Economics of information security and the market for software vulnerabilities

par Arrah-Marie Jo

Thèse de doctorat en Economie, gestion, sciences sociales

Sous la direction de Marc Bourreau.

Soutenue le 25-11-2019

à l'Institut polytechnique de Paris , dans le cadre de École doctorale de l'Institut polytechnique de Paris , en partenariat avec Télécom Paris (Palaiseau) (établissement opérateur d'inscription) et de Institut interdisciplinaire de l'innovation (Paris) (laboratoire) .

Le président du jury était Maya Bacache-Beauvallet.

Le jury était composé de Maya Bacache-Beauvallet, Rainer Böhme, Thierry Rayna.

Les rapporteurs étaient Thierry Burger-Helmchen, Thierry Pénard.

  • Titre traduit

    Economie de la cybersécurité et le marché des vulnérabilités


  • Résumé

    L'environnement cybernétique est devenu un maillon essentiel au fonctionnement de notre société et de nos activités socio-économiques. Cette transformation va de pair avec un changement d’échelle et de portée des menaces de sécurité numérique, qui deviennent d’autant plus nombreuses et plus sophistiquées. Dans un environnement mondialisé où les systèmes sont connectés à de millions d’autres systèmes, les parties prenantes sont engagés dans de multiples interactions stratégiques. Qui doit-on responsabiliser et de quelle manière, afin d’inciter à une gestion efficace de la sécurité ? De quelle façon les différentes motivations économiques de chacun influencent-elles les décisions en matière de sécurité et par conséquent ont-elles des impacts sur la vulnérabilité d’un système ? Les nouvelles et rapides évolutions en cybersécurité apportent de nouveaux défis en matière de cybersécurité et force est de constater que le développement des solutions techniques ne suffit pas à comprendre et maitriser les risques. Dans cette thèse, nous mobilisons les outils de l'économie industrielle pour appréhender des éléments qui ont transformé l'environnement de la cybersécurité, tels que l'adoption de modèle de revenu basé sur la gratuité des logiciels, l'utilisation de mécanisme de crowdsourcing dans la découverte des failles de sécurité, ou l'implication croissante des acteurs externes à l’entreprise tels que les chercheurs individuels, les concurrents, les firmes de sécurité, ou les organismes publiques dans l'amélioration de la sécurité des logiciels. Nous nous attachons en particulier à comprendre les motivations des acteurs majeurs de la sécurité, allant de l'éditeurs de logiciels aux tierces parties telles que les white-hat hackers et les firmes de sécurité. Cette thèse est constituée de trois chapitres distincts, présentant chacun une contribution empirique. Le premier chapitre s'intéresse à la relation entre la réactivité des éditeurs de logiciel à corriger les failles de sécurité et l'intensité de la concurrence sur le marché. Nous étudions le cas d'un marché au coeur de la sécurité d'Internet, celui des navigateurs web, où l'utilisateur jouit d'une gratuité et les éditeurs dérivent leur revenu d'un autre marché connexe - celui des moteurs de recherche - et par conséquent sont en concurrence par la qualité du navigateur. A travers l'analyse économétrique de données de la correction des failles de sécurité sur les navigateurs web sur une dizaine d’années, nous montrons que la concurrence sur le marché n’incite pas nécessairement les éditeurs à renforcer la sécurité.Le deuxième chapitre se focalise sur le crowdsourcing des hackers pour découvrir des failles de sécurité, mécanisme représentatif du marché des vulnérabilités qui capitalise sur la contribution des tierce-parties. A travers l'analyse empirique de 156 programmes de chasse aux bug gérés sur la plateforme HackerOne, nous montrons comment la perception de l'incertitude à être rémunéré des hackers, défini par le niveau de détail des termes contractuels, affecte leur choix de participation et par conséquent l'efficacité du programme. Enfin, dans un troisième chapitre, nous examinons comment la divulgation publique d'une vulnérabilité critique sur un système affecte le comportement des acteurs à fournir un effort pour améliorer sa sécurité. A travers l'analyse de panels de données sur 3 cas de divulgation de faille de sécurité particulièrement critique, nous montrons combien les acteurs autres que l'éditeur de logiciel - les chercheurs individuels, les firmes de sécurité, les organismes publiques, etc. - , contribuent de manière significative à améliorer la sécurité du logiciel et sont davantage impacté par des externalités telle que la divulgation publique de failles critiques.


  • Résumé

    This thesis aims at contributing empirically to the research field of information security economics, by referring to traditional tools and knowledge in economics especially in Industrial Organization. It focuses on new and evolving elements in the cybersecurity environment such as the use of free software revenue models in digital markets (Chapter 1), the introduction of crowdsourcing mechanisms to improve software security (Chapter 2), or the increasing involvement of third parties in software security (Chapter 3). I am particularly interested in understanding the incentives of major actors that contribute to software security, such as software vendors, white-hat hackers, security firms, and other third parties. The thesis is organized in three chapters, each addressing a separate research question. In a first chapter, I examine the impact of competition intensity on software vendors' security investment behavior. I study the case of a software at the center of Internet security, namely the web browser, in which the vendors derive their revenue from advertising and compete in quality. I find out that market concentration is not necessarily harmful to security provision: indeed, higher market concentration positively impacts vendors' responsiveness in patching vulnerabilities, although this effect is reduced when a vendor is too dominant. In a second chapter, I focus on the crowdsourcing mechanism of white-hat hackers, which is representative of the market for software vulnerabilities that capitalizes on third parties' contribution. I study how hackers' perception of the uncertainty to be rewarded, determined by the level of information a contest provides about the contractual terms, affects their participation and thus the efficiency of the contest. I show that the self-selection process of participants leads to a trade-off between more numerous, but less performant participants, and higher quality but fewer participants. In a third chapter, I examine how the disclosure of a critical vulnerability affects the contribution of software vendors and third parties in discovering new vulnerabilities. I find that third parties' overall contribution in improving software security is considerable and that their contribution is significantly affected by externalities such as the disclosure of a critical vulnerability.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse\u00a0?

  • Bibliothèque : Télécom Paris. Centre de ressources documentaires numériques (CRDN).
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.