La grande chaîne de distribution américaine Home Depot a dû payer une note salée suite au vol massif des données de ses clients qui a eu lieu entre avril et septembre. Pour assurer sa sécurité, l'enseigne de biens d'équipement pour la maison a dépensé 43 M$ au cours du trimestre écoulé, engagés dans des enquêtes, des services pour protéger ses clients contre le vol d'identité, l'augmentation des effectifs de ses centres d'appels et la mise en place d'autres services juridiques et professionnels. Dans un document transmis à la SEC (le régulateur américain des marchés financiers), le distributeur a précisé qu'il pensait se faire rembourser 15 millions de dollars via un contrat d'assurance. 

L'intrusion dans les systèmes de paiement de Home Depot avait touché des clients ayant passé commande dans ses magasins aux États-Unis et au Canada. Pas moins de 56 millions de cartes ont été compromises et 53 millions d'adresses mails dérobées au cours de l'attaque. Le distributeur a averti qu'il s'attendait en conséquence à devoir engager des dépenses dans le domaine juridique et sur d'autres services professionnels en lien avec ces vols de données. La chaîne de magasins est également confrontée à 44 actions intentée contre elle auprès des tribunaux aux États-Unis et au Canada. Elle s'attend à ce que d'autres plaintes soient déposées au nom d'autres clients, des réseaux de cartes de crédit, de banques ou d'actionnaires.

Responsabilité engagée en cas de non conformité

Les réseaux de cartes de paiement peuvent faire des réclamations pour chercher à récupérer les pertes liées à la contrefaçon et aux coûts de réémission des cartes, a expliqué Home Depot. Sa responsabilité dépendra de sa conformité avec les standards de sécurité contournés lors du vol. Un vérificateur indépendant a constaté que le réseau chargé de gérer les données des cartes de paiement était conforme aux normes de sécurité à l'automne 2013, mais il était en cours de certification pour l'année 2014 lorsque la cyberattaque s'est produite. « Les enquêteurs travaillant pour le compte des réseaux de cartes de paiement peuvent déclarer que la société n'était pas en conformité avec ces normes au moment de l'attaque », a indiqué  Home Depot.

Les détaillants sont tenus de suivre les normes de sécurité des données de la Payment Card Industry (PCI-DSS), qui constituent un ensemble de lignes directrices pour la sécurisation des données de cartes bancaires. Si elle est considérée non conforme, la responsabilité de l'entreprise peut être engagée. Le PCI Security Standards Council a mis en garde les détaillants qu'un audit annuel pouvait être insuffisant et que la conformité devait constamment vérifiée.