Citation
Les auteurs
Cécile Godé
(cecile.gode@univ-amu.fr) - Aix-Marseille Université CERGAM - ORCID : https://orcid.org/0000-0002-9148-2820Philippe Lépinard
(philippe.lepinard@u-pec.fr) - Institut de Recherche en Gestion (IRG, EA 2354)Emilie Peneloux
(emilie.peneloux@outlook.fr) - CERGAMThomas des Grottes
(desgrottesthomas@gmail.com) - (Pas d'affiliation)
Copyright
Déclaration d'intérêts
Financements
Aperçu
Contenu
Les cyberattaques exploitent les vulnérabilités d’un actif d’information ou d’un groupe d’actifs d’information pour causer des dommages à une organisation en termes de disponibilité, d’intégrité et de confidentialité. Selon le Baromètre Euler Ermes – Allianz Trade, près de 70% des entreprises ont essuyé une tentative de cyberattaque en 2022 et 55% d’entre elles ont subi une fraude avérée. En 2021, le préjudice des cyberattaques était supérieur à̀ 10.000 euros pour 33% des entreprises victimes, et s’élevait à plus de 100.000 euros pour 14% d’entre elles.
La cybersécurité porte ainsi des enjeux majeurs, dont le monde professionnel s’est amplement emparé. De nouveaux métiers émergent ainsi pour assurer la gestion du risque cyber, allant du Responsable pour la Sécurité des Systèmes d’Information (RSSI) au responsable cybersécurité. Parallèlement, de nombreuses instances sont créées, menant à bien une mosaïque de missions au sein de cadres juridiques et de structures organisationnelles publiques, privées, civiles et militaires (Chaudhary et al., 2018). Face à ces initiatives, le monde académique n’est pas en reste. Débutées à la fin des années 1960, les recherches en cybersécurité évoluent depuis, discutant tout à la fois de risque de sécurité de l’information, de risque cyber ou de cybersécurité (Eling et al., 2021).
Une confusion sémantique réside cependant entre ces types de risques (de Sagazan, 2020) alors même que des auteurs insistent sur l’importance de les distinguer (von Solms et van Niekerk, 2013 ; Salomon, 2020) et que le marché, notamment de la cyber-assurance, le réclame également (Baldoni, 2022). Nous cherchons ici à identifier quelle terminologie est employée pour caractériser le risque de cybersécurité dans les revues académiques, pour quels objectifs et domaines d’application ?
Description de la littérature académique
Le risque pour la sécurité de l’information
Nous recensons 84 articles comportant « Information security risk » dans leur titre, répartis sur 59 revues majoritairement à destination d’un public académique, et publiés entre 1997 à 2023, selon la répartition suivante :
Figure 1. Évolution chronologique des articles sur le risque de sécurité de l’information
Les articles se penchant sur la notion de risque de sécurité de l’information peuvent être présentés selon 13 catégories (rassemblant au moins deux articles) indiquant les objectifs et domaines d’applications des travaux :
Tableau 1. Catégories associées aux articles sur le risque de sécurité de l’information et de ses systèmes
Les risques cyber et de cybersécurité
Nous recensons 193 articles de revues comportant « Cyber risk » dans leur titre. Ces articles sont répartis entre 128 revues à destination d’un public académique et professionnel, et publiés entre 2002 à 2024, selon la répartition suivante :
Figure 2 : Évolution chronologiques des articles sur le « risque cyber »
Seuls 50 des définissent le risque cyber, soit 26% d’entre eux, mais la plupart l’aborde comme synonyme de cyberattaque. Nous identifions 23 catégories (rassemblant au moins deux articles) indiquant les objectifs et domaines d’applications des travaux :
Tableau 2 : Catégories associées aux articles sur le « risque cyber »
Concernant les articles de revues comportant « Cybersecurity risk » dans leur titre, nous en recensons 151, répartis sur 106 revues à destination d’un public académique et professionnel, et publiés entre 2004 à 2024, selon la répartition suivante :
Figure 3 : Évolution chronologiques des articles sur le « risque cybersécurité »
Le risque de cybersécurité est seulement défini dans 28 des articles notre échantillon (soit 15%), renvoyant, comme pour le risque cyber, à la cyberattaque. Nous identifions 24 catégories (rassemblant au moins deux articles) indiquant les objectifs et domaines d’applications des travaux :
Tableau 3 : Catégories associées aux articles sur le « risque cybersécurité »
Analyse des résultats
Les articles comportant les termes « risque pour la sécurité de l’information », « risque de cybersécurité » et « risque cyber » poursuivent sensiblement les mêmes objectifs – à savoir de méthodologies de gestion du risque ou d’évaluation du risque – appliqués à des domaines tels que : les systèmes cyber-physiques (secteur de la santé, du maritime, de l’énergie, utilisation des objets connectés, etc.), les institutions financières ou encore les nouvelles infrastructures (blockchain, intelligence artificielle, cloud).
Une première différence entre les contributions semble chronologique, les notions de cybersécurité et de risques cyber étant employées plus récemment que celle de risque de sécurité de l’information, comme le montre la Figure 4 :
Figure 4 : Évolution chronologiques des terminologies employées
Les articles « cyber » soulignent la nécessité d’une approche globale et multidisciplinaire du risque en insistant sur ses aspects systémiques, multidimensionnels, sociotechniques et dynamiques. Cela se retrouve également dans les domaines d’application étudiés, qui sont nombreux et variés, là où les travaux portés sur le « risque de sécurité de l’information » sont plus génériques et moins ancrés dans les problématiques concrètes des professionnels. Ceci est certainement lié au fait que les articles « cyber » sont publiés dans des revues dont la cible est à la fois académique et professionnelle. Les thématiques vont alors se concentrer sur l’identification de bonnes pratiques de gestion du risque, de solution d’assurance, de gestion de divulgation d’incidents ou d’allocation des ressources. En cela, si l’absence de définition commune du risque cyber révèle une notion encore en construction autour de l’idée cyberattaque, la composante « cyber » semble rapprocher les mondes académique et professionnel.
Recommandations pour de futures recherches
Nos travaux révèlent l’importance d’une construire une définition unifiée et partagée du risque cyber, qui permettrait une meilleure appréhension de la notion par les différentes parties prenantes du paysage cyber. Cela implique de redéfinir les frontières entre les deux types de risque, « sécurité de l’information » et « cyber ». Des travaux adoptant le paradigme du Design Science (Simon, 2004) et ancrés dans la transdisciplinarité (Romme, 2003) pourraient être mobilisés pour produire des connaissances communes (Dresch et al., 2014) et favoriser la co-construction, par les monde académique et professionnel, d’une notion encore en devenir.
Bibliographie
Baldoni, R. (2022). Managing the cyber risk in a multipolar world. International Journal of Critical Infrastructure Protection, 39(C), https://doi.org/10.1016/S1874-5482(22)00062-2
Chaudhary, T., Jordan, J., Salomone, M. D., et Baxter, P. (2018). Patchwork of Confusion: The Cybersecurity Coordination problem. Journal of Cybersecurity, 4(1). https://doi.org/10.1093/cybsec/tyy005
de Sagazan, C. (2020). Introduction à la cybersécurité. Ellipses.
Dresch, A., Pacheco Lacerda, D., et Valle Antunes, J. (2014). Design Science Research. Genève: Springer.
Eling, M., McShane, M., et Nguyen, T. (2021). Cyber risk management: History and future research directions. Risk Management and Insurance Review, 24(1), 93-125. https://doi.org/10.1111/rmir.12169
Romme, A. G. L. (2003). Making a difference: Organization as design. Organization Science, 14(5), 558-573. https://doi.org/10.1287/orsc.14.5.558.16769
Salomon. (2020). Cybersécurité, cyberdéfense : Enjeux stratégiques. Ellipses.
Simon, H. (2004). Les sciences de l’artificiel. Folio Essais : Paris.
Von Solms, R. et van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97‑102. https://doi.org/10.1016/j.cose.2013.04.004
