La recherche révèle que lorsqu'une entreprise subit une violation de la cybersécurité, d'autres entreprises du même domaine deviennent également moins attractives pour les investisseurs. Cependant, les entreprises qui sont ouvertes sur leur gestion des risques de cybersécurité s'en sortent nettement mieux que leurs pairs qui ne divulguent pas leurs efforts de cybersécurité.

"Des études antérieures ont trouvé des preuves de cet" effet de contagion "à la suite de violations de la cybersécurité, " dit Robin Pennington, co-auteur d'un article sur le travail et professeur agrégé de comptabilité au Poole College of Management de la North Carolina State University. "Toutefois, A notre connaissance, le nôtre est le premier à tester la question expérimentalement. Nous avons non seulement confirmé l'effet de contagion, mais a constaté qu'il existe des mesures claires que les entreprises peuvent prendre pour réduire son impact. Spécifiquement, les entreprises seraient bien avisées de mettre en œuvre les directives de déclaration volontaire de l'AICPA sur la divulgation des efforts de cybersécurité. »

Pour explorer les questions relatives à l'effet de contagion, les chercheurs ont mené une étude auprès de 120 investisseurs non professionnels. Dans l'étude, les participants ont reçu des informations sur une entreprise fictive, que nous appellerons la société A. Certains des participants ont également été brièvement informés du programme de gestion des risques de cybersécurité de la société A. Les participants ont ensuite été invités à donner une première évaluation de l'attractivité d'investir dans la société A, ainsi que la probabilité d'acheter des actions dans l'entreprise.

Les participants à l'étude ont ensuite été informés que l'un des pairs de l'entreprise A avait été victime d'une violation de la cybersécurité. Les participants ont ensuite été invités à donner une évaluation révisée de l'attractivité de la société A et de la probabilité d'y investir. Les participants ont ensuite reçu un communiqué de presse de la société A. Certains participants ont reçu une version du communiqué qui comprenait une référence au programme de gestion des risques de cybersécurité de la société A. Les participants à l'étude ont ensuite été invités à donner une évaluation finale de l'attractivité de l'entreprise A et de la probabilité d'acheter des actions dans celle-ci.

Les chercheurs ont découvert que les entreprises qui divulguaient leurs efforts de gestion des risques de cybersécurité avant et après la violation d'un concurrent s'en sortaient le mieux.

« Alors que l'entreprise souffre d'une certaine baisse d'attractivité après la brèche, en moyenne, il souffre le moins s'il divulgue son programme de gestion des risques de cybersécurité, d'une manière similaire aux directives de déclaration volontaire de l'AICPA, ", dit Pennington.

Les chercheurs ont également analysé les données de l'étude pour déterminer l'impact d'un autre effet, appelé « l'effet de concurrence », " qui a déjà été associé à des failles de cybersécurité dans la recherche archivistique. Dans ce contexte, l'effet de la concurrence se produit lorsque les investisseurs voient une faille de cybersécurité dans une entreprise comme un avantage pour les concurrents de cette entreprise, ce qui rend ces concurrents plus attrayants pour les investisseurs.

"Nous avons vu des preuves de l'effet de la concurrence avec certains investisseurs dans notre étude, mais en moyenne l'effet de contagion a dépassé l'effet de concurrence, ", dit Pennington.

"Notre étude offre des preuves expérimentales des effets de contagion et de compétition, ainsi que leurs forces relatives, " dit Pennington. " Mais je pense que ce qu'il faut retenir ici, c'est qu'il y a des avantages très réels à divulguer volontairement les efforts de gestion des risques de cybersécurité, comme le suggère l'AICPA. Il ne s'agit pas d'un exercice purement théorique, cela peut affecter l'attrait de votre entreprise pour les investisseurs."

Le papier, « Les divulgations volontaires atténuent-elles l'effet de contagion des atteintes à la cybersécurité ? » est publié dans le Revue des Systèmes d'Information .