S’il n’a rien d’exceptionnel hormis son ampleur, le vol de données dont a récemment été victime l’américain Epsilon offre l’occasion d’essayer de chiffrer une perte de données, en observant l’impact de la nouvelle sur le cours de l’action.

Au pire de la tourmente l’action Alliance Data Systems (la maison-mère d’Epsilon) aura perdu de 6,74 dollars par rapport à son plus haut du premier avril (date de l’annonce). Sur une base de 51,13 millions d’actions cela représente environ 344 millions de dollars de pertes (virtuelles, sauf pour qui aura cédé à la panique).

Cours de l'action d'Alliance Data Systems après le vol de données de la filiale Epsilon

Le vol de données a été annoncé par Epsilon le premier avril. Le graphique intraday du cours de l’action montre une baisse très modérée pendant les trois jours qui suivent l’annonce, car la nouvelle n’a pas encore été reprise par les médias généralistes.

Mais à partir du 4 avril le piratage est mentionné par le Washington Post, le Wall Street Journal et USA Today, pour ne citer qu’eux.

Le cours de l’action de la maison-mère en paie alors immédiatement le prix : les volumes s’envolent (2,6 millions d’ordres le 4 avril contre un million le premier avril) et l’action perd au pire de la journée 7,6% par rapport à son plus haut du premier avril, soit une chute de 6,74 dollars.

Mais la mécanique des marchés aura vite raison de la peur du hack : à la clôture du 4 avril l’action ne perdait plus que 2%, et elle semble s’y tenir aujourd’hui encore (-2,14% à la clôture le 6 avril). A ce jour l’impact sur la capitalisation de la société n’est donc plus « que » de 94 millions de dollars.

A ce stade le chiffre peut encore sembler suffisamment élevé pour que le RSSI en quête de budget l’utilise dans sa prochaine présentation. Mais est-il vraiment significatif ? Pas vraiment si l’on observe l’historique du cours de l’action ADS depuis son introduction en bourse en 2001. Le titre aura non seulement connu des chutes bien plus extrêmes que celle-ci, mais surtout il est aujourd’hui à son plus haut historique en dépit de cet accident de parcours.

Cours de l'action d'Alliance Data Systems depuis son introduction en 2001

Une observation similaire du cours d’EMC, la maison-mère de RSA Security, elle aussi récemment victime d’une opération de piratage largement médiatisée, montre une tendance similaire : l’action est certes chahutée mais elle retrouve rapidement des niveaux proches de la normale (même si dans le cas d’EMC la reprise parait plus hésitante car l’on ne connaît pas encore la nature exacte des informations dérobées à RSA).

En définitive la perte de données semble être, du seul point de vue du marché, un accident de parcours mineur. Mieux vaut donc être prudent si l’on souhaite s’appuyer sur de telles données pour « vendre » un projet sécurité à la Direction car cela pourrait très bien se retourner contre le RSSI imprudent !

Reconnaissons toutefois qu’il s’agit dans un cas comme dans l’autre d’un incident survenu au sein d’une filiale, et que la brèche n’a pas d’impact direct sur leurs propres opérations. Une analyse similaire chez un pure player de la sécurité révélerait peut-être un impact plus significatif.