Les entreprises américaines qui ont divulgué l'existence de secrets commerciaux ont une probabilité nettement plus élevée de devenir la cible de pirates informatiques, selon une nouvelle étude menée par un professeur de comptabilité de l'Université du Kansas.

« Lorsque les entreprises divulguent des informations sensibles, il y a généralement un compromis, " a déclaré Michael Ettredge, le Crown-Sherr Distinguished Professor of Business. "Plus de divulgation plaît aux investisseurs, mais aide aussi les concurrents, ou dans notre contexte, aide les cyberattaquants. Nous pensons que les managers doivent peser les avantages par rapport aux coûts de la divulgation."

Ettredge était l'auteur principal d'une étude à paraître acceptée par le Journal de la comptabilité et des politiques publiques . Ses co-auteurs sont l'ancien élève de la KU Feng Guo, professeur adjoint de commerce à l'Iowa State University, et Yijun Li, un doctorant KU en comptabilité. Les chercheurs présenteront également leurs conclusions lors de la réunion annuelle de l'American Accounting Association qui se tiendra du 3 au 8 août à National Harbor, Maryland.

Les entreprises américaines continuent de faire face à des cyberattaques dont la fréquence et la gravité ne cessent de croître, selon le Federal Bureau of Investigation et une étude de 2015 du Ponemon Institute. La cyberviolation Target 2013 a touché plus de 41 millions de comptes de cartes de paiement de clients de l'entreprise, et la violation d'Equifax en 2017 a potentiellement compromis les informations de 147,9 millions de consommateurs.

Mais peu de recherches antérieures ont étudié les explications potentielles des violations, et aucune étude antérieure n'avait porté spécifiquement sur les violations qui visaient probablement des secrets commerciaux.

Les chercheurs ont examiné les cyberviolations identifiées à partir de sources publiques entre 2007 et 2015. L'échantillon total couvrait 39, 992 observations par année ferme et 7, 462 entreprises individuelles. Il y a eu 591 incidents de violation signalés, divulgués par 318 entreprises attaquées uniques. Ils ont découvert que les occurrences de cyberviolations sont positivement associées aux divulgations par les entreprises américaines de l'existence de secrets commerciaux - sans divulguer les détails des secrets réels - dans les dépôts du formulaire 10-K auprès de la Securities and Exchange Commission des États-Unis.

En moyenne, ils ont découvert que la divulgation de l'existence de secrets commerciaux augmentait la probabilité d'une violation de plus de 30 pour cent.

Les résultats indiquent également que les entreprises plus jeunes, les entreprises comptant moins d'employés et les entreprises opérant dans des secteurs moins concentrés sont plus vulnérables aux violations.

« Les jeunes entreprises sont souvent formées pour développer de nouvelles technologies. Nous supposons que les dirigeants des jeunes entreprises se concentrent davantage sur la croissance et la survie, considérant que les dirigeants d'entreprises matures ont plus de ressources et de temps à consacrer à la protection contre les cyberattaques, " Ettredge a déclaré. "Nous pensons que nos résultats suggèrent que les gestionnaires de jeunes entreprises, ceux qui ont moins d'employés et ceux qui opèrent dans des secteurs moins concentrés devraient être plus prudents en ce qui concerne leurs politiques de divulgation. »

Les dirigeants peuvent divulguer l'existence de secrets commerciaux pour persuader les investisseurs que leurs entreprises ont des produits nouveaux et des avantages concurrentiels. Ils s'attendent probablement à ce que cela augmente leurs cours boursiers. Il n'y a pas de règle de la SEC qui oblige les entreprises à divulguer si elles ont des secrets commerciaux, et les chercheurs ne pensent pas qu'ils devraient être obligés de le faire, il a dit, mais leurs conclusions donnent aux entreprises la possibilité de prendre une décision plus éclairée sur la manière de traiter les divulgations.

"Les résultats de notre étude suggèrent que la simple mention de secrets commerciaux peut attirer l'attention des pirates, " Ettredge a déclaré. "Les dirigeants d'entreprises devraient être autorisés à évaluer les avantages et les coûts de la divulgation de secrets commerciaux. Les divulgations volontaires et obligatoires peuvent avoir des résultats inattendus et indésirables, ainsi que des résultats bénéfiques."

Les auteurs de l'étude prévoient d'examiner si leurs résultats se généralisent à d'autres types de divulgations volontaires et obligatoires.