Les règles de sécurité des systèmes d’information reposent en partie sur un processus de négociation et d’appropriation lors duquel les acteurs vont interpréter les normes de sécurité et remettre en question leurs modèles d’actions, tant dans leurs aspects techniques que dans les modalités organisationnelles. Dans cet article, nous questionnons le rôle des relations de pouvoir dans ce processus. Notre démarche explore deux études de cas aux relations de pouvoir contrastées qui se jouent entre les managers de la ligne hiérarchique et les ingénieurs du département informatique. Toutes deux sont situées dans des organisations qui sont amenées à élaborer des règles de sécurité informatiques conformes à une norme externe qui leur est imposée. Les résultats de notre analyse tentent à soutenir les conclusions de Nizet et Pichault (2011) selon qui la nature des règles produites à l’issue d’un travail de négociation et d’interprétation plus ou moins intense d’une norme externe est étroitement liée aux relations de pouvoir à l’œuvre dans ces situations.
