The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures.

Posted on by

Référence de l’article

D’Arcy, J., & Basoglu, K. A. (2022). The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures. Journal of the Association for Information Systems, 23(3), 779-805. https://doi.org/10.17705/1jais.00740

Mots-clés

Cybersécurité, gestion des risques, divulgation d’informations (disclosure), pilotage de la performance, théorie de la légitimité, pression institutionnelle, gouvernance des systèmes d’information, rapports 8-K.

Introduction synthétique

Cet article explore les déterminants des divulgations opportunes d’informations sur la cybersécurité dans les rapports 8-K déposés auprès de la SEC. Le problème central réside dans la gestion de la communication après une violation de données, un événement qui engendre des coûts financiers et réputationnels substantiels menaçant la viabilité de l’entreprise. L’objectif des auteurs est de déterminer si des pressions externes, autres que réglementaires, incitent les entreprises à communiquer sur leurs risques et leur gestion de la sécurité. Ils testent l’hypothèse selon laquelle la pression publique (attention médiatique) et la pression institutionnelle (violations chez les pairs) agissent comme des moteurs de divulgation, modulés par l’origine interne ou externe de la faille. Pour le contrôle de gestion, cette recherche souligne que la cybersécurité n’est pas qu’un défi technique, mais un enjeu de pilotage stratégique de l’information pour maintenir la légitimité auprès des investisseurs.

Annonce du plan

  • D’abord nous analyserons les fondements théoriques de la divulgation comme outil de légitimation et les concepts clés liés à la gouvernance de l’information.
  • Ensuite nous examinerons les enjeux managériaux du risque cyber et comment les pressions de l’environnement influencent la performance perçue.
  • Enfin nous mettrons en évidence les résultats de l’étude concernant le rôle du pilotage de la communication dans la réduction de l’asymétrie d’information et les limites de ces mécanismes.

Développement structuré

A. Définitions et concepts clés

  • Risque cyber : Comprend les violations de données, les attaques par déni de service et les ransomwares, entraînant des coûts financiers et réputationnels majeurs.
  • Gouvernance des SI : Elle se manifeste ici par la gestion stratégique des rapports financiers et réglementaires (10-K, 10-Q, 8-K) visant à informer les parties prenantes sur la viabilité à long terme de l’organisation.
  • Contrôle interne : Mentionné à travers le cadre de la loi Sarbanes-Oxley (SOX), il impose l’identification des faiblesses matérielles des contrôles informatiques liés à l’information financière.
  • Pilotage de la performance : Capacité de l’entreprise à maintenir sa valeur boursière et la confiance des investisseurs face à des événements défavorables.
  • Indicateurs de risque (KRI) et de performance (KPI) : L’étude utilise le volume de recherche Google comme indicateur de pression (KRI) et le nombre de mots liés à la sécurité dans les rapports 8-K (DiscWord) comme mesure de l’effort de transparence (KPI).

B. Enjeux organisationnels et managériaux du risque cyber

  • Menaces pour la performance : Les cyberattaques impactent négativement le prix des actions, la qualité de l’information financière et peuvent entraîner le départ de dirigeants (CEO/CFO).
  • Impact financier et stratégique : Une violation peut réduire les dépenses des clients et les pousser vers des canaux concurrents. Les investisseurs utilisent ces divulgations pour ajuster leurs décisions d’investissement.
  • Responsabilité managériale : Les gestionnaires exercent un pouvoir discrétionnaire sur la quantité et la nature des informations divulguées, arbitrant entre transparence et protection contre de futures attaques (ne pas aider les hackers).

C. Rôle du contrôle de gestion dans la gestion du risque cyber

  • Suivi des coûts : Le contrôle de gestion doit intégrer les dommages financiers directs et les litiges potentiels liés aux failles.
  • Budgets de cybersécurité : L’article mentionne les dépenses en capital (CapEx) comme un facteur lié à la taille de l’entreprise et à sa probabilité de subir une attaque.
  • Tableaux de bord et aide à la décision : La gestion des rapports 8-K sert d’outil de pilotage proactif pour combler le “fossé de légitimité” créé par une crise.
  • Intégration stratégique : Le contrôle de gestion aide à décider si une information est “matérielle” (significative) pour l’investisseur, influençant ainsi la communication stratégique de l’entreprise.

D. Outils, modèles ou mécanismes évoqués

  • Indicateurs : “DiscWord” (comptage de mots-clés de sécurité) mesure l’étendue de la divulgation.
  • Systèmes d’information : Utilisation de la base de données EDGAR de la SEC et de scripts d’extraction de données pour analyser les rapports financiers.
  • Méthodes de mesure du risque : Études d’événements boursiers et analyses de régression (MCO et binomiale négative) pour lier les pressions aux divulgations.
  • Dispositifs de contrôle interne : Évaluations post-brèche incluant la réinitialisation des mots de passe et les audits médico-légaux par des tiers.

E. Résultats, apports et implications

  • Apports théoriques : L’étude affine la théorie de la légitimité en montrant que les entreprises sont sélectives : elles communiquent davantage après une faille externe (jugée moins blâmable) qu’après une faille interne.
  • Apports pratiques : Les gestionnaires utilisent les violations chez les pairs pour se différencier (en divulguant moins) afin de signaler qu’ils ne partagent pas les mêmes faiblesses sectorielles, sauf s’ils sont eux-mêmes victimes.
  • Impact sur la performance globale : Une communication proactive suite à une pression publique peut aider à restaurer la confiance, tandis que la rétention d’information sur les failles internes peut conduire à une évaluation erronée de la valeur de l’entreprise.

F. Limites de l’étude

  • La mesure de la pression publique par Google Trends ne distingue pas si l’attention est positive ou négative.
  • L’agrégation annuelle des données ne permet pas de mesurer avec précision la “rapidité” de la réponse au jour près.
  • Le focus sur les entreprises cotées américaines limite la généralisation à d’autres contextes réglementaires.

Conclusion

Cet article démontre que la divulgation d’informations cyber est un acte de pilotage stratégique dicté par la gestion de la réputation et de la légitimité. Pour un mémoire en contrôle de gestion, il est crucial car il établit que le reporting cyber n’est pas seulement une réponse à la loi, mais une réaction aux attentes du marché et à la pression publique. L’étude offre un cadre pour comprendre comment les indicateurs de risque externes (attention publique) transforment les politiques de reporting interne et influencent la performance boursière.

Références citées dans l’article

  • Bansal, P., & Clelland, I. (2004). Talking trash: Legitimacy, impression management, and unsystematic risk in the context of the natural environment. Academy of Management Journal, 47(1), 93-103.
  • Gordon, L. A., Loeb, M. P., & Sohail, T. (2010). Market value of voluntary disclosures concerning information security. MIS Quarterly, 34(3), 567-594.
  • Li, H., No, W. G., & Wang, T. (2018). SEC’s cybersecurity disclosure guidance and disclosed cybersecurity risk factors. International Journal of Accounting Information Systems, 30, 40-55.
  • Securities and Exchange Commission (SEC). (2018). Commission statement and guidance on public company cybersecurity disclosures.
  • Zavyalova, A., Pfarrer, M. D., Reger, R. K., & Shapiro, D. L. (2012). Managing the message: The effects of firm actions and industry spillovers on media coverage following wrongdoing. Academy of Management Journal, 55(5), 1079-1101.