Le 27 février, la fintech Harvest, fleuron français des solutions cloud pour la gestion de patrimoine, est frappée de plein fouet par une cyberattaque au ransomware. En quelques heures, ses services SaaS sont paralysés, son site web devient inaccessible, et des milliers de conseillers en gestion de patrimoine se retrouvent sans outil, condamnés à ressortir les stylos. Face à cette coupure brutale, la communication de l’éditeur s’enlise dans un mutisme prolongé, laissant ses clients dans le flou le plus total. Décryptage !

Une sécurité affichée mais des failles critiques

Officiellement, Harvest ne manquait pas de dispositifs de sécurité (EDR, XDR, SIEM, correctifs automatisés). Mais dans les faits, la faille est humaine. L’attaque, attribuée à un affilié du groupe mafieux RansomHub, serait née d’une machine virtuelle hébergée chez un prestataire. Surtout, l’absence de généralisation de l’authentification multi-facteurs a ouvert une brèche : plusieurs comptes de messagerie interne ont été compromis. C’est à travers eux que les assaillants auraient pu mettre la main sur des fichiers internes contenant potentiellement des données sensibles.

Des données clients possiblement exposées

Le 19 mars, Harvest est contraint d’adresser un nouveau message à ses clients. Cette fois, il reconnaît une « compromission de fichiers internes », qui pourrait concerner des données client, sans pour autant toucher celles stockées dans les logiciels SaaS. Le message se veut rassurant, mais reste flou. L’éditeur promet des retours individualisés d’ici deux semaines. Un délai qui en dit long sur la complexité de l’analyse… et sur l’ampleur potentielle du problème.

Des services au ralenti et une confiance fragilisée

Pendant que l’enquête technique piétine, la remise en route des services se fait au compte-gouttes. Quantalys et Feefty ont été les premiers à revenir en ligne. O2S fonctionne partiellement, uniquement en horaires de bureau. Pour d’autres briques essentielles comme Big, Fidnet, Clickimpôts ou MoneyPitch, aucune date de réouverture n’a encore été avancée. Le site web d’Harvest, lui, reste toujours hors ligne.

Dans les coulisses, l’exaspération monte. CGP, banques, partenaires… tous s’interrogent sur la gestion de crise. Pourquoi tant de silence ? Pourquoi si peu d’anticipation ? Et surtout, quelles responsabilités seront engagées après deux semaines d’interruption de services critiques ? Heureusement certains réseaux ont leur propres solutions internes comme Prodemial qui fait partie d’un groupe ayant récemment acquis Slow Sense pour ses solutions digitales et ses outils métiers internes (ils ont également leurs propres formations internes comme vous pouvez le voir sur ce site). Cependant tous ne peuvent pas en faire autant et sont dépendants de solutions comme celles proposées par Harvest

Une crise qui interroge tout un écosystème

Harvest, acteur historique de la gestion patrimoniale numérique, revendique plus de 4 600 entreprises clientes. L’attaque interroge donc bien au-delà du cas d’école… Elle pointe les limites de la résilience numérique dans un secteur où la donnée est reine et la confiance, vitale. Que la compromission ait touché ou non les logiciels métiers, l’image est écornée. Et les questions, nombreuses. Combien de temps les utilisateurs devront-ils naviguer à vue ? A quelles sanctions l’entreprise s’expose-t-elle si des données personnelles sont avérées compromises ? La CNIL a d’ores et déjà été informée. Reste à savoir si la revendication de l’attaque viendra confirmer le scénario redouté.

Ce fiasco survient d’ailleurs en plein débat parlementaire sur la transposition de la directive européenne NIS 2 et le règlement sur la cyber-résilience des infrastructures critiques. Une coïncidence qui dérange. Car si ce texte vise à renforcer les obligations de sécurité numérique, l’affaire Harvest en devient un contre-exemple emblématique. Le président de l’Association nationale des conseils diplômés en gestion du patrimoine, Philippe Loizet, réclame déjà un retour d’expérience détaillé. D’autres, plus frontalement, posent la question des responsabilités juridiques après deux semaines d’arrêt quasi-total des services… tandis que le site web de l’éditeur reste toujours (désespérément) inaccessible.