Soutenance de thèse de PENELOUX Emilie

Titre de thèse

Agir sur la perception du risque cyber au sein des organisations : Conception d'un cyberscore à destination du management intermédiaire

Influencing Cyber Risk Perception in Organizations: Design of a CyberScore for Middle Management

Date

8 juillet 2026 à 14h00

Adresse

MEGA 424, chemin du Viaduc 13080 Aix-en-Provence, Nourry

Ecole doctorale

Sciences Economiques et de Gestion d'Aix-Marseille

Specialité

Sciences de Gestion- Aix-Marseille

Etablissement

Aix-Marseille Université

Mots clés

cyberscore,sécurité des systèmes d'information,cybersécurité,perception du risque,management intermédiaire,design science research

Keywords

cyberscore,information security,cybersecurity,risk perception,middle management,design science research

Jury

Jury de thèse
Qualité	Nom	Etablissement
Professeur des universités	Mme GODé Cécile	Aix Marseille Université
Full professor	M. BARLETTE Yves	MBS School of Business, Montpellier
Professeur des universités	M. LEBRATY Jean-Fabrice	iaelyon School of Management
Professeur des universités	Mme AGULHON Sophie	Aix Marseille Université
Professeure des universités	Mme PASCAL Amandine	Aix Marseille Université
Directrice risques et conformités	Mme BEDOS Carine	CASDEN Banque Populaire

Résumé de la thèse

La numérisation croissante des activités organisationnelles renforce la dépendance des organisations aux systèmes d'information et accroît leur exposition au risque cyber. Si les dispositifs techniques de cybersécurité se sont renforcés, de nombreuses analyses montrent que la majorité des cyberattaques exploitent des failles humaines, liées aux pratiques, aux usages ou aux arbitrages des acteurs. Ce constat met en évidence un paradoxe : alors que l'humain constitue un vecteur majeur de vulnérabilité, le risque cyber reste souvent appréhendé comme un problème essentiellement technique, confié aux spécialistes de la sécurité. Cette approche tend à sous-estimer les dimensions humaines et organisationnelles qui structurent la perception du risque et influencent l'adoption de comportements sécurisés.

Dans ce contexte, la perception du risque cyber constitue un enjeu central. Elle conditionne l'attention accordée aux consignes, l'acceptation des contraintes et l'engagement dans des pratiques de sécurité. Pourtant, les dispositifs permettant d'agir concrètement sur cette perception en organisation restent peu étudiés.

Cette thèse analyse comment un dispositif organisationnel peut agir sur la perception du risque cyber. Elle se concentre sur le rôle du management intermédiaire, situé à l'interface entre stratégie et opérations. Ces acteurs jouent un rôle clé dans la diffusion et l'appropriation des pratiques de sécurité. La problématique est la suivante : comment un cyberscore intra-organisationnel peut-il agir sur la perception du risque cyber du management intermédiaire ?

La recherche mobilise la Protection Motivation Theory et l'Extended Parallel Process Model, et s'inscrit dans une démarche de Design Science Research. Elle conduit à la conception et à l'évaluation d'un cyberscore intra-organisationnel visant à rendre le risque plus visible, intelligible et discutable. Ce dispositif repose sur une représentation du risque structurée selon trois dimensions : technique, organisationnelle et humaine.
Le design de recherche combine plusieurs phases : revue de littérature, évaluation quantitative initiale, conception et déploiement du cyberscore, seconde évaluation quantitative, puis analyse qualitative par entretiens. L'étude est menée dans le cadre d'une CIFRE à la CASDEN Banque Populaire.

Les résultats montrent que le cyberscore transforme la perception du risque cyber, notamment en renforçant la perception de la vulnérabilité humaine. L'analyse qualitative met en évidence plusieurs mécanismes explicatifs : peur contextualisée, responsabilisation, contextualisation du risque, traduction inter-métiers, cohésion collective et désensibilisation progressive. Ces mécanismes soulignent l'articulation de dimensions émotionnelles, cognitives et organisationnelles.

Cette recherche contribue à la compréhension du risque cyber comme phénomène sociotechnique et à l'identification des dynamiques organisationnelles qui influencent sa perception. Elle propose également un apport en sciences de la conception à travers le développement et l'évaluation d'un artefact visant à rendre le risque plus visible et appropriable. Plus largement, elle montre qu'un dispositif fondé sur la contextualisation, la responsabilisation et la médiation organisationnelle peut faire évoluer durablement la perception du risque et soutenir l'adoption de comportements en sécurité.

Thesis resume

The growing digitization of organizational activities has increased dependence on information systems and heightened exposure to cyber risk. Although technical cybersecurity measures have strengthened, empirical research shows that most cyberattacks exploit human vulnerabilities related to everyday practices and decisions. This highlights a paradox: while humans are a primary attack vector, cyber risk is still largely treated as a technical issue, leading to an underestimation of the human and organizational factors shaping risk perception and secure behavior.
In this context, cyber risk perception is a key issue. It influences attention to security guidelines, acceptance of constraints, and the adoption of secure practices. However, organizational mechanisms that actively shape this perception remain underexplored.

This dissertation examines how an organizational device can transform cyber risk perception. It focuses on middle managers, who operate between strategic directives and operational practices and play a key role in translating and disseminating security policies. The research question is: how can an intra-organizational cyberscore influence middle managers' perception of cyber risk?

The study draws on Protection Motivation Theory (PMT) and the Extended Parallel Process Model (EPPM), and adopts a Design Science Research approach within a critical realist perspective. It involves designing, implementing, and evaluating an intra-organizational cyberscore aimed at making cyber risk more visible, understandable, and discussable. The cyberscore represents risk across three dimensions: technical, organizational, and human.

The research design combines a literature review, an initial quantitative assessment, the design and deployment of the cyberscore, a second quantitative assessment, and a qualitative analysis based on interviews. The study was conducted a CIFRE partnership at CASDEN Banque Populaire.

Findings show that the cyberscore influences cyber risk perception, particularly by increasing awareness of human vulnerability. Qualitative analysis identifies several underlying mechanisms: contextualized fear, responsibilization, improved risk understanding, cross-functional translation, collective cohesion, and progressive desensitization. These results highlight the interplay of emotional, cognitive, and organizational factors in shaping perception.

This research contributes to understanding cyber risk as a sociotechnical phenomenon and to identifying organizational dynamics that influence its perception. It also contributes to design science through the development and evaluation of a practical artifact. Overall, it shows that a device combining contextualization, responsibilization, and organizational mediation can sustainably transform risk perception and support secure behaviors.