Home Depot, une faille à plusieurs dizaines de millions de dollars
La chaîne de magasins de bricolage reconnaît que l’intrusion dont elle a été victime lui a déjà coûté 43 M$. Un montant qui pourrait encore progresser.
Un incident de sécurité à l’impact considérable. Dans une déclaration à la SEC, le gendarme des marchés boursiers américains, Home Depot indique que l’intrusion dont il a été victime plus tôt cette année lui a déjà coûté la bagatelle de 43 M$. La chaîne de magasins de bricolage estime toutefois que cette somme pourrait être en partie compensée par 15 M$, « pour des coûts dont l’entreprise pense qu’ils sont remboursables et peuvent être probablement recouvrés grâce à sa couverture assurantielle ». Ce qui ramènerait la dépense à quelque 28 M$.
Mais au-delà de cet optimisme, Home Depot reconnaît un risque financier majeur : le groupe « pense qu’il est probable que les réseaux de cartes de paiement » se retournent contre lui. Et d’estimer alors que « le montant final de demandes va probablement intégrer les sommes liées aux pertes incrémentales pour la fraude à la contrefaçon, et des dépenses exceptionnelles (comme les coûts de réemission de cartes) supportés par les réseaux de cartes de paiement ou par les banques émettrices.
Certes, Home Depot prévoit d’examiner, voire de contester ces demandes. Mais « à l’heure actuelle, l’entreprise pense qu’il est probable […] que des négociations aient lieu » pour régler ces requêtes à l’amiable, et que « des pertes liées à ces demandes sont raisonnablement possibles ». En revanche, la chaîne considère ne pas pouvoir « raisonnablement estimer l’ampleur possible de ces pertes. »
Des pertes à venir difficiles à évaluer
A ces demandes émises par les réseaux de cartes de paiement et par les banques commencent déjà à s’en ajouter d’autres. Toujours dans sa déclaration à SEC, Home Depot reconnaît ainsi que « au moins 44 actions » ont été engagées à son encontre aux Etats-Unis et au Canada, et « d’autres poursuites pourraient être engagées contre l’entreprise au nom de clients, de marques de cartes de paiement, de banques émettrices de cartes de paiement, d’actionnaires, ou d’autres » cherchant à obtenir dédommagement de préjudices liés à l’intrusion.
Et la chaîne d’alerter que les enquêtes en cours pourraient en outre déboucher sur des amendes la visant. Là encore, Home Depot estime que des « pertes liées à ces sujets sont raisonnablement possibles » - sans être toutefois « probables » - mais assure être pour l’heure incapable d’en estimer l’étendue éventuelle.
A cela pourrait encore s’ajouter des coûts liés au renforcement de la sécurité de son infrastructure informatique, qu’il s’agisse d’investissement ou de dépenses opérationnelles pour couvrir, par exemple, le recours à des professionnels extérieurs.
En tout, Home Depot assure maintenir une couverture assurantielle d’un montant total de 100 M$ pour la sécurité informatique et la responsabilité civile. Mais celle-ci n’évitera pas certaines pertes au groupe, celui-ci reconnaissait déjà qu’un maximum de 15 M$ pourrait lui être remboursé sur les 43 M$ déjà dépensés pour faire face aux conséquences de l’incident.
56 millions de cartes bancaires
Home Depot a reconnu, début septembre, avoir été victime d’une importante attaque informatique ayant compromis quelques 56 millions de cartes de paiement. Il estimait alors à 62 M$ le coût de l’intrusion, et à 27 M$ le montant couvert par ses assurances.
En outre, d’importantes questions sur la politique de sécurité de Home Depot ont été soulevées tout au long de l’automne. Des questions dont les réponses sont essentielles pour l’engagement de la responsabilité du groupe. Régulièrement depuis début septembre, la chaîne de magasins assure en réponse multiplier les mesures pour garantir la sécurité des moyens de paiement de ses clients, avec notamment le chiffrement des données des cartes bancaires aux Etats-Unis, ou encore le déploiement de terminaux EMV.
Selon The Hill, l’attaque a déjà coûté rien moins que 60 M$ aux organismes de crédit outre-Atlantique : sur les 56 millions de cartes concernées, 7,2 millions avaient été émises par des organismes de crédit qui ont dû les réemettre… pour un coût moyen de 8,02 $ par carte. L’attaque dont avait été victime Target fin 2003 n’avait couté aux organismes de crédit que 30 M$. Et ces organismes de pointer les commerces de détail, dénonçant le fait de devoir « payer les coûts, alors même que les organismes de crédit n’ont rien à faire avec l’incident ».
Réponse de l’industrie du commerce de détail sur le mode « nous aussi nous payons » : « après avoir dû absorber des pertes substantielles liées à la fraude, les commerçants doivent faire face à des amendes massives de la part de Visa et MasterCard, et à des centaines de millions de dollars dans le cadre de procédures privées engagées suite aux incidents. »