SSI - Sécurité des SI

Sécurité de l’information et des systèmes d’information (SSI)

DESCRIPTION GENERALE DU THEME DU GTAIM :

La sécurité des S.I. prend de plus en plus d’importance, non seulement parce que les organisations dépendent de plus en plus de leurs données, mais aussi du fait de menaces qui ne cessent de se développer et de se renouveler. De nouveaux usages sont apparus, tels que ceux relatifs à l’adoption de l’IoT (objets connectés) ou de la Shadow IT (informatique parallèle, usages non approuvés ou interdits du SI), qui sont à la source de nombreuses failles de sécurité. Ces dernières années ont vu le développement des attaques par déni de service, des rançongiciels (ransomwares), et de l’exploitation du facteur humain par des techniques d’ingénierie sociale ou de campagnes d’hameçonnage (phishing). Ces menaces proviennent de cybercriminels, de plus en plus organisés en véritables entreprises.

Un des objectifs de ce GTAIM est de mieux comprendre les comportements des acteurs (managers, employés, techniciens et cybercriminels), au travers notamment des prismes théoriques du ‘coping’ (Lazarus & Folkman, 1984), de la protection motivation theory (PMT, Floyd et al., 2000 ; Siponen et al., 2024) ou encore de l’extended parallel process model (EPPM, Witte et Allen, 2000 ; Lowry et al., 2023), adaptés au contexte de la SSI. Le GTAIM explore les développements théoriques, pratiques et méthodologiques de ces théories comportementales : la motivation des employés à adopter des comportements bénéfiques (Cram et al., 2019) ou à ne pas respecter les règles (Trinkle et al., 2021 ; Yazdanmehr et al., 2022) ; les évolutions de la cybercriminalité et les nouveaux comportements des cybercriminels (Richet, 2022) ; l’influence de la culture (Vance et al., 2020) et des liens sociaux (Feng et al., 2019), ainsi que les mécanismes et impacts de l’ingénierie sociale sur les comportements en SSI.

Le GTAIM s’intéresse aussi aux moyens d’éducation et de sensibilisation (SETA - Security Education, Training and Awareness), que ce soit dans les cursus scolaires et universitaires ou bien en entreprise, indispensables pour lutter contre l’ingénierie sociale et le phishing.

Enfin et plus généralement, ce GTAIM s’intéresse au foisonnement de thématiques qui traduisent l’évolution des menaces, les enjeux relatifs à la confidentialité et à la vie privée, ainsi que les nécessités d’une conformité avec les normes et les réglementations (RGPD, IA Act, DORA, NIS2, etc.).

Exemples de thématiques : économie et impacts de la cybersécurité, problématiques sociétales et sociotechniques, stratégie et gouvernance, préservation de la vie privée et de l’éthique dans les organisations et les réseaux sociaux, cybercrime, cyberguerre, Neuro-IS, security analytics, deep fakes et systèmes d’IA, etc.

Mots clefs :

Sécurité, information, comportements, cybercriminalité, hackers.

EQUIPE PORTEUSE :

Correspondant : Yves Barlette – MBS School of Business.  
y.barlette@mbs-education.com

Pr. Yves Barlette is a Full Professor of Information Systems at MBS School of Business. After a Ph.D. in 2006 in Management Information Systems, he obtained his HDR in 2020 at the University of Montpellier. His research interests focus on behavioral information security. He published 23 articles in journals such as Systèmes d’Information et Management (SIM), Production Planning and Control (PPC), International Journal of Information Management (IJIM) and Journal of Global Information Management (JGIM). He has authored or co-authored fourteen books and book chapters. He is member of the association for information systems (AIS) and of the French association information et management (AIM). He is Editorial Board member of SIM, Associate Editor of Communications of the AIS, and Editorial Review Board member of IJIM.

Responsable : Jean-Francois Berthevas – La Rochelle University School of Management (IAE).
univjfb@gmail.com.

Jean-Francois Berthevas is Associate Professor of Information Systems at La Rochelle University School of Management, France. He is a member of the Laboratory EOLE. He has been in charge of the “Digital and Society” interest group since 2022. His current research focuses on information security and behavioral issues, and on the digital transformation of organizations. He is Director of the School of Management at University La Rochelle (France). He has 10 years of experience as an IT specialist and 7 years as a manager in the field of cybersecurity. He published two articles in Systèmes d’Information et Management.

Responsable : Jean-Loup Richet – IAE Paris-Sorbonne, Université Paris 1 Panthéon-Sorbonne.
richet.iae@univ-paris1.fr.

Expert in cybersecurity, Jean-Loup Richet is associate Professor of Management and co-director of the Risk Chair at Sorbonne Business School, IAE Paris, Université Paris I Panthéon-Sorbonne, France. He is an accredited expert in Cybercrime by the Europol and the Gendarmerie Nationale and authored multiple studies for the United Nation Office on Drugs and Crime, Europol, the International Telecommunication Union and the European Commission. Jean-Loup Richet’s work explores the boundaries of cybercrime and cybersecurity, focusing on trends in online money laundering or new frauds enabled by artificial intelligence and machine learning. He has published numerous papers in trade and academic journals (European Journal of Information Systems; IEEE Transactions on Engineering Management; Technological Forecasting and Social Change; Systèmes d’Information et Management); his work was featured in The Wall Street Journal, Wired, CBS, MIT Technology Review, Computer World, and many other media outlets. Jean-Loup Richet has received several awards such as the ITU Fellowship, the French Ministry innovation and research grant, or the Robert Reix research prize from the Association Information & Management.

Objectifs :

  • En relation avec le CA de l’AIM, organisation des sessions GT-AIM SSI lors du colloque annuel de l'AIM ;
  • Participation à l’organisation des Pré-ICIS SSI annuels ;
  • Développement d’un réseau de chercheurs en SSI, collaboration à la création d’un numéro spécial sécurité des SI, encadrement doctoral ;
  • Publications dans des revues académiques et professionnelles, communications lors de colloques ;
  • Promotion des aspects pédagogiques de la SSI ;
  • Contribution à la mise à jour de la page web GTAIM-SSI sur le site de l’AIM.

Bilan :

  • Organisation des sessions GTAIM-SSI des colloques AIM de 2020 à 2025.
  • Co-organisation des AIS Workshop on Information Security and Privacy : WISP 2022 (Y. Barlette / PC member) et WISP 2023 et 2024 (Y. Barlette, J.L. Richet / PC members).
  • Organisation des Pré-ICIS SSI de l’AIM en 2020 et 2021.
  • Thèse de Olfa Ismail soutenue le 25/11/2021 : « Conception et mise en œuvre d’une culture sécurité des systèmes d’information : Le cas des PME ».
  • HDR de Yves Barlette soutenue le 24/09/2020 : « Les comportements des acteurs en matière de sécurité de l’information et leurs déterminants : les théories du ‘coping’ et leur enrichissement ».

Publications dans le cadre du GT-AIM SSI (5 dernières années) :

Revues (rang FNEGE/AJG-CABS lors de la publication)

( ) Azan W., Ivanaj S., Gilg M., & Schneider B. (2024). Enhancing Information Security Awareness in the Remote Work Environment: A Quantitative Exploration. Management & Prospective, 40(3), 114-125.

(2) Barlette Y., Berthevas J.-F., & Sueur I. (2023). Impacts on Employee Coping Behaviors of Opportunities and Threats Related to the Use of Shadow IT. Systèmes d’Information et Management, 28(4), 71-107.

(2) Richet J.L., & Bouaynaya W. (2023). Managing Complex Software Vulnerabilities: An Empirical Analysis of Open-Source Operating Systems. Systèmes d'Information et Management, 28(1), 87-114.

(2) Baillette P., Barlette Y., & Berthevas J.-F. (2022). Benefits and Risks of Shadow IT in Health Care: A Narrative Review of the Literature. Systèmes d’Information et Management, 27(2), 59-96.

(2) Richet J.L. (2022). How Cybercriminal Communities Grow and Change: An Investigation of Ad-Fraud Communities. Technological Forecasting and Social Change, 174, 121282.

(2) Barlette Y., Jaouen A., & Baillette P. (2021). Bring Your Own Device (BYOD) as Reversed IT Adoption: Insights into Managers’ Coping Strategies. International Journal of Information Management, 56(February), 1-16.

(2) Berthevas J-F. (2021). How protection motivation and social bond factors influence information security behavior. Systèmes d’Information et Management, 26(2), 77-115.

(2) Baillette P., & Barlette Y. (2020). Coping Strategies and Paradoxes Related to BYOD Information Security Threats in France. Journal of Global Information Management, 28(2), 1-28.

Chapitres d’ouvrages

Ismail O. (2022). Designing Information Security Culture Artifacts to Improve Security Behavior: An Evaluation in SMEs. In: Drechsler, A., Gerber, A., Hevner, A. (Eds.), The Transdisciplinary Reach of Design Science Research, vol 13229: 319–332, Springer International Publishing, USA.

Baillette P., & Barlette Y. (2021). Coping Strategies and Paradoxes Related to BYOD Information Security Threats in France. In: Information Resources Management Association (Ed.), Research Anthology on Securing Mobile Technologies and Applications: 527-558, IGI Global, USA.

Bouaynaya W. (2020). Governance of IS Security in a Cloud Computing Ecosystem: A Longitudinal Approach (1 ed.) In: Baghdadi, Y., Harfouche, A., Musso, M. (Eds.), ICT for an Inclusive World: 527-536, Springer International Publishing, USA.

Bibliographie indicative du GTAIM :

Burns, A.J., Roberts, T.L., Posey, C., Lowry, P.B., & Fuller, B. (2022). Going beyond deterrence: A middle-range theory of motives and controls for insider computer abuse. Information Systems Research, 34(1), DOI: 10.1287/isre.2022.1133.

Chen, Y., Galletta, D., Lowry, P.B., Luo, X., Moody, G.D., & Willison, R.L. (2021). Understanding inconsistent employee compliance with information security policies through the lens of the extended parallel process model. Information Systems Research, 32(3), 1043-1065.

Cram, W.A., D’Arcy, J., & Proudfoot, J.G. (2019). Seeing the forest and the trees: a meta-analysis of the antecedents to information security policy compliance. MIS Quarterly, 43(2), 525–554.

Feng, G., Zhu, J., Wang, N., & Liang, H. (2019). How Paternalistic Leadership Influences IT Security Policy Compliance: The Mediating Role of the Social Bond. Journal of the Association for Information Systems, 20(11), 1650-1691.

Floyd, D.L., Prentice-Dunn, S., & Rogers, R.W. (2000). A meta-analysis of research on protection motivation theory. Journal of Applied Social Psychology, 30(2), 407-429.

Lazarus, R.S., & Folkman, S. (1984). Stress, appraisal, and coping. New York: Springer Publishing Company.

Liang, H., Xue, Y., Pinsonneault, A., & Wu, Y. (2019). What Users Do Besides Problem-focused Coping When Facing IT Security Threats: An Emotion-Focused Coping Perspective. MIS Quarterly, 43(2), 373-394.

Lowry, P.B., Moody, G.D., Parameswaran, S., & Brown, N.J. (2023). Examining the differential effectiveness of fear appeals in information security management using two-stage meta-analysis. Journal of Management Information Systems, (forthcoming).

Mou, J., Cohen, J.F., Bhattacherjee, A., & Kim, J. (2022). A Test of Protection Motivation Theory in the Information Security Literature: A Meta-Analytic Structural Equation Modeling Approach. Journal of the Association for Information Systems, 23(1), 196-236.

Siponen, M., Rönkkö, M., Fufan, L., Haag, S., & Laatikainen, G. (2024). Protection Motivation Theory in Information Security Behavior Research: Reconsidering the Fundamentals. Communications of the Association for Information Systems, 53(1), 1136-1165.

Trinkle, B.S., Warkentin, M., Malimage, K., & Raddatz, N. (2021). High-Risk Deviant Decisions: Does Neutralization Still Play a Role?. Journal of the Association for Information Systems, 22(3), 797-826.

Vance, A., Siponen, M.T., & Straub, D.W. (2020). Effects of sanctions, moral beliefs, and neutralization on information security policy violations across cultures. Information & Management, 57(4), 103212.

Witte, K., & Allen, M. (2000). A meta-analysis of fear appeals: Implications for effective public health campaigns. Health Education & Behavior, 27(5), 591–615.

Yazdanmehr, A., Li, J., & Wang, J. (2022). Does stress reduce violation intention? Insights from eustress and distress processes on employee reaction to information security policies. European Journal of Information Systems, DOI: 10.1080/0960085X.2022.2099767.