

à 0,5 (Evrard et al, 2003).

L’analyse factorielle par rotation promax montre que les variables des valeurs

individuelles ne sont pas corrélées entre elles. Nous obtenons le même résultat avec les



Page 281

variables de valeurs organisationnelles (cf. annexes 10.10 et 10.11). En conséquence, nous

appliquons une rotation varimax pour les factorisations des valeurs individuelles et

organisationnelles.

2.3.1. Echelle de mesure des valeurs individuelles

Le test de sphéricité de Bartlett est significatif à (p < 0,001) et le KMO est de 0,79.

L’hypothèse d’absence de corrélation entre les indicateurs est donc rejetée. Nous obtenons

une proposition de trois facteurs qui explique 59% de la variance totale (cf. annexe 10.10). Le

test du scree et celui du coude confirment cette solution.

Il faut maintenant valider leur cohérence interne. L’alpha de Cronbach montre une cohérence

interne satisfaisante, supérieure à 0,7 pour les deux premières dimensions, mais la troisième

dimension à une cohérence interne inférieure à 0,5. Dans ce cas, nous conservons les

indicateurs de la troisième dimension, VI_Pou et VI_Rep, mais nous les utiliserons chacun

dans un construit à un indicateur. Le tableau ci-dessous résume les résultats obtenus.

KMO= 0 ,790

(p<0,001)

FVI1 FVI2 FVI3 α Cronbach

VI_Reg 0,841 0,767

VI_Aut 0,836

VI_Sta 0,652

VI_Col 0,535

VI_Reu 0,509

VI_Rsk 0,851 0,777

VI_Inn 0,830

VI_In 0,723

VI_Pou 0,776 0,408

VI_Rep 0,701

Variance Totale

Expliquée

59,1%

% Variance

24,680

% Variance 20,741 % Variance

13,680

Tableau 36 : ACP des valeurs individuelles

2.3.2. Echelle de mesure des valeurs organisationnelles

Le test de sphéricité de Bartlett est significatif à (p< 0,001) et le KMO est de 0,867


une proposition de deux facteurs qui expliquent 59% de la variance totale (cf. annexe 10.11).

Le test du scree et celui du coude confirment cette solution.



Page 282

L’alpha de Cronbach montre une cohérence interne satisfaisante, supérieure à 0,7 pour la

première dimension et très proche de 0,7 pour la deuxième dimension. Le tableau ci-dessous

résume les résultats obtenus.

KMO= 0 ,867

(p<0,001)

FVO1 FVO2 α Cronbach

VO_Ini ,844

0,888

VO_Inn ,832

VO_Rec ,805

VO_Rsk ,768

VO_Col ,741

VO_Res ,700

VO_Loy ,601

VO_Sta ,574

VO_Rep ,819 0,690

VO_Aut ,770

VO_Reg ,708

VO_Pou ,577 Variance Totale Expliquée 53,9%

% Variance 35,75

% Variance 18,19

Tableau 37: ACP des valeurs organisationnelles

2.3.3. Echelle de mesure de la sécurité organisationnelle de l’information

Le test de sphéricité de Bartlett est significatif à (p< 0,001) et le KMO est de 0,888


une proposition d’un facteur qui explique 59% de la variance totale (cf. annexe 10.12). Le test

du scree et celui du coude confirment cette solution.

L’alpha de Cronbach montre une cohérence interne satisfaisante, supérieure à 0,7. Le tableau

ci-dessous résume les résultats obtenus.

KMO=

0 ,888(p<0,001)

FSEC α Cronbach

SEC_SENSIB ,723 0,718

SEC_POL ,522

SEC_TOP ,605

SEC_SERV ,541

Variance Totale

Expliquée

59,75%

Tableau 38 : ACP des indicateurs de sécurité organisationnelle



Page 283

2.3.4. Echelle de mesure des variables sociodémographiques

Le test de sphéricité de Bartlett est significatif à (p< 0,001) et le KMO est de 0,770.


une proposition d’un facteur qui explique 56% de la variance totale (cf. annexe 10.13).

L’alpha de Cronbach montre une cohérence interne satisfaisante, supérieure à 0,7. Le tableau

ci-dessous résume les résultats obtenus.

KMO=

0 ,770(p<0,001)

FSEC α cronbach

AGE ,824 0,720

ANC_FONC ,801

ANC_ENSE ,785

STATUT ,547

Variance Totale

Expliquée

55,9%

Tableau 39: ACP des caractéristiques sociodémographiques

2.4. Evaluation du modèle structurel de mesure

Le modèle de mesure, appelé aussi modèle externe (outer model), représente les relations

linéaires supposées entre les variables latentes et les variables manifestes. Les annexes 13 et

14 fournissent respectivement les résultats des poids et niveaux de significativité des

indicateurs de la variable dépendante et des variables formatives explicatives.

Notre modèle est mixte, il compte à la fois des construits réflexifs et formatifs. Nous opérons

donc via deux méthodes. L’une pour les construits réflexifs est basée sur l’analyse de la

validité convergente et discriminante ; l’autre, pour construits formatifs, consiste à valider

l’absence de multi-colinéarité par un test de VIF.

En figure 35, nous présentons le modèle structurel interne (Inner) global, qui donnera lieu à

l’analyse des hypothèses. Ensuite nous exposons les indices de fiabilité des indicateurs des

variables explicatives et de la variable à expliquer.



Page 284

2.4.1. Procédure

Notre objectif est d’évaluer l’impact des mesures de sécurité de l’information sur les

comportements de réception (et donc d’émission) d’informations. Après avoir testé

globalement l’absence de multi-colinéarité entre les variables, nous procédons en deux temps.

1. Mesure du modèle structurel sans les variables latentes de sécurité de

l’information (SSI). Cette étape nous permet d’analyser les effets des variables

prédictives sur la variable à prédire sans l’influence de la sécurité de l’information ;

2. Introduction des variables latentes de sécurité de l’information. Cette deuxième étape

nous permet de mesurer les effets de la sécurité de l’information sur les variables

prédictives et sur la variable à prédire.

Pour chaque étape, nous testons la fiabilité des indicateurs de mesure ainsi que la validité

convergente et discriminante des variables latentes réflexives. Enfin, nous rappelons qu’en

raison de la conception mixte formative/réflexive du modèle et de la méthode PLS choisie, la

validité externe, c’est-à-dire la validité du caractère reproductible et valide des résultats

(Churchill, 1979 ; Evrard, Pras et Roux, 2009) ne peut être testée. Cette validité peut être

partiellement évaluée en réalisant un test de blindfloding sur les variables prédictives

endogènes ayant plusieurs indicateurs. Cependant notre modèle ne propose que trois variables

latentes éligibles à ce test, sur neuf variables au total. Nous suggérons donc d’interpréter ces

résultats avec une extrême précaution.



Page 285

Figure 35: Modèle structurel (Inner)

SSI_ORGA

ORIENTATION

MEDIA

O_OUV-DES-AFS

SSI_MANAGER

I_AFS-DES-CON

CARACTERISTIQUE

SS

I_OUV

O_AFS-CON

INFO

SSI_PREC

I_REP I_POU

RESSOURCES

NR

S

Contrôle

Réflexif

1 seul

1ndicateur

Formatif

Var Dépendante



Page 286

2.4.2. Test d’absence de multi-colinéarité

L’absence de multi-colinéarité a été testée sur l’ensemble des variables du modèle (cf. annexe

11.1).

Toutes les mesures de VIF sont inférieures à 3. Les scores de tolérance étant proches de 1 et

donc largement au-dessus de 0,3, nous pouvons conclure à l’absence de multi-colinéarité, et à

la validité des variables formatives.

2.5. Etape 1 : Analyse du modèle structurel sans les variables de


2.5.1. Fiabilité des indicateurs réflexifs

La fiabilité des indicateurs (cf. annexe 11.2) s’évalue par l’examen des loadings, de la

variance moyenne extraite (AVE) et de l’indice de concordance (Composite Reliability).

Lors de l’examen des variables latentes, nous avons constatons que tous les indicateurs

réflexifs ont un loading supérieur à 0,5. Nous conservons donc tous ces indicateurs. En effet,

selon Hulland, (1999 : 198, in Chin, 2010 : 695), les loading inférieurs à 0,4 doivent être

retirés du modèle.

2.5.2. Validité convergente

En plus de l’alpha de Cronbach, les méthodes d’équations structurelles proposent un calcul de

l’indice de concordance (composite reliability) qui présente l’avantage de prendre en compte

les erreurs de mesure. La fiabilité des échelles de mesure est utilisée à côté de l’AVE

(Average Variance Extracted) pour évaluer la validité convergente des construits.

L’AVE est la moyenne au carré des contributions factorielles d’un bloc d’indicateurs pris

séparément. Il mesure la valeur de la variance capturée par le construit et ses indicateurs par

rapport aux erreurs de mesure. Le seuil généralement admis est de 0,5 selon Fornell et

Bookstein (1981).

Nous pouvons observer dans le tableau ci-dessous que les indices de concordance sont tous

au-dessus du seuil limite de 0,7 (cf. annexe 11.3).



Page 287

Facteurs Indicateurs Loadings Composite Reliability Average Variance

Extracted (AVE)

I_POU VI_Pou 1 1 1

I_REP VI_Rep 1 1 1

I_OUV-AFS VI_Ini 0,844 0,843 0,687

VI_Inn 0,783

VI_Risk 0,854

I_AFS-DES-CON VI_Aut 0,813 0,681

VI_Col 0,564

VI_Reg 0,759

VI_Reu 0,688

VI_Sta 0,701

O_AFS-CON VO_Aut 0,807 0,827 0,621

VO_Reg 0,807

VO_Rep 0,693

O_OUV-DES-AFS VO_Col 0,757 0,909 0,686

VO_Ini 0,826

VO_Inn 0,833 VO_Rec 0,830

VO_Rsk 0,788

VO_Sta 0,668

T_ENSE T_ENSE 1 1 1

Tableau 40: Données de fiabilité et de validité convergente

2.5.3. Validité discriminante

La validité discriminante se mesure à l’aide de l’AVE. La racine carrée de l’AVE doit être

supérieure aux corrélations du construit avec les autres. Cette situation indique que la variance

partagée entre le construit et ses indicateurs est supérieure à celle partagée avec les autres

construits. Nos résultats sont concluants. Les critères de validité discriminante sont satisfaits

(cf. tableau 41 et annexe 11.3).

VARIABLES

ENSE

I_AFS-

DES-CON I_OUV-AFS I_POU I_REP O_AFS-CON

O_OUV-

DES-AFS

ENSE 1 0 0 0 0 0 0

I_AFS-DES-CON 0,046 0,463 0 0 0 0 0

I_OUV-AFS -0,046 0,075 0,477 0 0 0 0

I_POU -0,099 0,088 0,262 1 0 0 0

I_REP 0,098 0,443 0,081 0,257 1 0 0

O_AFS-CON 0,053 0,390 0,178 0,3226 0,309 0,3 0

O_OUV-DES-AFS -0,156 0,269 0,206 0,2383 0,164 0,169 1

Tableau 41 : Validité discriminante du modèle sans les variables de SSI



Page 288

2.5.4. Le modèle structurel sans les variables latentes de SSI

Les effets directs

Le modèle structurel, ou modèle interne (inner model), représente les relations entre les

variables latentes explicatives et les variables latentes expliquées.

Conformément à la recommandation de Hair et al, (2011), la significativité statistique des

coefficients a été testée avec un bootstrap de 5000 itérations pour la totalite de nos 280

échantillons. Une relation est significative quand le résultat du T-test est au moins égal à 1,96

(bi-directionnel). Le R² moyen est de 0.414. Le tableau ci-dessous liste les résultats obtenus.

INFO Coefficient ᵦ T-Test R²

ENSE -0,1719 2,5906**

I_OUV-AFS -0,0157 ns

I_POU 0,1377 2,1464*

I_REP 0,1674 2,1015* 0,414 MEDIAS 0,1997 3,3122*

CARACTERISTIQUES -0,0118 ns

ORIENTATION 0,3647 5,8353***

O_AFS-CON 0,2017 2,879** Seuil de

O_OUV-DES-AFS 0,0765 ns significativité

RESSOURCES_CS 0,1712 2,443* * : 5%

I_AFS-DES-CON -0,1206 ns ** : 1%

I_POU 0,1377 2,1464* *** : 1‰ MEDIAS 0,1997 3,3122***

ORIENTATION 0,3647 5,8353***

ORIENTATION

I_AFS-DES-CON 0,0783 ns

I_OUV-AFS 0,1583 2,3215*

I_POU 0,1023 ns

O_AFS-CON -0,0097 ns

O_OUV-DES-AFS 0,2303 3,4342***

RESSOURCES_CS -0,0326 ns

LIENS -0,0278 ns

NRA -0,0326 ns

NRS 0,21 2,5725**

MEDIAS

ORIENTATION 0,1885 3,2241***

NRS -0,0326 ns

I_POU 0,139 2,212*

LIENS -0,0203 ns

NRA 0,2911 4,327***

NRA -0,0326 ns

LIENS -0,4959 10,4013

Tableau42: Coefficients structurels et T-Test du modèle sans SSI



Page 289

Nous remarquons que l’orientation des flux d’informations interne/externe (ORIENTATION)

est la variable la plus influente dans l’acquisition d’informations. Elle se place devant les

valeurs organisationnelles d’affirmation de soi et de conformité (O_AFS_CON), puis les

médias (MEDIAS) et les ressources du capital social (RESSOURCES_CS). Nous notons

également que les valeurs individuelles ayant une influence significative sur l’acquisition

d’informations sont la valeur de pouvoir (I_POU) qui reflète l’intérêt de l’acteur pour le

leadership et la valeur de réputation (I_Rep) Enfin la taille de l’institution (T-ENSE), une

variable de contrôle, a un effet significatif et négatif sur l’acquisition d’informations. Par

ailleurs, même si la relation n’est pas significative, il est intéressant de noter que la variable

des valeurs individuelles d’affirmation de soi, de dépassement de soi et de conformité

(I_AFS-DES-CON) a également une influence négative sur l’acquisition d’informations.

Variables ayant une

influence sur la

varibale dépendante

Coefficient

ᵦ

T-Test

ORIENTATION 0,365 P<0,001

O_AFS-CON 0,202 P<0, 01

MEDIAS 0,200 P<0,001

RESSOURCES_CS 0,171 P<0, 05

I_REP 0,167 P<0, 05

ENSE -0,172 P<0, 01

I_POU 0,138 P<0, 01

Tableau 43: Classement des variables les plus influentes sur l'acquisition d'information (modèle sans SSI)

Les effets indirects

Le tableau ci-dessous liste l’ensemble des relations ayant un effet indirect positif sur les

variables endogène et la variable à expliquer en particulier.

La variable organisationnelle d’ouverture au changement, de dépassement de soi et

d’affirmation de soi (O_OUV-DES-AFS) est médiatisée par la variable ORIENTATION et

devient significative (ᵦ=0,174, p<0 05). Inversement, l’influence des valeurs

organisationnelles d’affirmation de soi et de conformité (O_AFS-COM) diminue légèrement

et devient moins significative (ᵦ=0,197, p<0 05).



Page 290

INFO Coefficient ᵦ T-Test Seuil de

significativité

I_POU 0,1878 3,904***

O_AFS-CON 0,1976 2,277*

O_OUV-DES-AFS 0,1736 2,186*

ORIENTATION 0,4214 6,803***

RESSOURCES_CS 0,1712 2,443* * : 5%

ORIENTATION ** : 1%

I_OUV-AFS -> ORIENTATION 0,2067 2,981** *** : 1‰

Tableau 44 : Effet total (modèle structurel sans SSI)



Page 291

Figure 36: Modèle structurel sans SSI (Inner)

0,044

ns

-0,171 **

ORIENTATION

0,134

MEDIAS

0,066

O_OUV-DES-AFS

0,044

I_AFS-DES-CON

CARACTERISTIQUE

SS

I_OUV

O_AFS-CON

0,244

INFO

R²=0,41

I_REP I_POU

RESSOURCES_CS

Contrôle

Réflexif

1 seul

1ndicateur

Formatif

Var Dépendante

* p<5%

** p<1%

*** p<1‰

ns = non sig



Page 292

2.5.5. Qualité globale du modèle

D’une manière générale, la qualité du modèle de mesure peut être appréhendée sur la base de

son pouvoir explicatif. Ce dernier est évalué par le coefficient de détermination (R²) des

variables endogènes (Chin, 2010 : 674).

Tenenhaus et al. (2005), ont développé un indice non paramétrique, le GOF (Goodness Of

Fit) dont la formule est la suivante : GoF = √ [(Average communality) x (Average R²)].

L’application de cet indice n’est possible que pour les modèles réflexifs. Chin (2010: 687),

suggère de valider un modèle formatif à partir d’un modèle réflexif existant de mesure de la

variable dépendante. Nous ne disposons pas d’un tel modèle et nous ne pouvons pas valider la

qualité globale du modèle

2.5.6. Qualité par blocs de variable

La qualité de mesure pour chaque bloc de variable peut être examinée par la procédure de

Blindfolding proposée par Wold (1982) et disponible sous SmartPLS. Le blindfolding produit

une mesure du Q² de stone et Geisser (1975).

Selon Chin (2010 : 699) cette procédure permet d’évaluer la validité externe ou nomologique

d’un modèle réflexif et de donner une indication de cette validité pour les modèle mixtes

réflexifs/formatifs (ou MIMIC, Multiple Indicator, Multiple Cause).

L’indice (H²) de cv-communality mesure la qualité du modèle de mesure pour chaque bloc de

variables. La moyenne des indices de cv-communality peut être utilisée pour mesurer la

qualité globale du modèle de mesure s’ils sont positifs pour tous les blocs de variables. La

qualité de chaque équation structurelle est mesurée par l’indice de cv-redundancy. La

moyenne des indices de cv-redundancy (F²) liée aux blocs endogènes peut être utilisée pour

mesurer la qualité globale du modèle structurel, s’ils sont positifs pour tous les blocs

endogènes.

Cependant, cette procédure ne fonctionne pas, ni pour les variables à un indicateur, ni pour

les variables formatives (Chin, 2010, Hair et al, 2006). Notre mesure sera donc très partielle.

Avec seulement deux variables éligibles à ce calcul, nous suggérons une extrême précaution

dans l’interprétation des résultats.

Seules les variables des valeurs organisationnelles sont éligibles à ce calcul. Les résultats33

indiquent une prédictabilité modérée de la variable des valeurs organisationnelles

33 La prédictabilité du bloc de variables est nulle sous le seuil de 0,2, faible entre 0,2 et 0,15, moyenne de 0,15 à 0.35 et

bonne au-dessus de 0,35.



Page 293

d’affirmation de soi et de conformité et faible de la variable organisationnelle d’ouverture, de

dépassement et d’affirmation de soi.

Construit SSO SSE 1-SSE/SSO Q²

O_AFS-CON 1120 947,0274 0,1542 0,1542

O_OUV-DES-AFS 1400 1296,2404 0,0741 0,0741

Tableau 46: calcul du Q² pour les blocs de variables (modèle sans SSI)

2.6. Etape 2 : Analyse du modèle structurel avec les variables de


Cette étape consiste en l’introduction des variables latentes de sécurité de l’information :

SEC_ORGA, SEC_MANAGER et SEC_PREC.

Nous effectuons les mêmes tests que dans l’étape précédente. Pour éviter des redondances, les

résultats détaillés figurent en annexe (11.4 et 11.5).

2.6.1. Critères de validité

Les tests de la fiabilité (loadings > 0,5, Compositte Reliability > 0,7, cf. annexe 11.4) des

indicateurs, de validité convergente (AVE > 0,5) et discriminante (corrélations inter construit

> √AVE) sont concluants (cf. annexe 11.5). Nous pouvons donc examiner la structure du

modèle.

2.6.2. Evaluation de la robustesse du modèle par blocs de variables

L’introduction des variables de sécurité de l’information introduit une nouvelle variable

éligible au test de blindfolding, la variable SEC_ORGA Les résultats obtenus sont similaire à

l’étape 1.



Page 294

Construit SSO SSE 1-SSE/SSO Q²

SEC_ORGA 740 863,3117 0,0913 0,0913

O_AFS-CON 1120 947,0274 0,1542 0,1312

O_OUV-DES-AFS 1400 1296,2404 0,0741 0,0741

Tableau 50: calcul du Q² pour les blocs de variables (modèle avec SSI)

2.6.3. Evaluation du modèle structurel avec les variables de sécurité de

l’information

Les effets directs :

Lestest sont encore réalisés avec un bootstrap de 5000 itérations pour la totalite de nos 280

échantillons (Hair et al, 2011). L’introduction des variables de sécurité de l’information

modifie très légèrement la variance globale du modèle qui est maintenant de 0.43. Les

changements sont essentiellement visibles dans les transformations opérées dans les

coefficients et la significativité des liens.



Page 295

INFO Coefficient ᵦ T-Test R² Moyen

ENSE -0,1815 2,6951**

I_AFS-DES-CON -0,0814 0,9521 0,43 I_OUV-AFS 0,0036 0,0542

I_POU 0,1411 2,3318*

I_REP -0,0856 1,2628 Seuil de

MEDIAS 0,1994 3,1771*** Significativité

CARACTERISTIQUES -0,0338 0,5141 * : 5% ORIENTATION 0,3182 5,0602*** ** : 1%

O_AFS-CON 0,1651 2,1613* *** : 1/1‰

RESSOURCES_CS 0,1712 2,3528*

SEC_MANAGER 0,1315 1,5442

SEC_ORGA 0,0802 0,9082

SEC_PREC 0,0066 0,1079

O_AFS-CON

SEC_MANAGER 0,2515 3,1955***

SEC_ORGA -0,0447 0,5668

O_OUV-DES-AFS

SEC_MANAGER 0,1811 2,1217*

SEC_ORGA 0,0282 0,3147

ORIENTATION

I_AFS-DES-CON 0,0837 1,0439

I_OUV-AFS 0,1614 2,3588*

I_POU 0,0994 1,3971

I_REP -0,0313 0,3991

O_AFS-CON -0,0062 0,0897

O_OUV-DES 0,2254 3,128***

RESSOURCES_CS

I_OUV-AFS -0,1282 1,7269 I_POU 0,0215 0,3621

LIENS -0,0253 0,3099

NRA -0,0337 0,4561

NRS 0,2122 2,7465**

ORIENTATION 0,1265 1,6309

MEDIAS

ORIENTATION 0,1903 3,1097***

NRS

I_POU 0,130 2,141**

LIENS -0,0204 0,267

NRA 0,2911 4,0026***

NRA

LIENS -0,4959 11,0754*

SEC_MANAGER

SEC_ORGA 0,61 13,8427***

SEC_PREC 0,0208 0,4014

SEC_ORGA

SEC_PREC -0,368 7,0251*

Tableau 51: Coefficients structurels et T-Test du modèle avec SSI

Nous remarquons que les variables de sécurité de l’information n’ont pas d’effets directs sur

la variable dépendante. En outre, la valeur individuelle de réputation I_REP n’a plus d’effet

direct significatif sur la variable dépendante. Nous observons également que la hiérarchie des



Page 296

variables les plus influentes a évoluée. La variable ORIENTATION est toujours la plus

influente. Tandis que l’influence de la variable des valeurs organisationnelles O_AFS-CON

décroît, l’influence négative de la taille de l’institution augmente très légèrement.

Variables ayant une

influence sur la

varibale

dépendante

Coefficient

ᵦ

T-Test

ORIENTATION 0,318 P<0,001

MEDIAS 0,199 P<0,01

ENSE -0,181 P<0,01

O_AFS-CON 0,165 P<0,05

RESSOURCES_CS 0,157 P<0,005

I_POU 0,141 P<0,005

Les effets indirects

Le tableau ci-dessous liste l’ensemble des relations ayant un effet indirect positif sur les

variables endogènes et la variable à expliquer en particulier.

Les variables de sécurité de l’information SEC_MANAGER (ᵦ=0,198, p<0,05) et

SEC_ORGA (ᵦ=0,199, p<0,05) deviennent également influentes et significatives.

SEC_ORGA est médiatisée par SEC_MANAGER alors que cette variable est médiatisée par

les valeurs organisationnelles d’affirmation de soi et de conformité (O_AFS-CON).

L’influence des valeurs individuelles d’ouverture au changement et d’affirmation de soi

(I_OUV-AFS) sur l’orientation du captage des informations augmente. La relation est aussi

plus significative (ᵦ=0,204, p<0,01). Cette relation est médiatisée par la variable O_OUV-

DES-AFS.

Nous observons également une nouvelle influence significative mais très faibles (ᵦ=0,04,

p<0 05) de la variable O_OUV-DES-AFS sur l’usage des médias de communication

(MEDIAS).

La variable des valeurs organisationnelles d’ouverture au changement, de dépassement de soi

et d’affirmation de soi (O_OUV-DES-AFS) est médiatisée par la variable ORIENTATION et

devient significative (ᵦ=0,174, p<0,05). Inversement, l’influence des valeurs

organisationnelles d’affirmation de soi et de conformité (O_AFS-COM) diminue légèrement

et devient moins significative (ᵦ= 0,197, p<0 05).



Page 297

Nous remarquons que le coefficient et la significativité de la relation entre la valeur

individuelle de pouvoir (I_POU) et l’acquisition d’information augmentent (ᵦ= 0,246

p<0,001). La valeur individuelle est médiatisée par les variables latentes ORIENTATION et

NRS.

Il en est de même pour la variable ORIENTATION dont l’influence sur la variable

dépendante augmente (ᵦ= 0,421, p< 0,001).

Les effets des valeurs individuelles d’ouverture au changement et d’affirmation de soi

(I_OUV-AFS) sont amplifiés et plus significatifs (ᵦ= 0,206, p<0,01).

INFO Coefficient ᵦ T-Test Seuil de

significativité

ENSE -0,1815 2,6951**

I_POU 0,246 3,933***

MEDIAS 0,1994 3,1771***

ORIENTATION 0,3182 5,0602***

RESSOURCES_CS 0,1712 2,3528*

SEC_ORGA 0,1981 2,3583*

SEC_MANAGER 0,1986 2,4243*

MEDIAS

O_OUV-DES-AFS 0,0429 2,1046*

ORIENTATION

I_OUV-AFS 0,2045 3,2089*** * : 5%

NRS ** : 1% I_POU -> NRS 0,1142 2,0924* *** : 1/1‰

Tableau 52: Effet total (modèle structurel avec SSI)



Page 298

Figure 37: Modèle structurel avec SSI (Inner)

0,130 *

ns

ns

* p<5%

** p<1%

*** p<1‰

ns = non sig

-0,181**

SSI_ORGA

0.144

ORIENTATION

0,134

MEDIA

0,066

O_OUV-DES-AFS

0,083

SSI_MANAGER

0,386

I_AFS-DES-CON

CARACTERISTIQUES

SS

I_OUV

O_AFS-CON

0,287

INFO

R²=0,43

SSI_PREC

I_REP I_POU

RESSOURCES

Contrôle

Réflexif

1 seul

1ndicateur

Formatif

Var Dépendante



Page 299

2.7. Test des hypothèses de recherche

Pour mener à bien ces tests, nous reprenons les données structurelles exposées aux points

précédents en précisant, s’il a lieu, l’impact de l’introduction des indicateurs de sécurité de

l’information. Nous examinons également les « loadings » des indicateurs des variables

réflexives, et les « poids » des indicateurs des variables formatives. Ces poids ont l’avantage

de fournir des informations actionnables pour les managers. Les mesures des poids et de la

significativité des variables formatives figurent en annexe 13 (variable indépendantes) et 14

(variables explicatives).



Page 300

Influences des variables du capital social, de la culture organisationnelle et de la SSI

H Intitulé

Eff

ets

du

capit

al s

oci

al H1a Un réseau fermé (clique) favorise l’accès à des ressources (humaines) d’informations


H1b Les ressources humaines d’informations stratégiques et organisationnelles de l’acteur lui

fournissent de l’information stratégique, organisationnelle, commerciale, opportune et confidentielle.

Eff

ets

des

val

eurs

indiv

iduel

les

H2 Les valeurs individuelles incitent à capter de l’information opportune ou confidentielle.

H3 Les valeurs individuelles incitent à capter de l’information provenant de l’extérieur de l’organisation.

H4 Les valeurs individuelles influencent le capital social pour l’obtention d’informations

stratégiques, organisationnelles, commerciales, opportunes et confidentielles

Eff

ets

des

val

eurs

org

anis

atio

nnel

les H5

Les valeurs organisationnelles perçues incitent à capter de l’information provenant de

l’extérieur de l’organisation.

H6 Les valeurs organisationnelles perçues n’incitent pas à capter de l’information opportune ou

confidentielle.

Eff

ets

des

méd

ias

de

com

mu

nic

atio

n

H7 L’obtention d’informations opportunes ou confidentielles se fait de préférence via des

rencontres physiques ou des supports physiques (clés USB, CDROM, etc.).

L’e

ffet

d

es

mes

ure

s

org

anis

atio

nnel

les

de

sécu

rité

H8 La culture organisationnelle médiatise les effets des mesures organisationnelles de sécurité

de l’information contre l’obtention d’informations opportunes ou confidentielles.

L’e

ffet

du

man

ager

de

pro

xim

ité

H9 La culture organisationnelle médiatise les effets du manager de proximité contre l’obtention

d’informations opportunes ou confidentielles.

L’e

ffet

de

l’ex

pér

ience

anté

rieu

r de

la

SS

I

H10 L’expérience antérieure de la sécurité de l’information influence le comportement des

salariés

Eff

ets

de

l’ori

enta

tion d

e

l’in

form

atio

n H11 La collecte d’informations opportunes concerne les informations relatives aux activités

externes à l’institution.

Tableau 53: Récapitulatif des hypothèses de recherche



Page 301

2.7.1. Hypothèses H1a et H1b

Nos résultats montrent que la structure du réseau (variable NRS) a un effet direct, qui permet

l’acquisition de contacts qui sont des ressources informationnelles (ᵦ = 0,212, p<0,01)

quelques soit l’intensité des mesures organisationnelles de sécurité de l’information. Un test

de Khi²= (Khi²=17137, phi=0,249, V=0,144, p<0,05) montre que plus la contrainte sur le

réseau de l’acteur est forte, plus il y a des contacts qui lui apportent des informations

stratégiques.

La variables RESSOURCES_CS étant formative, nous pouvons dire que les ressources

apportent essentiellement des informations stratégiques et organisationnelles (ᵦ = 0,922,

p<0,001), tandis que l’apport en soutiens aux initiatives n’est pas significatif.

L’hypothèse H1a est validée.

Nous constatons également que la relation entre la présence de ressources (humaines)

stratégiques et l’obtention d’informations est significative :

Lorsque les mesures organisationnelles de sécurité de l’information sont absentes

(0,151, p<0,05). Dans ce cas, nous observons que l’acteur reçoit des informations

ayant une valeur commerciale (ᵦ= 0,578, p<0,001), stratégiques (ᵦ = 0,325), p<0,01),

organisationnelles (ᵦ = 0,308, p<0,005) et opportunes (ᵦ = 0,3597, p<0,05). En

revanche, la réception d’information nécessitant de la discrétion n’est pas

significative.

Lorsque les mesures organisationnelles de sécurité de l’information sont présentes (ᵦ = 0,157), p<0,05). Dans ce cas, l’acteur ne reçoit plus que de l’information ayant une

valeur commerciale (ᵦ = 0,526, p<0,001) et de l’information organisationnelle (ᵦ

= 0,401, p<0,001). Nous constatons donc que la présence de mesure de sécurité de

l’information modifie le comportement des acteurs en faisant en sorte qu’hormis les

informations commerciales, seules les informations organisationnelles sont captées. Le

« poids » de l’information organisationnelle augmente d’ailleurs considérablement.

L’hypothèse H1b est donc partiellement validée. Les tableaux ci-dessous présentent

les résultats.



Page 302

Sans SSI Avec SSI

Information Poids T-test Poids T-test

Commerciale (INFO_COM) 0,578 4,465*** 0,5268 4,5727***

Confidentielle (INFO_DIS ) 0,066 0,5736 ns 0,1655 1,1601 ns

Opportune (INFO_NDP) 0,3597 2,2439* 0,2836 1,7284 ns

Organisationnelle (INFO_ORG) 0,3083 2,1784* 0,4011 2,8379**

Stratégique(INFO_STRAT) 0,3225 2,5537** 0,2651 1,8881 ns

Tableau 54: Comportement de collecte d'information par les salariés en présence ou non de mesure de SSI

H Intitulé Sans SSI Avec SSI

1a

Un réseau fermé (clique) favorise l’accès à des

ressources (humaines) d’informations

stratégiques et organisationnelles

Validée Validée

1b Les ressources humaines d’informations

stratégiques et organisationnelles de l’acteur lui

fournissent de l’information stratégique,

organisationnelle, commerciale, opportune et

confidentielle.

Partiellement

Validée

Partiellement

Validée

Tableau 55: Validation des hypothèses H1a et H1b en présence ou non de mesure de SSI

2.7.2. Hypothèses H2, H3 et H4

H2

Notre modèle compte quatre variables relatives aux valeurs individuelles.

Seules les variable I_POU et I_REP qui contiennent respectivement les seuls indicateurs de la

valeur de pouvoir (ou de leadership) et de préservation de sa réputation se sont révélées

significatives.

Sans la présence de mesures de sécurité de l’information, la valeur de pouvoir et de

préservation de la réputation agissent positivement pour l’obtention d’informations

opportunes, mais pas confidentielles (ᵦ= 0,141, p<0,05 et ᵦ= 0,167, p<0,05). Par contre si la

variable individuelle de pouvoir reste significative en présence de sécurité de l’information (ᵦ

= 0,137), p<0,05), les informations obtenues ne sont ni confidentielles, ni opportunes.

En marge de l’effet direct de cette variable, nous avons aussi constaté qu’elle exerce un effet

indirect qui amplifie sont intensité, via la variable ORIENTATION (ᵦ = 0,181), p<0,001).



Page 303

En outre, la valeur de préservation de la réputation n’est plus significative en présence de

mesures de sécurité de l’information. L’hypothèse H2 est partiellement validée enl’absence

de SSI et non validée en sa présence.

H3

Quel que soit l’état des mesures organisationnelles de sécurité de l’information en place dans

l’institution, la relation est positive et significative (ᵦ =0,204, p<0,001) entre les valeurs

individuelles d’ouverture au changement et d’affirmation de soi (I_OUV-AFS) et la

variable d’orientation du flux d’information (ORIENTATION).

L’examen des poids de la variable ORIENTATION montre que les informations qui

intéressent les répondants concernent l’organisation (ᵦ =0,494, p<0 ,001) et surtout la

concurrence de l’organisation (ᵦ =0,829, p<0,001). L’Hypothèse H3 est validée quelque soit

létat desmesures organsiationnelles de SSI en œuvre dans l’institution.

H4

La valeur individuelle de pouvoir à une influence positive et significative sur la constitution

d’un réseau fermé de relations (ᵦ =0,130, p<0,05). L’Hypothèse H4 est validée quelque soit

létat desmesures organsiationnelles de SSI en œuvre dans l’institution.

Le tableau ci-dessous syntétise les résultats des hypothèses H2, H3 et H4.

H Intitulé Sans SSI Avec

SSI

2 Les valeurs individuelles incitent à capter de

l’information opportune ou confidentielle.

Partiellement

validée

Non

validé

3 Les valeurs individuelles incitent à capter de

l’information provenant de l’extérieur de l’organisation.

validée validé

4 Les valeurs individuelles influencent le capital social

pour l’obtention d’informations stratégiques,

organisationnelles, commerciales, opportunes et

confidentielles

validée Validée

Tableau 56: Validation des hypothèses H2, H3 et H4en présence ou non de mesure de SSI



Page 304

2.7.3. Hypothèses H5, H6

H5

Quelques soient les mesures organisationnelles de sécurité de l’information, les valeurs

organisationnelles d’ouverture au changement, dépassement de soi et d’affirmation de soi

(O_OUV-DES-AFS) incitent à capter de l’information (ᵦ = 0,230), p<0,001) concernant

l’extérieur de l’organisation. L’hypothèse H5 est validée.

H6

En l’absence de sécurité de l’information, la relation directe entre les variables O-AFS-CON

et la variable dépendante est significative. Les valeurs organisationnelles perçues

d’affirmation de soi et de conformité (O_AFS-CON) incitent à capter de l’information

commerciale, organisationnelle, stratégique et opportune (ᵦ = 0,165, p<0,05). La présence de

la sécurité de l’information ne diminue pas l’intensité et la significativité de la relation, mais

la réception d’informations opportunes n’est plus significative.

L’hypothèse H6 n’est pas validée en l’absence de SSI, mais validée en sa présence.


SSI

5 Les valeurs organisationnelles perçues incitent à capter de


validée validée

6 Les valeurs organisationnelles perçues n’incitent pas à capter de

l’information opportune ou confidentielle.

Non

validé

validée

Tableau 57: Validation des hypothèses H5 et H6 en présence ou non de mesure de SSI

2.7.4. Hypothèse H7

La variable ORIENTATION exerce un effet direct et positif sur la variable MEDIAS (ᵦ

= 0,190), p<0,001). L’hypothèse H7 est validée.



Page 305


SSI

7 L’obtention d’informations opportunes ou confidentielles se fait

de préférence via des rencontres physiques ou des supports

physiques (clés USB, CDROM, etc.).

validée validée

Tableau 58: Validation de l’hypothèse H7 en présence ou non de mesure de SSI

2.7.5. Hypothèse H8 et H9

H8

La variable SEC_ORGA comprenant les indicateurs de mesures organisationnelles de sécurité

de l’information n’exerce aucun effet direct sur la variable INFO.

SEC-ORGA exerce bien une influence positive et significative sur cette variable de manière

indirecte. Cependant, cette variable n’est pas médiatisée par les valeurs

organisationnelles, mais par la variable SEC_MANAGER.

La relation entre SEC_ORGA et INFO est « indirectement » significative. Le manager

médiatise complètement les mesures organisationnelles de sécurité de l’information (ᵦ

= 0,610, p<0,001). L’effet total des mesures de sécurité est alors indirect et significatif (ᵦ

= 0,198, p<0,05). L’hypothèse H8 n’est pas validée.

H9

La variable SEC_MANAGER n’a pas d’effet direct significatif sur la variable dépendante,

mais un effet indirect (ᵦ = 0,198, p<0,05) via la variable O-AFS-CON (ᵦ = 0,251, p<0,001).

L’hypothèse 9 est validée.

H Intitulé Statut

8 La culture organisationnelle médiatise les effets des mesures

organisationnelles de sécurité de l’information contre


Non validée

9 La culture organisationnelle médiatise les effets du manager de

proximité contre l’obtention d’informations opportunes ou

confidentielles.

Validée

Tableau 59: Validation des hypothèses H8 et H9 en présence ou non de mesure de SSI



Page 306

2.7.6. Hypothèse 10

La variable SEC_PREC a un effet négatif et significatif sur la variable SEC_ORGA (ᵦ = -

0,379, p<0,001) et elle a un effet indirect et aussi négatif sur la variable SEC_MANAGER (ᵦ

= -0,203, p<0,001), Cependant cet effet est neutre. L’expérience précédente de la sécurité de

l’information n’influence pas les effets des pratiques courantes de sécurité de l’information.

L’hypothèse est donc rejetée.

H Intitulé Statut

10 L’expérience antérieure de la sécurité de l’information

accentue les effets des pratiques actuelles de sécurité de

l’information.

Non validée


2.7.7. Hypothèse H11

La variable ORIENTATION exerce la plus forte influence significative sur la variable

dépendante (ᵦ =0,318, p<0,001), quelques soient les mesures organisationnelles de sécurité de

l’information.

Nous avons déjà souligné que l’examen des poids de la variable ORIENTATION montre que

les informations qui intéressent les répondants concernent fortement l’extérieur de

l’organisation (ᵦ =0,830, p<0,001), mais aussi les affaires internes ((ᵦ =0,509, p<0,001).

L’hypothèse H11 n’est donc pas validée.

H Intitulé Sans SSI Avec SSI

11 La collecte d’informations opportunes concerne les

informations relatives aux activités externes à l’institution.

Non validée


2.7.8. Test des variables de contrôle

Nous avons définis deux variables de contrôle : les caractéristiques sociodémographiques du

répondant (âge, statut, ancienneté dans l’entreprise, ancienneté dans la fonction) et la taille de

l’entreprise.



Page 307

Seule la taille de l’entreprise à un effet significatif et négatif sur la variable INFO (ᵦ = 0,181,

p<0,001). La taille de l’entreprise tend à réduire l’obtention d’informations.

Un test de khi² (khi= 78,398, phi=529, V=0.237, p=0,002) montre que globalement quel que

soit la taille de l’institution, les salariés reçoivent plutôt de l’information qui concerne

l’activité interne. Plus l’institution est grande, plus ses membres sont sensibilisées à la

sécurité de l’information (khi= 65,813, phi=485, V=0.217, p=0,02) et plus elle dispose de

politiques de sécurité (khi= 103,746, phi=609, V=0.272, p<0,001).

Le manager est aussi plus fortement concerné par la sécurité de l’information, quelques soit la

taille de l’institution (khi²=81,207, phi=539, V=0.241, p<0,05). Les petites organisations ne

disposent pas de structures de gestion de la sécurité de l’information (khi²=125,671, phi=670,

V=0.335, p<0,001). Les participants jugent également leur expérience de sécurité de

l’information identique aux mesures actuelles (khi²=100,853, phi=600, V=0.268, p=0,03).

L’analyse des corrélations montre que la taille de l’entreprise est négativement corrélée à la

réception d’informations stratégiques (ᵦ=-0,160, p<0,01) et ayant une valeur commerciale (ᵦ

=-0,209, p<0,001). C’est-à-dire que plus l’institution est grande, moins les salariés reçoivent

ce type d’informations.



Page 308

3. Discussion et mise en perspective des résultats

Dans cette section, nous réexaminons la formulation de nos hypothèses et leurs fondements

théoriques en fonction de nos résultats et ceux des recherches antérieures. Trois dimensions

intéressent notre propos : le capital social, la culture organisationnelle et la sécurité de

l’information. Tout d’abord, nous rappelons nos résultats :



Page 309

Influences des variables du capital social, de la culture

organisationnelle et de la SSI

Validé

H Intitulé Sans

SSI

Avec

SSI

Eff

ets

du c

apit

al

soci

al

H1a Un réseau fermé (clique) favorise l’accès à des ressources

(humaines) d’informations stratégiques et organisationnelles.

V V

H1b Les ressources humaines d’informations stratégiques et

organisationnelles de l’acteur lui fournissent de l’information

stratégique, organisationnelle, commerciale, opportune et

confidentielle.

PV (PV)

Eff

ets

des

val

eurs

indiv

iduel

les

H2 Les valeurs individuelles incitent à capter de l’information


PV NV

H3 Les valeurs individuelles incitent à capter de l’information

provenant de l’extérieur de l’organisation.

V V

H4 Les valeurs individuelles influencent le capital social pour

l’obtention d’informations stratégiques, organisationnelles,

commerciales, opportunes et confidentielles

V V

Eff

ets

des

val

eurs

org

anis

atio

nnel

le

s

H5

Les valeurs organisationnelles perçues incitent à capter de


V V

H6 Les valeurs organisationnelles perçues n’incitent pas à capter de l’information opportune ou confidentielle.

NV V

Eff

ets

des

m

édia

s

de

com

mu

nic

atio

n

H7 L’obtention d’informations opportunes ou confidentielles se fait

de préférence via des rencontres physiques ou des supports


V V

L’e

ffet

d

es

mes

ure

s

org

anis

atio

nnel

le

s d

e sé

curi

té

H8 La culture organisationnelle médiatise les effets des mesures

organisationnelles de sécurité de l’information contre l’obtention

d’informations opportunes ou confidentielles.

NV

L’e

ffet

du

man

ager

de

pro

xim

ité H9 La culture organisationnelle médiatise les effets du manager de

proximité contre l’obtention d’informations opportunes ou

confidentielles.

V

L’e

ffet

d

e

l’ex

pér

ience

anté

rieu

r d

e la

SS

I

H10 L’expérience antérieure de la sécurité de l’information accentue

les effets des pratiques actuelles de sécurité de l’information

NV

Eff

ets

de

l’ori

enta

tion

de

l’in

form

atio

n

H11 La collecte d’informations opportunes concerne les informations

relatives aux activités externes à l’institution.

NV NV

V=validée, PV=partiellement validée, NV=non validée

Tableau 62: Résultats des hypothèses

Nous remarquons que les hypothèses H1a et H1b montrent que la sécurité de l’information

n’a pas d’influence sur le recours au capital social.



Page 310

De même les valeurs individuelles et organisationnelles incitent les acteurs à capter de

l’information à l’extérieure de l’organisation.

3.1. A propos du modèle

Notre modèle explique 43% de la variance de la variable dépendante. Comme le montre le

tableau 53 ci-dessous, ce résultat est satisfaisant quand on le compare aux travaux de

recherches les plus récents sur la sécurité de l’information, publiés dans des revues

internationales de tout premier rang (classement 1 et 1g, CNRS, 2011). L’étude de Myyr et al.

(2009) est conceptuellement la plus proches de la nôtre et la variance obtenue est significative

mais faible (Chin, 1998).

Référence Objet R²

Bulgurcu et al.

MIS Quaterly, (2010)

Intention de se conformer aux mesures de sécurité

(Rationaliy Based Belief, théorie du choix rationnel)

35%

Jhonston et Warkentin

MIS Quaterly (2010)

Dissuasion (Appel à la peur) 27%

Vance et Siponen

MIS Quaterly (2010)

Théorie de la neutralisation 44%

D’Arcy et al. Information System Research

(2009)

Sensibilisation et effets de la sanction 30%

Myyr et al.

European Journal of Information

Systems (2009)

Effets des valeurs d’ouverture au changement et de

conformité (Schwartz, 1994) et du raisonnement moral sur le

respect des règles de sécurité

12%

Herat et Rao

European Journal of Information

Systems (2009b)

Conformité aux règles de sécurité (protection Motivation

Theory)

47%

Tableau 63: Variances obtenues sur la variable dépendante dans différentes études portant sur la SSI

3.2. A propos du capital social

L’élaboration de nos hypothèses sur le capital social se justifie par sa mobilisation par les

innovateurs et par l’absence de constat clair sur les effets de la fermeture des réseaux sur les

comportements opportunistes.

Alter (2000) cite relativement peu les usages des réseaux sociaux dans son ouvrage sur

l’innovation ordinaire. Sarasvathy (2001: 254) cite Burt comme théoricien des réseaux

sociaux dont elle s’est inspirée. Nous avons, en effet, souligné que la découverte

d’opportunités dans des environnements complexes implique l’interaction et la concertation

avec de multiples partenaires, ne serait-ce que pour utiliser des ressources contrôlées par des



Page 311

tiers (Denrell, Fang, et Winter, 2003). Ces opportunités peuvent émerger de structures

relationnelles à liens faibles (Granovettter, 1973). Nous retrouvons ce principe chez Von

Hippel (1987) ou, encore, chez Shrader (1991). Ces auteurs montrent que des informations

techniques sont échangées de manière informelles entre les firmes, y compris entre

compétiteurs. Selon Shrader (1991), c’est la nature de l’information qui prime. Le structure et

l’intensité des relations son secondaires. Kreiner et Shultz (1993: 197-198) précisent que

quand des rivaux coopèrent et échangent de façon informelle des idées qui ne constituent pas

en l’état des savoirs commercialisables (« sellable truth »), la valeur de l'information

supplémentaire acquise dans l’échange est supposée dépasser la perte de valeur occasionnée

par son partage. Le partage de cette idée prometteuse est peu coûteux et les parties prenantes

de l’échange peuvent tirer des dividendes substantiels de son développement et de son

exploitation.

Les liens faibles qu’entretiennent les innovateurs seraient un atout précieux dans leur

démarche d’innovation. Cependant, Simon et Tellier (2008) suggèrent que les liens forts sont

d’abords mobilisés par les innovateurs pour trouver les ressources nécessaires dont ils ont

besoin. Les réseaux fermés à liens forts permettent de faire circuler de l’information à haute

valeur ajouté, qui nécessite de la confiance. Ils constitueraient une première étape dans la

recherche des soutiens aux projets (Coleman, 1988 ; Granovetter, 1973, Simon et Tellier,

2008). La démarche des innovateurs consiste alors à solliciter leurs contacts avec qui ils

entretiennent des liens forts pour trouver des ressources dont ils ont besoin. Dans son étude

sur les réseaux personnels des ingénieurs en R&D, Chollet (2005) montre également que les

réseaux personnels sont surtout composés de liens forts.

Les résultats de notre recherche vont dans ce sens. Nous nous sommes focalisés sur les effets

de la fermeture des réseaux. Nous montrons ainsi que les réseaux où la contrainte

structurale est forte offrent plus de contacts disposant d’informations stratégiques. Dans

notre étude, la force des liens (proximité émotionnelle, fréquence des interactions et

ancienneté de la relation) n’a pas d’effet direct indirect sur la fermeture du réseau. Cette

fermeture s’explique plutôt par la redondance d’attribut (ᵦ= 0,29, p<0,001). En effet, les

contacts sont plutôt situés dans la même institution. Nous constatons donc que cette

fermeture du réseau serait d’avantage due à des alliances stratégiques qu’à l’intensité

des relations. Cette proposition est conforme à celle de Sarasvathy (2001) pour qui

l’innovateur s’appuie sur des alliances stratégiques.

Nos résultats suggèrent que l’acteur recherche plutôt des soutiens locaux. En effet, ces

soutiens connaissent l’environnement dans lequel évolue l’acteur. Ils seraient donc mieux à

même de lui apporter une aide politique, de le conseiller ou encore de l’orienter vers les

bonnes personnes à l’intérieur de l’institution. La théorie des trous structuraux (Burt, 1992,

2007, 2010) que mobilise Sarasvathy (2001) ne serait donc pas suffisante pour comprendre le

comportement des individus dans la mobilisation de leur capital social.

Nous avons identifié la structure du réseau apportant des bénéfices au salarié, il nous faut

maintenant déterminer si le réseau personnel formé est un lieu qui permet l’adoption de

comportements contraires aux intérêts des institutions.



Page 312

Dans le domaine de la R&D également, Von Hippel; (1987:4-5) déclare que les ingénieurs de

firmes différentes, mais fabriquant des produits similaires en suivant des processus proches,

s’échangent des informations en révélant, si nécessaire, les savoir-faire propriétés de leurs

firme. Ces ingénieurs jugent du degré de sensibilité de l’information. Si celui-ci leur paraît

acceptable pour autoriser l’échange alors l’information est donnée au contact qui en a besoin.

C’est aussi ce que suggère Bouty (1999) : les ingénieurs ne confient pas d’informations

confidentielles et ils se fient à leur appréciation pour juger de leur degré de sensibilité.

Nous avions également souligné que Coleman (1988) suggère que les réseaux fermés offrent

une protection contre les comportements opportunistes. Ce raisonnement tient dans le fait que

dans un réseau fermé, les informations circulent vite et un comportement non conforme aux

règles communes serait vite connu de l’ensemble des membres du réseau. La structure joue

alors un rôle dissuasif et protecteur. Coleman s’opposait alors à Burt, selon qui les réseaux

fermés favorisaient les comportements opportunistes tandis que les réseaux ouvert les

réduisaient. Son explication tient dans le fonctionnement des trous structuraux. Un individu

tire un maximum d’avantages à se situer à l’intersection de différents réseaux. Cela lui

procure en effet une position d’intermédiaire, de négociateur. Il peut alors déployer des

stratégies personnelles en choisissant à qui il demande, ou relaye des ressources.

Burt (2010 : 163) écrit aussi que les réseaux fermés favorisent la réputation et la stabilité des

relations. Néanmoins, la protection de la réputation et la stabilité des relations ne garantissent

pas que les comportements des membres d’un réseau seront au bénéfice d’un groupe plus

large ou d’une société. Nous l’avons mentionné, Putman (2001) cite les groupuscules

terroristes dont la cohésion et les objectifs forment un exemple des effets néfastes du capital

social pour la société toute entière. Il rejoint ainsi Sutherland (1962) dont la théorie de

l’association différentielle postule que les actes déviants sont le fruit de la saisie

d’opportunités offertes par le tissu de relations. Selon lui, les liens forts, les réseaux fermés

expliquent les comportements déviants.

Nos résultats montrent que les ressources (humaines) de l’acteur lui fournissent de

l’information qu’il ne devrait pas obtenir, mais ne lui fournissent pas de l’information qui

nécessite la discrétion. Le réseau personnel, même plutôt fermé, permet donc d’accéder à de

l’information variée. Ce résultat est conforme à ceux d’Ouchi (1980 : 129), qui fait valoir que

les organisations de type « clan » avec de fortes normes partagées bénéficient de coûts de

contrôle inférieures et d’un engagement supérieur. De même, Krackhardt et Hanson (1993)

soulignent qu’un réseau de confiance peut transmettre des informations plus sensibles et plus

riches que les autres types de réseaux en raison de la solidarité qu'il engendre.

La fermeture du réseau permettrait donc aux acteurs de s’engager d’avantage dans

l’échange d’information de valeur, mais sans se compromettre. C’est aussi ce qu’identifie

Chollet (2006) selon qui, les ingénieurs de demande pas ce qu’il n’aimerait pas avoir à

donner. Simon et Tellier (2008) montrent également que le respect de la confidentialité est

une règle dans les échanges d’informations, tout comme Sharder (1993) qui identifie la

sensibilité comme barrière à l’échange d’information.



Page 313

Synthèse sur les apports du capital social

Notre étude suggère que le réseau de proximité de l’acteur est un réseau plutôt fermé et

composé de personnes appartenant à la même institution. Ce sont des personnes accessibles et

assez proches de l’acteur, qu’il connait en moyenne depuis au moins un an. Nous n’avons pas

établi d’influence significative concernant la force des liens. Cependant, plus le réseau est

fermé, plus il se compose de contacts qui approvisionnent l’acteur en informations

stratégiques. Cela signifierait que l’acteur adopte une démarche stratégique (au sens de

Crozier, 1977) en se constituant un réseau de relation resserré qui l’approvisionne en

informations de valeurs. En outre, ces ressources informationnelles l’approvisionnent

parfois en informations qu’il ne devrait pas obtenir. Nous remarquons une situation

intermédiaire ou le réseau est fermé, mais est composé de liens faibles. C’est un

paradoxe que nous ne retrouvons pas dans la littérature. La théorie de la force des liens

développée par Granovetter suggère que plus les individus connaissent une même personne,

plus ils ont de chance de se connaitre et de former un réseau cohésif à liens forts. La théorie

des trois structuraux (Burt, 1992) postule que ce type de réseau est non-redondant, donc à

faible contrainte pour l’acteur central. Notre étude tend à montrer que l’intérêt peut

conduire à choisir ses partenaires, sans pour autant développer l’intensité des relations

(cf. Hypothèses4).

3.3. A propos des valeurs

Sarasvathy et Dew (2008) postulent que chercher à savoir comment les acteurs deviennent des

innovateurs au travers des profils psychologiques ou des valeurs humaines (opportunisme,

aversion au risque, etc.) peut être trompeur.

Dans cette perspective, nous avons fait le choix de bâtir un modèle qui confronte les valeurs

de l’individu à celle qu’il perçoit de son institution. En effet, le choix de la culture

organisationnelle dans la conception de notre modèle de recherche se justifie parce que notre

travail est articulé autour de la dynamique relationnelle. Les salariés et leur management sont

en interaction dans la gestion continue de l’innovation et de la sécurité de l’information.

Selon Schein (1985b), le développement de la culture organisationnelle est le fait des

dirigeants et, plus globalement, des employés faisant preuve de leadership dans les

organisations.

Selon le modèle de Schein (1984) à trois niveaux, notre proposition de recherche consiste à

confronter les hypothèses de base, soit les valeurs individuelles de la personne, aux valeurs

partagées par l’institution pour ensuite analyser les artefacts produits, notamment dans les

comportements d’échanges d’informations et leur prise en compte de la sécurité de

l’information.

Selon Alter (2000 : 15), reprenant Callon (1986), l’innovation est une activité banale d'acteurs

qui remettent les normes en questions et qui enrôlent d’autres acteurs dans leur stratégie.



Page 314

Cependant l’innovateur ne peut s’abstenir de l'adhésion de la direction qui est la seule à

pouvoir légitimer les évolutions des règles qui en découlent. Précisément, Callon (1986 : 19)

suggère que le processus d’innovation suit « deux lois principales ; celle de l’existence de

réseaux d’influence, et celle de l’inversion des normes ».

L’innovateur devrait donc, à un moment ou à un autre, dévier de la norme. La prise de risque

lui permet d’acquérir l’autonomie vis à vis des règles, et des normes contraignantes imposées

par l’organisation.

Nous souhaitons alors comprendre dans quelle situation l’innovateur peut être amené à dévier

des normes quand il s’agit de capter de l’information.

La réponse provient de la théorie de la rationalité limité et procédurale des travaux de Simon

(1947).

Quand une situation est complexe (rationalité procédurale), le but est extérieur à la rationalité

de l’innovateur. L’incapacité à discerner les buts précédant l’action et à prendre une décision

incite l’acteur à entrer dans une délibération progressive avec les parties prenantes

(Sarasvathy et Simon, 2000).

Le salarié a donc besoin d’échanger de l’information avec des partenaires pour construire le

chemin qui mène à l’innovation. Il se heurte alors aux règles, symbolisées dans notre étude

par les pratiques de sécurité de l’information. Ces règles limitent les ressources

informationnelles auxquelles l’acteur doit accéder.

Ce postulat a justifié, notre hypothèse selon laquelle l’innovateur capte de l’information utile

à ses projets. Nos résultats (cf. Hypothèses H2, H3 et H4) montrent que les salariés captent

de l’information ayant une valeur commerciale, stratégique et organisationnelle.

L’information peut être opportune, c’est-à-dire qu’elle ne leur est pas initialement

destinée. Cependant, elle ne présente pas un caractère confidentiel.

Nous avons également identifié que l’acteur obtient de l’information sous l’effet de la valeur

de pouvoir (leadership), et de la valeur de réputation. Le leadership est lié à la capacité

d’entrainer des partenaires dans son sillon (Sarasvathy, 2001). La réputation agit également

sur l’obtention d’informations. Les effets de la réputation sont très fréquemment illustrés dans

la littérature. Le maintien de la réputation est directement lié à l’établissement de la confiance

nécessaire à l’activation du capital social (Coleman, 1988 ; Burt, 1992 ; Portes, 1998 ;

Reagans et Zuckerman, 2008). Ce résultat est conforme à la littérature. Cependant, la valeur

individuelle de réputation n’a plus d’effet lorsque des mesures de sécurité de l’information

sont présentes. Nous interprétons ce résultat par le fait que les normes en vigueur dans

l’organisation permettent aux acteurs d’adopter un comportement qui préserve leur réputation.

Les normes de sécurités permettent aux salariés d’agir sans avoir à se demander si ses actions

peuvent nuire à leur réputation. Ce résultat est conforme à ce qu’avance Commons (1934).

Par ailleurs, d’autres valeurs, fréquemment citées dans la littérature portant sur les réseaux

d’innovation telles que la réussite, la reconnaissance ou la créativité, n’ont pas, dans notre cas,

d’effets significatifs sur la nature des informations échangées. Toutefois, elles influencent

positivement le comportement des acteurs dans l’intérêt qu’ils portent aux informations

internes relatives à l’institution ou aux activités de la concurrence.



Page 315

L’acteur cherche donc à enrichir sa compréhension de l’environnement dans plusieurs

directions. Les valeurs d’ouverture au changement : la prise de risque, l’innovation et

l’initiative, la valeur de reconnaissance et la valeur de collaboration le motivent à capter des

informations qui proviennent de l’intérieur, mais surtout essentiellement de l’extérieur de

l’organisation. Cela nous semble tout à fait compréhensible dans la mesure où cette

information est plus rare, plus difficile à obtenir que l’information interne.

Nos résultats montrent également, que l’individu est encouragé par les valeurs

organisationnelles d’ouverture au changement, d’affirmation et de dépassement de soi. Ce

résultat est cohérent avec la littérature. En effet, selon la théorie de la capacité d’absorption

(Cohen et Levinthal, 1990), la capacité des institutions à reconnaitre la valeur d’une

information externe, et à l’assimiler dans des objectifs commerciaux, est critique pour ses

capacités d’innovation. Nous remarquons d’ailleurs que les informations ayant une valeur

commerciales sont les plus captées par notre échantillon. Ceci témoigne de l’orientation des

acteurs vers la création de valeur.

La valeur de pouvoir est aussi incitatrice de la fermeture des réseaux. Notre résultat montre un

lien significatif de l’action de cette valeur sur la fermeture du réseau. Cela pourrait se traduire

par la volonté de l’acteur de sélectionner ses partenaires dans une logique d’accession au

pouvoir.

Ce résultat conforte également la suggestion de Sarasvathy et Dew (2008), selon laquelle,

pour comprendre ce qui pousse un individu à innover, il faut tenir compte des contextes

d’action. L’acteur semble incité à la recherche d’information, motivé par l’environnement,

plus que par ses valeurs individuelles.

Selon nous, il est aussi intéressant de noter que la valeur de reconnaissance s’exprime:

Dans une dimension collective. C’est aussi ce que Simon et Tellier (2008) relèvent

que dans des réseaux cohésifs, les créatifs semblent particulièrement sensibles à la

reconnaissance de pairs ;

Dans une démarche d’innovation, puisqu’elle est associée aux valeurs propres à

l’innovateur (innovation, prise de risque, initiative) ;

Dans l’intérêt porté à l’orientation des flux d’information. Les flux en provenance de

l’externe sont très significatifs. Nous retenons, que la reconnaissance s’obtient par

sa capacité à capter (pour restituer) de l’information qui ne circule pas

implicitement dans l’organisation.

Ce dernier point nous permet de rejoindre les propos de Caillé (2009). Le don est un moyen

d’être reconnu par la valeur de ce que l’on donne.

Compte tenu du principe de réciprocité, ces valeurs qui orientent les acteurs vers l’extérieur,

pourraient avoir des conséquences néfastes pour les institutions. Des informations sensibles

pourraient elles aussi « s’échapper » vers l’extérieur de l’organisation. Nous avons donc voulu

vérifier si des valeurs organisationnelles pouvaient optimiser la recherche d’information

externe sans compromettre l’organisation. Or, contrairement à nos attentes, il n’en est rien



Page 316

en l’absence de mesures de sécurité de l’information. Les valeurs de conformité et

d’affirmation de soi ont un effet positif sur la capture d’informations et n’empêchent

pas l’échange d’informations opportunes (cf. Hypothèses H5, H6). La littérature sur la

sécurité de l’information peut nous éclairer sur ce comportement. Tout d’abord, ce sont les

règles de sécurité de l’information qui ont pour rôle de promouvoir un comportement

responsable dans l’usage de l’information (von Solms, 2000, 2006). L’une des fonctions

premières de la sécurité de l’information est entre autre de protéger les informations sensibles

de l’institution (ISO IEC, 2005 ; NIST, 2003). Il n’est donc pas nécessairement surprenant

qu’en son absence les valeurs organisationnelles de conformité et d’affirmation ne soient pas

orientées vers la protection de l’information.

Une autre explication réside dans l’action des valeurs contenues dans la variable O_AFS-

CON. Ce construit étant réflexif, il ne nous est pas possible de déterminer qu’elles sont les

valeurs plus particulièrement à l’origine ce comportement. Cependant, ces règles sont portées

par le management et donc l’autorité de l’organisation. Elles ont entre autre pour objectif de

préserver la réputation de l’institution. En effet, pour prendre un exemple : depuis l’affaire

Enron34

(2001), les lois imposant la transparence financières des organisations se sont

multipliées (loi sur la sécurité Financière, 2003 ; loi Sarbanes-Oxley, 2002 ; règlement Bâle 2,

2004). Il est donc important pour les institutions de mettre en œuvre des outils qui

garantissent que les informations ne sont ni divulguées, ni corrompues par des actes

malveillants, intentionnels ou non. A l’inverse, nos résultats mettent en relief l’importance de

la valeur individuelle de leadership dans l’acquisition d’informations. Or, cette valeur

influence la variable des valeurs organisationnelles d’affirmation de soi et de conformité

(O_AFS-CON). Nous avons donc décidé de retirer la valeur organisationnelle de pouvoir

O_Pou de la variable O_AFS-CON. Les conditions de fiabilité et de validité du modèle sont

préservées (cf. annexe 12). Nous constatons alors que la relation entre la variable prédictive

O_AFS-CON et la variable à expliquer INFO est positive et significative, mais que

l’obtention d’information opportune n’est plus significative. Les valeurs individuelles et

organisationnelles de pouvoir incitent toutes les deux à capter de l’information

opportune.

Nous avons également validé l’hypothèse 4 selon laquelle les valeurs ont une influence sur

l’activation du capital social. Selon nos résultats, la valeur de pouvoir influence et renforce

la contrainte structurale de fermeture du réseau. La littérature (Alter, 2009 ; Cholet, 2006)

mentionne l’amitié comme une valeur susceptible d’activer le capital social pour obtenir de

l’information officieuse. Cependant, nous n’avons rien trouvé allant dans ce sens.

34 Le scandale financier d’Enron. Société Américaine qui falsifiait ses compte avec la complicité d’un cabinet

d’audit



Page 317

Synthèse des hypothèses sur les effets des valeurs

Nos résultats montrent que les valeurs de réussite, d’innovation, d’audace (risque), d’initiative

et de reconnaissance, pourtant soulignées dans la littérature ne sont pas celles qui poussent un

salarié à capter de l’information. Elles n’exercent ni un effet direct, ni un effet indirect sur la

variable dépendante. En revanche, elles incitent le salarié à se tourner vers l’extérieur de

l’organisation.

Ces valeurs sont alors complémentaires à celle de la protection de sa réputation et du pouvoir

(leadership), qui, tant au plan individuel qu’organisationnel, encouragent le salarié à obtenir

de l’information, y compris celles qu’il ne devrait pas obtenir. Le pouvoir et la réputation

répondent à ce que Caillé (2009) nomme l’intérêt pour soi. La prédominance de la valeur de

pouvoir montrerait que le don et la demande, s’inscrivent dans une logique de pouvoir et de

domination de l’autre. Ce résultat semble cohérent avec l’usage du réseau personnel qui est

identifié dans cette étude. Les effets de la réputation sont aussi conforment à la littérature.

Nous notons également que les mesures organisationnelles de sécurité de l’information

annulent les effets de la valeur individuelle de réputation. Le respect de la norme permet à

l’acteur d’agir sans avoir à se préoccuper de son image. Ce résultat est conforme à ce que

propose Commons (1934).

3.4. A propos de l’usage des médias de communication

Nous avons également proposé une hypothèse relative à l’usage des médias de

communication. La littérature en matière de sécurité de l’information évalue, la plupart du

temps, les comportements de sécurité dans l’usage des technologies de l’information et de la

communication (Straub, 1990 ; Straub et Welke, 1998 ; Herat et Rao, 2009 ; Vance et

Siponen, 2010, Bulgurcu et al, 2010). L’usage de supports, comme les clés USB ou les

cdrom, permet d’échapper aux contrôles qui peuvent s’exercer sur la messagerie électronique.

Alors, en relation avec la théorie de la sous-culture déviante (Cohen, 1955), qui postule que

les personnes déviantes n’utilisent pas des moyens de communication de masse, nous avons

souhaité vérifier l’existence de relations, entre l’usage de ce type de média de communication

et l’acquisition d’informations.

Nos résultats montrent que l’obtention d’informations, internes ou externes à l’organisation,

se fait de préférence avec des supports de stockage comme les clés USB (cf. Hypothèse H7).

Selon nous, cela peut exprimer la volonté des acteurs d’échapper aux moyens de contrôles

électroniques. Steinfield (1986) montre, par exemple, avec la théorie de la présence sociale

(Short et al, 1976), que la messagerie électronique est utilisée dans l’échange d’informations

complexes, mais pas dans le cadre de la transmission d’informations confidentielles ou

privées ou encore, dans la négociation et la résolution des conflits.



Page 318

Ce résultat devrait interroger les responsables de la sécurité de l’information. En effet, les clés

USB ou CDROM sont sujet à perte, vol ou à l’infection de virus. La circulation

d’informations concernant les activités de l’entreprise, à l’extérieur comme à l’intérieur de

l’organisation, porte des risques pour la sécurité des organisations.

3.5. A propos de la sécurité de l’information

Plutôt que de chercher à mesurer l’influence de la sécurité de l’information sur les usages des

systèmes d’information et des technologies de l’information et des communications, nous

avons construit un modèle axé sur l’échange d’information. Ceci, n’a jamais été fait à notre

connaissance et constitue, selon nous, une originalité forte dans notre travail de

recherche.

Nous avons axé nos travaux sur l’influence culture organisationnelle. En insistant sur le rôle

du manager de proximité et sur l’influence, que peut avoir une expérience de la sécurité, qui

aurait été acquise en dehors des murs de l’institution. Ces deux points constituent la

deuxième et dernière originalité forte de notre travail de recherche. En effet, aucune

étude à notre connaissance n’a quantifié ni le rôle de sécurité du manager dans l’échange

d’information, ni celui de l’expérience.

La culture organisationnelle est une dimension majeur de la sécurité de l’information (OCDE,

2003, ISO IEC, 2005), mais son étude dans les organisations reste encore à développer (von

Solms et Niekerk, 2010).

La culture organisationnelle telle que Schein (1984), la définit doit être portée par le

management. La sécurité de l’information n’échappe pas à cette règle. La littérature est

unanime pour dire que la dirigeance (le top management) doit participer à l’élaboration de

politiques qui fixent les règles et doivent ensuite les promouvoir. Cela passe notamment, par

des sessions de sensibilisation à l’information. Récemment Knapp et al (2012) ont montré que

les politiques ont un rôle central dans l’adhésion aux programmes de sécurité. Cependant cette

étude avait pour cibles des spécialistes de la sécurité de l’information, et non de « simples »

salariés. En nous basant sur l’inventaire de Tsohou (2008), qui liste un ensemble de mesures

organisationnelles de sécurité. Nous en avons retenu les principales mesures : l’implication de

la dirigeance, l’existence de politique, des programmes de sensibilisation, l’existence d’une

structure de gestion. Nous avons ajouté l’influence du manager de proximité et la prise ne

compte de l’expérience.

Nos résultats montrent que les valeurs organisationnelles d’affirmation de soi et de conformité

(O_AFS-CON) mais aussi d’ouverture au changement, de dépassement de soi et d’affirmation

de soi (O_OU-DES-AFS) médiatisent l’influence du manager de proximité.

Ce responsable occupe un rôle majeur et significatif dans l’application des mesures de

sécurité. Ce rôle est d’autant plus important, qu’il médiatise également les effets des mesures



Page 319

organisationnelles (cf. Hypothèse H8 et H9). Ce résultat n’a à notre connaissance, jamais

été montré dans la littérature.

La sensibilisation, l’implication de la dirigeance, et l’existence de politiques n’ont pas des

effets directs, mais exercent une influence indirecte sur les comportements d’échanges

d’informations. En ce sens, nos résultats sont en ligne avec la littérature (Knapp et al, 2012,

Siponen et Puhakainen, 2010 ; Puhakainen, 2006 ; ENISA, 2006).

Le manager de proximité a une action significative et positive sur la perception des salariés

des valeurs organisationnelles. Nos résultats montrent que le manager de proximité est un

vecteur essentiel des valeurs organisationnelles.

Par ailleurs, et c’est un résultat inattendu, sous l’effet de la sécurité de l’information, l’acteur

n’obtient plus d’informations relatives à la stratégie de l’institution ou de son environnement

externe (cf. Hypothèse H1b et H1b)

Ce résultat montre que les acteurs ne se mettent pas en « danger », en manipulant de

l’information confidentielle ou qui ne leur est pas destinée. D’autre part, il montre aussi que la

sécurité de l’information responsabilise les acteurs.

Nous relevons, et ce n’est pas neutre, que la sécurité de l’information appauvri la diversité

des informations que l’acteur peut obtenir. Cela n’est peut-être pas sans conséquences sur

la capacité des individus, à construire un raisonnement et prendre des décisions. Cette

influence de la sécurité de l’information qui n’a jamais été étudiée à notre connaissance,

impacterait l’ensemble de l’institution.

Nous avons ensuite testé, l’influence de l’expérience des pratiques de sécurité de

l’information (cf. Hypothèse 10). Cette hypothèse nous a été suggérée par plusieurs voies

d’analyse. La première d’entre elles, est l’habitus de Bourdieu (1980b) ; c’est le principe de la

socialisation, de l’apprentissage des normes qui construit l’individu de l’enfance à l’âge

adulte. Cette idée d’apprentissage et de temps long a été également exprimée par Puhakainen

et Siponen (2010), qui soulignent que la sensibilisation est un apprentissage long qui nécessite

de nombreuses séances de formation. Enfin, la théorie du conflit de culture de Sellin (1938)

postule que la déviance peut naître du refus d’un individu d’adopter les normes en vigueur

dans la société ou l’organisation. Nous postulions, avec l’hypothèse 10, qu’un acteur pouvait

se comporter selon l’expérience qu’il avait acquise et non les mesures en place dans

l’institution. Notre test n’a pas donné de résultats significatifs.

Synthèse des hypothèses de la sécurité de l’information

Nos hypothèses portant sur la sécurité de l’information montre que les mesures

organisationnelles de sécurité de l’information sont médiatisées par les valeurs

organisationnelles. Plus que la sensibilisation, les politiques ou encore la communication de la

dirigeance, le manager de proximité est le principale véhicule des mesures de sécurité. A

notre connaissance, ce résultat n’avait pas encore été démontré dans la littérature. Par



Page 320

ailleurs, et c’est un corollaire à nos hypothèses, les mesures de sécurité de l’information

influencent la nature des informations que les salariés captent. La présence de mesures,

semble obliger les salariés à se centrer sur les informations organisationnelles, ou ayant une

valeur commerciale. L’acquisition d’informations opportunes ou relatives à la stratégie de

l’institution n’est plus significative.

3.6. A propos des variables de contrôle

Les caractéristiques des salariés

En nous basant sur la littérature, nous avons identifié l’ancienneté dans la fonction et dans

l’institution, ainsi que le statut, comme indicateurs pouvant influencer l’acquisition

d’information. Cette variable de contrôle s’est révélée sans effets.

La taille de l’institution

La taille de l’institution est aussi une variable de contrôle plusieurs fois mentionnée dans la

littérature (cf. chapitre 4) comme pouvant influencer l’acquisition d’informations. Cette

variable est significative et à un effet négatif sur l’acquisition d’informations. De nombreux

rapports (Clusif, 2012, CIST, 2012) témoignent des lacunes des petites et moyennes

entreprises en matière de sécurité de l’information. Une attention toute particulière doit leur

être apportée. Ce sont souvent des organisations innovantes, fragiles et exposées par leurs

absences de mesures de protection.



Page 321

Ce cinquième et dernier chapitre nous a permis de présenter les tests de nos hypothèses et

d’en discuter les résultats.

Dans une première section, nous avons présenté l’analyse descriptive de nos données et le

résultat du test de nos hypothèses de recherche. La nature formative ou mono indicateur de

certaines variables ne nous permet pas de valider le modèle structurel global avec un indice

d’ajustement global (GOF) et le caractère nomologique du modèle.

Les variables latentes prédictives expliquent 43% de la variation de la variable latente prédite

(modèle avec SSI). Ce résultat est satisfaisant si on le compare aux résultats obtenus dans les

dernières publications internationales de premier rang Bulgurcu et al, 2010 ; Jhonston et

Warkentin, 2010 ; Siponen et Vance, 2010 ; D'Arcy et al, 2009 ; Myyr et al, 2009 ; Herat et

Rao, 2009b). A notre connaissance, le modèle que nous proposons est le premier qui associe

les concepts du capital social à ceux des valeurs humaines et de la sécurité de l’information.

Ensuite, nous avons testé nos hypothèses de recherche portant sur des effets directs et

indirects. Dans l’ensemble, les résultats permettent de corroborer la grande majorité des

hypothèses proposées. Il montre que le réseau personnel des salariés joue un rôle significatif

dans l’acquisition d’informations stratégiques. Il met en évidence les valeurs individuelles et

collectives importantes dans la constitution de la structure du réseau, la capture d’information,

et dans le choix de l’orientation interne ou externe de l’information. Enfin, il souligne

l’importance du manager dans la promotion des mesures de sécurité et met en évidence

l’influence de la sécurité de l’information sur la nature des informations recherchées.

Dans la deuxième section, nous avons discuté des résultats. Notre étude montre que les

salariés mobilisent leurs contacts pour obtenir de l’information stratégique qui circulent dans

des réseaux redondants. Ces réseaux de soutien semblent d’avantage être le produit de la

valeur individuelle de pouvoir et de stratégies individuelles que de l’intensité de la relation.

Nous avons également identifié les valeurs en action dans l’acquisition d’informations et dans

l’orientation interne/externe des flux d’informations. Notre modèle montre aussi l’importance

majeure du manager de proximité dans un dispositif de sécurité de l’information, ce qui selon

nous n’a jamais été étudié auparavant. Il souligne également le rôle majeur du manager de

proximité dans la promotion des valeurs organisationnelles de l’institution. Enfin, nous avons

mis en évidence l’influence de la sécurité de l’information sur la nature des informations

échangée. Nous pensons que ce résultat est lui aussi inédit dans la littérature. Le tableau ci-

dessous résume nos résultats.




Page 322

Résultats et mise en perspective de notre thèse

H Résultat Mise en perspective

H1a Un réseau fermé (clique) favorise l’accès à

des ressources (humaines) d’informations


Validée. Les résultats vont dans le sens de Granovetter (liens

faibles, 1973), et de Shrader (1991).

11b Les ressources humaines d’informations

stratégiques et organisationnelles de

l’acteur lui fournissent de l’information

stratégique, organisationnelle,

commerciale, opportune et confidentielle.

Validée. Les résultats vont dans le sens de Coleman (1988) et

Granovetter (1982). Les réseaux fermés permettent l’échange

d’informations engageantes mais limitent les effets

d’opportunisme.

H2 Les valeurs individuelles incitent à capter de l’information opportune ou

confidentielle.

Partiellement Validée. En désaccord avec Myyr et al. (2009). Les valeurs d’ouverture au changement ne s’opposent pas à

l’application des règles dans l’échanges d’informations. Nous

apportons plus de précisions en identifiant, en particulier, la

valeur de pouvoir. et de réputation. La SSI annule les effets des

valeurs individuelles de protection de la réputation et de de

pouvoir. Ce résultat est conforme aux travaux de Commons

(1934)

H3 Les valeurs individuelles incitent à capter

de l’information provenant de l’extérieur

de l’organisation.

Validée. En accord avec Alter (2000) et Sarasvathy (2001).

Nous identifions des valeurs qui orientent l’intérêt de l’acteur

pour les informations internes ou externes à l’organisation

H4 Les valeurs individuelles influencent le

capital social pour l’obtention

d’informations stratégiques, organisationnelles, commerciales,

opportunes et confidentielles.

Validée. La valeur de pouvoir incite à la fermeture du réseau

personnel.

L’amitié et la reconnaissance sont citées comme des valeurs pouvant activer le capital social pour l’obtention d’informations

officieuses (Alter, 2009, Cholet, 2006), mais nous n’avons pas

validé de relations entre ces deux valeurs et les variables de

capital social.

H5

Les valeurs organisationnelles perçues

incitent à capter de l’information

provenant de l’extérieur de l’organisation.

Validée. En cohérence avec la théorie de la capacité

d’absorption (Cohen et Levinthal, 1990)

H6 Les valeurs organisationnelles perçues

n’incitent pas à capter de l’information


Non validée. Nous observons l’inverse. La valeur

organisationnelle de pouvoir incite les salariés à la recherche

d’information

H7 L’obtention d’informations opportunes ou

confidentielles se fait de préférence via

des rencontres physiques ou des supports


Validée. En cohérence avec la théorie de la sous-culture

(Cohen, 1955) et le refus de l’usage des médias de masse dans

l’accomplissement d’actes déviants

H8 La culture organisationnelle, médiatise les

effets des mesures organisationnelles de

sécurité de l’information, contre

l’obtention d’informations opportunes ou

confidentielles.

Non Validée. Ce n’est pas en cohérence avec les travaux de

Schein (1984). La médiatisation n’est pas directe, elle passe par

le manager de proximité.

Résultat non prévu : les mesures de sécurité de l’information

modifient la nature des informations recherchées. Elles ne sont

plus en relation avec les stratégies des firmes, mais concernent

davantage leur organisation.


l’obtention d’informations opportunes ou

confidentielles.

Validée. En cohérence avec Schein (1985b, 2004).

H10 L’expérience antérieure de la sécurité de

l’information, accentue les effets des

pratiques actuelles de sécurité de

l’information

Non validée. L’effet est neutre, contrairement à ce que

suggèrent l’habitus (Bourdieu, 1980b), ou Siponen et

Puhakainen (2010) dans leur démarche de sensibilisation.

H11 La collecte d’informations, concerne

essentiellement les informations relatives

aux activités externes à l’institution.

Validée. L’information externe a un poids plus conséquent que

l’information interne qui est aussi significative. Ce résultat est

cohérent avec ceux de Cohen et Levinthal (1990) sur la capacité

d’absorption.

Tableau 64: Récapitulatif de la mise en perspective des résultats



Page 323

CONCLUSION GENERALE



Page 324

1. Réponses aux questions de recherche

Nous avons justifié notre thèse par la contradiction apparente que portent l’usage des réseaux

sociaux aux services de stratégies personnelles et l’obligation dans les institutions de respecter les

règles de sécurité de l’information. L’approfondissement de cette thématique nous a amené à

formuler trois questions de recherche :

Question N°1 : Dans quelle mesure les valeurs individuelles et les valeurs organisationnelles

perçues par les salariés influencent-elles leurs comportements de recherche d’informations ?

Question N°2 : En quoi le capital social s’oppose-t-il ou renforce-t-il les pratiques

organisationnelles de sécurité de l’information dans l’échange d’informations ?

Question N° 3 : Quels effets les mesures organisationnelles de sécurité de l’information et le



Pour répondre à ces questions de recherche, nous avons tout d’abord mobilisé la littérature

concernant les réseaux sociaux et orienté nos recherches sur ses apports pour l’innovation.

Dans cette perspective, nous nous sommes concentrés sur l’innovation au quotidien,

l’innovation banale au sens d’Alter (2000) et de tous ceux qui décident de donner vie à leurs

projets en s’appuyant sur ce qu’ils sont, ce qu’ils savent et ce qu’ils connaissent (Sarasvathy,

2001).

Cette revue de littérature a permis de proposer une définition du capital social qui prenne en

compte le contexte normatif dans lequel l’acteur évolue. En effet, nous avons retenu, dans le

cadre de notre thèse, que les réseaux sociaux rassemblent des personnes partageant des

valeurs communes (Granovetter, 1993, 2000 ; Fukuyama, 1995). Le capital social est aussi un

moyen d’accéder à la reconnaissance par le don (Caillé, 2009) et un véhicule pour réaliser des

transactions d’échanges (Commons, 1934). Dans notre contexte d’étude, et à l’ère de

l’économie de la connaissance, la ressource échangée devient, le plus souvent, l’information.

Une compétence clé de l’innovateur peut donc être vue dans sa capacité à réaliser des

transactions d’échanges de ressources informationnelles.

Notre volonté de nous interroger sur les principes précédents a été renforcée par la lecture des

travaux d’Alter (2000), de Sarasvathy (2001), de Sarasvathy et Simon (2000), de Sarasvathy

et al. (2005) et de Sarasvathy et Dew (2008). Ces auteurs décrivent l’innovateur comme

quelqu’un cherchant à prévoir et anticiper les conditions de réussite et les risques d’échec de

ses projets. Le capital social constitue alors un atout précieux pour la prise de décision sous

contrainte de rationalité limitée (Simon, 1947). De même, pour Sarasvathy et Dew (2008), la

compréhension des valeurs individuelles est importante mais ne suffit pas à comprendre ce

qui fait un innovateur. Nous avons retenu la proposition précédente comme un axe important

dans la construction de notre modèle de recherche.



Page 325

Ces innovateurs bouleversent le quotidien des organisations et se heurtent aux règles établies

(Alter, 2000). En matière d’accès à l’information, ces règles sont édictées par le management

sous formes de politiques (von Solms, 2004) qui relèvent de la sécurité de l’information

(Zucato, 2004). Ainsi, nous avons développé notre recherche sur la compréhension de la

sécurité de l’information telle qu’elle est mise en œuvre dans les institutions. La culture

organisationnelle est très vite apparue comme l’une de ces dimensions majeures (von Solms,

2000 ; OCDE, 2002 ; Schlienger et Teufel, 2002, 2003b ; ISO 27000/2005). Toutefois, les

travaux scientifiques concernant la sécurité de l’information ne sont pas, globalement, très

nombreux. De fait, nous avons retenu les valeurs au centre du modèle de la culture

organisationnelle proposé par Schein (1984) car elles forment un point commun, un pont pour

les interactions entre le capital social et la sécurité de l’information.

L’analyse de la littérature nous a amené à proposer un modèle structurel présentant trois axes

fondamentaux : le capital social, la sécurité de l’information et les valeurs individuelles qui

interagissent sur les comportements d’acquisition d’information.

Notre modèle structurel explique 43% de la variance de la variable dépendante. Ce résultat est

dans la moyenne statistique (Chin, 1998). Il est très satisfaisant si on le compare aux récentes

études publiées dans des revues internationales de premier rang (classement 1 et 1g, CNRS,

2011) portant sur la sécurité de l’information (Bulgurcu et al, 2010 ; Jhonston et Warkentin,

2010 ; Siponen et Vance, 2010 ; D'Arcy et al, 2009 ; Myyr et al, 2009 ; Herat et Rao, 2009b)

1.1. Réponse à la question de recherche N°1

Dans quelle mesure les valeurs individuelles et les valeurs organisationnelles perçues par les

salariés influencent-elles leurs comportements de recherche d’informations ?

Pour répondre à cette question, nous avons mobilisé les travaux de Schwartz (1994, 2012) et

utilisé sa typologie des valeurs universelles. Nous avons adapté notre échelle à

l’environnement professionnel, en retirant toutes les valeurs sans rapport avec le travail

(exemple : « un amour parfait »). Nous avons ensuite validé notre choix en le comparant aux

valeurs proposées par McDonald et Gantz (1992) et la réactualisation des valeurs de Schwartz

(2012). Au total dix-sept valeurs ont été retenues pour les valeurs individuelles et leur

équivalence au niveau organisationnel. Suite à la recommandation de Fornell et Larker

(1981), nous avons supprimé des indicateurs dont les loadings étaient inférieurs à 0,7 :

les valeurs individuelles de loyauté, d’autonomie de direction (choix des objectifs), de

reconnaissance, d’amitié et de liberté d’action et de pensée.

les valeurs organisationnelles d’autonomie de direction, de reconnaissance, d’amitié et de

liberté d’action et de pensée.



Page 326

Nos résultats montrent que la valeur individuelle et organisationnelle de pouvoir incite les

salariés à capter de l’information. Cette valeur influence également la fermeture du réseau

personnel.

La valeur individuelle de protection de son image personnelle (protection de la réputation)

joue aussi un rôle significatif dans le comportement d’échange qui exclu les informations

confidentielles. Cependant, l’effet de cette valeur n’est significatif en présence de mesures

organisationnelles et sécurité. Ceci témoignerait en faveur de l’action des normes qui se

substituent aux valeurs. En ce sens, ce résultat rejoint les perspectives évoquées par Commons

(1934). Les normes permettent aux acteurs de ne pas user d’énergie dans l’analyse de

certaines situations, pour mieux se concentrer sur des transactions stratégiques.

Les valeurs organisationnelles d’ouverture au changement (innovation, initiative, prise de

risques), la valeur organisationnelle de collaboration (dépassement de soi) et la valeur de

reconnaissance (affirmation de soi) jouent un rôle positif et significatif dans l’orientation

interne ou externe des informations captées. Globalement, les participants de l’étude reçoivent

en moyenne beaucoup plus d’informations internes qu’externes. Cependant, ces valeurs les

incitent à capter d’avantage d’informations externes, concernant les activités de la

concurrence.

L’obtention d’informations serait donc le produit d’incitations individuelles et

collectives guidées en partie par la volonté de pouvoir et de protection de l’image

personnelle. L’intérêt marqué pour les informations liées à l’organisation et, en

particulier, son environnement externe, est uniquement guidé par des valeurs

organisationnelles.

Ces résultats ont des implications managériales importantes. Ils confortent la suggestion de

Sarasvathy et Dew (2008) : pour comprendre ce qui pousse un individu à innover, l’étude des

valeurs individuelles est, certes, importante mais non suffisante. Il convient également de

prendre en compte le contexte d’action. Dans notre cas, celui-ci est matérialisé par les valeurs

collectives. Il encourage les salariés à la recherche d’informations. Nous rappelons que

l’information, telle que nous la considérons dans le cadre de notre thèse, peut être tout à fait

structurée et constituer des connaissances actionnables. Par exemple, il peut s’agir d’un plan

d’action commercial.


En quoi le capital social s’oppose-t-il ou renforce-t-il les pratiques organisationnelles de

sécurité de l’information dans l’échange d’informations ?

Pour répondre à cette question, nous avons mobilisé les travaux de Burt (1992, 2005, 2010)

pour la constitution d’une échelle de mesure du réseau personnel des acteurs. Nous avons

limité le nombre de possibilités aux trois contacts qui sont les plus utiles pour les activités



Page 327

professionnelles des répondants. En effet, selon Degenne et Forsé (2004), le plus souvent, on

ne se confie réellement qu’à trois personnes. Cela nous permet ainsi d’obtenir les contacts les

plus influents des répondants. Exprimé autrement, il s’agit de ceux qui fournissent le plus

d’informations. Cette échelle prend en compte la force des liens et les degrés de redondance

structurale et d’attributs.

Ensuite, pour constituer notre échelle de mesure, nous avons identifié dans la littérature les

axes principaux qui fondent la sécurité organisationnelle de l’information. Précisément, il

s’agit de la sensibilisation, de l’implication de la direction et de la présence d’une structure de

gestion de la sécurité.

En lien avec la théorie de la culture organisationnelle, nous avons constaté que le rôle du

manager de proximité était souvent négligé dans la littérature. Nous avons donc isolé cet

indicateur réflexif pour mieux en mesurer les effets.

Il en est de même avec l’indicateur réflexif de l’expérience de la sécurité. Dans l’esprit de la

théorie des conflits de culture (Sellin, 1938), source de déviance, nous avons estimé pertinent

d’émettre une hypothèse relative aux effets de l’expérience antérieure de la sécurité de

l’information. Nous avons donc enrichi notre échelle avec un indicateur de mesure

comparative de l’expérience de la sécurité de l’information.

A ce sujet, nos résultats montrent que plus le réseau de l’acteur est fermé, plus il possède de

relations pouvant lui apporter un soutien dans ses stratégies individuelles. Le réseau personnel

et les mesures organisationnelles de sécurité de l’information ont donc une action positive et

incitative pour le captage d’informations. Toutefois, il convient de relever que l’acteur

modifie ces comportements et ses centres d’intérêts sous l’effet de la sécurité de

l’information.

En effet, le salarié capte en priorité de l’information ayant une valeur commerciale, de

l’information stratégique, puis de l’information organisationnelle. Il capte aussi de

l’information opportune, c'est-à-dire de l’information qu’il ne devrait pas recevoir en temps

normal. Par contre, il ne récupère pas de l’information nécessitant la discrétion (des

informations confidentielles) par l’intermédiaire de ses relations. En outre, en présence de

mesures organisationnelles de sécurité de l’information, le comportement des salariés change.

S’ils continuent à capter de l’information ayant une valeur commerciale et organisationnelle,

ils ne reçoivent plus (et donc ne demandent plus) de l’information opportune et relative à la

stratégie de l’organisation ou de ses concurrents.

Ainsi, nos résultats montrent que la sécurité de l’information limite les bénéfices du

capital social car elle restreint la diversité des informations que l’acteur demande et

reçoit de ses contacts. Nous avons donc montré que la sécurité de l’information :

(1) pénalise l’individu au bénéfice de la protection de la stratégie de l’institution, face

à ses concurrents :



Page 328

(2) responsabilise le salarié dans sa gestion de l’information. L’acteur semble, en

effet, ne plus donner d’information quand celle-ci n’est pas destinée au

demandeur.

Du point de vue strict de la sécurité, obtenir de l’information opportune ne constitue pas

nécessairement un danger. Néanmoins, un comportement responsable dans la gestion de

l’information exige que l’on demande et donne de l’information qui ne concerne que

directement nos activités (von Solms, 2010). En effet, l’assemblage d’informations non

confidentielles peut parfois permettre de former une connaissance nouvelle, riche et

intéressante, tant pour la stratégie de l’institution que pour celle de ses concurrents.


Quels effets les mesures organisationnelles de sécurité de l’information et le management de

l’institution concernée produisent-ils sur la culture organisationnelle et les comportements de

sécurité dans l’échange d’informations ?

Pour répondre à cette question, nous avons examiné les relations structurelles existantes entre

les échelles de mesure de la sécurité de l’information et celles de la culture organisationnelle.

Nous observons que les mesures organisationnelles de sécurité, la présence du manager et

l’expérience antérieure n’ont pas d’influence directe sur le comportement d’acquisition

d’informations.

Les valeurs organisationnelles médiatisent l’action du manager, qui est la plus importante et la

plus significative. Contrairement à nos attentes, les valeurs ne médiatisent pas les mesures

organisationnelles de sécurité. En effet, celles-ci sont médiatisées par le manager de

proximité. Ce résultat souligne le rôle clé du manager de proximité. Celui-ci agit

significativement sur l’ensemble des valeurs organisationnelles. Cela concerne celles qui

sont orientées vers la protection de l’institution comme celles portant sur la recherche et

l’obtention d’informations.

Enfin, nous n’avons pas perçu de relations significatives concernant les effets de l’expérience

antérieure de la sécurité.



Page 329

2. Apports de la recherche

Nous présentons les apports théoriques et les contributions méthodologiques et managériales.

2.1. Apports théoriques

2.1.1. Une meilleure compréhension des incitations à la recherche

d’informations

Notre premier apport théorique est de mettre en perspective l’action des valeurs individuelles

et organisationnelles dans la recherche et l’obtention d’informations.

Nous avons identifié les valeurs individuelles et organisationnelles de pouvoir comme étant à

l’origine de l’obtention (ou la demande) d’informations. Ce résultat est déjà évoqué dans la

littérature. Ainsi, Komai et Stegeman (2007, 2010) suggèrent que le pouvoir cherche à

maintenir l’asymétrie d’information. Il s’agit alors d’augmenter son capital informationnel

pour être en position de donneur et non de demandeur. Les acteurs se tourneraient donc vers

certaines sources d’informations pour augmenter leur capacité d’influence dans leur

environnement proche. Cependant, ces travaux révèlent d’avantage une stratégie de pouvoir

qu’un effet des valeurs de pouvoir.

Concernant l’obtention d’informations, l’apport de notre recherche est double. D’une part,

il réside dans l’identification de la diversité de l’information recherchée (commerciale,

stratégique, organisationnelle et opportune). D’autre part, nous avons montré que la

recherche du pouvoir conduit l’individu à concevoir un réseau de proximité et à aller

parfois au-delà de ses prérogatives pour obtenir de l’information qui ne devrait pas

normalement lui parvenir. Nous avons également identifié que ce comportement concerne,

à la fois, le niveau individuel et le niveau organisationnel.

Jusqu’à ce jour, de rares études mettaient en évidence l’influence des valeurs sur les

comportements de sécurité. Si, par exemple, Myyr et al. (2009) avaient développé des

recherches en ce sens, leurs résultats ne permettaient pas d’identifier les valeurs concernées.

La culture organisationnelle étant portée par le leadership (Schein, 1985b, 2004), nous

pouvons ainsi déduire que ce comportement individuel rejaillit sur l’organisation et peut jouer

contre ses intérêts. En conséquence, nos résultats mettent en évidence, en ce qui concerne la

sécurité de l’information, un effet potentiellement positif ou néfaste du leadership en

fonction des contextes d’action. A notre connaissance, notre étude est l’une des premières à

mettre en perspective ce résultat et, plus particulièrement, cette relation. La littérature sur les

réseaux sociaux identifie effectivement l’amitié (Alter, 2009 ; Chollet, 2006) ou, encore, la



Page 330

recherche de la reconnaissance (Simon et Tellier, 2008) comme des valeurs permettant

l’obtention d’informations officieuses, voire confidentielles. Cependant, ces résultats étaient

observés en marge des principaux objectifs des recherches menées. Les travaux de Von

Hippel (1987), Shrader (1991) ou, encore, Kreiner et Schultz (1993) montrent que des

ingénieurs en recherche et développement échangent de l’information de valeur alors qu’ils ne

devraient pas nécessairement le faire. Cependant, ces auteurs ne recherchent pas les valeurs à

l’origine de ce comportement. Globalement, il est souvent sous-entendu que les divulgations

d’informations sont le simple fait de l’envie de réussir ou qu’elles sont intrinsèquement liées à

l’activité professionnelle de ces ingénieurs de l’innovation. Nos résultats ont donc permis de

développer ceux des recherches précédentes.

Précisément, notre apport réside aussi dans la mise en évidence des valeurs qui incitent à

rechercher de l’information à l’extérieur de l’institution :

les valeurs organisationnelles de collaboration, de reconnaissance, d’innovation,

d’initiative et de risque,

les valeurs individuelles d’initiative, d’innovation et de risque.

Ce travail n’avait pas été réalisé jusqu’à présent dans un contexte organisationnel. Nos

résultats ont donc des conséquences théoriques et managériales conséquentes lorsque l’on

mesure l’importance de la capacité d’absorption des organisations dans l’économie

d’aujourd’hui (Cohen et Levinthal, 1990).

2.1.2. Une meilleure compréhension des conditions d’efficacité et des

effets de la sécurité de l’information

Notre deuxième apport théorique concerne les effets des pratiques organisationnelles de

sécurité de l’information.

La littérature, encore peu abondante bien que croissante à ce sujet, montre que les chercheurs

en sciences de gestion focalisent leurs efforts de recherche sur la conformité (Myyr et al,

2009 ; D’Arcy et al, 2009), aux règles de sécurité ou sur l’intention de se conformer à ces

règles (Bulrgurcu et al, 2010, Siponen et al, 2010 ; Jhonston et Warkentin, 2010, Herat et Rao,

2009a ; Herat et Rao, 2009b). D’autres études portent sur la sensibilisation à la sécurité de

l’information en tant que processus (Puhakainen et Siponen, 2010 ; Spears et al, 2010 ; Chen

et al, 2006) ou en tant que produit (Knapp et al, 2012 ; Jhonston et Warkentin, 2007 ; Maeyer,

2007 ; Siponen, 2000). A notre connaissance, aucune étude ne concerne directement

l’influence des mesures de sécurité de l’information sur les comportements d’échange

d’informations.

Nous montrons que l’efficacité des mesures de sécurité de l’information réside dans la

modification des comportements de demande (ou de don) d’informations. En présence de

mesures de sécurité, les salariés (1) n’échangent plus d’informations concernant la stratégie de



Page 331

l’institution et de ses concurrents et (2) n’échangent plus d’informations opportunes. La

sécurité de l’information et, en particulier, les valeurs organisationnelles promues par le

manager de proximité, responsabilisent les salariés dans la gestion des informations

qu’ils manipulent.

De même, notre étude met en perspective un effet médiateur (1) de la culture

organisationnelle sur l’influence du manager de proximité et (2) du manager de proximité sur

les mesures organisationnelles de sécurité.

En outre, n’ayant pas identifié d’études confrontant l’efficacité de la sécurité de l’information

aux risques informationnels dans la mobilisation du capital social, nos résultats sont originaux

car ils suggèrent que la sécurité de l’information modifie les comportements, y compris dans

les relations qu’entretiennent les salariés avec les contacts privilégiés.

2.1.3. Un réseau fermé avec des liens faibles

La littérature sur les réseaux sociaux souligne, très largement, que les trous structuraux, c’est-

à-dire des réseaux à faible contrainte, composés de liens faibles, permettent à l’acteur central

d’obtenir de l’information stratégique (Burt, 2010 ; Burt, 2005 ; Géraudel et al, 2006; Rowley

et al, 2000 ; Burt, 1992).

De même, les liens forts favoriseraient les comportements coopératifs et limiteraient les

comportements opportunistes (Rowley et al, 2000 : 370 ; Reagans et McEvily, 2003 :261). Ils

amélioreraient aussi la communication entre les membres du réseau (Burt, 2001 :205).

S’inscrivant dans ces perspectives, nos résultats confirment que les liens faibles constituent

une source d’information stratégique. Toutefois, ils révèlent également que l’effet

explicatif réside dans la fermeture et non l’ouverture du réseau. La force des liens et la

non-redondance d’attributs n’ont pas un effet direct ou indirect sur l’accès à des

ressources (humaines) stratégiques. Dans notre contexte, la fermeture du réseau s’explique

en partie par la proximité organisationnelle des membres et par sa taille. Plus un réseau est

petit et/ou plus ses membres évoluent dans la même organisation, plus la contrainte semble

forte.

Cependant, il semble pertinent de relever que, dans un tel réseau, les liens sont supposés être

forts (Granovetter, 1973). Nous sommes dans une configuration de réseau associant une

contrainte élevée et des liens faibles. Dans notre échantillon, en tendance importante, les

membres du réseau évoluent dans la même organisation, se connaissent, ont majoritairement

des spécialités professionnelles proches ou assez proches (mais pas identiques). Ils

n’entretiennent que des liens strictement professionnels, sans que l’intensité de la relation

n’influe sur leurs comportements. Ainsi, nos résultats montrent que, contrairement à ce que

suggère Granovetter (1982), la force des liens n’est pas nécessaire pour échanger de

l’information engageante.



Page 332

De plus, une contrainte forte favoriserait la diffusion rapide des informations (Greve, 1995 :

29) et les comportements coopératifs. Elle limiterait également les comportements

opportunistes (Rowley et al, 2000 : 370 ; Reagans et McEvily, 2003 : 261). Nos résultats ne

contredisent pas ces suggestions. Cependant, en accord avec ce que proposent Burt (1992),

Portes (1998) et à l’inverse des propos de Coleman (1998), ils montrent que des réseaux

fermés facilitent des actes déviants. Selon nos résultats, plus que la force des liens,

l’opportunité (Sutherland, 1966) et le principe de réciprocité créeraient la déviance.

Ce résultat est conforme à celui de Shrader (1991) et d’Alter (2009). En effet selon Shrader,

les salariés échangent des informations dans l’intérêt de leur firme. La nature des relations est

secondaire. Pour Alter, la mobilité imposée aux salariés par le management ne leur permet pas

de se constituer un capital social à liens forts mais favorise la constitution d’un carnet

diversifié d’adresses.

Nous ne retrouvons pas également la proposition de Greve (1995 : 6) selon laquelle une

structure fermée limite l’acquisition de nouvelles informations. En effet, nos résultats

montrent qu’un tel réseau ne fait probablement pas de l’acteur central, un négociateur (au sens

de Burt, 1992). Ils suggèrent également que l’information est rapidement redondante du fait

de la petite taille du réseau concerné. Cependant, nous mettons en perspective que

l’information se renouvelle fréquemment et se distingue par sa variété (commerciale,

stratégique, organisationnelle, opportune).

2.2. Apports méthodologiques

Notre premier apport méthodologique réside dans l’élaboration de notre échelle de mesure de

la variable dépendante.

Nous avons élaboré une échelle qui prend en compte à la fois l’accès à de l’information

confidentielle et à de l’information opportune.

L’interrogation des salariés sur leurs pratiques effectives et leurs impacts sur la sécurité de

l’information pose effectivement un véritable problème de méthode pour limiter les biais de

réponse, comme celui de la désirabilité sociale (Trévino, 1992). Le parti pris de certains

auteurs étudiants des populations d’Europe du nord, est de demander ouvertement aux

participants s’ils respectent ou ne respectent pas les règles de sécurité (Siponen, 2010). Nous

pensons que cette méthode a peu de chance d’être généralisable à toutes les cultures. En effet,

les mesures de protection de l’information s’exercent pour la préservation des informations et

donc contre leur divulgation. Dans la logique de la sécurité de l’information, il ne faut pas

donner de l’information sensible.

Une autre méthode, celle des scénarios, consiste à élaborer des petits scénarios qui mettent en

scène un personnage fictif. Le chercheur demande ensuite aux participants s’ils agiraient de la

même manière. Cette méthode utilisée dans les études en criminologie (Paternoster, 1996) est



Page 333

relativement lourde à administrer lors d’une étude quantitative. Précisément, elle conduit à

des questionnaires de plusieurs dizaines de minutes !

Nous avons proposé de capitaliser sur les mécanismes de réciprocité largement reconnus dans

la littérature (Mauss, 1950 ; von Hippel, 1987 ; Caillé et Godbout, 1992 ; Putman, 1993 ;

Portes, 1998 ; Lin, 1999, Alter, 2000 ; Sarasvathy, 2001 ; Lazega, 2006, Caillé, 2006 ; Caillé

2009). Ce principe veut que tout don réponde à une demande et que tout don appelle un

contre-don (Mauss, 1950 ; Caillé, 2009). De plus l’acte de don n’a de sens que si l’objet

donné et donc demandé a de la valeur. Le don signifie l’importance et l’influence de celui qui

donne (Caillé, 2009). Il signifie aussi l’importance que revêt le demandeur pour le donneur.

Aussi, plutôt que de demander aux salariés s’ils donnent de l’information, nous avons

fait le choix de leur demander s’ils en reçoivent. A l’image de la technique des scénarios, le

répondant ne se sent pas directement responsable de l’acte de don. Le mécanisme de

réciprocité, comme un miroir, reflète le comportement du répondant qui sera, a un moment ou

à un autre, redevable des services qu’on lui a rendus.

Notre deuxième apport méthodologique réside dans la prise en compte de l’action du

manager de proximité et de l’expérience antérieure de la sécurité de l’information. Notre

démarche n’est pas centrée sur l’implication effective du manager ou la mesure objective des

pratiques de sécurité. Nous avons choisi d’interroger les acteurs sur leurs perceptions des

comportements de leur manager et de l’intensité des mesures de sécurité. Cela a comme

avantage de ne pas lier un comportement à des solutions et des infrastructures techniques. Les

interactions humaines, moins coûteuses à mettre en place et donc plus adaptées aux petites et

moyennes entreprises ou aux associations sont privilégiées. Fulford (2006) suggère, par

exemple, que la perception des mesures de sécurité donne de meilleurs résultats lorsque les

salariés sont en télétravail, hors du contexte de l’institution.

Enfin, notre troisième apport méthodologique concerne la mise en perspective des contextes

d’actions. Notre revue de littérature montre que les recherches se focalisent sur le respect et la

violation de règles ou, encore, sur l’intention de conformité sans tenir compte des contextes

d’actions.

Notre modèle met à l’épreuve la sécurité dans un contexte ou l’acteur sollicite de

l’information, fait appel à ses relations, choisit d’où cette information provient et par quel

média il va l’obtenir. A notre connaissance, à ce jour, peu de travaux de recherche ont placé la

sécurité de l’information face à « son maillon faible », l’acteur, dans un contexte aussi riche

d’interactions.

2.3. Apports managériaux

Nous constatons d’abord que les salariés ne reçoivent pas d’informations confidentielles de

nature commerciale, stratégique ou organisationnelle.



Page 334

Néanmoins, il convient de relever que ces salariés reçoivent de l’information qu’ils ne

devraient pas recevoir. Si ces informations sont peu sensibles et peu nombreuses, elles

peuvent, par association, être transformées en connaissances riches et pertinentes. Cela peut

être le cas, lorsque ces informations « arrivent » au sein de la concurrence. Par exemple, une

entreprise peut apprendre que sa principale rivale mobilise souvent la même équipe pour

préparer des réponses aux appels d’offres. Elle peut ensuite bâtir une stratégie pour discréditer

cette équipe auprès des clients potentiels, tenter de la désolidariser ou, encore, essayer

d’introduire un cheval de Troie (espion électronique) dans leurs ordinateurs.

La réception d’informations opportunes est importante dans la mesure où seule la fermeture

du réseau est explicative de ce phénomène et que des liens faibles suffisent pour que des

informations de valeurs s’échangent entre les individus. Il convient donc de se demander

comment on peut agir sur les effets des réseaux personnels si les dangers qu’ils portent ne

sont pas liés au contenu de la relation ou à la redondance des attributs ? Or, savoir que la

proximité émotionnelle facilite le transfert d’informations opportunes, rend possible

l’intégration de mesures de sensibilisation qui prennent en compte les effets de l’amitié. A cet

effet, différentes procédures sont envisageables. Il est plausible d’envisager de sensibiliser les

salariés en mettant en perspective que, par exemple, lorsqu’on se confie à un ami, on peut

amener ce dernier à se faire involontairement piégé par nos concurrents.

Au-delà de la suggestion précédente, dans la configuration de réseau que nous avons révélé,

nous n’avons pas identifié de mesures de sensibilisation concrètes pour empêcher la

circulation d’informations stratégiques et opportunes.

Une solution réside certainement dans le comportement perçu du manager. L’attitude du

manager à l’égard de la sécurité de l’information peut modifier les comportements des salariés

dans le sens voulu par la dirigeance. La sensibilisation des managers à la sécurité de

l’information est probablement une mesure que les dirigeants devraient prendre au

sérieux et rendre prioritaire. Or, nous n’avons trouvé aucun exemple dans la littérature, y

compris au niveau des standards internationaux (ISO, NIST), de plans, de méthodes de

sensibilisation qui leur soient destinées. Pourtant, les managers sont souvent amenés à

fréquenter une population diverse dans le cadre de leurs activités : commerciaux, techniciens,

cadres dirigeants etc. Ce n’est pas un hasard si l’OCDE35

classe les managers comme les

salariés les plus innovants. Par ailleurs, cela les expose à d’éventuelles tentatives de

manipulations (un commercial pouvant connaitre l’organigramme, les projets à venir dans les

prochains mois, etc.).

L’influence positive du manager suggère également que des Petites et Moyennes

Entreprises, qui ont peu de moyens financiers, peuvent agir à moindre coût sur les

comportements des salariés. La solution consiste à faire du manager le relais, le

promoteur d’une culture organisationnelle intégrant des préoccupations de sécurité.

35 Innobarometer: Pro Inno Europe, European Innovation ScoreBoard 2007, comparative analysis on innovation performance, 2008.



Page 335

Nos préconisations vont aussi vers le management des valeurs individuelles et

organisationnelles. Nous avons montré que la valeur de pouvoir avait une influence sur

l’acquisition d’informations stratégiques et opportunes, mais aussi sur la constitution du

réseau de relations. C’est un effet négatif du leadership, du moins, sous l’angle de la sécurité

de l’information.

Nous suggérons que le management porte une attention particulière sur les leaders identifiés

dans l’organisation. Une solution pourrait être par exemple de les impliquer dans la

conception des programmes de sensibilisation pour profiter de leurs aptitudes de leaders tout

en jouant favorablement sur le niveau et la qualité de sensibilisation à leur égard. Leur

position d’acteur « actif » de la sécurité et leur image de leader devant « montrer l’exemple »,

pourraient constituer un moyen de tempérer les effets de la valeur de pouvoir.

Enfin, nous constatons que les acteurs utilisent différents médias physiques (clés USB,

disques externes, disque DVD, téléphones portables, etc.) pour récupérer les informations.

Les mesures de sécurité ne parviennent pas à diminuer sensiblement ces activités. Ces

dernières comportent pourtant des risques pour la sécurité des informations : perte ou vol du

support, virus, chevaux de Troie, etc. Face à l’impuissance de la sensibilisation ou de

l’attitude du manager, nous suggérons la fourniture aux salariés de moyens protégés (clés

USB cryptées, téléphone cryptés, etc.). Si les données qui y figurent sont illisibles, alors les

éventuelles pertes de supports ne portent pas directement préjudice à l’organisation. Une autre

mesure consiste en l’usage d’une « station blanche ». Un ordinateur non connecté au réseau

de l’institution et muni d’un antivirus. Cet ordinateur servirait à vérifier l’état de sécurité des

supports amovibles avant toutes connexions sur les ordinateurs du réseau de communication

de la firme.

2.4. Limites de la recherche

2.4.1. Les limites théoriques

Notre limite réside dans la taille du réseau. Nous avons limité notre champ d’analyse au

réseau personnel que nous avons restreint aux trois contacts les plus bénéfiques pour l’acteur

central. Or, selon Degenne et Forsé (2004 : 28), il est possible de demander à un individu de

renseigner un générateur de noms. Toutefois, ces auteurs notent qu’un acteur n’a pas

systématiquement une « bonne connaissance des relations à l’intérieur de son réseau et il

faut discerner ce qui est de l’ordre de la relation factuelle et ce qui est de l’ordre de la

représentation. Le risque d’amalgamer deux types de réalités est grand et, au total, les

enquêtes sur les réseaux personnels ne permettent que d’avoir des données structurales assez

frustres : volume, fréquence, multiplexité, voire densité des relations au sein des réseaux ».

Néanmoins, notre choix se justifie par notre sujet d’analyse : la transmission d’informations



Page 336

sensibles ou qui ne devraient pas être transmises. Or d’après ces mêmes auteurs, on ne se

confie qu’à trois d’entre eux (ibid. : 26).

2.4.2. Les limites méthodologiques

Notre première limite méthodologique réside dans les biais de réponse des participants qui

peuvent être tentés de masquer leur véritable comportement par souci de paraître plus

désirables (Trevino, 1992). Ce biais possible est fréquemment relevé dans la littérature portant

sur la sécurité de l’information (Straub, Warkentin et Malimage, 2012). Pour limiter cet effet,

nous avons choisi d’utiliser le mécanisme de réciprocité et de poser des questions sur la

nature des informations que les salariés reçoivent, plutôt que celles qu’ils donnent. C’est une

approche inédite dont il est difficile d’appréhender l’efficacité réelle.

Une autre limite réside dans l’usage d’une seule méthodologie d’analyse : l’étude

quantitative. L’adoption d’une méthodologie qualitative complémentaire pour la constitution

des hypothèses aurait permis de faire émerger des réalités de terrain utiles à la constitution de

nos échelles de mesures. En effet, nous avons constitué notre variable dépendante sur des

fondements théoriques. Cependant, notre démarche exploratoire pourrait justifier de procéder

à une étude pratique des mobilisations du capital social, comme le suggèrent Baumard et Ibert

(1999)

3. Futures voient de recherche

Nous avons identifié que le manager de proximité est un maillon important de la sécurité de

l’information. Une première voie de recherche serait d’approfondir notre connaissance de

l’action de ce manager pour la sécurité de l’information. Cela pourrait être réalisé,

notamment, en s’intéressant aux pratiques managériales et aux facteurs cognitifs qui agissent

sur les représentations des salariés.

Une deuxième voie de recherche serait de mener plusieurs études similaires en fonction de la

taille des institutions. Le Clusif (2010, 2012) souligne depuis plusieurs années la faiblesse des

PME en matière de sécurité de l’information. Les petites entreprises n’ont pas les moyens

humains et financiers des groupes internationaux. Aussi, il semble judicieux de conduire des

recherches multi-niveaux portant sur la manière dont les institutions développent une culture

de sécurité de l’information. Par exemple, Dinev et al. (2012) montrent que le canal de

communication qu’utilise la dirigeance à une importance dans l’appropriation des messages

de sécurité.



Page 337

De même, nous avons mobilisé les travaux de Schwartz (1994) pour opérationnaliser notre

conception de la culture organisationnelle. D’autres méthodes comme, notamment, celle de

Quinn (1988) pourraient permettre d’enrichir la connaissance de l’influence de la culture

organisationnelle.

Une dernière voie de recherche concerne les usages des médias de communication. Nous

avons relevé que la sécurité de l’information et la culture organisationnelle ne présentent pas

d’effet sur l’usage de médias amovibles (clés USB, disque DVD, etc.). Or, cet usage

comporte des risques importants. Avec la multiplication des moyens de communication

mobiles, le manque d’efficacité des mesures de sécurité dans l’usage des moyens de

communication peut s’avérer être une préoccupation majeure pour les institutions. Dans une

perspective prochaine, il semble pertinent de s’intéresser aux approches comportementales

concernant les usages des médias de communication. Au-delà d’études sur les motivations ou

les intentions d’usage, il s’agit, comme le suggèrent Bandura (1986) ou Short et al. (1976), de

se focaliser sur les mécanismes socio-cognitifs. Steinfield (1986) a ainsi déjà montré que la

messagerie électronique n’est pas utilisée dans le cadre de la transmission d’informations

confidentielles ou privées, la négociation et la résolution des conflits.



Page 338

BIBLIOGRAPHIE



Page 339

A

Adams A., Sasse M.A., Lunt P., (1997), Making Passwords Secure and Usable, Proceedings of HCI,

People and Computers, Vol.13, pp.1 19.

Adler P.-S., (2002), Kwon S.-W., Social capital: prospect for a new concept, Academy of

Management Review, Vol., (27), No.1, pp.17-40.

Agarwal R., Prasad J., (1998), Conceptual and Operational Definition of Personal Innovativeness in

the Domain of Information Technology, Information Systems Research, Vol.9, N°.2, pp.204-

215.

Ahuja, G., (1998), Collaboration networks, structural holes and innovation; A longitudinal study,

Paper presented at the annual meeting of the Academy of Management, San Diego.

Ajzen I., (1991), The Theory of Planned Behavior, Organizational Behavior and Human Decision

Processes, Vol. 50:2, pp.179-211.

Akers R. L., and Sellers, C. S, (1994), Criminological Theories:Introduction, Evaluation, and

Application, Los Angeles: Roxbury Publishing.

Akrich M., Callon M., Latour B. (2002a), The key to success in innovation Part I: the art of

interessement, International Journal of Innovation Management, Vol. 6, N°.2, pp., 187-206.

Akrich M., Callon M., Latour B, (2002b), The key to success in innovation Part II: the art of

choosing good spokespersons, International Journal of Innovation Management, Vol. 6, N°.2,

pp.207-225.

Allport G.W.,(1961), Pattern and growth in personnality. New York, Holt, Rinehart et Winston.

Allport G.W, Vernon P., Lindsey G, (1960), Study of values: A scale for measuring the dominant

interests in personality. MA, Boston: Houghton Mifflin Co.

Alter N., (2010), L’innovation ordinaire, PUF.

Alter N., (2010/2), Coopération, sentiments et engagement dans les organisations. Revue du Mauss,

N° 36, pp. 347-369.

Alter N., (2009), Donner et prendre, la coopération en entreprise. Ed La découverte.

Amabile S., Laghzaoui S., Peignot J., Peneranda A., Boudrandi S., (2013), Business Intelligence

Practices for Exporting SMEs, International Business Research; Vol. 6, No. 2.



Page 340

Amabile S., Boudrandi S. Haller C., Meissonier R., (2012), Capacité d’absorption des informations

et pratiques de veille stratégique dans les PME : une étude sur des domaines vitivinicoles

provençaux , Revue Systèmes d’Information Vol.17, N°.3, pp. 111-142.

Anderson R., Moore T., (2008), Information Security Economics and Beyond, Interdisciplinary,

Workshop on Security and Human Behaviour.

Argote L., McEvily B., Regans R., (2003), Managing Knowledge in Organizations: An Integrative

Framework and Review of Emerging Themes, Management Science, Vol.49, N°.4, pp. 571-

582.

B

Bagozzi R. P. (2007). On the Meaning of Formative Measurement and How it Differs From

Reflective Measurement: Comment on Howell, Breivik, and Wilcox (2007), Psychological

Methods Vol. 12, N°.2, pp.229-237.

Barki H., (2008), That’s Gold in Them That Constructs, ACM SIGMIS Database, Vol. 39, N°.3, pp.

9-20.

Becker H., (1963), Outsiders, New York, The Free Press ; tr. fr. Outsiders études de la sociologie de

la déviance, Paris, Métaillé.

Bandura A., (1986), Social foundations of thought and action: A social cognitive theory. Englewood

Cliffs, NJ: Prentice-Hall.

Baskerville R., and Siponen M., (2002), An Information Security Meta-policy for Emergent

Organizations Journal of Logistics Information Management, special issue on Information

Security, Vol. 5-6, pp. 337-346.

Baumard P., Ibert J. (1999), Quelles approches avec quelles données?, in Thiétart R.-A. (éd.),

Méthodes de recherche en management, Paris, Dunod, pp.81-103.

Baumeister R.F., Arlene M., Heartherton D.C., (1995), Personal Narratives About Guilt: Role in

Action Control and Interpersonal Relationships, Basic and Applied Social Psychology, Vol.

77, N°1 & 2, pp.173-198.

Bernard H.R., Killworth P.D, Sailer L., (1982), Informant accuracy in social-network data, An

experimental attempt to predict actual communication from recall data, Social Science

Research, Vol.11, N°.1, pp. 30-66.



Page 341

Bevort A., Lallement M., (2006), Le capital social. Performance, équité et réciprocité, Paris, la

découverte.

Blalock H-M., (1964), Causal Inferences in Nonexperimental Research. Chapel Hill, NC: University

of NorthCarolina Press.

Bollen KA, Lennox R., (1991), Conventional wisdom on measurement: a structural equation

perspective, Psychol. Bulletin , Vol.11, N°2, pp. 305–314.

Bollen KA. Ting K.F., (2000), A tetrad test for causal indicators, Psychological Methods, Vol.5,

N°.1, pp.3-22.

Borsboom D. Mellenbergh GJ. Heerden JV., (2003), The theoretical status of latent variables.

Psychological Review, Vol. 110, N°. 2, pp.203-219.

Boudon R., (2002), Théorie du choix rationnel ou individualisme méthodologique ? Sociologie et

sociétés, Vol. 34, N° 1, p. 9-34.

Boudreau M.-C., Gefen, D., Straub, D. W., (2001), Validation in information systems research: A

state-of-the-art assessment. MIS Quarterly, Vol .25, N°. 1, pp.1-16.

Bourdieu P., (2000), Les structures sociales de l’économie, Seuil, Paris.

Bourdieu P., (1980a), Le capital social, notes provisoires, Actes de la recherche en sciences sociales,

N° 31, pp 2-3.

Bourdieu P., (1980b), Le sens pratique, Paris, Editions de Minuit.

Bohner P., (1989), La noblesse d'État : grandes écoles et esprit de corps. Ed. de Minuit.

Bouty I., (1998), Échange interpersonnels : gérez le paradoxe de vos laboratoires, Annale des mines,

Bouty I., (1999), Décision individuelle d’échange au sein des réseaux informels : entreprise,

chercheurs et communauté technologique, Actes de la VIIIème Conférence de l’AIMS, ECP,

Paris.

Bouty I., (2000), Interpersonal and interaction influences on informal resource exchanges between

R&D researches across organizational boundaries. Academy of Management Journal, Vol.43,

N°1, p. 50-65.

Brewer D.D., Webster C.M., (1999), Forgetting of friends and its effects on measuring friendship

networks, Social Networks, Vol. 21.

Brass D.J., Butterfield K.D., Skaggs B.C., (1988), Relationships and Unethical Behavior: A Social

Network Perspective, The Academy of Management Review, Vol.23, N°.1, pp.14-31.



Page 342

Bridges W.P.,Villemez W.J., (1986), Informal Hiring and Income in the Labor Market, American

Sociological Review, Vol.51, pp.574-582.

Brown J.S., Duguid P., (2001), Knowledge and Organization: A Social-Practice Perspective,

Organization Sciences, Vol.12, N°.2.

Bulgurcu B., Cavusoglu A., Banbasat I., (2010), Information Security Compliance : An empirical

study of rationality-Based Beliefs and Information Security Awareness, MIS Quarterly, Vol.

34, N°.3, pp. 523-548.

Burt R., (2010), Neighbor Networks : Competitive Advantage Local and Personal, Oxford: Oxford

University Press.

Burt R., (2007), Local Structure for Managers, Bankers, and Analysts. Academy of Management

Journal, Vol.50, N°.1, pp.119-148.

Burt R., (2005), Brokerage and Closure : An Introduction to Social Capital, Oxford, New York:

Oxford University Press.

Burt R., (2001), Attachment, Decay, and Social Network, Journal of Organizational Behavior,

Vol.22, N°.6, pp.619-643.

Burt R.S., (2000), The network entrepreneur, in SWEDBERG R. (éd), Entrepreneurship, the social

science view, Oxford and New York, Oxford University Press, pp.281-307.

Burt R., (1997), A Note on Social Capital and Network Content, Social Networks, Vol.19, N°.4,

pp.355-373.

Burt R., (1992), Structural Holes (Cambridge, MA: Harvard University Press).

Byrnes F., Proctor P., (2002), Information security must balance business objectives,

http://informit.com.

C

Callon M. (1986), Eléments pour une sociologie de la traduction : la domestication des coquilles

Saint-Jacques et des marins-pêcheurs dans la baie de Saint-Brieuc, L'année sociologique, Vol.

36, pp.169-208).



Page 343

Callon, M. (dir.), (1998), La science et ses réseaux. Genèse et circulation des faits scientifiques,

Paris, La Découverte

Callon M., Ferrary M., (2006), Les réseaux sociaux à l’aune de la théorie de l’acteur-réseau,

Sociologies Pratiques, N°. 13, pp. 37-44.

Cameron K.S., Quinn, R.E., (1999), Diagnosing and changing organizational culture, Addison-

Wesley (OD series) edition, 221 p.

Cameron, K.S., Freeman, S.J., (1991), Cultural congruence, strength, and type: Relationship to

effectiveness, Research in Organizational Change and Development, vol. 5, pp.23-58.

Castel R. (1995), Les métamorphoses de la question sociale, Paris, Fayard.

Catmull E., (2008), How Pixar Forsters Collective Creativity, Harvard Business Review, Vol. 86,

N°.9, pp.64-72.

Chin W.W., Gopal A., (1995), Adoption Intention in GSS: Importance of Beliefs, Data Base

Advances, Vol.26, pp.42-64.

Chin W.W., (1998), Issues and Opinions on Structural Equation Modeling, MIS Quarterly, Vol.22,

N°.1, pp.vii-xvi.

Chin W.W., Marcolin, B.B., Newsted P.N.,(2003), A partial least squares latent variable modeling

approach for measuring interaction effects : results from a Monte Carlo simulation study and

an electronic-mail / adoption study, Information Systems Research, Vol.14, N°.2, pp.189-217.

Chin W.W., Esposito Vinzi E., Henseler J., Wang H., (2010), Handbook of Partial Least Squares

Concepts, Methods and Applications, Springer Handbook of Computational Statistics.

Choi N., Kim D., Goo j., Whitmore A., (2008), An empirical validation of the relationship between

managerial information security awareness and action, Information Management & Computer

Security Vol. 6 N°.5.

Chollet B., (2005), Lerôle personnel de l'ingénieur en R&D: le cas du secteur des micro et

nanotechnologies, Thèse del'université Pierre Mendès-France.

Chollet B., (2006), Qu’est-ce qu’un bon réseau personnel ? Le cas de l’ingénieur R&D, Revue

française de gestion, N°.163, pp.107-125.

Chollet B., (2004), La construction de la confiance entre ingénieurs R&D d’entreprises distinctes,

N°1, Revue du Management Technologique.



Page 344

Coleman J.-S., (1988), Social Capital in the Creation of Human Capital, American Journal of

Sociology, Vol. 94, supplement, pp. 95-120.

Coleman J.-S., (1990), Foundations of social theory, Cambridge, Harvard University Press.

Coltman, T, Devinney, TM, Midgley, DF, Veniak, S, (2008), Formative versus reflective

measurement models: Two applications of formative measurement, Journal of Business

Research, Vol. 61, N°.12.

Cohen A.K., (1971), La déviance, Ed. Duculot.

Cohen A., (1955), Delinquent Boys: The culture of the Gang, Free Press

Cohen W. M., Levinthal D. A., (1990), Absorptive capacity: a new perspective on learning and

innovation, Administrative Science Quarterly, Vol. 35, pp.28-152.

Coles-Kemp L., (2010), Information security management: An entangled research challenge,

Information Security Technical Report N°. 14.

Cooke R.A., Lafferty J. C., (1987), Organizational Culture Inventory (Form III), Human Synergistics,

Plymouth, MI.

Cornwell B., Laumann E.O., Schumm L.P., (2008), The Social Connectedness of Older Adults: A

National Profile, American Sociological Review, Vol. 7, pp.185–203.

Crié D. (2005)., De l’usage des modèles de mesure réflectifs ou formatifs dans les modèles

d’équations structurelles, Recherche et Application en Marketing, Vol. 20, N°. 2, 5-27.

Cross R., Borgatti S.P., Draft, (2000), The Ties that Share: Relational Characteristics that Facilitate

Information Seeking.

Cross R., Parker A., Prusak L., Borgatti S.P., (2001), Knowing What We Know: Supporting

Knowledge Creation and Sharing in Social Networks, Organizational Dynamics, Vol. 30,

N°.2, pp.100-120.

Crozier M., Friedberg E., (1977), L’acteur et le système, Paris, 1977.

Cusson, (1992), Traité de sociologie sous la direction de Raymond Boudon, chapitre 10, pp. 389-

422. Paris: Les Presses universitaires de France, 1 reédition, pp.575

CSI/FBI., (2007), CSI Survey 2007: The 12th Annual Computer Crime and Security Survey,

Computer Security Institute (disponible en ligne à http://i.cmpnet.com/v2.gocsi.com/pdf/

CSISurvey2007.pdf).



Page 345

D

D’Arcy J., Hovav A., Galletta D., (2009), User Awareness of Security Countermeasures and its

Impact on Information Systems Misuse: A Deterrence Approach, Information Systems

Research Vol.20, N°.1, pp. 79-98.

David J., (2002). Policy Enforcement in the Workplace, Computers & Security, 506-513.

Degenne A., Forsé M. (2004), Les réseaux sociaux, Armand Colin.

Diamantopoulos A., Winklhofer H.M., Index Construction with Formative Indicators: An alternative

to Scale Development, Journal of marketing Research, Vol.38, N°2.

Dhillon G., Tejey G., Hong W., (2007), Identifying Governance Dimensions to Evaluate Information

Systems Security in Organizations, Proceedings of the 40th Hawaii International Conference

on System Sciences.

Dhillon G. and Torkzadesh G., (2006), Value-focused assessment of information system security in

organizations, Information Systems Journal, Vol.16, N°.13, pp.293-314.

Dhillon G., Backhouse J., (2001), Current Directions in IS Security Research: Toward Socio-

Organizational Perspectives, Information Systems Journal Vol.11, N°.2, pp.127-153.

Dhillon G., Backhouse J., (2000), Challenges in Managing Information Security in the New

Millennium, Communication of the ACM, Vol.43, N°.7.

Dhillon G., (1997), Managing Information System Security, London: Macmillan.

Dillman D.A, (2000), Mail and Internet Surveys: The tailored design method .New York: Wiley.

Dinev T, Hart P., HU Q., Cooke D.,(2012),Managing Employee Compliance with Information

Security Policies: The Critical Role of Top Management and Organizational Culture,

Decision Sciences Vol. 43, N°.4.

Dinev T., HU, Q., (2007), The Centrality of Awareness in the Formation of User Behavioral

Intention toward Protective Information Technologies, Journal of the Association for

Information Systems.

Doherty N. F., Fulford, H., (2005), Do Information Security Policies Reduce the Incidence of

Security Breaches: An Exploratory Analysis, Information Resources Management Journal,

Vol.18, N°.2, pp.21-39.



Page 346

Dore R., (1973), British Factory-Japanese Factory, The Origins of Diversity in Industrial Relations.

Berkeley, CA: University of California Press.

Dubar C., (1998), La socialisation. Construction des identités sociales et professionnelles, Paris,

Armand Colin.

Dupuigrenet-Desroussilles G., (1962), Contrainte, échange, don : structures de l'économie

contemporaine. In: Annales. Économies, Sociétés, Civilisations., 17e année, N°.5, pp.988-

994.

Durkheim E., (1895), Les règles de la méthode sociologique, 11ème édition 2002, PUF, Paris.

Durkheim E., (1925), L’éducation morale, Paris, PUF 1967, nouvelle édition édition originale de

1925.

Durkheim E., (1973), De la Division du travail Social, Paris, PUF

Durkheim E., (1967), Thèse sur la détermination du Fait Moral, Communication à la société française

de philosophie, séance du 11 février 1906. Repris dans Sociologie et Philosophie, Paris,

P.U.F.

E

Edwards R., (1979), Contested Terrain. New York: Basic Books.

Edwards J. R., Bagozzi, R. P. (2000), On the Nature and Direction of Relationships Between

Constructs and Measures, Psychological Methods, Vol. 95, N°.:2, pp.155-74.

Eliason S. L., Dodder, R. A., (1999), Techniques of Neutralization Used by Deer Poachers in the

Western United States: A Research Note, Deviant Behavior (20:3), pp., 233-252.

Elis, L. A., and Simpson, S., (1995), Informal Sanction Threats and Corporate Crime: Additive

Versus Multiplicative Models, Journal of Research in Crime and Delinquency, Vol.20, N°3,

pp., 233-252.

England G., (1967), Personal value systems of American managers. Academy of Management

Journal, Vol.10, N°.1, pp.53-68.

Erickson B.H., (2003), The Distribution of Gendered Social Capital in Canada, in Henk Flap (ed.),

Creation and Returns to Social Capital: pp.27–50. New York: Routledge.

Eriksson K., Sharma D.D., (2003), Modeling uncertainty in buyer–seller cooperation, Journal of

Business Research Vol.56, pp. 961–970.



Page 347

Evrard Y., Pras B., Roux E. (2009), Market : fondements et méthodes des recherches en marketing (4e

édition), Dunod, Paris.

F

Fayol H, (1916), Administration industrielle et générale», Bulletin de la Société de l’Industrie

Minérale, N° 10, 5-164.

Fernandez, R.M., Goud, R.V., (1994), A dilemma of state power: brokerage and influence in the

National health policy domain, American Journal Sociology,Vol. 99, N°.6, pp.1455-1491.

Ferrary M., (2002), Pour une théorie de l’échange dans les réseaux sociaux, dans I. Huault (ed.), La

construction sociale de l'entreprise, Editions EMS.

Ferrary M., Pesqueux Y., (2004), L’organisation en réseau, mythes et réalités, Puf, Paris.

Ferréol G., (2007), Lexique de sociologie, Paris, PUF.

Finegan J.E., (2000), The impact of person and organizational values on organizational

commitement. Journal of occupational and organizational psychology, vol.73, N°.2, pp.149-

169.

Flichy P., (2004/2), L’individualisme connecté entre la technique numérique et la société, Réseaux,

N° 124, pp.17-51.

Fornell C., Larcker, D.F. (1981): Evaluating Structural Equation Models with Unobservable

Variables and Measurement Errors , Journal of Marketing Research, Vol.18, N°.2, pp.39-50.

Fukuyama F., (1995), Trust: Social virtues and the creation of prosperity. London: Hamish Hamilton.

Furnell S.M., (2006), Securing the home worker, Network Security, pp.6-112.

G

Gallivan M., Strite M., (2005), Information technology and culture: Identifying fragmentary and

holistic perspectives of culture, Information and Organization, Vol.15, pp.295-238.

Gargiulo M., Bernassi, M., (1999), The dark side of social capital. In R. Th. A. J. Leenders & S. M.

Gabbay (Eds.), Corporate social capital and liability, pp.298-322. Boston: Kluwer.

Gaston S. J., (1996) Information Security: Strategies for Successful Management. CICA Publishing,

Toronto.



Page 348

Gattiker U. E., Kelley H., (1999), Morality and computers: Attitudes and differences in moral

judgments. Inform. Systems Res., Vol.10, N°.3, pp.233–254.

Girod Séville M., Perret V., (1999), Fondements épistémologiques de la recherche, in Thiétart R.A.

(éd.), Méthodes de recherche en management, Paris, Dunod, pp.13-33.

Goffee R., Jones, G., (1998), The Character of a Corporation: How Your Company’s Culture Can

Makeor Break Your Business, Harper Collins Business, New York.

Gomez P.Y., Korine H., Masclef O., (2003), Le rôle du don dans les processus d’alliances

stratégiques : le cas Renault-Nissant, Xième Conférence de l’Association Internationale de

Management Stratégique.

Goold M., Campbell A., (1987), Strategies and Styles : the Role of the Center in Diversified

Corporations, Basic Blackwell.

Gopal R.D, Sanders G.L., (1998), International Software Piracy: Analysis of Key issues and Impacts,

Information Systems Research, Vol.9, N°.4, pp.380-397.

Gopal R.D, Sanders G.L., (1997), Preventive and deterrent controls for software piracy, Journal of

Management Information Systems, Vol.13, N°.4, pp.29-47.

Granovetter M., (1973), The strength of weak ties, American Journal of Sociology, vol.78, N°.6,

pp.1360-1380.

Granovetter M. S., (1982), The Strength of Weak Ties: A Network Theory Revisited , dans The

Effect of Social Jenssen J.I. & Koenig H.-F., (2002), Networks on Resource Access and

Business Start-ups , European Planning Studies, Vol.10, N°.8, pp.1039-1046.

Gulati R., (1999), Network Location and Learning: The Influence of Network Resources and Firm

Capabilities on Alliance Formation , Strategic Management Journal, Vol.5, N°.20, pp.397-

420.

Guo, K.H., Yuan, Y., Archer, N.P., Connelly, C.E., (2011), Understanding nonmalicious security

violations in the workplace: A composite behavior model. Journal of Management

Information Systems, Vol.28, N°.2, pp. 203-236.

H

Haenlein M., Kaplan A.M, (2004), A Beginner’s Guide to Partial Least Squares Analysis,

Understanding Statistics, Vol.3, N°.4, pp.283-297.



Page 349

Hair J. F., Ringle C. M., Sarstedt M., (2011), PLS-SEM: indeed a, silver bullet,Journal of Marketing

Theory and Practice, Vol.19, N°.2, pp.139 -151.

Hansen M.T., (1999), The search transfer problem: the role of weak ties in sharing knowledge across

organization subunits, Administrative Science Quaterly, Vol.44, pp. 82-111.

Hansen M.T, Poldony J.M. et Pfeffer J., (2001), So Many Ties, So Little Time: A Task Contingency

Perspective on Corporate Social Capital, Research in the Sociology of Organizations, Vol.8,

pp.21-57.

Hare C., (2007), Policy Development, Dans H. F. Tipton, & M. Krause, Information Security

Management Handbook, pp.475-497, Auerbach Publications.

Henseler J., Sarstedt M., (2013), Goodness-of-fit indices for partial least squares, path modeling,

Comput Stat, Vol.28, pp.565–580, Disponible en ligne sur www.springer.com

Herat T., Rao H.R., (2009), Encouraging information security behaviors in organizations: Role of

penalties, pressures and perceived effectiveness, Decision Support Systems, Vol.47, pp.154–

165.

Hofstede G., (1980), Culture's consequences: International differences in work-related values.

Newbury Park, CA: Sage.

Hofstede G., (1983), The Cultural Relativity of Organisational Practices and Theories, Journal of

International Business Studies, Vol.145, N°.2, pp.75-89.

Hofstede G., Neuijen B., Daval Ohayv D., Sanders G.(1990). Measuring Organizational Cultures: A

Qualitative and Quantitative Study Across Twenty Cases, Administrative Science Quarterly,

Vol.35, No.2, pp. 286-316.

Hofstede G., (1991), Vivre dans un monde multiculturel. Comprendre nos programmations mentales.

Les Editions d’Organisation.

Hofstede G., (2002), Dimensions do not exist: A reply to Brendan McSweeney, Human Relations.

Vol.55, N°.2, pp.1-8.

Hofstede G., (2001), Culture’s consequences, Sage Publications.

Hone K., Eloff, J. H., (2002), What Makes an Effective Information Security Policy? Network

Security, Vol.20, N°.6, 14-16.

Howell R.-D., Breivik E., Wilcox, J-B, (2007), Reconsidering Formative Measurement,

Psychological Methods, Vol.12, N°:2, pp.205-218.



Page 350

Hu Q., Dinev,T., Hart, P., Cooke, D., (2012), Managing Employee Compliance with Information

Security Policies: The Critical Role of Top Management and Organizational Culture,

Decision Sciences. Vol.43, N°.4, pp.615-660.

J

Johnston A.C., Warkentin M., (2010), Fear Appeals and Information Security Behaviors, MIS

Quarterly Vol.34, N°.3, pp.549-566

Johnston A.C., Hale E., (2009), Improved Security through Information Security Governance ,

Communications of the ACM, Vol.52, N°.1, pp.126-129.

Johnson E., Dynes S., (2007), Proceedings of the Sixth Workshop on the Economics of Information

Security, Carnegie Mellon University, Vol.7, N°.7-8.

K

Kaarst-Brown M. and Robey D., (1999), More on myth, magic and metaphor: Cultural insights into

the management of information technology in organizations. Information Technology and

People, Vol.12, N°.2, pp.192-217.

Kalmijn N., (2003), Shared Friendship Networks and the Life Course: An Analysis of Survey Data

on Married and Cohabiting Couples, Social Networks, Vol.25, N°.3, pp.231–249.

Kline R.B., (2010), Principles and practice of structural equation modeling The Guilford Press, New

York, (3ème édition).

Kreiner K., Schultz M., (1993), Informal Collaboration in R&D: The Formation of Networks Across

Organizations, Organisation Studies, Vol.14, N°.2, pp.189–209.

Klukhohn C., (1951), The Study of Culture, In Lerner D.,Lasswell H., (Eds), The policy sciences,

Stanford University Press, pp.86-101.

Kluckhohn, C., (1952), Culture: A critical review of the Concepts and definitions. Cambridge,

Harvard University Press.

Krackhardt D., Stern R.N., (1998), Informal Networks and Organizational Crises: An Experimental,

Social Psychology Quarterly, Vol.51, N°2, pp.123-140.

http://web.ebscohost.com.lama.univ-amu.fr/ehost/viewarticle?data=dGJyMPPp44rp2%2fdV0%2bnjisfk5Ie46bZLtqi1T7Sk63nn5Kx95uXxjL6vrUmtqK5JsZaxUrKquE2ulr9lpOrweezp33vy3%2b2G59q7Sq6rrkqxrq9RsZzqeezdu37wnOJ6u9jygKTq33%2b7t8w%2b3%2bS7S7SmrkqurLI%2b5OXwhd%2fqu37z4uqM4%2b7y&hid=114



Page 351

Komai M., Stegeman M., (2010), Leadership based on asymmetric information, RAND Journal of

Economics Vol.41, N°.1.

L

Lallement M., (2003), Capital social et théorie sociologique, in Actes du colloque organisé par le GRIS,

Université de Rouen.

Latour B., Woolgar S., (1979), La Vie de Laboratoire, La Découverte, Paris, édition originale, Sage

Publications.

Latour B., (1987), La Science en Action, La Découverte, Paris; édition originale, Harvard University

Press, Cambridge, Ma.

Laumnan E.O., Papi, F.U., (1967), Networks of collective action: a perspective on community

influence systems, New-York Academic Press.

Lazega E., (2006), Capital social, processus sociaux et capacité d’action collective, Le capital Social

sous le dir. De Bevort A. et Lallement M., La revue du Mauss.

Leana C. R., Van Buren H. J., (1999), Organizational social capital and employment practices,

Academy of Management Review, Vol.24, pp. 538-555.

Le Corre S., (2003), Gestion des compétences et qualification du travail : une analyse des politiques

de firme, in Dupray A., Guitton C., Monchatre S. (eds), Réfléchir la compétence, Toulouse,

Octarès Editions.

Leenders R.,Gabbay S., (1999), Corporate Social Capital and Liability. Boston, MA: Kluwar.

Lesca N., Caron-Fasan M.-L., (2008), Strategic Scanning Project Failure and Abandonment Factors:

Lessons Learned, EuropeanJournal of Information Systems (EJIS), vol.17, September

2008, pp. 371-386

Levin Z., Cross R., (2004), The strength of weak ties you cn trust: the mediating role of trust in

effective knowledge transfer, Academy of Management Proceedings MOC: D1.

Leidner and Kayworth, (2006), A review of Culture in Information Systems Research: Toward a

Theory of Information Technology Culture Conflict, MIS Quarterly, Vol.30, N°.2, pp.357-

399.



Page 352

Leonard, L. N. K., Cronan T. P., Kreie J., (2004). What influences IT ethical behavior intentions—

Planned behavior, reasoned action, perceived importance, individual characteristics? Inform.

Management, Vol.42, N°1, pp.143–158.

Leonard, L.N.K., Cronan T.P., (2001), Illegal, inappropriate, and unethical behavior in an

information technology context: a study to explain influences, Journal of the Association for

Information Systems,Vol.1, N°.12, pp.1–31.

Lincoln, J.R., (1982), Intra- (and inter-) organizational networks, Research in the Sociology of

Organizations, Vol.1, pp.1–38.

Liebeskind J.P., Oliver A.L., Zucker L., Brewer M., (1996), Social Networks, Learning, and

Flexibility: Sourcing Scientific Knowledge in New Biotechnology Firms. Organization

Science, Vol.7, N°.4, pp. 428-443.

Lin N., Ensel W., Vaughn J., (1981), Social resources and strength of ties: Structural factors in

occupational status attainment. Amer. Soc. Rev. 46 393-405.

Lin N., (1999), Social Networks and Status Attainment, Annual Review of Sociology, Vol.25, pp.

467-487.

Lin N., (2001), Social Capital: A theory of social structure and action, Cambridge University Press.

Lin N., (2005), Social Capital, in: J. Beckert & M. Zagiroski (Eds) Encyclopedia of Economic

Sociology (London, Rutledge).

Lin N., (2008), A network theory of social capital, in The Handbook of Social Capital, edited by

Dario Castiglione, Jan Van Deth, and Guglielmo Wolleb. New York: Oxford University

Press.

M

Mahmood A., Siponen M., Straub D, (2010), Moving toward black hat research in information

systems security: an editorial introduction to the special issue, MIS Quarterly Vol.34, N°.3

pp.431-433.

Mardsen P., Campbell C. (2012), Reflections on Conceptualizing and Measuring Tie Strength ,

Social Forces, Vol. 91, N°.1, pp17–23.



Page 353

Mardsen P., Campbell C., (1984), Measuring tie strength, Social Forces, Vol.63, N°2, p. 482-501.

Marsden P.-V., Hurlbert J-.S., (1988), Social resources and mobility outcomes : a replication and

extension Social forces, Vol.66, N°.4), pp.1038-1059.

McEvily B., Marcus A., (2005), Source: Strategic Management Journal, Vol.26, N°.11, pp.1033-

1055.

McEvily B., Zaheer A., (1999), Bridging Ties: A Source of Firm Heterogeneity in Competitive

Capabilities, Strategic Management Journal, Vol.20, N°.12, p.1133.

McDonald P., Gandz J., (1992), Getting value from shared values, Organizational Dynamics, Vol.21,

N°.3, pp.64-76.

McDonald P., Gandz J., (1991), Identification of values relevant to business research, Human

Resource Management, Vol.30, N°.2, pp.217-236.

MacKenzie S. B., (2003). The Dangers of Poor Construct Conceptualization, Journal of the Academy

of Marketing Science, Vol.31, N°.3, pp. 323-326.

McFadyen M. A., Cannella A.A. J., (2004), Social capital and knowledge creation: diminishing

returns of the number and strength of exchange relationships. Academy of Management

Journal, Vol.47, N°.5, pp.735-746

Mercklé, (2004), La sociologie des réseaux sociaux, La découverte (Puf).

Midler C., (1998), L’auto qui n’existait pas : management des projets et transformation de

l’entreprise, Paris, Dunod.

Miles M.B., Huberman A.M., (2003), Analyse des données qualitatives, Bruxelles, De Boeck

Université.

Mintzberg H., (1973), The Nature of Managerial Work, Harpercollins College ed.

Mitnick, K. D., (2002). The Art of Deception: Controlling the Human Element of Security, New

York: Wiley Publishing.

Mitroff I.I., Kilmann, R.H, (1976), On organizational stories: an approach to the design ananalysis of

organization through myths and stories. Edition de R. Kilmann, L.R. Pondy et D. Slevin. The

management of organization design, New York: Elsevier North Holland.

Mitroff, I.I., (1983), Stakeholders of the organizational mind. San Francisco: Jossey-Bass.



Page 354

Murray B., (1991), Running Corporate and National Security Awareness Programs, in Proceedings of

the IFIP TC11 Seventh International Conference on IS Security, Amsterdam: North-Holland

Publishing Co., pp.203-207.

Myers M., and Newman, M., (2007), The Qualitative Interview in IS Research: Examining the Craft,

Information and Organization, Vol.171, pp.2-26.

Myyr L., Siponen M., Vartainen T., Vance A., (2009), What levels of moral reasoning and values

explain adherence to information security rules? An empirical study, European Journal of

Information Systems, N°.18, pp.126–139.

N

Nelson R., Winter S.G., (1982), An Evolutionary Theory of Economic Change, Cambridge (Mass.),

Belknap Press/Harvard University Press.

Nelson R. E., (1989), The strength of strong ties: Social networks and intergroup conflict in

organizations, Academy of Management Journal, Vol.32, pp.377-401.

Nooteboom B., (2000), Learning and Innovation in Organizations and Economies, Oxford University

Press.

Nonaka, I., Takeuchi, H. (1997), La connaissance créatrice: La dynamique de l’entreprise apprenante,

De Boeck Université.

Nunnally J.C, (1978), Psychometric theory McGraw-Hill, New York, (2eme édition).

O

O'Connor, A. D, (1993. Successful Strategic Information Systems Planning. Journal of Information

Systems, Vol.1, pp.71-83.

Ogien A., (1995), Sociologie de la déviance, édition Armand Colin, Paris.

Ogien R., (2004), Le rasoir de Kant, Paris-Tel Aviv, Editions de l‟Eclat.

O’Reilly C.A., Chatman, J. et Cadwell, D.F, (1991), People and organizational culture: a profile

comparison approach to assessing person-organization fit. Academy of Management Journal.

vol. 34, pp. 487-516.



Page 355

Ouchi W. G., (1978), Type Z Organization: Stability in the Midst of Mobility, The Academy of

Management Review, Vol.3, N°.2, pp.305-314.

Ouchi W. G., (1980), Markets, bureaucracies, and clans, Administrative Science Quarterly, 25: 129-

141

Ouchi W.G., (1983), Efficient Cultures: Exploring the Relationship Between Culture and

Organizational Performance, Administrative Science Quarterly, Vol.28, No. 3, pp. 468-481

P

Parsons T., (1937), The Structure of Social Action, New York, McGraw-Hill.

Parsons T., (1951), The social system, New York, The free Press.

Peltier T., (2002), How to Build a Comprehensive Security Awareness Program, Computer Security

Journal, Vol.16, N°.:2, pp.23-32.

Peltier T., (2002), IS security Policies, Procedures, and Standards: Guidelines for Effective IS

security Management, Boca Raton, FL: Auerbach Publications.

Perry-Smith J. E., & Shalley, C. E, (2003), The social side of creativity: A static and dynamic social

network perspective. Academy of Management Review, Vol.28, pp. 89-106.

Perry-Smith J.E., (2006), Social yet creative: The role of social relationships in facilitating individual

creativity, Academy of Management Journal, Vol.49, N°.1, pp.85-101.

Perry-Smith J.E. et Shalley C.E., (2003), The Social Side of Creativity: A Static and Dynamic Social

Network Perspective, Academy of Management Review, Vol.28, N°.1, pp.89-106.

Petrażycki L., (1955), Law and Morality, Edited with an introduction by N.S. Timasheff. Cambridge,

Mass.: Harvard University Press. Réimprimé avec une nouvelle introduction de A. Javier

Trevino. New Brunswick: NJ: Transaction Publishers, (2011).

Pillon V., (2003), Normes et deviance, Collection Thèmes & Débats sociologie, Paris, Bréal.

Piquero, A.R., Hickman M., (1999). An Empirical Test of Tittle’s Control Balance Theory,

Criminology Vol.37:2, pp.319-342.

Piquero N.L., Tibbetts, S.G., Blankenship M.B., (2005), Examining the Role of Differential

Association and Techniques of Neutralization in Explaining Corporate Crime, Deviant

Behavior, Vol.26, N°2, pp.159-188.



Page 356

Pisano G., (1994), Knowledge, Integration, and the Locus of Learning: a Empirical Analysis of

Process Development, Strategic Management Journal, Vol.12, pp. 80-100

Podolny J.M., Hansen M., Pfeffer J., (2001), So Many Ties, So Little Time: A Task Contingency

Perspective on The Value of Social Capital, in organizations, in Shaul M. Gabbay, Roger Th.

A. J. Leenders (ed.) Social Capital of Organizations (Research in the Sociology of

Organizations, Volume 18), Emerald Group Publishing Limited, pp.21-57

Podolny J.M., Baron J.M, (1997), Resources and Relationships: Social Networks and Mobility in the

Workplace, American Sociological Review, Vol.62, N°.5, pp.673-693.

Podolny J.M., Page K.L., (1998), Reviewed Network Forms of Organization, Annual Review of

Sociology, Vol.24, pp.57-76.

Podolny J.M., Stuart T.E., (1995), AJS Volume 100, pp.1224-1260

Ponthieux S., (2006), Le social capital : contrôle social, réciprocité généralisée ou confiance

nationale brute ?, Le capital Social sous la dir. Bevort A.et M.Lallement M., La revue du

Mauss.

Portes A., (1998), Social capital: Its origins and applications in modern sociology. Annual Review of

Sociology, Vol.24, N°1-24.

Portes A., Sensenbrenner J., (1993). Embeddedness and immigration: Notes on the social

determinants of economic action. American Journal of Sociology. Vol.98, pp.1320-1350

Posthumus S., von Solms R., (2008), Agency Theory: Can it be Used to Strengthen IT Governance ?,

Proceedings of The Ifip Tc 11 23rd International Information Security Conference IFIP – The

International Federation for Information Processing Vol.278, pp.687-691

Powell W., Koput K., Smith-Doer L., (1996), Interorganizational Collaboration and the Locus of

Innovation: Networks of Learning in Biotechnology , Administrative Science Quarterly, vol.

41, pp.116-145.

Proctor P. E., and Byrnes, F. C., (2002), The Secured Enterprise: Protecting Your Information Assets,

Upper Saddle River, NJ: Prentice Hall.

Puhakainen P., (2006), A Design Theory for Information Security Awareness, unpublished Ph.D.

Thesis, University of Oulu, Finland.

Puhakainen P., Siponen M., (2010), Improving employees’ compliance through information systems

security training: an action research study, MIS Quarterly Vol. 34, N°.4 pp. 757-778.

http://link.springer.com/book/10.1007/978-0-387-09699-5

http://link.springer.com/bookseries/6102

http://link.springer.com/bookseries/6102



Page 357

Putman R., (1995), Bowling alone: America declining social capital, in Journal of democracy, Vol.6,

N°.1, pp. 64-78.

Q

Quinn R.E, Rohrbaugh J., (1983), A spatial model of effectiveness criteria: towards a competing

values approach to organizational analysis, Management Science, Vol.29, pp.363-377.

Quinn R.E, Rohrbaugh, J, (1981), A competing values approach to organizational effectiveness ,

Public Productivity Review, Vol.5, pp.122-140.

Quinn R.E., (1998), Beyond rationale management: mastering the paradoxes and competing demands

of high performance., Jossey-Bass, San Francisco, CA.

R

Raeder T., Omar L., Hachen D., Nitesh V. C., (2011), Predictors of Short-term Decay of Cell Phone

Contacts in a Large Scale Communication Network. Social Networks, Vol.33, N°4, pp.:245-

57.

Rainer K., Marshall T.E., (2007), Do Information Security Professionals and Business Managers

View Information, Security Issues Differently?, Information Systems Security, Vol.16,

pp.100–108.

Reagans R., MCEvily B., (2003), Network Structure and Knowledge Transfer: the Effect of

Cohesion and Range, Administrative Science Quarterly, vol. 42, N°2, pp.240-267.

Reagans R., Zuckerman E., (2001), Networks, Diversity and Performance: The Social Capital of

R&D Units, Organization Science, Vol.12, pp. 502-517.

Richardson R., (2011), Computer Crime and Security Survey,

https://cours.etsmtl.ca/log619/documents/divers/CSIsurvey2010.pdf.).

Richardson R., (2007), CSI/FBI Computer Crime and Security Survey, Computer Security Institute,

San Francisco.

Ringle, C. M., Wende, S., Will A. (2005): SmartPLS 2.0, (www.smartpls.de.).

Rodan S., Galunic C., (2002), Knowledge heterogeneity in managerial networks and its effect on

individual performance, Academy of Management Best Papers Proceedings, Denver, 6 p.

https://cours.etsmtl.ca/log619/documents/divers/CSIsurvey2010.pdf



Page 358

Rodan S., Galunic C., (2004), More that network structure: how knowledge heterogeneity influences

managerial performance and innovativness, Strategic Management Journal., N° 25: 541–562.

Rogers E., (2003), Diffusion of Innovation, 4th edition. The Free Press, New York.

Rogers E., (1995), Diffusion of Innovations, The Free Press, New York.

Rogers E., (1962), Diffusion of Innovations, The Free Press. New York.

Rogers, E. M., (1982), Information exchange and technological innovation. Dans D. Sahal, The

Transfer and Utilization of Technical Knowledge, Lexington Books, Lexington, MA

Rokeach M., (1972), A theory of Organization and Change, Jossey- Bass Publishers.

Rokeach M., (1973), The Nature of Human Values, The Free Press. Macmillan. New York.

Rossi I. and O’Higgins, E., (1980), The development of theories of culture. In Rossi, I.(ed.), People

in Culture, pp.31-78, NY Praeger.

Rouleau L., (2005), Micro-practices of strategic sensemaking and sensegiving: how middle managers

interpret and sell change every day, Journal of Management Studies, Vol. 42, N°.7, pp.1413-

1443.

Roussel P., Durrieu F., Campoy E. et El Akremi A. (2002), Méthodes d’équations structurelles :

recherche et applications en gestion, Economica, Paris.

Rowley T., Behrens D. et Krackhardt D., (2000), Redundant governance structure: an analysis of

structural and relational embeddedness in the steel and semiconductor industries, Strategic

Management Journal, Vol.21, N°.3, pp.369-386.

Rogers, R. W., Prentice-Dunn, S., (1997), Protection motivation theory, In D. S. Gochman (Ed.),

Handbook of Health Behavior Research I: Personal and Social Determinants, New York, NY,

Plenum Press, pp.113-132.

Russell C., (2002), Security awareness-implementing an effective strategy,

http://www.sans.org/reading-room/whitepapers/awareness/security-awareness-implementing-

effective-strategy-418.

S

Schein, E. H. (2004), Organizational culture and leadership, Jossy-Bass. (3rd. ed.).

Schein E.H., (1992), Organizational culture and leadership, Jossey-Bass éditeur.

http://www.sans.org/reading-room/whitepapers/awareness/security-awareness-implementing-effective-strategy-418

http://www.sans.org/reading-room/whitepapers/awareness/security-awareness-implementing-effective-strategy-418



Page 359

Schein E., (1985a), How Culture Forms, Develops and Changes, Gaining control of the Corporate

Culture, R. H. Kilmann et al. San Francisco, pp.17-43.

Schein E.H., (1985b), Organizational Culture and Leadership, San Francisco: Jossey-Bass Publishers.

Schlienger T., Teufel S., (2003), Information Security Culture - From Analysis to Change,

Proceedings of ISSA, Johannesburg, South Africa.

Schlienger T., Teufel S., (2002), Information Security Culture-The Socio-Cultural Dimension,,

Information Security Management, IFIP TC11 International Conference on Information

Security, Cairo, Egypt.

Schwartz S.H., Vecchione M., Fischer R., Ramos A., Demirutku K., Dirilen-Gumus O., Cieciuch J.,

Konty M, Verkasalo M., Lönnqvist J-E. Davidov E., Beierlein C.,(2012), Journal of

Personality and Social Psychology, Vol.103, N°.4, pp.663–688.

Schwartz S., (2006), Les valeurs de base de la personne: théorie, measures et applications, Revue

française de sociologie, Vol.47, N°.4, pp.929-968.

Schwartz S., (1999), Cultural value differences: Some implications for work. Applied Psychology:

An International Review, No.48, pp.23-47.

Schwartz S, (1994), Basic Human Values: An Overview, The Hebrew University of Jerusalem.

Schwartz S, (1992), Universals in the content and structure of values: theoretical advances and

empirical tests in 20 countries, Advances in experimental social psychology. Vol.25, pp.1-65,

Schwartz S. and Bilsky W, (1987), Towards a universal psychological structure of human values,

Journal of Personality and social Psychology, Vol.53, N°.3, pp.550-562.

Schwartz S., Boehnke K., (2004), Evaluating the structure of human values with confirmatory factor

analysis, Journal of Research in Personality, N°.38, pp.230-255.

Schwarz A. and Chin W, (2007), Looking Forward: Toward an Understanding of the Nature and

Definition of IT Acceptance, Journal of Association Information Systems, Vol.8, N°4, Article

6, pp.230-243

Sellin T., (1983), Conflits de culture et criminalité, Pedone.

Schrader S., (1991), Informal Technology Transfer Between Firms: Cooperation Through

Information Trading, Research Policy, Vol.20, N°2, pp.153-170.

Segrestin D., (1996), Sociologie de l’entreprise, Paris, Armand Colin.

Simon F. Tellier A., (2008), Créativité et réseaux sociaux dans l’organisation ambidextre, Revue

française de gestion, N°.187.



Page 360

Sennett R., (2000), Le travail sans qualité. Les conséquences humaines de la flexibilité, Paris, Albin

Michel.

Sennett R., (2005), La culture du nouveai capitalisme, Paris, Albin Michel.

Shi G., Shi Y-z., Wang Y, (2009), Relationship strength in service. industries A measurement model,

The Market Research Society.

Short J., Williams E., Christie, B., (1976), The social psychology of telecommunications. London,

England: John Wiley.

Simmel G, (1987), Philosophie de l’argent, Paris; PUF.

Siponen, M., (2000), A Conceptual Foundation for Organizational Information Security Awareness,

Information Management & Computer Security, Vol.8, N°.1, pp.31-41.

Siponen, M.T., (2005), Analysis of modern information security development approaches: towards

the next generation of social and adaptable ISS methods, Information and organization, Vol.

15, N°.4, pp.339-375.

Siponen M., Puhakainen P., (2010), Improving employees’ compliance through information systems

security training: an action research study, MIS Quarterly Vol. 34 No.4, pp.757-778

Siponen M., Vance A., (2010), Neutralization: new insight into the problem of employee information

systems security policy violations, MISQ.

Siponen M., Phanila S., Mamood A., (2007), Which factors explain Employees’ adherence to

information security, policies? an empirical study, MISQ.

Siponen, M. T., Pahnila, S., Mahmood, A., (2007), Adherence to Information Security Policies: An

Empirical Study, Proceedings of the IFIP SEC2007, Sandton, Gauteng, South Africa.

Smircich L., (1983), Concepts of Culture and Organizational Analysis, Administrative Science

Quarterly, Vol.3, pp.339-358.

Smith-Doerr L., (2005), Institutionalizing the Network Form: How Life Scientists Legitimate Work

in the Biotechnology Industry, Sociological Forum, Vol.20, N°.2, pp.271-299.

Stanton, J. M., Stam, K. R., Mastrangelo P., Jolton, J., (2005), An analysis of end user security

behaviors, Computers & Security, Vol.24, pp.124-133.

Steinfield C.W., (1986), Computer mediated communication in an organizational setting: Explaining

task-related and socioeconomical uses, In Communication yearbook 9. ed. M.L. Mclaughlin,

pp.777-804. Newbury Park, CA: Sage.

http://books.google.com/books?id=GMdQPwAACAAJ&dq=social+psychology+of+telecommunications&ei=Osj_SuS1D6eKlQSqpcGaDw



Page 361

Straub D. W., Boudreau, M., Gefen D., (2004), Validation Guidelines for IS Positivist Research,

Communications of the Association for Information Systems, Vol.13, N°.24, pp.380-427.

Straub D., Loch K., Evaristo R., Karahanna E., Strite M., (202), Toward a Theory-Based

Measurement of Culture, Journal og Global Information Management, VOL.10, N°.1, pp.13-

23.

Straub D.W. and Welke, R.J., (1998), Coping with Systems Risk: Security Planning Models for.

Management Decision-Making, MIS Quarterly, Vol.22, N°4, pp.441-469.

Straub D.W., (1990), Effective IS Security: An Empirical Study, Information Systems Research,

Vol.1, N°.3, pp.255-276.

Straub D. W., (1989), Validating Instruments in MIS Research, MIS Quarterly, Vol.13, N°2, pp.147-

169.

Sutherland E., D., Cressey R., (1966), Principes de criminologie, trad. Cujas.

Sykes G.M., MATZA D., (1957), Techniques of neutralization: a theory of delinquency, American

Sociological review, Vol.22, N°6.

T

Teece D.J., Pisano G., Shuen A., (1997) Dynamic Capabilities and Strategic Management, Strategic

Management Journal, Vol.18, No.7, pp.509-533.

Thiétart, R.A., (2000), Management et complexité : concepts et théories, Centre de recherche DMSP,

Cahier N°282.

Thiétart R.A., (2003), Méthodes de recherche en Management, Dunod, Paris.

Thompson D., (1998), Computer crime and security survey, Information Management & Computer

Security, Vol.6, N°.2, pp.78-101.

Thomson M.E., von Solms R., (1997). An Effective IS Security Awareness Program for Industry, in

Information Security in Research and Business (Proceedings of IFIP TC 11 13th International

Conference on IS Security),

Thomson, M. E., von Solms, R, (1998), IS Security Awareness: Educating Your Users Effectively,

Information Management & Computer Security, Vol.6, N°4, pp167-173.



Page 362

Thurman, Q. C, (1984), Deviance and the Neutralization of Moral Commitment: An Empirical

Analysis, Deviant Behavior, Vol.5, pp.291-304.

Triandis H.C., (1979), Values, attitudes, and interpersonal behavior, Nebraska Symposium on

motivation: Beliefs, Attitudes, and values, Lincoln, NE, University of Nebraska Press, (1980),

pp.195-259.

Trice H., (1993), Occupational subcultures in the workplace, Ithaca, NY, ILR Press.

Trompenaars F., (1996), Riding the waves of culture: Understanding cultural diversity in business.

Nicholas Brealey Publishing Ltd.

Trompenaars F, Hampden-Turner C., (2004), L'entreprise multiculturelle, Editions Maxima., Paris.

Tryfonas, T., Kiountouzis, E., & Poulymenakou, A, (2001), Embedding Security Practicies in

Contemporary Information Systems Development Approaches. InformationManagement &

Computer Security, Vol.9, N°.4, 183-197.

Tsai W., (2001), Knowledge Transfer in Inter-organizational Networks: Effects of Network Position

and Absorptive Capacity on Business Unit Innovation and Performance , Academy of

Management Journal, Vol.44, N°.5.

Tushman M.L., Katz R., (1980), External communication and project performance : an investigation

into the role of gatekeepers, Management Science, Vol.26, N°.11, pp.1071- 1085.

U

Uzzi B., Spiro J., (2005), Collaboration and Creativity: The Small World Problem. American Journal

of Sociology.Vol.111, N°.2, pp.447-504.

Uzzi B., (1997), Social Structure and Competition in Interfirm Networks: The Paradox of

Embeddedness, Administrative Science Quarterly, Vol.42, N°1, pp.35-67.

V

Van der Gaag M.P.J., Snijders T., Flap H.D. (2004), Position Generator measures and their

relationship to other social capital measures, XXIII Sunbelt International Social Networks

Conference, Cancùn, Mexico, February, Vol.12, N°.16,

http://www.xs4all.nl/~gaag/work/msc.html.



Page 363

Vance A., Siponen M., Phanila S, (2009), How Personality and Habit Affect Protection Motivation

Association of Information Systems SIGSEC Workshop on Information Security & Privacy

(WISP 2009). December 14, Phoenix, AZ, USA.

Venkatesh, V., Morris, M. G., Davis, G. B. and Davis, F. D., (2003), User Acceptance of Information

Technology: Toward a Unified View, MIS Quarterly, Vol.27, N°3, pp. 425-478.

Verdon D., (2006), Security Policies and the Software Developer, IEE Security & Privacy, pp.42-49

Von Solms, R., Van Niekerk J.F., (2010), Information security culture: A management perspective,

computers & security N°29, pp.476-486.

Von Solms R., Von Solms B, (2004), From policies to culture, Computers & Security, Vol.23.

Von Solms B, (2001), Information security, a multidimensional discipline, Computers & Security,

N°20, pp. 504508.

Von Solms, R., (1999), Information Security Management: Why Standards Are Important,

Information Management and Computer Security Vol.7, N°1, pp.50-58.

Von Hippel E., (1987), Cooperation between rivals: Informal know-how trading, Research Policy,

Vol.16, pp.291-302.

Voss B.D., (2001), The ultimate defence of depth: security awareness in your company,

http://www.sans.org/reading-room/whitepapers/awareness/ultimate-defense-depth-security-

awareness-company-395.

Vroom C., von Solms, R., (2002), A Practical Approach to IS Security Awareness in the

Organization, in Security in the Information Society: Visions and Perspectives (Proceedings

of IFIP TC 11 17th International Conference on IS Security).

Vroom V.H., (1964), Work and motivation. New-York: Wiley.

W

Waldinger, R., (1995), The other side of embeddedness: A case-study of the interplay of economy

and ethnicity. Ethnic and Racial Studies, N°.18, pp.555-573

Walker G., Kogut B., Weijian S. , (1997), Social Capital, Structural Holes and the Formation of an

Industry Network, Organization Science, Vol.8, No.2 pp.109-125

Walsh I. and Kefi H. (2008), The Spinning Top Model, a new Path to conceptualize Culture and

Values: applications to IS research, ICIS proceedings, Paris 2008 France.

http://www.sans.org/reading-room/whitepapers/awareness/ultimate-defense-depth-security-awareness-company-395

http://www.sans.org/reading-room/whitepapers/awareness/ultimate-defense-depth-security-awareness-company-395



Page 364

Warren D.E., (2003), Constructive and Destructive Deviance in Organizations, The Academy of

Management Review, Vol.28, N°.4, pp.622-632.

Wach, M., Hammer B., (2003). La structure des valeurs est-elle universelle ? Genèse et validation du

modèle compréhensif de Schwartz. Paris : L’Harmattan.

Wellman B., Wong R.Y-l., Tindall D., Nancy N., (1997), A Decade of Network Change: Turnover,

Persistence and Stability in Personal Communities, Social Networks Vol.19, pp.27–50.

Wending T., Goshen S., (1998), Social capital and value creation: the role of intrafirm networks,

Academy of Management Journal, Vol.41. No.4,pp.464-476.

Wenger E., (1998), Communities of practice: learning, meaning, and identity, Cambridge University

Press.

Whitman M. E. (2003), Enemy at the Gate: Threats to Information Security, Communications of the

ACM, Vol.46, N°.8, pp.91-95.

Wiener Y., (1982), Commitment in organizations, A normative view, Academy of Management

Review, Vol.7, N°.3, pp.418-428.

Wiener Y., Gechman A.S., (1977), Commitment: a behavioural approach to job involvement, Journal

of Vocational Behavior, Vol.10, pp.47-52.

Williams P.A.H., (2008), In a ‘trusting’ environment, everyone is responsible for information

security, Information security technical report N°.13.

Williams R.M., (1968), The concept of values, In D.Stills (Ed.).International encyclopedia of the

social sciences, pp.283-287. New York: Macmillan.

Williamson O., (1993), Calculativeness, Trust and Economic Organization, Journal of Law and

Economics, Vol.36, pp 453-486.

Willmott H., (1987), Studying Managerial Work: a critique and a proposal, Journal of Management

Studies, Vol.24, N°.3, pp.249-270.

Wils T., Luncasu M., Waxin M-F., (2007), Relations industrielles / Industrial Relations, Vol.62,

N°.2, pp. 305-332.

Wold H., (1982), Soft modeling: the basic design and some extensions. In: JLoreskog, K.G., Wold,

H. (Eds.), Systems under Indirect Observation, Part 2, North-Holland, Amsterdam, pp.1–54.

Wood M. B., (1982), Introducing Computer Security, NCC Publications.



Page 365

Wood C.C., (1995), Information Security Awareness Raising Methods, Computer Fraud & Security

Bulletin, pp.13-15.

Wood C.C., (2002), The Human Firewall Manifesto, Computer Security Journal, Vol.18, N°.1,

pp.15-18.

Woolock M., (1998), Social Capital and Economic Development: Toward a Theoretical Synthesis

and Policy Framewor, Theory and Society, Vol.27, No. 2, pp.151-208.

Workman M., (2007), Gaining Access with Social Engineering: An Empirical study of the Threat.

Information Security Journal: A Global Perspective, Vol.16, N°6, pp. 315-331.

Workman M., Bommer W. H., Straub D., (2008), Security lapses and the omission of information

security measures: A threat control model and empirical test, Computers in Human Behavior,

N° 24, pp.2799–2816.

Wylder J. O., 2003, Improving Security From the Ground Up, Information Systems Security, Vol.11,

N°.6, pp.29-38.

Y

Yli-Renko H., E. Autio E., Sapienza H-.J, (2001), Social Capital, Knowledge Acquisition and

Knowledge Exploitation in Young Technology-Based Firms, Strategic Management Journal,

Vol.22, N°6/7, pp. 587-613.

Z

Zuccato A., (2004), Holistic security requirement engineering for electronic commerce, Computers

and Security, Vol.23, N°.1, pp.63-76.

Zucker L., (1986), Production of trust institutional sources of economic structure: 1840- 1920,

Research in Organization Behaviour, Vol. 8, pp 53-111.



Page 366

TABLE DES FIGURES

Figure 1 : Architecture de la recherche ................................................................................. 25

Figure 2: Architecture générale du chapitre 1 ........................................................................ 27 Figure 3: Synthèse entre intérêt pour soi et intérêt pour autrui (Caillé, 2009: 59) .................. 34

Figure 4: Synthèse entre obligation et liberté (Caillé, 2009: 65) ............................................ 35 Figure 5: Topologie de l'action (Caillé, 2009: 68) ................................................................. 35

Figure 6: Corpus théorique primaire constituant et influençant le capital social ................... 71 Figure 7: Théorie de l'effectuation (Sarasvathy, 2001 :253) .................................................. 79

Figure 8: Raisonnement causal (prédictif) et effectual (traduit de Sarasvathy et al., 2008 : 3) 80 Figure 9: Processus effectual: une approche transformative (Wiltbank et al, 2006 : 992)....... 82

Figure 10: Synthèse du corpus théorique des constituants et influenceurs du capital social... 94 Figure 11: Architecture du chapitre 2 .................................................................................... 96

Figure 12: Les quatre dimensions des systèmes de sécurité de l’information (Loch, 1992: 176)

................................................................................................................................... 103

Figure 13: Les quatre dimensions des systèmes de sécurité de l’information (Warkentin,

Straub & Malimage (2012 :2) adapté de Loch, 1992) .................................................. 121

Figure 14: Exemple de sensibilisation à la sécurité de l'information (NIST, 2003: D-3) ...... 133 Figure 15: Relations entre pratiques managériales de sécurité, culture individuelle et culture

collective .................................................................................................................... 143 Figure 16: Transaction stratégique – influences du capital social et de la sécurité de

l’information ............................................................................................................... 146 Figure 17: Architecture du chapitre 3 .................................................................................. 148

Figure 18: Intersection entre les concepts de culture en anthropologie et en sciences des

organisations (source : Smircich, 1983) ....................................................................... 151

Figure 19: Différences culturelles (Hofstede & al, 1990) .................................................... 152 Figure 20: Les trois niveaux de la culture organisationnelle (d’après Schein, 1984) ............ 156

Figure 21: modèle théorique figurant les relations entre les types motivationnels de valeurs les

types de valeur d’ordre supérieur et les dimensions bipolaires des valeurs (Schwartz,

1994 : 24 ; 2006/4 : 964) ............................................................................................. 166 Figure 22: Les quatre types de cultures organisationnelles selon Mitroff et Kilmann 1984 :6)

................................................................................................................................... 177 Figure 23: Catégories de valeurs selon Rokeach (1973) ...................................................... 182

Figure 24: Structure de valeurs individuelles par types motivationnels (Schwartz, 1994 : 24 ;

2006/4:964) ................................................................................................................ 187

Figure 25: Entrelacement des bases théoriques: Capital social - Sécurité de l'information-

Culture Organisationnelle ........................................................................................... 192

Figure 26: Transaction stratégique – influences du capital social et de la sécurité de

l’information ............................................................................................................... 193

Figure 27: Modèle conceptuel ............................................................................................. 211 Figure 28 : Demander - donner ........................................................................................... 244



Page 367

TABLE DES TABLEAUX

Tableau 1:Deux paradigmes de la recherche ......................................................................... 20

Tableau 2: Différentes définitions du capital social ............................................................... 43 Tableau 3: Homogénéité et hétérogénéité des réseaux (Degenne et Forsé, 2004 :230) ........... 52

Tableau 4: Comparaison des approches de l'innovateur selon Alter/et Sarasvathy ................. 86 Tableau 5: Synthèse de l'effet de la structure des liens sur l'innovation ................................. 90

Tableau 6: Liste non exhaustive des principaux des objectifs de sécurité identifiés par les

praticiens et chercheurs (Johnston et al, 2008 : 254) .................................................... 101

Tableau 7: Recherches portant sur les comportements malveillants (Warkentin Straub &

malimage, 2012 : 4) .................................................................................................... 122

Tableau 8: Recherches portant sur les comportements non malveillants (Warkentin Straub &

Malimage, 2012 :5) ..................................................................................................... 123

Tableau 9: synthèse des travaux sur la sensibilisation à la sécurité de l’information (traduit et

complété de Tshou, 2008: 223) ................................................................................... 135

Tableau 10: Action des composants de sécurité sur la culture individuelle/organisationnelle

................................................................................................................................... 140

Tableau 11: Dimensions de la culture organisationnelle (Leidner et Kayworth, 2006 : 361-

362) ............................................................................................................................ 158

Tableau 12: Modèle tétra-factoriel de Cameron et Freeman (1991) ..................................... 178 Tableau 13: Le modèle des relations sociales de Goffee et Jones (1998) ............................. 179

Tableau 14: Modèle des valeurs concourantes (McDonald, P. et Gandz, J.,1992 :69) .......... 180 Tableau 15: Les 36 valeurs selon Rokeach (1973) .............................................................. 181

Tableau 16: Les valeurs selon McDonald et Gandz (1992: 68) ............................................ 183 Tableau 17: Source: Schwartz S.H. (1994 : 2) ..................................................................... 185

Tableau 18: Définition des 56 valeurs individuelles, Schwartz, 1994: 61) ........................... 187 Tableau 19: Hypothèses des construits centraux ................................................................. 210

Tableau 20: le générateur de noms ...................................................................................... 216 Tableau 21: mesure du construit LIENS ............................................................................. 218

Tableau 22: mesure du construit NRS ................................................................................. 221 Tableau 23: mesure du construit NRO ................................................................................ 223

Tableau 24: mesure du construit de non-redondance technique (NRT) ................................ 224 Tableau 25: les 4 pôles de valeurs (Schwartz, 2006: 8) ....................................................... 225

Tableau 26: valeurs individuelles de conformité (d’après Wils et al, 2007:313) .................. 227 Tableau 27: valeurs individuelles d’accomplissement de soi au travail (d’après Wils et al,

2007: 313) .................................................................................................................. 229 Tableau 28: valeurs individuelles de dépassement de soi (d’après Wils et al, 2007: 313)..... 230

Tableau 29: comparaison de notre échelle avec celle de Schwartz (2012) et McDonald et

Gantz (1992) ............................................................................................................... 231

Tableau 30: variables des valeurs individuelles et organisationnelles .................................. 232 Tableau 31: questions relatives aux valeurs individuelles .................................................... 233

Tableau 32: Questions relatives aux valeurs organisationnelles ........................................... 233 Tableau 33: mesure des valeurs individuelles et organisationnelles ..................................... 235

Tableau 34: mesure du construit SEC_ORGA .................................................................... 239 Tableau 35: mesure du construit SEC_MANAGER ............................................................ 239

Tableau 36: mesure du construit SEC_PREC ...................................................................... 239 Tableau 37: mesure du construit MEDIAS .......................................................................... 240

Tableau 38: mesure du construit ACT ................................................................................. 241



Page 368

Tableau 39: mesure du construit de la variable dépendante ................................................. 247

Tableau 40: mesures du construit CARACTERISTIQUES ................................................. 248 Tableau 41: mesure des construits T_ENSE ....................................................................... 249

Tableau 42 : Choix d’un modèle réflexif ou formatif (d’après Coltman et al, 2008: 5) ........ 254 Tableau 43a: Variables formatives du modèle ..................................................................... 255

Tableau 44b: Variables réflexives du modèle ...................................................................... 256 Tableau 45: Analyse descriptive des indicateurs d’échange d’information .......................... 274

Tableau 46: Sens du flux d'informations interne/externe ..................................................... 274 Tableau 47: Valeurs descriptives des indicateurs de sécurité de l'information ..................... 276

Tableau 48 : valeurs descriptives des indicateurs des médias d'échanges d'informtions ....... 277 Tableau 49: valeurs descriptives du réseau personnel .......................................................... 278

Tableau 50: calcul du Q² pour les blocs de variables (modèle avec SSI) .............................. 294 Tableau 51: Coefficients structurels et T-Test du modèle avec SSI ..................................... 295

Tableau 52: Effet total (modèle structurel avec SSI) ........................................................... 297 Tableau 53: Récapitulatif des hypothèses de recherche ....................................................... 300

Tableau 54: Comportement de collecte d'information par les salariés en présence ou non de

mesure de SSI ............................................................................................................. 302

Tableau 55: Validation des hypothèses H1a et H1b en présence ou non de mesure de SSI . 302 Tableau 56: Validation des hypothèses H2, H3 et H4en présence ou non de mesure de SSI 303

Tableau 57: Validation des hypothèses H5 et H6 en présence ou non de mesure de SSI ...... 304 Tableau 58: Validation de l’hypothèse H7 en présence ou non de mesure de SSI ................ 305

Tableau 59: Validation des hypothèses H8 et H9 en présence ou non de mesure de SSI ...... 305 Tableau 60: Validation de l’hypothèse H10 en présence ou non de mesure de SSI .............. 306

Tableau 61: Validation de l’hypothèse H11 en présence ou non de mesure de SSI .............. 306 Tableau 62: Résultats des hypothèses ................................................................................. 309

Tableau 63: Variances obtenues sur la variable dépendante dans différentes études portant sur

la SSI .......................................................................................................................... 310

Tableau 64: Récapitulatif de la mise en perspective des résultats ........................................ 322



Page 369

TABLE DES MATIERES


1. CONTEXTE DE LA RECHERCHE ................................................................................................................ 13

2. PROBLEMATIQUE DE LA RECHERCHE ..................................................................................................... 14

3. DEMARCHE DE LA RECHERCHE .............................................................................................................. 20

3.1. ADOPTION D’UN POSITIVISME AMENAGE ................................................................................... 20

3.2. ADOPTION D’UNE METHODOLOGIE HYPOTHETICO-DEDUCTIVE ........................................................ 22

4. CONTRIBUTIONS ATTENDUES DE LA RECHERCHE .................................................................................. 22

4.1. CONTRIBUTIONS THEORIQUES ................................................................................................. 22

4.2. CONTRIBUTIONS METHODOLOGIQUES ....................................................................................... 23

4.3. CONTRIBUTIONS MANAGERIALES.............................................................................................. 23

5. ARCHITECTURE DE LA RECHERCHE ........................................................................................................ 24

5.1. PRESENTATION DE LA PREMIERE PARTIE DE THESE ........................................................................ 24

5.2. PRESENTATION DE LA DEUXIEME PARTIE DE THESE ........................................................................ 24

PARTIE 1

CHAPITRE I : LE CAPITAL SOCIAL

1. LE CAPITAL SOCIAL ................................................................................................................................ 28

1.1. PRINCIPALES DEFINITIONS ET CONDITIONS D’ACTIVATION .............................................................. 28

1.1.1. L’approche fonctionnaliste et structuraliste de James Coleman ................................................. 28

1.1.2. La vision opérationnelle de Robert Putman ............................................................................... 29

1.1.3. La conception culturaliste et collective de Fukuyama ................................................................ 30

1.1.4. La conception instrumentale et économique de Pierre Bourdieu ................................................ 31

1.1.5. La conception culturaliste et anti-utilitariste d’Alain Caillé ........................................................ 32

1.1.6. La conception centrée sur les ressources de Nan Lin .................................................................. 36

1.2. LES CONDITIONS D’ACTION DU CAPITAL SOCIAL ............................................................................ 37

1.2.1. L’opportunité ........................................................................................................................... 37

1.2.2. La motivation ........................................................................................................................... 37

1.2.3. La Capacité .............................................................................................................................. 38

1.2.4. Synthèse des définitions et les conditions d’activation du capital social ..................................... 41

1.3. LES FACTEURS D’INFLUENCE DU CAPITAL SOCIAL .......................................................................... 43

1.3.1. Les réseaux sociaux .................................................................................................................. 43

1.3.2. Analyse des réseaux sociaux ..................................................................................................... 46

1.3.3. La structure du réseau social .................................................................................................... 48

1.3.4. La hiérarchie ............................................................................................................................ 54

1.3.5. Le contexte .............................................................................................................................. 55

1.3.6. Les symboles ou la proximité entre la théorie du capital social et théorie institutionnaliste ........ 56

1.3.7. La relation individu/organisation : entre flexibilité, érosion du capital social et nécessité d’innover

59



Page 370

1.3.8. La valeur de l’échange et le délai de réciprocité ........................................................................ 62

1.4. AVANTAGES ET RISQUES DU CAPITAL SOCIAL ............................................................................... 64

1.5. SYNTHESE SUR LE CAPITAL SOCIAL ............................................................................................. 69

2. RESEAU SOCIAL ET INNOVATION ........................................................................................................... 72

2.1. L’INNOVATION « ORDINAIRE » ................................................................................................ 72

2.1.1. Le processus ............................................................................................................................. 72

2.1.2. L'élaboration de l'innovation : mobilisation collective et prise de risque .................................... 73

2.2. LA LOGIQUE EFFECTUALE DES INNOVATEURS ............................................................................... 78

2.2.1. Le processus ............................................................................................................................. 78

2.2.2. Compétences collectives et anticipation des risques .................................................................. 80

2.3. SYNTHESE DES APPORTS D’ALTER ET SARASVATHY : LA RECHERCHE DE SOUTIENS POLITIQUES ................ 85

2.4. APPORTS DE LA STRUCTURE DU RESEAU SOCIAL POUR L’INNOVATION ............................................... 87

2.4.1. Les effets de la densité des liens ............................................................................................... 87

2.4.2. Les effets des liens forts ............................................................................................................ 87

2.4.3. Les effets de l’hétérogénéité ..................................................................................................... 88

3. CE QU’IL FAUT RETENIR DU CHAPITRE 1 ................................................................................................ 91

CHAPITRE II : LA SECURITE DE L'INFORMATION

1. LA SECURITE DE L’INFORMATION .......................................................................................................... 97

1.1. PRINCIPES FONDAMENTAUX .................................................................................................... 98

1.1.1. Qu’est-ce que la sécurité de l’information ? .............................................................................. 98

1.1.2. Confidentialité, Intégrité, Disponibilité ...................................................................................... 99

1.1.3. Menaces, vulnérabilités et contre-mesures ............................................................................. 102

1.1.4. Rôle de l’organisation ............................................................................................................. 106

1.2. FONDAMENTAUX DU MANAGEMENT ....................................................................................... 107

1.2.1. Politique et management de la sécurité de l'information......................................................... 107

1.2.2. La norme ................................................................................................................................ 111

1.3. SYNTHESE DE LA SECURITE DE L’INFORMATION .......................................................................... 117

2. POUR UN APPROFONDISSEMENT DE LA RECHERCHE SUR DES EFFETS DE LA CULTURE

ORGANISATIONNELLE .................................................................................................................................. 120

2.1. COMPORTEMENT ET CONFORMITE VIS-A-VIS DE LA SECURITE DE L’INFORMATION .............................. 120

2.1.1. L’usage des théories de l’action .............................................................................................. 124

2.1.2. Application des théories de la criminologie ............................................................................. 126

2.2. LA SENSIBILISATION DES ACTEURS ........................................................................................... 130

2.2.1. Définition ............................................................................................................................... 130

2.2.2. Quelles conditions de réussite ? .............................................................................................. 134

2.3. RELATIONS ENTRE CULTURE ORGANISATIONNELLE ET LA SECURITE DE L’INFORMATION ....................... 136

2.3.1. Synthèse sur l’étude des effets des comportements et de sensibilisation ................................. 140

3. CE QU’IL FAUT RETENIR DU CHAPITRE 2 .............................................................................................. 144

CHAPITRE III: LA CULTURE ORGANISATIONNELLE

1. LA CULTURE ORGANISATIONNELLE ..................................................................................................... 149

1.1. LES SOURCES DE LA CULTURE ................................................................................................. 149

1.1.1. La culture nationale ............................................................................................................... 152



Page 371

1.1.2. Pourquoi choisir la culture organisationnelle ? ........................................................................ 154

1.1.3. La culture organisationnelle ................................................................................................... 155

1.2. MODELE D’ANALYSE DE LA CULTURE ORGANISATIONNELLE SELON SCHEIN ....................................... 156

1.3. LES VALEURS INDIVIDUELLES ET ORGANISATIONNELLES ................................................................ 158

1.3.1. La définition des valeurs selon Kluckhohn ............................................................................... 158

1.3.2. La définition des valeurs selon Rokeach .................................................................................. 159

1.3.3. La définition des valeurs selon Schwartz ................................................................................. 160

1.3.4. Valeurs et croyances .............................................................................................................. 160

1.3.5. Les valeurs et les attitudes individuelles .................................................................................. 161

1.3.6. Les valeurs et les besoins ........................................................................................................ 162

1.3.7. Les domaines de motivation universels ................................................................................... 163

1.3.8. La structuration des domaines de motivation selon le modèle théorique de Schwartz ............. 164

1.4. SYNTHESE SUR LA CULTURE ORGANISATIONNELLE....................................................................... 167

2. OPERATIONNALISATION ..................................................................................................................... 169

2.1. LES THEORIES DU COURANT CULTURALISTE DE LA DEVIANCE ......................................................... 169

2.1.1. Qu’est-ce que la déviance ? .................................................................................................... 169

2.1.2. La théorie des associations différentielles ............................................................................... 170

2.1.3. La théorie des conflits de culture ............................................................................................ 171

2.1.4. La théorie générale de la sous-culture..................................................................................... 173

2.1.5. Une vision moins négative de la déviance ............................................................................... 174

2.1.6. Synthèse du courant culturaliste de la déviance ...................................................................... 175

2.2. MESURE DE LA CULTURE ORGANISATIONNELLE .......................................................................... 175

2.2.1. Le modèle de Mitroff et Kilman............................................................................................... 176

2.2.2. Le modèle de Cameron et Freeman ......................................................................................... 177

2.2.3. Le modèle des relations sociales de Goffee et Jones ................................................................ 178

2.2.4. Le modèle des valeurs concurrentes de Mc Donald et Gandz ................................................... 179

2.3. LE CHOIX D’UNE ECHELLE DE MESURE DES VALEURS .................................................................... 181

2.3.1. L’échelle de Rokeach .............................................................................................................. 181

2.3.2. L’échelle des valeurs de McDonald et Gandz ........................................................................... 182

2.3.3. L’échelle Schwartz et Bilsky (1992, 1994) et de Schwartz (2012) ............................................. 184

2.3.5. Synthèse sur la mesure de la culture organisationnelle ........................................................... 188


PARTIE 2

CHAPITRE IV : METHODOLOGIE ET CONCEPTION DE L’ETUDE EMPIRIQUE

1. L’APPROCHE OPERATIONNELLE ........................................................................................................... 198

1.1. CONSTRUCTION ET JUSTIFICATION DES HYPOTHESES DE RECHERCHE ............................................... 198

1.1.1. Le modèle conceptuel ............................................................................................................. 198

1.1.2. Le cadre conceptuel général et variables principales ............................................................... 201

1.1.3. Les hypothèses de recherche .................................................................................................. 203

1.1.4. Synthèse de la construction des hypothèses ............................................................................ 212

1.2. OPERATIONNALISATION DES CONSTRUITS ................................................................................. 213

1.2.1. La mesure des construits centraux .......................................................................................... 214

1.2.2. La mesure des construits individuels et environnementaux...................................................... 248



Page 372

2. APPROCHE METHODOLOGIQUE .......................................................................................................... 250

2.1. METHODOLOGIE D’INVESTIGATION ......................................................................................... 250

2.1.1. Le choix d’une enquête auprès des salariés ............................................................................. 250

2.1.2. Le choix du terrain et la méthodologie de recueil des données................................................. 251

2.2. CHOIX D’UNE MESURE REFLEXIVE OU FORMATIVE ...................................................................... 253

2.3. LA METHODOLOGIE DE DEVELOPPEMENT ET DE VALIDATION DES ECHELLES DE MESURE ET CELLE DE TEST DES

HYPOTHESES DE RECHERCHE .............................................................................................................. 256

2.3.1. La méthodologie de développement et de validation des échelles de mesure .......................... 256


CHAPITRE V : VALIDATION DES INSTRUMENTS DE MESURE DES

CONSTRUITS

1. PRESENTATION DES ECHANTILLONS ET ANALYSES PRELIMINAIRES ..................................................... 269

1.1. PRESENTATION DU JEU DE DONNEES ....................................................................................... 269

1.1.1. Les variables sociodémographiques ........................................................................................ 269

1.1.2. Comparaison globale des valeurs individuelles et organisationnelles perçues .......................... 270

1.1.3. Comportement des salariés dans l’échange d’information ...................................................... 274

1.1.4. Perception de la sécurité de l’information ............................................................................... 276

1.1.5. Le réseau personnel des participants. ..................................................................................... 277

1.2. ANALYSES PRELIMINAIRES D’ADEQUATION DES DONNEES POUR L’ANALYSE MULTI-VARIEE ................... 278

1.2.1. Traitement des valeurs manquantes ....................................................................................... 278

1.2.2. Les valeurs extrêmes ou aberrantes ........................................................................................ 278

1.2.3. Normalité et absence de multi-colinéarité .............................................................................. 279

1.2.4. Homogénéité de la variance ................................................................................................... 279

2. VALIDATION DES ECHELLES DE MESURE DES CONSTRUITS CENTRAUX DU MODELE ............................ 279

2.1. LE TEST DE VANISHING TETRAD SUR LA VARIABLE CARACTERISTIQUES ........................................ 280

2.2. EXAMEN DE LA MATRICE DE CORRELATION ............................................................................... 280

2.3. ANALYSE FACTORIELLE EXPLORATOIRE .................................................................................... 280

2.3.1. Echelle de mesure des valeurs individuelles ............................................................................. 281

2.3.2. Echelle de mesure des valeurs organisationnelles ................................................................... 281

2.3.3. Echelle de mesure de la sécurité organisationnelle de l’information ........................................ 282

2.3.4. Echelle de mesure des variables sociodémographiques ........................................................... 283

2.4. EVALUATION DU MODELE STRUCTUREL DE MESURE .................................................................... 283

2.4.1. Procédure .............................................................................................................................. 284

2.4.2. Test d’absence de multi-colinéarité......................................................................................... 286

2.5. ETAPE 1 : ANALYSE DU MODELE STRUCTUREL SANS LES VARIABLES DE SECURITE DE L’INFORMATION ..... 286

2.5.1. Fiabilité des indicateurs réflexifs ............................................................................................. 286

2.5.2. Validité convergente .............................................................................................................. 286

2.5.3. Validité discriminante ............................................................................................................. 287

2.5.4. Le modèle structurel sans les variables latentes de SSI ............................................................ 288

2.5.5. Qualité globale du modèle ...................................................................................................... 292

2.5.6. Qualité par blocs de variable .................................................................................................. 292

2.6. ETAPE 2 : ANALYSE DU MODELE STRUCTUREL AVEC LES VARIABLES DE SECURITE DE L’INFORMATION ..... 293

2.6.1. Critères de validité ................................................................................................................. 293

2.6.2. Evaluation de la robustesse du modèle par blocs de variables ................................................. 293

2.6.3. Evaluation du modèle structurel avec les variables de sécurité de l’information....................... 294



Page 373

2.7. TEST DES HYPOTHESES DE RECHERCHE ..................................................................................... 299

2.7.1. Hypothèses H1a et H1b .......................................................................................................... 301

2.7.2. Hypothèses H2, H3 et H4 ........................................................................................................ 302

2.7.3. Hypothèses H5, H6 ................................................................................................................. 304

2.7.4. Hypothèse H7 ......................................................................................................................... 304

2.7.5. Hypothèse H8 et H9................................................................................................................ 305

2.7.6. Hypothèse 10 ......................................................................................................................... 306

2.7.7. Hypothèse H11 ....................................................................................................................... 306

2.7.8. Test des variables de contrôle ................................................................................................. 306

3. DISCUSSION ET MISE EN PERSPECTIVE DES RESULTATS ....................................................................... 308

3.1. A PROPOS DU MODELE......................................................................................................... 310

3.2. A PROPOS DU CAPITAL SOCIAL ............................................................................................... 310

3.3. A PROPOS DES VALEURS ....................................................................................................... 313

3.4. A PROPOS DE L’USAGE DES MEDIAS DE COMMUNICATION ............................................................ 317

3.5. A PROPOS DE LA SECURITE DE L’INFORMATION .......................................................................... 318

3.6. A PROPOS DES VARIABLES DE CONTROLE .................................................................................. 320


CONCLUSION GENERALE

1. REPONSES AUX QUESTIONS DE RECHERCHE ........................................................................................ 324

1.1. REPONSE A LA QUESTION DE RECHERCHE N°1 ........................................................................... 325



2. APPORTS DE LA RECHERCHE ................................................................................................................ 329

2.1. APPORTS THEORIQUES ......................................................................................................... 329

2.1.1. Une meilleure compréhension des incitations à la recherche d’informations ............................ 329

2.1.2. Une meilleure compréhension des conditions d’efficacité et des effets de la sécurité de

l’information ........................................................................................................................................ 330

2.1.3. Un réseau fermé avec des liens faibles .................................................................................... 331

2.2. APPORTS METHODOLOGIQUES .............................................................................................. 332

2.3. APPORTS MANAGERIAUX ...................................................................................................... 333

2.4. LIMITES DE LA RECHERCHE .................................................................................................... 335

2.4.1. Les limites théoriques ............................................................................................................. 335

2.4.2. Les limites méthodologiques ................................................................................................... 336

3. FUTURES VOIENT DE RECHERCHE ........................................................................................................ 336

BIBLIOGRAPHIE 338

TABLE DES FIGURES 366

TABLE DES TABLEAUX 367

Documents

Management des réseaux personnels et de la sécurité de