Chaque année, les informations personnelles de millions d’individus, telles que les mots de passe, les détails de la carte de paiement ou les détails de santé, tombent entre les mains d’individus non autorisés à cause du piratage ou d’erreurs de traitement des données par les entreprises.
Les effets pour les personnes touchées peuvent être dévastateurs, des pertes financières au vol d’identité. Pour protéger leurs clients, les entreprises de nombreux pays sont tenues par la loi de signaler de tels événements aux autorités de régulation et d’informer leurs clients. En conséquence, ces fuites finissent généralement par être rendues publiques.
Dans de telles circonstances, une action rapide est en fait nécessaire pour limiter la propagation et empêcher l’abus des données collectées. Cependant, les délais définis par les lois offrent une marge de manœuvre aux entreprises dans le calendrier des divulgations. Dans l’UE, toute fuite d’informations pouvant entraîner des dangers pour les personnes concernées doit être signalée dans les 72 heures. Aux États-Unis, les délais de déclaration varient selon les États de 30 à 90 jours.
Dix ans, 8 000 fuites
Quand Jens Foerderer, professeur de développement et de numérisation à la Technical University de Munich (TUM), et Sebastian Schuetz, professeur de systèmes d’information et d’analyse organisationnelle à l’Université internationale de Floride, ont étudié des événements de ce type, ils ont été étonnés de voir que les cours des actions étaient raisonnablement insensibles aux déclarations de violations d’informations.
« Cela nous a étonnés, car les fuites nuisent à l’image d’une entreprise et entraînent une perte de confiance des consommateurs, ce qui doit en fait entraîner une forte baisse de la cote boursière », déclare Jens Förderer . « Notre hypothèse était que l’attention des financiers a été détournée par d’autres nouvelles. »
Les chercheurs ont identifié le moment de la divulgation de plus de 8 000 fuites de données d’entreprises américaines ouvertes entre 2008 et 2018, en utilisant les détails acquis de l’organisation à but non lucratif Identity Theft Resource Center (ITRC). Ils ont ensuite examiné le calendrier par rapport aux dates auxquelles de nombreuses entreprises ont fourni leurs chiffres trimestriels – dates auxquelles il était évident à l’avance que de grandes quantités d’informations liées au marché seraient publiées. Pour cette fonction, ils ont analysé le Wall Street Journal, le journal d’organisation le plus crucial aux États-Unis.
Résultat significatif en cas de violations avec des causes internes
L’étude de recherche confirme les scientifiques conjecture : il y avait une incidence nettement plus élevée de divulgations de violations de données les jours où d’autres nouvelles faisaient la une des journaux. Il y avait une corrélation particulièrement forte entre les circonstances de base de l’actualité et la date de divulgation en cas de graves violations de données déclenchées par une négligence ou des erreurs internes et en cas de fuites d’informations sur la santé ou d’informations sur l’individu.
« Les jours d’actualités chargées, les salles de rédaction et les analystes doivent se concentrer sur les informations qu’ils récupèrent. Nos résultats suggèrent que les entreprises organisent tactiquement la divulgation des fuites de données et ciblent délibérément les moments où la déclaration obtiendra moins attention », déclare Foerderer.
Moins d’influence sur les coûts des actions les jours de forte actualité
Dans un deuxième temps, les scientifiques aimeraient savoir si cette stratégie a réussi pour l’entreprise. Pour ce faire, ils se sont penchés sur la performance des actions des entreprises suite à la divulgation des pertes de données. Bien que les cours des actions aient été généralement plus bas, la baisse est restée en réalité moindre les jours d’actualité mouvementés.
« Les entreprises qui cachent leurs erreurs de gestion des données sous d’autres informations évitent donc la pression publique pour qu’elles et d’autres entreprises prennent des mesures plus puissantes contre les violations de données », déclare Sebastian Schuetz.
Gardez une marge de manœuvre au minimum
Les scientifiques recommandent que la liberté pour le moment des déclarations de perte de données soit aussi limitée que possible. « Plus la date limite de divulgation est longue, plus les entreprises peuvent préparer les déclarations de manière stratégique et échapper à l’objectif réel de la divulgation », déclare Jens Foerderer.
Toute l’actualité en temps réel, est sur L’Entrepreneur
