Target : vers une facture à plus de 1 Md$ ?

Des experts en sécurité estiment que la brèche de sécurité dont Target a été victime fin 2013 pourrait coûter considérablement plus que les 162 M$ déclarés par le groupe dans son rapport annuel.

Target déclare en effet 191 M$ de dépenses brutes en 2014 pour gérer les suites de la brèche de sécurité, après 17 M$ de dépenses nettes en 2013 – après indemnisation par les assurances, et 46 M$ d’indemnisation à venir.

Mais les dépenses pourraient encore progresser, alors qu’un juge a donné son feu vert aux institutions financières, en décembre dernier, pour la poursuite de leurs efforts de quête d’indemnisation par Target pour leurs propres pertes financières induites par l’attaque.

Et la poursuite d’une autre procédure à l’encontre de l’enseigne a reçu le feu vert judiciaire en janvier dernier : une procédure collective engagée par des clients estimant avoir été lésés par une brèche qui a rendu vulnérables leurs données personnelles. Jusqu’à 70 millions de clients de Target pourraient avoir été concernés par la brèche de sécurité qui a été suivie de la démissiondu RSSI de l’enseigne.

La brèche aurait permis la collecte de données personnelles incluant nom, adresse postale, adresse e-mail, et numéro de téléphone des clients, ainsi que les détails de 40 millions de cartes de crédit et de débit. Jusqu’à trois millions de détails de cartes de paiement sont suspectés d’avoir été revendus au marché noir et utilisés frauduleusement avant que les banques d’annulent les autres.

« En tenant compte des actions judiciaires en cours, le coût de l’incident pourrait dépasser le milliard de dollars », estime Eric Chiu, président et co-fondateur d’HyTrust. Pour lui, « cela pourrait servir d’exemple fort pour montrer que les entreprises ont besoin de placer la sécuritéen tête de leurs priorités, en particulier autour des menaces internes par lesquelles la plupart des brèches surviennent aujourd’hui ».

Les attaques par hameçonnage ciblé ont récemment été identifiées comme l’étape initiale clédans ce qui a été décrit comme le plus braquage numérique le plus audacieux à ce jour et qui a conduit des institutions financières du monde entier à perdre 1 Md$.

Steve Hultquist, évangéliste en chef chez RedSeal, juge pour sa part que des investissements significatifs dans l’analytique de sécurité proactive et dans l’amélioration des processus auraient produit de bons résultats chez Target.

« Investissez maintenant ou payez plus tard. C’est le message que renvoie l’incident Target. Réaliser des investissements stratégiques maintenant est une mesure préventive sage pour garder en sécurité son organisation et ses clients ».

Dans ses prévisions de résultats financiers pour le dernier trimestre 2014, Sony estimait à 15 M$ les coûts d’investigation et de remédiation liés à l’attaque dont sa filiale Sony Pictures a étévictime en fin d’année. Mais comme pour Target, beaucoup estiment que les coûts réels devraient être considérablement plus élevés, et cela sans tenir compte d’éventuelles amendes, des coûts des procédures judiciaires, et de l’attente à la réputation de l’entreprise.

De son côté, Home Depot, un autre commerçant américain victime de pirates l’an passé, a déclaré un dépense nette avant impôts de 35 M$ pour l’attaque qui l’a visé. Mais le groupe reconnaît être encore, pour l’heure, incapable d’estimer certains coûts imputables à cette attaque.