Soutenance mémoire
Télécharger le fichier pdf d’un mémoire de fin d’études
Les normes et référentiels en SI : de quoi parle-t-on ?
Les normes et les référentiels de bonnes pratiques sont devenus des outils incontournables dans la gestion et le pilotage des systèmes d’information. Il en existe plusieurs dizaines qui couvrent les principales activités de la DSI, sans parler de tous les dispositifs normatifs exogènes à l’activité des SI mais dont l’impact sur leur fonctionnement est avéré. Ceci est le résultat d’une conjoncture économique et réglementaire qui favorise l’émergence et la prolifération de tous types de normes dans divers domaines d’activités, notamment à travers l’instauration de deux principes sous-jacents : la qualité et la compliance. Cette profusion normative a engendré, entre autres effets, une diversité d’appellations qui contribue à embrouiller le champ lexical de la « norme ». Ces idées seront abordées dans le premier paragraphe (§1.1) de cette section qui sera suivi d’une mise au point des connaissances scientifiques disponibles sur le sujet (§ 1.2).
Une vue d’ensemble
L’examen de la littérature académique et spécialisée qui se penche sur le sujet des normes et des référentiels en systèmes d’information a révélé un arrière plan flou. Ceci peut être expliqué, en partie, par la nature polysémique du vocabulaire utilisé et le contexte normatif moderne, riche et complexe.
Afin d’éclairer cet arrière plan, nous suggérons successivement dans ce paraphage de : parcourir brièvement deux questions chères au contexte normatif moderne : la compliance et la qualité dont l’amplification a contribué massivement à l’émergence et la diffusion des normes ; clarifier les concepts de norme et de référentiel de bonnes pratiques ; classifier les principaux NRSI du marché en fonctions des activités de la DSI
Un contexte favorable à l’émergence des normes et référentiels
Les dernières décennies ont été marquées par une intensification accrue de production de normes en tous genres et dans tous les domaines d’activités (Zardet & Bonnet, 2010). Si on considère la norme au sens large, ce phénomène concerne aussi bien les règlements émanant de sources gouvernementales que les pratiques les plus informelles. Le concept de la norme recouvre des appellations différentes : règle, assurance qualité, standard, label, certification, identifiant, bonnes pratiques ou meilleures pratique, etc.
Ceci semble inéluctable eu égard au « libéralisme débridé16 » à l’échelle internationale et les réformes successives du système financier rendues obligatoires par les crises et les scandales qui ont marqué la fin du 20ème et le début du 21ème siècle (Péron, 2010; Zardet & Bonnet, 2010). Cette prolifération s’est accompagnée d’une multiplication d’organismes qui opèrent sur « le marché des normes17 », dans des territoires et des domaines d’activité variés (op.cit). Les deux principes de compliance et de qualité, deux phénomènes qui caractérisent le paysage normatif, sont en grande partie à l’origine de la diffusion et la mise en place des normes dans les entreprises. Nous suggérons dans ce qui suit, comme entrée en matière, de donner un aperçu sur ces deux notions.
Question de compliance
Le phénomène de la compliance est d’origine nord-américaine dont les premières manifestations remontent au krach boursier de 1929 (Collard &al., 2011). En effet, la succession des crises bancaires et des scandales financiers a été à l’origine de la mise en œuvre de diverses mesures réglementaires, pour encadrer les activités financières (op.cit).Le principe de compliance qui découle de ces réglementations ne se limite pas au respect des règles stricto sensu mais renvoie à une réalité beaucoup plus vaste. Le terme « compliance », d’origine anglo-saxonne signifie « observer, respecter les règles, se conformer au règlement » (Collard &al., 2011, p. 70). Il est généralement traduit en français par le mot « conformité ». Toutefois, comme tout effort de traduction peut estomper certaines subtilités du langage, le mot « compliance » reste couramment utilisé en France dans le langage technique spécialisé (op.cit). En effet, le terme français « conformité » est une notion très restrictive et limitée au sens juridique. Alors que la compliance est un concept beaucoup plus large qui renvoie à la fois au respect des lois et des règles mais aussi aux normes publiques ou privées (normes déontologiques, professionnelles, guides de bonne gouvernance…etc.) (op.cit). Pour des soucis de simplification, le terme « conformité » a été adopté comme une traduction acceptable du mot « compliance » (op.cit). Même si l’origine de ce phénomène est essentiellement comptable et financière, il dépasse aujourd’hui largement cette sphère. Sa déclinaison dans tous les domaines et l’internationalisation des activités sont autant de facteurs de l’amplification de ses effets dans les entreprises (op.cit). L’impératif de compliance concerne l’organisation dans son ensemble et implique, non seulement le respect des normes (au sens large) mais aussi leur mise en place permanente et leur application effective à travers des dispositifs divers. « Il s’agit par là d’obtenir que, dans le plus grand nombre possible de situations, les comportements observés soient conformes aux normes qui s’imposent à l’entreprise ou auxquelles elle adhère, ainsi qu’aux exigences fondamentales de l’éthique de l’organisation » (Collard &al., 2011, p. 74). Ainsi, trois phénomènes étroitement liés à la compliance se sont développés durant les dernières décennies: le contrôle interne, la gestion des risques et la corporate governance (op.cit). Ces trois thématiques impliquent la mise en place de normes, de règles, de codes de bonne gouvernance et d’un ensemble de bonnes pratiques pour assurer le respect permanent de la compliance dans tout le tissu organisationnel. Par exemple, en matière de gouvernance d’entreprises, la transposition du principe « comply or explain » dans le droit Français18 implique pour les sociétés cotées sur le marché français19 l’adoption d’un ensemble de « bonnes pratiques ». Concrètement ces sociétés doivent déclarer chaque année dans leur rapport de gouvernance « dans quelle mesure elles appliquent les principes de bonne conduite contenus dans le code AFEP-MEDEF ; elles doivent par ailleurs se justifier des règles qu’elles n’entendent pas appliquer »20 (Fasterling & Duhamel, 2009, p. 129). Ainsi, à défaut d’appliquer volontairement le référentiel consolidé par l’AFEP-MEDEF, ces sociétés doivent justifier les dispositions écartées, et le cas échéant spécifier les pratiques équivalentes adoptées en matière de gouvernance. Le principe du « comply or explain » confère donc à la gouvernance une dimension normative au terme de laquelle les principes contenus dans le code de gouvernance constituent les « meilleures pratiques » en matière de direction et de contrôle des sociétés concernées quelque soit leur taille ou leur structure.
Loi du 3 juillet 2008 portant diverses dispositions d’adaptation du droit des sociétés au droit communautaire par la transposition de la directive 2006/46/CE du Parlement européen et du conseil du 14 juin 2006.
« […] alors que depuis la loi de sécurité financière du 1er août 2003, le rapport de gouvernance s’imposait à toute société faisant appel public à l’épargne, l’ordonnance du 22 janvier 2009 restreint l’obligation et celle corrélative d’appliquer le comply or explain aux seules sociétés « dont les titres financiers sont admis aux négociations sur un marché réglementé » » (Fasterling & Duhamel, 2009, p. 134).
Par ailleurs, la déclinaison de la politique de compliance dans toutes les composantes de l’organisation implique souvent la mise en place d’un ensemble de dispositifs et de bonnes pratiques spécifiques à chaque activité pour assurer cette bonne gouvernance. Au niveau de la DSI, le respect de ce principe implique la mise en place des dispositifs nécessaires pour garantir la sécurité et l’exactitude des données capturées, stockées et mises à disposition par tous les systèmes informatiques de l’entreprise. Tel est le cas, par exemple, de COBIT21 déployé dans le cadre des contrôles informatiques. Ce référentiel est souvent mis en place dans les entreprises en tant que dispositif de gouvernance des systèmes d’information, qui n’est autre que la déclinaison des principes de la corporate governance au niveau des SI. Nous reviendrons plus largement pour développer cette idée (cf. Section §. 1), mais un tel exemple est une illustration manifeste de l’ampleur du phénomène de compliance et son impact sur la diffusion et l’application des normes de tous genres dans les entreprises.
Question de qualité
Parallèlement aux impératifs de compliance, il y a un accroissement d’exigences en matière de« qualité » dans tous les domaines d’activités. L’enjeu actuel n’est plus de savoir s’il convient de faire de la qualité ou pas, mais de savoir comment en faire à moindre coût (Doucet, 2010). Ceci a conduit à l’émergence de la « qualitique » qui regroupe les méthodes et les techniques susceptibles de faciliter l’obtention de la qualité des produits et des services en optimisant les coûts et en maîtrisant les risques (op.cit). Cette « qualitique » comprend un ensemble de dispositifs permettant d’atteindre ces objectifs tels que : les cercles de qualité, l’EFQM (European Foundation for Quality Management) et le TQM (Total Quality Management), les normes ISO, les six-sigma, le lean…etc. (op.cit.). Il en existe un panel difficile à dénombrer et qui couvre un large éventail de domaines et d’activités. Portant des appellations différentes, il peut s’agir de méthodes, procédés, normes, certifications, labels, directives techniques, cahier des charges, etc. Quelque soit le nom, le principe est le même : il s’agit de faire reconnaître la qualité des biens et/ou des services par rapport à des points de repères prédéfinis.
Il existe toutefois un contresens qui consiste à croire à tort que la mise en place de ces dispositifs est un gage de qualité (Doucet, 2010). Ceci est très dommageable et conduit à brouiller la notion de la qualité pour la remplacer par une quête d’affichage poussée par la pression commerciale et les activités de lobbying dans certains cas. Le champ de la qualité se trouve ainsi élargi du simple intérêt de bien faire à une nécessité qui fait loi. Ceci a contribué faire émerger progressivement une nouvelle forme de soft law ou de contrainte douce,« apparemment non contraignante mais dont la force n’en est cependant pas moins réelle » (Revel, 2004, p. 162). En SI, il existe divers outils de qualité qui couvrent plusieurs domaines de la DSI comme par exemple la famille des ISO 27001, COBIT pour la sécurité et le contrôle interne, ITIL, EFQM, TQM, ISO 2000, etc., pour le management de la qualité, des processus métiers et des services. La mise en place de ces normes est tout à fait facultative et volontaire. Toutefois, il arrive que la certification (au niveau de l’entreprise ou des personnes) soit un impératif imposé qui découle par exemple d’un cahier des charges.
Comme le remarque le directeur de sécurité des SI de l’entreprise B22: C’est un choix, tout à fait [en parlant de la certification ISO 27001]. Mais pour des activités comme les nôtres [l’infogérance], c’est souvent demandé par nos clients, dans les appels d’offres par exemple. […] Il y a peu de normes certifiantes dans ce domaine, mais surtout, il y a une pression commerciale de la part de certains organismes, sans parler de lobbying, mais comme c’est payant toutes ces choses là, est ce qu’il y a vraiment un esprit d’indépendance des auditeurs ? »
Cet exemple illustre parfaitement la question de la contrainte douce. En d’autres mots, malgré l’absence d’un impératif d’ordre légal, cette entreprise se trouve dans l’obligation d’être certifiée pour des raisons commerciales. Or, il n’est pas impossible que la norme de qualité soit un prétexte pour justifier des pratiques peu recommandables (Zardet & Bonnet, 2010). Dans des cas extrêmes, le recours aux pratiques d’audit de qualité par certains clients et donneurs d’ordre peut jouer le rôle d’un cheval de Troie chez leurs fournisseurs, ce qui leur permet d’assurer une surveillance permanente aux niveaux technologique, économique et organisationnel (op.cit). Il y a donc un dérapage manifeste dans le monde de la qualité qui a conduit à opacifier ses critères d’appréciation. Doucet (2010) remarque que le formalisme excessif et le recours intensif à la « qualitique » ont dégradé la qualité. Inversement, la qualité peut être atteinte sans forcément avoir recours à ces dispositifs (op.cit). Cet auteur remarque, par analogie avec le domaine médical, et de la même façon que les médicaments –malgré leurs caractéristiques thérapeutiques – peuvent avoir des effets indésirables, le recours démesuré aux normes de qualité peut également engendrer de tels effets (op.cit).
Dans ce sens, Dupagne (2012, p. 120-121) souligne : « En quelques années, la notion de la qualité du travail s’est déconnectée du produit ou du service final et encore plus de la compétence de son effecteur. Un travail de qualité est désormais un travail qui suit les règles. Un travail effectué hors les règles n’est pas un bon travail, même si son résultat paraît conforme. » . De ce fait, un produit peut être défectueux en dépit de l’application d’une norme de qualité. Dupagne (2012) fournit un exemple assez frappant, dans le domaine de l’industrie médicale, qui illustre ce glissement. Il s’agit des prothèses défectueuses PIP à l’origine d’un scandale sanitaire en 2010, en raison de la présence d’un composant dangereux, non détecté malgré les audits de qualité et les certifications du produit.
En conclusion, le respect des impératifs de compliance et de qualité implique pour la DSI la mise en œuvre permanente de normes et de guides de bonnes pratiques. La problématique de la multiplicité des NRSI se trouve ainsi en partie ancrée à travers la banalisation de ces deux principes. Le tableau ci-après (Cf. Tableau 1) récapitule les principales caractéristiques et conséquences développées dans ce qui précède.
Des notions voisines
Après avoir présenté brièvement deux principes inhérents à la production et la diffusion des normes, il convient de se pencher sur la signification des mots. En effet, la notion de « norme », prise au sens large, résonne avec un champ lexical varié, souvent source d’amalgame. L’utilisation de la fonction « Proxémie » du portail lexical CNRTL23 fait apparaître un nuage de cinquante deux notions plus ou moins proches du mot « norme » (Cf. Figure 3). Cette grande famille de notions voisines traduit, voire favorise, dans toutes ses dimensions la confusion conceptuelle confrontée dès qu’il s’agit de parler de « normes ». Comme le montre la Figure 3, la notion de norme renvoie à la fois à une dimension formelle – celle de la règle, la loi, le code – et une dimension moins catégorique – celle de la coutume, la convention, le standard, la pratique24.
Les normes
Dans une étude lexicographique sur le concept de « norme », Péron (2010) souligne plusieurs subtilités inhérentes à ce mot. Tout d’abord, il convient de noter l’usage indifférencié des termes « standard » et « norm » dans la littérature anglo-saxonne. Tandis qu’en français, le standard est un concept plus restreint au sens technique que la norme. D’une manière très schématique, un standard désigne un modèle de référence26très spécifique et dont l’objectif est principalement de rationaliser la production d’un bien ou d’un service. Alors que la norme intègre des préoccupations beaucoup plus étendues(Giard, 2003). Par ailleurs, le sens de norme varie en fonction du champ d’application considéré. En effet, utilisé dans un cadre socio-économique, le mot « norme » renvoie à une réalité assez large qui comprend aussi bien les règles formelles que celles qui sont simplement partagées ou intériorisées (Borraz, 2004; Péron, 2010). Tandis que dans le langage technique et industriel, la norme désigne principalement un document écrit résultant d’un consensus (Borraz, 2004).
L’ISO (International Standards Organization) définit la norme comme suit :Document établi par consensus et approuvé par un organisme reconnu, qui fournit, pour des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques, pour des activités ou leurs résultats, garantissant un niveau d’ordre optimal dans un contexte donné. »27
Cependant cette définition reste assez vague sur le principe d’approbation par « un organisme reconnu ». Il reste donc à savoir qui sont ces organismes qui émettent et approuvent les normes ? Une partie de la réponse à cette question se trouve dans la typologie des normes28 de l’AFNOR. Il s’agit : d’une part des normes de jure : élaborées par un organisme officiel de normalisation, c’est à dire, ayant une prérogative de puissance publique (p.ex. AFNOR, ISO, CEI) ; d’autre part des normes de facto (ou de fait) : non élaborées par un organisme officiel de normalisation mais qui se sont imposées auprès des utilisateurs, d’un groupe d’entreprises ou d’un consortium.
De fait, ceci nous permet d’inclure dans le champ des normes toutes les règles, les pratiques, les codes, et les dispositifs de gestion et de gouvernance dès lors qu’ils soient élaborés par un organisme (officiel ou pas) et partagés au sein d’un large public. Notons par ailleurs que l’application des normes est facultative quelque soit leur nature (Borraz, 2004; Giard, 2003). Toutefois, les exigences souvent imposées par le marché leur confèrent un caractère contraignant, voire coercitif dans certains contextes. Dans la suite de cette thèse, nous retenons qu’une norme est essentiellement un document écrit, qui résulte d’un consensus et dont l’application est facultative. Ce qui exclut de fait les normes informelles non écrites. Une synthèse de cette typologie est présentée dans le tableau suivant (cf. Tableau 2) .
Les référentiels de bonnes pratiques : définition et origines du concept
Une recherche par mot-clé de l’expression « bonnes pratiques » sur le web donne des millions de résultats29 qui renvoient vers des contenus très variés. En effet, diverses professions sont dotées de référentiels de bonnes pratiques propres à leurs métiers. Dans ce qui suit nous considérons le cadre particulier des référentiels de bonnes pratiques en systèmes d’information. D’après le portail lexical de l’AFNOR30 un référentiel de bonnes pratiques est défini comme étant une « publication émanant d’une profession donnée pouvant, à terme, devenir une norme et se voir ainsi conférer une reconnaissance officielle. » Par conséquent, la diffusion et la reconnaissance par le marché d’un référentiel lui confèrent le statut de norme. Dès lors, les référentiels de bonnes pratiques répondent aux critères des normes de facto développés dans le point précédent (cf. § 1.2.1). Selon le CIGREF (2009), la majorité des entreprises31 adoptent des référentiels de marché. Nous reviendrons plus loin pour en présenter les plus connus dans la communauté des SI (cf. §1.3). Retenons à ce niveau que les référentiels de bonnes pratiques en SI dont il est question dans cette thèse sont des guides élaborés par des instances professionnelles reconnues.
Dans une publication intitulée « Les référentiels de la DSI. Etat de l’art – Usages et bonnes pratiques », le CIGREF32 (2009, p. 9) souligne qu’un référentiel est « une collection de bonnes pratiques sur un sujet donné » permettant aux DSI d’améliorer le degré de maîtrise de leurs SI. Il s’agit de « boîtes à outils33 » dans le sens où leur application est volontaire et sélective. En d’autres termes, il s’agit d’un choix et non d’une contrainte.
En choisissant un référentiel donné, la DSI peut se contenter de sélectionner les « bonnes pratiques » les plus pertinentes vis-à-vis de ses besoins. Comme le soulignent Ahanda & Teneau (2011), les référentiels sont avant tout des choix, non des contraintes, dont l’intérêt est de soutenir l’activité de la DSI tout en étant en adéquation avec les choix stratégiques de l’entreprise. Ce point reste toutefois discutable puisque le contenu de certains référentiels doit être mis en place en suivant un protocole stricte et rigoureux. Il s’agit, en l’occurrence, des référentiels donnant lieux à des certifications ou utilisés en appui à des missions d’audit légal pour l’évaluation des politiques de sécurité relatives aux traitements des informations financières.
Un paysage confus
La tendance des référentiels de bonnes pratiques s’inscrit dans le mouvement de la Gestion des Services Informatiques, plus connu sous son appellation anglo-saxonne « Information Technology Service Management (ITSM) », d’origine Britannique. Dans la littérature anglophone, les référentiels sont désignés par le terme « framework », traduit34 en français par cadre » ou « canevas ». Le mouvement ITSM a été initié par l’itSMF35 (information technology Service Management Forum), une organisation internationale indépendante sans but lucratif, ayant des représentants dans de nombreux pays, y compris la France. Cette organisation joue un rôle central dans l’élaboration et la promotion des « best practices » de la Gestion de Services Informatiques. D’après Winniford et al. (2009), la notion d’ITSM est souvent source d’amalgame avec d’autres concepts qui font partie du vocabulaire utilisé pour parler de la gestion des services informatiques tels qu’ITIL, COBIT, SLM36, BSM37 ou encore IT governance. Par ailleurs, un manque de compréhension de ces concepts dans la communauté professionnelle conduit souvent à réduire l’approche ITSM à la simple mise en place de référentiels de bonnes pratiques. Ce champ est également caractérisé par une certaine rhétorique, très présente dans les publications professionnelles, qui consiste à idéaliser ces bonnes pratiques en les qualifiant de « best practices » ou « meilleures pratiques ». Cette expression, très utilisée dans les discours sur les guides de bonne gouvernance, a fait l’objet d’un point de vue critique par Wirtz(2005). Cet auteur s’interroge sur les fondements réels qui autorisent, en dehors de leurs intuitions personnelles, les promoteurs de ces pratiques à juger leurs recommandations comme étant les « meilleures ». Il explique que les idées exprimées sous forme de « meilleures pratiques » constituent une forte source d’influence. « Or il n’est pas impossible que les individus adhèrent à des idées fausses tout en invoquant des raisons perçues comme fortes(Boudon, 1986)» (Wirtz, 2005, p. 143).
Pour comprendre les raisons qui ont conduit les promoteurs des codes de gouvernance d’entreprise à établir la supériorité de leurs pratiques, Wirtz (2005) suggère de se baser sur des arguments issus de la finance, étant donné qu’il s’agit principalement d’investisseurs professionnels ou d’instances opérant dans le monde de la bourse. À l’instar du raisonnement de Wirtz (2005), il est possible de s’interroger sur la pertinence de l’expression « best practices » dans le domaine des SI, par analogie avec les meilleurs pratiques de gouvernance d’entreprise. Cette question – ne faisant pas partie notre périmètre – mérite d’être approfondie dans des recherches ultérieures. Nous retenons simplement de cette parenthèse l’idée qu’il existe plusieurs nuances inhérentes à ce vocabulaire qui ont contribué à écarter le concept de sa signification initiale.
Ainsi définies, les notions de « norme » et de « référentiel de bonnes pratiques », différents à première vue, ne sont que les deux faces d’une même pièce. Leur dénominateur commun se trouve dans leur disposition à servir de modèle ou de système de référence reconnu par une instance compétente et diffusés auprès d’un large public. Pour la suite de cette thèse, nous retenons les caractéristiques suivantes relatives à ces deux concepts (cf. Tableau 3) : Tableau 3. Les caractéristiques retenues pour les concepts de « norme » et de « référentiel de bonnes pratiques »
|
Table des matières
Introduction
1. L’émergence d’un questionnement sur la multiplicité des normes et des référentiels de bonnes pratiques en systèmes d’information
2. Les champs des connaissances sur la multiplicité des NRSI
3. Design global de la recherche : une démarche exploratoire servie par une méthodologie qualitative
4. Structure de la thèse
Première partie : La multiplicité des normes et référentiels de bonnes pratiques en systèmes d’information : ancrage théorique et scientifique
Introduction de la première partie
Chapitre 1 Mise en perspective des normes et référentiels de bonnes pratiques en systèmes d’information
Introduction du chapitre 1
Section 1 Les normes et référentiels en SI : de quoi parle-t-on ?
1.1. Une vue d’ensemble
1.1.1 Un contexte favorable à l’émergence des normes et référentiels
1.1.1.1 Question de compliance
1.1.1.2 Question de qualité
1.1.2 Des notions voisines
1.1.2.1 Les normes
1.1.2.2 Les référentiels de bonnes pratiques : définition et origines du concept
1.1.2.3 Un paysage confus
1.1.3 Un état des lieux des principaux NRSI
1.1.3.1 Classification des principaux NRSI du marché
1.1.3.2 Positionnement au sein de la DSI
1.1.3.3 Un arrière plan mitigé
1.1.4 Conclusion partielle
1.2 Les normes et référentiels en SI dans la littérature
1.2.1 Les NRSI : une exploration bibliométrique
1.2.1.1 La littérature académique
1.2.1.2 La littérature professionnelle
1.2.2 Un arrangement théorique pour la compréhension de la multiplicité des NRSI
Conclusion de la section 1
Section 2 Une grille de lecture pour la compréhension de la multiplicité des NRSI (1ère partie)
2.1 Les NRSI au coeur des processus de la gouvernance du SI
2.1.1 Une vue d’ensemble
2.1.1.1 Signification de l’expression « gouvernance du SI »
2.1.1.2 La Gouvernance du SI : une démarche appuyée par les impératifs de compliance
2.1.1.3 Périmètre de la gouvernance du SI
2.1.2 Le rôle des NRSI dans la démarche de gouvernance du SI
2.2 La Tétranormalisation : une approche introductive à la multiplicité des NRSI
2.2.1 Caractéristiques et problématiques de la Tétranormalisation
2.2.2 Pertinence de la Tétranormalisation
2.2.3 Conclusion partielle
Conclusion de la Section 2
Conclusion du chapitre 1
Chapitre 2 Une perspective néo-institutionnelle pour la compréhension de la multiplicité des NRSI
Introduction du chapitre 2
Section 1 Un état de l’art de la théorie néo-institutionnelle
1.1. La théorie néo-institutionnelle : un panorama
1.1.1 La nature multidisciplinaire de la TNI
1.1.1.1 L’origine politico-économique de l’institutionnalisme
1.1.1.2 La contribution des sociologues à la TNI
1.1.2 Les fondements de la TNI
1.1.2.1 Institution et institutionnalisation
1.1.2.2 Isomorphisme et champ organisationnel
1.1.2.3 La légitimité
1.1.3 Les trois piliers de l’institution
1.2. De la vision passive de l’organisation au changement institutionnel
1.2.1 Les réponses stratégiques face aux pressions institutionnelles
1.2.2 L’entrepreneur institutionnel comme un acteur du changement institutionnel
1.2.3 De l’isomorphisme vers une diversité des pratiques
Conclusion de la section 1
Section 2 Evolutions récentes de la TNI : le pluralisme institutionnel
2.1. Reconnaissance du pluralisme institutionnel
2.1.1 Définition
2.1.2 La multiplicité des logiques institutionnelles à l’origine du pluralisme
2.2. Les problématiques du pluralisme institutionnel
2.2.1 Légitimité
2.2.2 Gouvernance
2.2.3 Les réponses organisationnelles au pluralisme institutionnel
Conclusion de la section 2
Section 3 Une vue néo-institutionnelle de la multiplicité des NRSI
3.1. La conception néo-institutionnelle dans la recherche en systèmes d’information
3.1.1 Quel intérêt ?
3.1.2 Synthèse des principaux travaux
3.2. Une synthèse néo-institutionnelle des NRSI
3.2.1 Les dimensions institutionnelles des NRSI
3.2.2 La multiplicité des NRSI à travers la conception du pluralisme institutionnel
Conclusion de la section 3
Conclusion du chapitre 2
Deuxième partie Dispositif méthodologique et empirique
Introduction de la partie 2
Chapitre 3 Le design de la recherche : du positionnement épistémologique à l’appareillage méthodologique
Introduction du chapitre 3
Section 1 Explication de l’assise épistémologique constructiviste de la thèse
1.1 Éléments de repérage épistémologiques
1.1.1 Une pluralité de paradigmes
1.1.2 Vers une complémentarité des paradigmes
1.2 L’émergence d’une posture constructiviste à travers la construction de l’objet de recherche
1.2.1 Un objet construit
1.2.1.1 Une première intuition
1.2.1.2 Les voies de construction de notre objet de recherche
1.2.1.3 Formulation de notre problématique
1.2.2 Affirmation de notre posture a posteriori
1.2.3 Les critères de validité ou de légitimation de la recherche
Conclusion de la section 1
Section 2 La conception d’un canevas pour une recherche exploratoire qualitative
2.1 Une démarche exploratoire servie par un raisonnement heuristique
2.1.1 Spécificités de la démarche exploratoire
2.1.2 Un raisonnement heuristique par abduction
2.2 Le choix d’une instrumentation qualitative pour le recueil des données
2.2.1 La recherche qualitative vs quantitative
2.2.2 Pourquoi une approche qualitative ?
2.2.3 Vers un canevas de recherche qualitative souple et évolutif
2.3 Méthodes d’accès au réel et de collecte des données
2.3.1 Le choix de l’étude de cas comme stratégie de recherche
2.3.1.1 Spécificités de la méthode des cas
2.3.1.2 Le choix d’un dispositif combiné : l’étude de cas multiples et le cas unique
2.3.2 La collecte des données par la technique de l’entretien individuel non directif et semi directif
Conclusion de la section 2
Conclusion du chapitre 3
Chapitre 4 Mise en oeuvre du dispositif empirique : méthodologie de collecte et d’analyse des données
Introduction du chapitre 4
Section 1 Un dispositif exploratoire comme stratégie d’accès au terrain basé sur trois entretiens non-directifs
1.1 Finalités et outils de la phase exploratoire
1.2 Mise en oeuvre
1.2.1 Choix des interlocuteurs
1.2.2 Déroulement des entretiens
1.3 Bilan a priori
Conclusion de la section 1
Section 2 Mise en oeuvre de la méthode des cas pour la collecte des données
2.1 La délimitation du recueil des données
2.1.1 La sélection d’un échantillon multi-sites
2.1.1.1 Explication des critères de choix
2.1.1.2 L’échantillon retenu
2.1.2 L’étude de cas unique comme un prolongement de la recherche
2.2 Collecte des données
2.2.1 L’entretien non-directif progressif comme technique de collecte
2.2.2 Élaboration du guide d’entretien et mise en oeuvre
Conclusion de la Section 2
Section 3 Présentation des modalités analytiques
3.1 Les techniques d’analyse de contenu
3.1.1 Caractéristiques et finalités
3.1.2 Démarche générale
3.1.3 Le choix d’une analyse de contenu thématique
3.2 Le processus d’analyse
3.2.1 La préanalyse
3.2.2 Explication de la démarche de thématisation
3.2.3 La stratégie d’analyse spécifique aux études de cas
3.2.4 Les critères de véracité des résultats
Conclusion de la section 3
Conclusion du chapitre 4
Troisième partie Quelle compréhension de la multiplicité des NRSI ?
Introduction de la partie 3
Chapitre 5 Le dispositif multi-sites : analyse et discussion des résultats
Introduction du chapitre 5
Section 1 Une analyse thématique pour l’exploration et la compréhension de la multiplicité des NRSI
1.1 La multiplicité des NRSI : une thématique qui dérange ?
1.1.1 Éléments d’éclairage pour l’analyse de la multiplicité des NRSI
1.1.2 Élaboration d’une grille de codage à deux niveaux « etic » et « émic »
1.2 Analyse de la multiplicité des NRSI
1.2.1 Le contexte global de la multiplicité des NRSI dans les DSI
1.2.2 En quoi la multiplicité des NRSI est une source de contraintes
1.2.2.1 La gestion de la multiplicité des NRSI
1.2.2.2 La multiplicité des NRSI comme une source d’incompréhension
1.2.2.3 La multiplicité des NRSI comme un facteur multiplicateur des effets institutionnels
1.2.2.4 La multiplicité des NRSI comme une source de pluralisme institutionnel
1.2.3 Conclusion partielle
1.2.4 Mise en évidence des récurrences inter-sites
Conclusion de la section 1
Section 2 Mise en perspective des résultats à travers les clés de compréhension théoriques
2.1 Un panorama de la multiplicité des NRSI dans la DSI
2.1.1 La gestion et le pilotage des processus SI
2.1.2 Les NRSI dans le cadre de gouvernance du SI
2.2 La multiplicité des NRSI comme une source de contraintes
2.2.1 La difficulté de gestion et d’appropriation
2.2.2 La multiplicité des NRSI à travers un regard institutionnel
2.2.3 La multiplicité des NRSI comme une source de pluralisme institutionnel
Conclusion de la section 2
Conclusion du chapitre 5
Chapitre 6 Le cas « S » : pour un prolongement de la réflexion sur la multiplicité des NRSI
Introduction du chapitre 6
Section 1 Contextualisation du cas « S » et modalités de collecte des données
1.1 Présentation du cas « S »
1.1.1 Données stratégiques et économiques
1.1.2 Spécificités de la DSI de « S » : une agilité organisationnelle et technologique
1.1.3 SOX et les contraintes de compliance pour la DSI
1.2 L’investigation empirique
Conclusion de la section 1
Section 2 Mise en évidence des incohérences entre la vision ITSM et la mise en conformité avec Sarbanes-Oxley dans la DSI de « S »
2.1 Analyse des résultats
2.1.1 Les difficultés de compréhension et d’interprétation
2.1.2 Difficultés d’adaptation organisationnelle
2.1.3 Difficultés d’adaptation technique
2.1.4 Un non-sens économique
2.2 Discussion
2.2.1 Une lecture ciblée : bref aperçu
2.2.2 Discussion des résultats
2.2.2.1 Mise en perspective des résultats avec les éléments d’éclairage théoriques
2.2.2.2 En résumé
2.2.3 Pour aller plus loin
2.2.3.1 Du pluralisme institutionnel
2.2.3.2 Un bricolage institutionnel en réponse au pluralisme
Conclusion de la section 2
Conclusion du chapitre 6
Conclusion
1. Objet de la thèse
2. Démarche suivie
3. Synthèse et apports des résultats : une contribution à la compréhension de la multiplicité des NRSI
4. Limites de la recherche et nouvelles perspectives
Bibliographie
Annexes
Télécharger le rapport complet
