An empirical investigation of company response to data breaches

Posted on by

Référence de l’article
Nikkhah, H. R., & Grover, V. (2022). An empirical investigation of company response to data breaches. MIS Quarterly, 46(4), 2163–2196. https://doi.org/10.25300/MISQ/2022/16609

Mots-clés
Cybersécurité, gestion des risques, violation de données, pilotage de la performance, parties prenantes, gouvernance de l’information, stratégie de réponse, valeur boursière.

Introduction synthétique

L’article traite de l’impact des stratégies de réponse des entreprises suite à une violation de données (« data breach ») sur leurs parties prenantes clés : les clients et les investisseurs. Face à l’augmentation des cyberattaques et au coût moyen élevé d’une brèche, le problème de gestion réside dans la difficulté des organisations à atténuer efficacement les dommages réputationnels et financiers via leur communication post-crise. L’objectif des auteurs est d’analyser comment la nature de la réponse (excuses, compensation, actions correctives) et son délai de diffusion influencent les comportements punitifs des clients et la réaction du marché boursier. La recherche montre que la cybersécurité constitue un enjeu de contrôle de gestion, car une gestion de crise défaillante impacte directement la performance globale à court et moyen terme.

Annonce du plan

D’abord nous analyserons les fondements théoriques de la violation des attentes et les typologies de réponses adoptées par les entreprises.
Ensuite nous examinerons les impacts différenciés du risque cyber sur la performance commerciale et financière.
Enfin nous mettrons en évidence le rôle crucial du pilotage de la réponse pour minimiser la dégradation de la valeur organisationnelle.

Développement structuré

A. Définitions et concepts clés

Le risque cyber est défini comme un accès non autorisé à l’information résultant d’un compromis de sécurité, perçu comme une défaillance de service majeure menaçant la survie de l’organisation.

La gouvernance des systèmes d’information inclut les lois de notification et les politiques de protection des données privées.

Le contrôle interne regroupe les dispositifs techniques et organisationnels (formation, audits de sécurité) visant à prévenir les violations et à assurer la continuité du service.

Le pilotage de la performance correspond à la capacité de l’entreprise à maintenir sa légitimité, sa rentabilité et ses relations avec les parties prenantes après un choc cyber.

Les indicateurs utilisés incluent la « Perceived Expectancy Violation » comme indicateur de risque et la performance mesurée par le « Cumulative Abnormal Return » pour les investisseurs ainsi que l’intention de départ des clients.

B. Enjeux organisationnels et managériaux du risque cyber

Les brèches provoquent une insatisfaction forte chez les clients et une incertitude financière chez les investisseurs. Elles génèrent une perte de valeur boursière et un bouche-à-oreille négatif. Les dirigeants doivent arbitrer entre l’inaction, coûteuse à long terme, et des stratégies accommodantes exigeant des ressources importantes.

C. Rôle du contrôle de gestion dans la gestion du risque cyber

Le contrôle de gestion doit intégrer les coûts de compensation et les pertes de revenus potentielles liées au départ des clients. L’étude suggère que l’allocation de ressources visant à réduire le temps de réponse est plus efficiente qu’une augmentation des compensations tardives. Les tableaux de bord doivent inclure la rapidité de réponse comme indicateur clé. L’article montre également que les excuses peuvent être aussi efficaces que la compensation financière tout en étant moins coûteuses.

D. Outils, modèles ou mécanismes évoqués

L’étude mobilise des indicateurs de satisfaction post-incident et de rétention client. Elle utilise la méthode d’Event Study pour mesurer l’impact boursier et des Factorial Surveys pour analyser les réactions des clients. Les dispositifs de contrôle interne recommandés incluent des mesures correctives telles que la réinitialisation des mots de passe et le recours à des firmes expertes en sécurité.

E. Résultats, apports et implications

Les résultats valident la théorie de la violation des attentes : la brèche rompt le contrat implicite de protection des données. Les stratégies d’inaction ou d’action corrective seule sont inefficaces. L’ajout d’excuses ou de compensation est indispensable pour protéger la performance. La rapidité de réponse est déterminante : une réponse immédiate atténue les pertes, alors qu’une réponse tardive perd son efficacité. Les effets négatifs tendent à s’estomper après plusieurs mois.

F. Limites de l’étude

L’échantillon est limité aux entreprises américaines cotées. L’étude se concentre sur les données de cartes de crédit. Le comportement mesuré chez les clients correspond à une intention et non à un comportement réel observé.

 

Conclusion

L’apport majeur de cet article pour le contrôle de gestion réside dans la démonstration que la performance post-incident cyber dépend fortement du pilotage de la communication vers les parties prenantes. Il fournit une base empirique justifiant des investissements non seulement dans la prévention, mais aussi dans la capacité de réponse rapide, levier stratégique pour préserver la valeur actionnariale et la base client.

Références citées dans l’article

Afifi, W. A., & Metts, S. (1998). Characteristics and consequences of expectation violations in close relationships. Journal of Social and Personal Relationships, 15(3), 365-392.

Coombs, W. T. (1998). An analytic framework for crisis situations. Journal of Public Relations Research, 10(3), 177-191.

Fama, E. F. (1998). Market efficiency and long-term returns. Journal of Financial Economics, 49(3), 283-306.

Malhotra, A., & Malhotra, C. K. (2011). Evaluating customer information breaches as service failures. Journal of Service Research, 14(1), 44-59.

Yayla, A. A., & Hu, Q. (2011). The impact of information security events on stock value. Journal of Information Technology, 26(1), 60-77.