Target versera 10 M$ aux victimes de son intrusion
L’enseigne a accepté de dédommager ainsi ses clients dont les données personnelles et de cartes bancaires ont été dérobées dans son système d’information fin 2013.
Les avocats ayant engagé des poursuites en nom collectif contre Target ont demandé au juge chargé du dossier d’accepter la proposition de l’enseigne. Celle-ci propose ainsi de dédommager, à hauteur de 10 000 $, chacun de ses clients impliqués dans l’action collective.
Cette action avait été lancée pour obtenir réparation des conséquences du vol de données personnelles et de cartes bancaires survenu dans le système d’information de Target fin 2013 : utilisations frauduleuses, perte d’accès aux comptes, frais de remplacement de cartes, et coûts de surveillance des opérations cartes.
Les détails de 40 millions de cartes bancaires ont été compromis à l’occasion de l’intrusion dont Target a été victime entre le 27 novembre et le 15 décembre 2013. Mais les noms, adresses postales, adresses e-mail et numéros de téléphone de jusqu’à 70 millions de clients de l’enseigne auraient également été compromis.
Jusqu’à 3 millions de détails de cartes bancaires auraient été vendus sur le marché noir et utilisés frauduleusement avant que les banques émettrices n’annulent toutes les cartes concernées.
D’autres coûts à venir
En plus d’un package de dédommagement, Target s’est engagé à recruter un directeur de la sécurité de l’information chargé de superviser la sensibilisation des employés du groupe à la question de sécurisation des données personnelles identifiables des clients.
Target ne semble pas avoir eu de RSSI véritablement identifié avant l’intrusion, qui a été rapidement suivie par les démissions de son DSI et de Pdg.
Dans un communiqué, Target a indiqué être « satisfait de voir que le processus avance » et impatient qu’il soit « résolu ». Mais si le juge accepte l’offre de l’enseigne, cela ne signifiera pas que le groupe voit le bout des coûts induits par l’intrusion. D’autres pourraient survenir, alors que plusieurs instituions financières ont engagé des poursuites afin d’obtenir réparation des pertes induites, pour elles, par l’intrusion.
En février, Target a déclaré un coût de 162 M$. Mais, pour de nombreux observateurs, la facture finale pourrait s’élever à plus de 1 Md$.
Le groupe avait bien investit dans des technologies de sécurité analytiques. FireEye assure que ses outils, déployés par Target, avaient détecté l’intrusion. Mais les processus internes de l’enseigne se sont avérés inefficaces.