Fuite de données chez Home Depot : déjà 43 M$ de coûts

En un trimestre, Home Depot a dépensé 43 millions de dollars pour tenter de juguler la fuite de données dont la chaîne a pris conscience début septembre. Et ce n’est probablement qu’un début.

Victime d’une fuite massive de données – 56 millions de numéros de cartes de crédit et 53 millions d’e-mails de clients volés -, Home Depot fait face aux conséquences de cet épisode qui a gravement entaché son image. La société a déjà dépensé 43 millions de dollars au cours de son dernier trimestre fiscal pour faire face à cette faille.

Ces sommes, qui illustrent le coût élevé d’une fuite de données, ont été dépensées en enquêtes, services de protection d’identité pour les consommateurs, augmentation des effectifs des centres d’appel (pour faire face à l’afflux de sollicitations des clients paniqués) et autres dépenses auprès de sous-traitants. Home Depot espère que, sur ce total, 15 millions seront couverts par son assurance. Rappelons que, suite à la découverte de la faille, l’entreprise a mis en œuvre un numéro vert pour rassurer ses clients et leur proposer des services gratuits de protection d’identité et de suivi des encours de crédits.

En plus de ces 43 millions, le géant de la distribution s’attend à de nouveaux coûts « juridiques et en services d’autres nature » au cours des trimestres qui viennent. Tant pour réparer les dégâts, que pour compenser les pertes que pourrait subir son propre programme de cartes de crédit ou faire face aux actions en justice intentées à son encontre. 44 actions en justice aux Etats-Unis ou au Canada (les deux pays où la chaîne de magasins a été piratée) ont déjà été initiées, émanant de consommateurs, de sociétés émettrices de cartes bancaires, de banques ou d’actionnaires.

Chiffrement sur les lignes de caisse

Et Home Depot reconnaît que cette avalanche n’est peut-être pas terminée. Le distributeur dit s’attendre à d’autres réclamations de la part des réseaux de cartes bancaires, portant sur les fraudes que ces derniers ont subi suite à la fuite de données ainsi que sur les dépenses opérationnelles qu’ils ont engagés pour y faire face (comme les coûts de réassurance). Selon la chaîne de magasins, l’issue de ces actions dépendrait de la reconnaissance de sa conformité aux standards de sécurité (on pense notamment à PCI DSS). Home Depot assure avoir passé avec succès un audit à ce sujet fin 2013, mais précise qu’une nouvelle certification – pour 2014 – était en cours au moment où la fuite a été découverte.

A ces tracas judiciaires, s’ajoutent les projets qu’a engagés l’entreprise pour sécuriser ses lignes de caisse, où les assaillants ont puisé les millions de numéros de cartes bancaires. Dans ses résultats trimestriels, Home Depot affirme avoir « terminé un projet majeur en matière de sécurité des paiements, un projet reposant sur le chiffrement des données de paiement sur le point de vente dans l’ensemble des magasins de l’entreprise aux Etats-Unis ». Ce projet sera étendu aux enseignes canadiennes début 2015. « L’entreprise est également en train de mettre en place la technologie EMV (Europay Mastercard Visa) à base de puces et de codes PIN » dans ses implantations aux Etats-Unis. Les magasins canadiens étant déjà équipés.

Au final, la douloureuse reste pour l’heure relativement limitée pour un groupe de la taille de Home Depot, qui a enregistré un chiffre d’affaires de 20,5 milliards de dollars au cours de son dernier trimestre fiscal (pour un bénéfice net de 1,5 milliard). Pour l’instant, le coût de la faille se limite donc à 0,2 % du chiffre d’affaires. Mais il faudra scruter, à l’avenir, l’évolution de l’activité de la chaîne de distribution pour mesurer quel impact aura la faille sur la confiance que les consommateurs accordent à la marque.

Target : 150 M$ et un Pdg

Dans sa déclaration à la SEC, le gendarme de la bourse outre-Atlantique, Home Depot affirme s’attendre à ce que le coût final de la faille soit « significatif » en comparaison des fondamentaux financiers de l’entreprise. Et précise que les enquêtes sur la faille sont toujours en cours, n’excluant pas « d’identifier de nouvelles informations accédées ou dérobées » ou d’assister à de nouveaux développements de l’affaire.

Rappelons que la chaîne de bricolage a été victime d’une variante de BlackPOS, le malware qui avait déjà inscrit Target à son tableau de chasse. Ce logiciel malveillant cible les terminaux point de vente sous Windows pour extraire les données bancaires qu’ils manipulent en mémoire au moment du processus d’autorisation d’une transaction.

Première victime majeure de ce fléau, Target, qui s’est fait dérober 40 millions de numéros de cartes bancaires en début d’année, a chèrement payé la faille qui lui a valu les grands titres de la presse. L’épisode lui a coûté environ 150 millions de dollars et a poussé son Pdg vers la sortie… quelques semaines après la démission de la DSI du groupe.

A lire aussi :
Sécurité de l’information : les entreprises dépensent toujours plus
7 questions pour mieux comprendre le hold-up numérique de Target