21

Le management des organisations publiques a considérablement évolué durant ces dernières trois ou quatre dernières décennies : pression accrue sur les résultats, accroissement de l'autonomie dans l'utilisation des ressources et la fixation de priorités, exigences élevées en matière d'accountability, intérêt des citoyens et des médias pour les décisions et l'action publiques, etc. Des outils de management issus pour partie de l'économie privée et pour l'autre développés spécifiquement pour le secteur public ont complété la palette instrumentale à disposition des managers publics. Parmi ces outils, la communication joue un rôle important tant à l'intérieur de l'organisation que par rapport à l'ensemble de ses partenaires et de la collectivité en général. En effet, les responsables de l'action publique doivent de manière croissante présenter les enjeux de politiques publiques, expliquer les décisions prises, justifier des mesures correspondantes et être à l'écoute des besoins et demandes formulés par les bénéficiaires des prestations.

5

Le management stratégique est devenu un outil de gestion presque incontournable dans les organisations publiques, notamment du fait de la généralisation de la contractualisation et de gouvernance à distance. Bien sûr, gérer sur la base d'une stratégie afin d'atteindre des objectifs précis paraît fort raisonnable. Cependant, l'étude du fonctionnement contemporain des organisations publiques démontre que le management stratégique se limite bien souvent à des stratégies de contrôle, conduisant à une bureaucratisation accrue des organisations publiques en lieu et place d'une plus grande liberté managériale. Nous expliquons ce mécanisme en prenant pour exemple le secteur hospitalier suisse en pleine restructuration.

An assurance-based model to holistically assess the information security posture

EXECUTIVE SUMMARY : Evaluating Information Security Posture within an organization is becoming a very complex task. Currently, the evaluation and assessment of Information Security are commonly performed using frameworks, methodologies and standards which often consider the various aspects of security independently. Unfortunately this is ineffective because it does not take into consideration the necessity of having a global and systemic multidimensional approach to Information Security evaluation. At the same time the overall security level is globally considered to be only as strong as its weakest link. This thesis proposes a model aiming to holistically assess all dimensions of security in order to minimize the likelihood that a given threat will exploit the weakest link. A formalized structure taking into account all security elements is presented; this is based on a methodological evaluation framework in which Information Security is evaluated from a global perspective. This dissertation is divided into three parts. Part One: Information Security Evaluation issues consists of four chapters. Chapter 1 is an introduction to the purpose of this research purpose and the Model that will be proposed. In this chapter we raise some questions with respect to "traditional evaluation methods" as well as identifying the principal elements to be addressed in this direction. Then we introduce the baseline attributes of our model and set out the expected result of evaluations according to our model. Chapter 2 is focused on the definition of Information Security to be used as a reference point for our evaluation model. The inherent concepts of the contents of a holistic and baseline Information Security Program are defined. Based on this, the most common roots-of-trust in Information Security are identified. Chapter 3 focuses on an analysis of the difference and the relationship between the concepts of Information Risk and Security Management. Comparing these two concepts allows us to identify the most relevant elements to be included within our evaluation model, while clearing situating these two notions within a defined framework is of the utmost importance for the results that will be obtained from the evaluation process. Chapter 4 sets out our evaluation model and the way it addresses issues relating to the evaluation of Information Security. Within this Chapter the underlying concepts of assurance and trust are discussed. Based on these two concepts, the structure of the model is developed in order to provide an assurance related platform as well as three evaluation attributes: "assurance structure", "quality issues", and "requirements achievement". Issues relating to each of these evaluation attributes are analysed with reference to sources such as methodologies, standards and published research papers. Then the operation of the model is discussed. Assurance levels, quality levels and maturity levels are defined in order to perform the evaluation according to the model. Part Two: Implementation of the Information Security Assurance Assessment Model (ISAAM) according to the Information Security Domains consists of four chapters. This is the section where our evaluation model is put into a welldefined context with respect to the four pre-defined Information Security dimensions: the Organizational dimension, Functional dimension, Human dimension, and Legal dimension. Each Information Security dimension is discussed in a separate chapter. For each dimension, the following two-phase evaluation path is followed. The first phase concerns the identification of the elements which will constitute the basis of the evaluation: ? Identification of the key elements within the dimension; ? Identification of the Focus Areas for each dimension, consisting of the security issues identified for each dimension; ? Identification of the Specific Factors for each dimension, consisting of the security measures or control addressing the security issues identified for each dimension. The second phase concerns the evaluation of each Information Security dimension by: ? The implementation of the evaluation model, based on the elements identified for each dimension within the first phase, by identifying the security tasks, processes, procedures, and actions that should have been performed by the organization to reach the desired level of protection; ? The maturity model for each dimension as a basis for reliance on security. For each dimension we propose a generic maturity model that could be used by every organization in order to define its own security requirements. Part three of this dissertation contains the Final Remarks, Supporting Resources and Annexes. With reference to the objectives of our thesis, the Final Remarks briefly analyse whether these objectives were achieved and suggest directions for future related research. Supporting resources comprise the bibliographic resources that were used to elaborate and justify our approach. Annexes include all the relevant topics identified within the literature to illustrate certain aspects of our approach. Our Information Security evaluation model is based on and integrates different Information Security best practices, standards, methodologies and research expertise which can be combined in order to define an reliable categorization of Information Security. After the definition of terms and requirements, an evaluation process should be performed in order to obtain evidence that the Information Security within the organization in question is adequately managed. We have specifically integrated into our model the most useful elements of these sources of information in order to provide a generic model able to be implemented in all kinds of organizations. The value added by our evaluation model is that it is easy to implement and operate and answers concrete needs in terms of reliance upon an efficient and dynamic evaluation tool through a coherent evaluation system. On that basis, our model could be implemented internally within organizations, allowing them to govern better their Information Security. RÉSUMÉ : Contexte général de la thèse L'évaluation de la sécurité en général, et plus particulièrement, celle de la sécurité de l'information, est devenue pour les organisations non seulement une mission cruciale à réaliser, mais aussi de plus en plus complexe. A l'heure actuelle, cette évaluation se base principalement sur des méthodologies, des bonnes pratiques, des normes ou des standards qui appréhendent séparément les différents aspects qui composent la sécurité de l'information. Nous pensons que cette manière d'évaluer la sécurité est inefficiente, car elle ne tient pas compte de l'interaction des différentes dimensions et composantes de la sécurité entre elles, bien qu'il soit admis depuis longtemps que le niveau de sécurité globale d'une organisation est toujours celui du maillon le plus faible de la chaîne sécuritaire. Nous avons identifié le besoin d'une approche globale, intégrée, systémique et multidimensionnelle de l'évaluation de la sécurité de l'information. En effet, et c'est le point de départ de notre thèse, nous démontrons que seule une prise en compte globale de la sécurité permettra de répondre aux exigences de sécurité optimale ainsi qu'aux besoins de protection spécifiques d'une organisation. Ainsi, notre thèse propose un nouveau paradigme d'évaluation de la sécurité afin de satisfaire aux besoins d'efficacité et d'efficience d'une organisation donnée. Nous proposons alors un modèle qui vise à évaluer d'une manière holistique toutes les dimensions de la sécurité, afin de minimiser la probabilité qu'une menace potentielle puisse exploiter des vulnérabilités et engendrer des dommages directs ou indirects. Ce modèle se base sur une structure formalisée qui prend en compte tous les éléments d'un système ou programme de sécurité. Ainsi, nous proposons un cadre méthodologique d'évaluation qui considère la sécurité de l'information à partir d'une perspective globale. Structure de la thèse et thèmes abordés Notre document est structuré en trois parties. La première intitulée : « La problématique de l'évaluation de la sécurité de l'information » est composée de quatre chapitres. Le chapitre 1 introduit l'objet de la recherche ainsi que les concepts de base du modèle d'évaluation proposé. La maniéré traditionnelle de l'évaluation de la sécurité fait l'objet d'une analyse critique pour identifier les éléments principaux et invariants à prendre en compte dans notre approche holistique. Les éléments de base de notre modèle d'évaluation ainsi que son fonctionnement attendu sont ensuite présentés pour pouvoir tracer les résultats attendus de ce modèle. Le chapitre 2 se focalise sur la définition de la notion de Sécurité de l'Information. Il ne s'agit pas d'une redéfinition de la notion de la sécurité, mais d'une mise en perspectives des dimensions, critères, indicateurs à utiliser comme base de référence, afin de déterminer l'objet de l'évaluation qui sera utilisé tout au long de notre travail. Les concepts inhérents de ce qui constitue le caractère holistique de la sécurité ainsi que les éléments constitutifs d'un niveau de référence de sécurité sont définis en conséquence. Ceci permet d'identifier ceux que nous avons dénommés « les racines de confiance ». Le chapitre 3 présente et analyse la différence et les relations qui existent entre les processus de la Gestion des Risques et de la Gestion de la Sécurité, afin d'identifier les éléments constitutifs du cadre de protection à inclure dans notre modèle d'évaluation. Le chapitre 4 est consacré à la présentation de notre modèle d'évaluation Information Security Assurance Assessment Model (ISAAM) et la manière dont il répond aux exigences de l'évaluation telle que nous les avons préalablement présentées. Dans ce chapitre les concepts sous-jacents relatifs aux notions d'assurance et de confiance sont analysés. En se basant sur ces deux concepts, la structure du modèle d'évaluation est développée pour obtenir une plateforme qui offre un certain niveau de garantie en s'appuyant sur trois attributs d'évaluation, à savoir : « la structure de confiance », « la qualité du processus », et « la réalisation des exigences et des objectifs ». Les problématiques liées à chacun de ces attributs d'évaluation sont analysées en se basant sur l'état de l'art de la recherche et de la littérature, sur les différentes méthodes existantes ainsi que sur les normes et les standards les plus courants dans le domaine de la sécurité. Sur cette base, trois différents niveaux d'évaluation sont construits, à savoir : le niveau d'assurance, le niveau de qualité et le niveau de maturité qui constituent la base de l'évaluation de l'état global de la sécurité d'une organisation. La deuxième partie: « L'application du Modèle d'évaluation de l'assurance de la sécurité de l'information par domaine de sécurité » est elle aussi composée de quatre chapitres. Le modèle d'évaluation déjà construit et analysé est, dans cette partie, mis dans un contexte spécifique selon les quatre dimensions prédéfinies de sécurité qui sont: la dimension Organisationnelle, la dimension Fonctionnelle, la dimension Humaine, et la dimension Légale. Chacune de ces dimensions et son évaluation spécifique fait l'objet d'un chapitre distinct. Pour chacune des dimensions, une évaluation en deux phases est construite comme suit. La première phase concerne l'identification des éléments qui constituent la base de l'évaluation: ? Identification des éléments clés de l'évaluation ; ? Identification des « Focus Area » pour chaque dimension qui représentent les problématiques se trouvant dans la dimension ; ? Identification des « Specific Factors » pour chaque Focus Area qui représentent les mesures de sécurité et de contrôle qui contribuent à résoudre ou à diminuer les impacts des risques. La deuxième phase concerne l'évaluation de chaque dimension précédemment présentées. Elle est constituée d'une part, de l'implémentation du modèle général d'évaluation à la dimension concernée en : ? Se basant sur les éléments spécifiés lors de la première phase ; ? Identifiant les taches sécuritaires spécifiques, les processus, les procédures qui auraient dû être effectués pour atteindre le niveau de protection souhaité. D'autre part, l'évaluation de chaque dimension est complétée par la proposition d'un modèle de maturité spécifique à chaque dimension, qui est à considérer comme une base de référence pour le niveau global de sécurité. Pour chaque dimension nous proposons un modèle de maturité générique qui peut être utilisé par chaque organisation, afin de spécifier ses propres exigences en matière de sécurité. Cela constitue une innovation dans le domaine de l'évaluation, que nous justifions pour chaque dimension et dont nous mettons systématiquement en avant la plus value apportée. La troisième partie de notre document est relative à la validation globale de notre proposition et contient en guise de conclusion, une mise en perspective critique de notre travail et des remarques finales. Cette dernière partie est complétée par une bibliographie et des annexes. Notre modèle d'évaluation de la sécurité intègre et se base sur de nombreuses sources d'expertise, telles que les bonnes pratiques, les normes, les standards, les méthodes et l'expertise de la recherche scientifique du domaine. Notre proposition constructive répond à un véritable problème non encore résolu, auquel doivent faire face toutes les organisations, indépendamment de la taille et du profil. Cela permettrait à ces dernières de spécifier leurs exigences particulières en matière du niveau de sécurité à satisfaire, d'instancier un processus d'évaluation spécifique à leurs besoins afin qu'elles puissent s'assurer que leur sécurité de l'information soit gérée d'une manière appropriée, offrant ainsi un certain niveau de confiance dans le degré de protection fourni. Nous avons intégré dans notre modèle le meilleur du savoir faire, de l'expérience et de l'expertise disponible actuellement au niveau international, dans le but de fournir un modèle d'évaluation simple, générique et applicable à un grand nombre d'organisations publiques ou privées. La valeur ajoutée de notre modèle d'évaluation réside précisément dans le fait qu'il est suffisamment générique et facile à implémenter tout en apportant des réponses sur les besoins concrets des organisations. Ainsi notre proposition constitue un outil d'évaluation fiable, efficient et dynamique découlant d'une approche d'évaluation cohérente. De ce fait, notre système d'évaluation peut être implémenté à l'interne par l'entreprise elle-même, sans recourir à des ressources supplémentaires et lui donne également ainsi la possibilité de mieux gouverner sa sécurité de l'information.

Pratiquer la religion ensemble : analyse des paroisses et communautés religieuses en Suisse dans une perspective de sociologie des organisations

RESUMÉ DE LA THÈSE EN FRANÇAIS La présente recherche se veut être un examen de la première enquête quantitative menée en Suisse sur les paroisses et communautés religieuses. La recherche vise de à appréhender la dynamique institutionnelle du champ religieux de ce pays. En relation avec une enquête similaire menée aux États-Unis (National Congregations Study, Chaves, 2004) la présente recherche analyse les données récoltées auprès d'un échantillon représentatif de plus de mille responsables spirituels des communautés religieuses de Suisse. Dans la perspective de la sociologie des organisations, elle examine le positionnement des communautés dans le champ institutionnel pour comprendre comment elles s'activent pour se maintenir dans la durée. Les communautés, pour assurer leurs services sur le long terme, sont imbriquées dans des structures confessionnelles avec des contraintes administratives diverses selon leur reconnaissance légale. En conséquence, la dynamique du champ religieux institutionnel est différenciée en trois environnements, selon leur degré de reconnaissance, qui demandent des réponses particulières à chacun pour pouvoir s'adapter et perdurer. Ces trois environnements poussent les groupes qui s'y logent à adopter des structures identiques. Pratiquer la religion ensemble, c'est ainsi se rendre dans une communauté avec une forme de rituel et d'engagement des membres correspondant à la reconnaissance du groupe par la société. Même pratiquée fortuitement, la religion collective est loin d'être un acte fortuit. RESUMÉ DE LA THÈSE EN ANGLAIS Practice the religion together Analysis of parishes and religious congregations in Switzerland in a perspective of sociology of organization This research is intended as a review of the first quantitative survey conducted in Switzerland on parishes and religious communities. The research aims to understand the dynamics of institutional religious field in this country. In connection with a similar survey conducted in the U.S. (National Congregations Study, Chaves, 2004) this research examines data gathered from a representative sample of over a thousand spiritual leaders of religious communities in Switzerland. From the perspective of sociology of organization, it examines the position of communities in the institutional field to understand how they are activated to maintain over time. Communities to ensure their services over the long term, are nested within denominational structures with different administrative constraints according to their legal recognition. Consequently, the dynamics of the religious field is differentiated into three institutional environments according to their degree of recognition, which require specific responses to each in order to adapt and endure. These three environments grow groups staying there to adopt identical structures.

Le nombre de reines chez les fourmis et sa conséquence sur l'organisations sociale

Nearly half of all ant species form polygyne societies (cohabitation of more than a single egg-laying queen). These queens are generally smaller and store fewer fat reserves than queens from monogyne colonies. Most queens in polygyne colonies (70-100 pour 100) are inseminated, although this proportion varies among species, and even among populations of the same species. They exhibit mutual tolerance and they all contribute to the reproductive effort of the colony. Nevertheless, their individual fecundity is considerably reduced compared with that of queens from monogyne colonies. This reduction in fecundity seems to be due to some form of mutual inhibition, in some cases the secretion by each female of a substance suppressing egg production in other queens has been implicated. In a few species, queens are organized into a hierarchy such that certain queens lay more eggs than others or even monopolize egg-laying (functional monogyny). Polygyny is linked to a particular life history. It rarely results from the association of several foundresses (primary polygyny). Usually, it is due to the adoption of young queens by an established nest just after a nuptial flight. This secondary polygyny means that the dispersal of the species is limited and is achieved by the budding of a mother nest. Thus colony founding is dependent; with workers accompanying young queens in establishing new colonies. Observation of closely related species exhibiting different social organizations, some monogyne and others polygyne, shows a possible link between queen number and ecological conditions: polygyne forms are more frequent in unstable habitats susceptible to rapid change, such as that caused by human activity. The existence of polygyne societies is an intriguing evolutionary mystery. Research into the origin and maintenance of polygyny focuses on patterns of speciation in relation to queen number and the different theories put forth for the evolution of eusociality, mainly kin selection and mutualism.

Faire la ville juste : une analyse "in itinere" de la maîtrise publique d'ouvrage du projet urbain Carré de Soie (métropole lyonnaise)

Dans certaines portions des agglomérations (poches de pauvreté de centre-ville, couronnes suburbaines dégradées, espaces périurbains sans aménité), un cumul entre des inégalités sociales (pauvreté, chômage, etc.) et environnementales (exposition au bruit, aux risques industriels, etc.) peut être observé. La persistance de ces inégalités croisées dans le temps indique une tendance de fond : la capacité d'accéder à un cadre de vie de qualité n'est pas équitablement partagée parmi les individus. Ce constat interroge : comment se créent ces inégalités ? Comment infléchir cette tendance et faire la ville plus juste ?¦Apporter des réponses à cette problématique nécessite d'identifier les facteurs de causalités qui entrent en jeu dans le système de (re)production des inégalités urbaines. Le fonctionnement des marchés foncier et immobilier, la « tyrannie des petites décisions » et les politiques publiques à incidence spatiale sont principalement impliqués. Ces dernières, agissant sur tous les éléments du système, sont placées au coeur de ce travail. On va ainsi s'intéresser précisément à la manière dont les collectivités publiques pilotent la production de la ville contemporaine, en portant l'attention sur la maîtrise publique d'ouvrage (MPO) des grands projets urbains.¦Poser la question de la justice dans la fabrique de la ville implique également de questionner les référentiels normatifs de l'action publique : à quelle conception de la justice celle-ci doit- elle obéir? Quatre perspectives (radicale, substantialiste, procédurale et intégrative) sont caractérisées, chacune se traduisant par des principes d'action différenciés. Une méthodologie hybride - empruntant à la sociologie des organisations et à l'analyse des politiques publiques - vient clore le volet théorique, proposant par un détour métaphorique d'appréhender le projet urbain comme une pièce de théâtre dont le déroulement dépend du jeu d'acteurs.¦Cette méthodologie est utilisée dans le volet empirique de la recherche, qui consiste en une analyse de la MPO d'un projet urbain en cours dans la première couronne de l'agglomération lyonnaise : le Carré de Soie. Trois grands objectifs sont poursuivis : descriptif (reconstruire le scénario), analytique (évaluer la nature de la pièce : conte de fée, tragédie ou match d'improvisation ?) et prescriptif (tirer la morale de l'histoire). La description de la MPO montre le déploiement successif de quatre stratégies de pilotage, dont les implications sur les temporalités, le contenu du projet (programmes, morphologies) et les financements publics vont être déterminantes. Sur la base de l'analyse, plusieurs recommandations peuvent être formulées - importance de l'anticipation et de l'articulation entre planification et stratégie foncière notamment - pour permettre à la sphère publique de dominer le jeu et d'assurer la production de justice par le projet urbain (réalisation puis entretien des équipements et espaces publics, financement de logements de qualité à destination d'un large éventail de populations, etc.). Plus généralement, un décalage problématique peut être souligné entre les territoires stratégiques pour le développement de l'agglomération et les capacités de portage limitées des communes concernées. Ce déficit plaide pour le renforcement des capacités d'investissement de la structure intercommunale.¦La seule logique du marché (foncier, immobilier) mène à la polarisation sociale et à la production d'inégalités urbaines. Faire la ville juste nécessite une forte volonté des collectivités publiques, laquelle doit se traduire aussi bien dans l'ambition affichée - une juste hiérarchisation des priorités dans le développement urbain - que dans son opérationnalisation - une juste maîtrise publique d'ouvrage des projets urbains.¦Inner-city neighborhoods, poor outskirts, and peri-urban spaces with no amenities usually suffer from social and environmental inequalities, such as poverty, unemployment, and exposure to noise and industrial hazards. The observed persistence of these inequalities over time points to an underlying trend - namely, that access to proper living conditions is fundamentally unequal, thus eliciting the question of how such inequalities are effected and how this trend can be reversed so as to build a more equitable city.¦Providing answers to such questions requires that the causal factors at play within the system of (re)production of urban inequalities be identified. Real estate markets, "micromotives and macrobehavior", and public policies that bear on space are mostly involved. The latter are central in that they act on all the elements of the system. This thesis therefore focuses on the way public authorities shape the production of contemporary cities, by studying the public project ownership of major urban projects.¦The study of justice within the urban fabric also implies that the normative frames of reference of public action be questioned: what conception of justice should public action refer to? This thesis examines four perspectives (radical, substantialist, procedural, and integrative) each of which results in different principles of action. This theoretical part is concluded by a hybrid methodology that draws from sociology of organizations and public policy analysis and that suggests that the urban project may be understood as a play, whose outcome hinges on the actors' acting.¦This methodology is applied to the empirical analysis of the public project ownership of an ongoing urban project in the Lyon first-ring suburbs: the Carré de Soie. Three main objectives are pursued: descriptive (reconstructing the scenario), analytical (assessing the nature of the play - fairy tale, tragedy or improvisation match), and prescriptive (drawing the moral of the story). The description of the public project ownership shows the successive deployment of four control strategies, whose implications on deadlines, project content (programs, morphologies), and public funding are significant. Building on the analysis, several recommendations can be made to allow the public sphere to control the process and ensure the urban project produces equity (most notably, anticipation and articulation of planning and real- estate strategy, as well as provision and maintenance of equipment and public spaces, funding of quality housing for a wide range of populations, etc.). More generally, a gap can be highlighted between those territories that are strategic to the development of the agglomeration and the limited resources of the municipalities involved. This deficit calls for strengthening the investment abilities of the intermunicipal structure.¦By itself, the real-estate market logic brings about social polarization and urban inequalities. Building an equitable city requires a strong will on the part of public authorities, a will that must be reflected both in the stated ambition - setting priorities of urban development equitably - and in its implementation managing urban public projects fairly.