How Mergers and Acquisitions Increase Data Breaches: A Complexity Perspective

Posted on by

Référence de l’article :
Liang, H., Srinivas, S., & Xue, Y. (2025). How mergers and acquisitions increase data breaches: A complexity perspective. MIS Quarterly. Advance online publication. https://doi.org/10.25300/MISQ/2023/17703


Mots-clés :
• Fusions et acquisitions (M&A)
• Théorie de la complexité
• Violations de données (Data breaches)
• Diversité organisationnelle
• Surface d’attaque
• Gouvernance des systèmes d’information
• Routine activity theory


Introduction synthétique :
L’article examine l’impact des fusions et acquisitions (M&A) sur le risque de violations de données au sein des entreprises. Le problème de gestion traité est que les M&A, bien qu’essentielles à la croissance, sont extrêmement complexes à exécuter techniquement et managérialement, créant des failles de sécurité. L’objectif des auteurs est de démontrer, via la théorie de la complexité, que l’augmentation du nombre de M&A prédit directement la probabilité de subir une brèche. Leur question de recherche explore également comment la diversité entre les entreprises fusionnées et la publicité entourant l’opération modulent ce risque. Le lien avec le contrôle de gestion est manifeste : il s’agit de piloter les risques opérationnels et les coûts de coordination induits par la transformation structurelle de la firme pour protéger sa performance.


Annonce du plan :
D’abord nous analyserons la perspective de la complexité structurelle générée par les M&A. Ensuite nous examinerons comment la diversité organisationnelle et la visibilité publique amplifient les risques cyber. Enfin nous mettrons en évidence les implications pour le contrôle interne et les limites de l’approche par proxys.


Développement structuré :

A. Definitions et concepts clés
• Risque cyber : Ici mesuré par le nombre de violations de données subies par la firme parente après une opération de fusion.
• Complexité structurelle : Définie par le nombre de nouvelles unités d’affaires et les interconnexions informatiques créées entre elles.
• Non-linéarité : Propriété de la complexité selon laquelle même de petits changements techniques durant l’intégration peuvent avoir des conséquences vastes et inattendues sur la sécurité.
• Diversité organisationnelle : Mesurée par la dissimilarité des domaines d’activité, de la taille des entreprises et de la stratégie de fusion.
• Surface d’attaque : Ensemble des points vulnérables créés par l’intégration de systèmes disparates que les défenseurs doivent sécuriser.

B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : L’échec de l’intégration sécuritaire peut paralyser l’organisation. L’article cite l’exemple de la brèche de Change Healthcare (2024), causée par l’absence d’authentification multifacteur lors d’une mise à jour liée à son acquisition par UnitedHealth.
• Impact stratégique : Plus la diversité entre les deux firmes est grande, plus l’effort d’intégration des processus et des systèmes est lourd, augmentant la probabilité d’erreurs de configuration.
• Responsabilité managériale : La difficulté d’identifier les responsables et de maintenir l’accountability croît avec la complexité organisationnelle.

C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Suivi des coûts de coordination : Les M&A augmentent drastiquement les coûts internes nécessaires pour aligner les systèmes et les ressources humaines.
• Pilotage de l’intégration : Le contrôle de gestion doit superviser la transition pour s’assurer que les actifs organisationnels sont correctement tracés et maintenus durant le rapprochement.
• Aide à la décision : L’étude suggère que les gestionnaires doivent anticiper une hausse des risques cyber non seulement à cause de la technique, mais aussi à cause des changements dans les rôles des employés.

D. Outils, modèles ou mécanismes évoqués
• Analyse de données de panel : Étude portant sur 5 072 entreprises publiques américaines sur une période de 18 ans (2004-2021), couvrant plus de 19 000 M&A.
• Routine Activity Theory : Théorie de criminologie utilisée pour montrer que la publicité d’un M&A rend la firme plus visible, attirant ainsi les attaquants qui exploitent les vulnérabilités de l’intégration.
• Indicateurs : Utilisation du nombre de M&A par an comme proxy de la complexité sous-jacente.

E. Résultats, apports et implications
• Apports théoriques : Première généralisation empirique du principe de complexité de Schneier au domaine des M&A organisationnels.
• Apports pratiques : Démontre que la diversité organisationnelle est un prédicteur de risque ; les firmes fusionnant avec des partenaires très différents (domaine, taille) doivent renforcer leur vigilance.
• Impact sur la performance : Une gestion proactive de la complexité permet d’éviter des brèches massives qui impactent des millions d’utilisateurs et la valeur de l’entreprise.

F. Limites de l’étude
Les auteurs reconnaissent s’appuyer sur des proxys de complexité (le nombre d’opérations) plutôt que sur une observation directe de la complexité interne réelle au sein des systèmes et des processus après la fusion.


Conclusion :
Cet article est capital pour un mémoire en contrôle de gestion car il établit un lien statistique robuste entre la stratégie de croissance externe (M&A) et l’exposition au risque cyber. Il démontre que la sécurité ne doit pas être une réflexion après-coup lors d’une fusion, mais une composante centrale de la gouvernance de la complexité. Pour un mémoire, il permet d’argumenter que le contrôle de gestion doit intégrer des indicateurs de diversité et de visibilité pour moduler les budgets de cybersécurité en période de restructuration.


Références citées dans l’article (Format APA ) :

• Anderson, P. (1999). Perspective: Complexity theory and organization science. Organization Science, 10(3), 216–232.
• Cohen, L. E., & Felson, M. (1979). Social change and crime rate trends: A routine activity approach. American Sociological Review, 44(4), 588–608.
• Mitsuhashi, H., & Greve, H. R. (2009). A matching theory of alliance formation and organizational success: Complementarity and compatibility. Academy of Management Journal, 52(5), 975–995.
• Schneier, B. (2018). Click here to kill everybody: Security and survival in a hyper-connected world. W.W. Norton & Company.
• Tanriverdi, H., Roumani, Y., & Nwankpa, J. (2019). Structural Complexity and Data Breach Risk. International Conference on Information Systems (ICIS) Proceedings.