Cyber Risk and Security Investment

Disponible en format(s) : PDF

Dernière mise à jour : février 2024

Nous élaborons un modèle où des entreprises investissent en cybersécurité pour se protéger et protéger leurs clients contre les cyberattaques. Puisque les investissements en cybersécurité ne sont pas observables, les entreprises peuvent signaler leur niveau d’investissement en cybersécurité pour attirer des clients. En situation d’équilibre, les entreprises sous-investissent en cybersécurité. Nous déduisons des implications vérifiables au sujet des modalités des cyberattaques, de la probabilité d’une cyberattaque réussie et des frais imposés aux clients. Pour améliorer l’efficience, une autorité de réglementation peut imposer un niveau minimal d’investissement en cybersécurité ou faire adopter un règlement en matière de protection des consommateurs qui fait porter aux entreprises, et non aux clients, le fardeau des cyberattaques. Dans les deux cas, les entreprises doivent investir un montant sous contrainte d’efficience en cybersécurité.

DOI : https://doi.org/10.34989/swp-2022-32