Référence de l’article :
D’Arcy, J., & Basoglu, K. A. (2022). The Influences of Public and Institutional Pressure on Firms’ Cybersecurity Disclosures. Journal of the Association for Information Systems, 23(3), 779-805. https://doi.org/10.17705/1jais.00740


Mots-clés :
• Divulgation (Disclosure)
• Théorie de la légitimité
• Pression publique
• Pression institutionnelle
• Rapports 8-K (SEC)
• Gouvernance de la cybersécurité
• Gestion des risques


Introduction synthétique :
L’article explore les facteurs qui poussent les entreprises à divulguer des informations sur leur cybersécurité de manière opportune, spécifiquement via les rapports 8-K déposés auprès de la SEC. Le problème traité est le manque de transparence et de rapidité dans la communication des risques cyber, ce qui peut nuire aux investisseurs. Les auteurs ont pour objectif de tester si des pressions externes (du public et des pairs de l’industrie) influencent ces décisions de divulgation au-delà des obligations réglementaires. Leur question de recherche examine comment la source d’une violation (interne ou externe) module ces pressions. L’article lie directement la gestion des risques au pilotage de la communication stratégique, montrant que la divulgation est un outil pour combler un “écart de légitimité” après un incident cyber.


Annonce du plan :
D’abord nous analyserons les fondements théoriques de la légitimité liés à la divulgation d’informations cyber. Ensuite nous examinerons comment les pressions du public et de l’industrie dictent la réactivité des entreprises. Enfin nous mettrons en évidence les implications de ces résultats pour le contrôle interne et la gouvernance.


Développement structuré :

A. Définitions et concepts clés
• Risque cyber : Comprend les incidents de sécurité (violations de données, ransomwares) entraînant des coûts financiers et réputationnels substantiels.
• Gouvernance des SI : Implique la gestion stratégique des priorités de l’entreprise en matière de sécurité, poussée par les régulateurs (ex: SEC) et les parties prenantes.
• Contrôle interne : Cadre incluant les faiblesses de contrôle (SOX) qui doivent être signalées si elles affectent les décisions des investisseurs.
• Divulgation cyber (Cybersecurity Disclosure) : Communication proactive sur la prévention, la détection et la correction des violations, ainsi que sur les efforts de gestion des risques.
• Rapport 8-K : Outil de communication “actuelle” (vs trimestrielle) utilisé pour notifier les investisseurs d’événements matériels importants.

B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : Les violations de données affectent la valeur boursière, les dépenses des clients et peuvent entraîner le remplacement de la direction (CEO/CFO).
• Impact financier et stratégique : La divulgation est un choix stratégique : elle peut rassurer les investisseurs mais aussi aider les hackers en révélant des vulnérabilités.
• Responsabilité managériale : Les gestionnaires exercent leur discrétion pour déterminer si une information cyber est “matérielle” et doit être publiée.

C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Suivi des coûts liés aux incidents : L’article mentionne le suivi des coûts financiers, des procédures judiciaires et des efforts de remédiation après une violation.
• Tableaux de bord et reporting : Utilisation des rapports 8-K comme outil de pilotage pour projeter une image de responsabilité et de transparence auprès des marchés.
• Aide à la décision : La direction doit arbitrer entre le coût de la divulgation et le risque de perte de légitimité si elle reste silencieuse.

D. Outils, modèles ou mécanismes évoqués
• Analyse de données de panel : Étude portant sur 678 annonces de violations de données entre 2005 et 2018.
• Indicateurs de pression : Mesure de l’attention publique via le volume de recherches Google (Google Trends) sur l’entreprise après un incident.
• Classification des sources : Distinction entre violations externes (hackers) et internes (erreurs de processus ou employés malveillants).

E. Résultats, apports et implications
• Apports théoriques : Nuance la théorie de la légitimité en montrant que les entreprises sont sélectives : elles réagissent davantage aux pressions publiques pour les violations externes, jugées moins “évitables” que les internes.
• Apports pratiques : Les entreprises ont tendance à utiliser les violations de leurs pairs comme un “bouclier” (effet de sécurité par le nombre) pour divulguer moins d’informations sur leurs propres défaillances internes.
• Impact sur la performance : La pression publique agit comme une “autorité morale” poussant à une plus grande transparence, ce qui influence la valorisation boursière globale.

F. Limites de l’étude
Les auteurs notent que la mesure de l’attention via Google Trends ne précise pas si l’attention est positive ou négative. De plus, l’étude ne permet pas d’évaluer si le contenu des divulgations est purement “opportuniste” (lip service) ou s’il reflète un engagement réel envers la cybersécurité.


Conclusion :
Cet article est essentiel pour un mémoire en contrôle de gestion car il démontre que le reporting cyber n’est pas qu’une question de conformité, mais un levier de gestion de la réputation et de la légitimité. Il souligne que le contrôle de gestion doit intégrer la dimension de l’opinion publique et de l’environnement institutionnel dans ses stratégies de communication financière. Pour un mémoire, il offre une méthodologie pour analyser la réactivité des entreprises face aux risques externes.


Références citées dans l’article :
• Gordon, L. A., Loeb, M. P., & Sohail, T. (2010). Market value of voluntary disclosures concerning information security. MIS Quarterly, 34(3), 567-594.
• He, J., & Plumlee, M. A. (2020). Measuring disclosure using 8-K filings. Review of Accounting Studies, 25(3), 903-962.
• Patten, D. M. (2002). The relation between environmental performance and environmental disclosure: A research note. Accounting, Organizations and Society, 27(8), 763-773.
• Suchman, M. C. (1995). Managing legitimacy: Strategic and institutional approaches. Academy of Management Review, 20(3), 571-610.
• Weber, R. (1999). Information Systems Control and Audit. Prentice-Hall.