![[Tribune] L’or : un nouvel étalon face aux déséquilibres monétaires et politiques](/images/arthur_jurus.jpg "[Tribune] L’or : un nouvel étalon face aux déséquilibres monétaires et politiques"){kind=small}
![[Tribune] Déclaration de revenus : attention à bien anticiper un changement de fiscalité pour les loueurs saisonniers](/images/baptiste-bochart.jpg "[Tribune] Déclaration de revenus : attention à bien anticiper un changement de fiscalité pour les loueurs saisonniers"){kind=small}
![[Tribune] Le Private Equity : la démocratisation face au défi de la communication](/images/Ulkar_MULLER__J-F_FLITI_410_200.jpg "[Tribune] Le Private Equity : la démocratisation face au défi de la communication"){kind=small}
![[Tribune] Private equity et santé : un duo gagnant pour les investisseurs](/images/Emilie_Buttiaux.jpg "[Tribune] Private equity et santé : un duo gagnant pour les investisseurs"){kind=small}
![[Tribune] Technologie et gestion de patrimoine : une révolution sous haute sécurité](/images/xavier_de_champsavin.png "[Tribune] Technologie et gestion de patrimoine : une révolution sous haute sécurité"){kind=small}
- Vous êtes ici :
-
Accueil
-
Banque/CGP
-
Rubriques
-
Actualités
- Harvest : une réouverture des services au compte-gouttes
Marché
Harvest : une réouverture des services au compte-gouttes
- Vendredi 14 mars 2025 - 12:16
- | Par Jonathan Blondelet
Après Feefty, Quantalys a rouvert le 13 mars et O2S le 18, sans que l’éditeur qui mène encore des investigations ne s’engage sur un terme fixe pour le retour complet de ses services. Les associations de CGP préparent une action commune.
La communication de crise d’Harvest a laissé plus d’un acteur circonspect. Après qu’un serveur de l’un de ses prestataires ait été touché par un ransomware le 27 février pendant la nuit, il a fallu attendre le 6 mars pour que la société fasse une première communication à destination de ses clients indiquant que des investigations étaient en cours.
Données préservées
Une deuxième leur a été envoyée le 12 mars alors que la presse, elle, était toujours tenue à l’écart. L’éditeur de logiciel est formel : il affirme que ses investigations forensiques, « visant à déterminer l’origine et le périmètre du cyber incident, n'ont révélé aucune extraction, fuite ou lecture de données » clients.
Les experts maison épluchent maintenant les répertoires internes utilisés par les collaborateurs, hors logiciels Harvest, pour « finaliser l’analyse ».
Feefty, qui n’avait pas été contaminé par la cyberattaque, a rouvert le 10 mars. Le 13 mars, c’était au tour de Quantalys. Si le service a traversé quelques difficultés à la reprise, il semble pleinement rétabli à cette heure.
Retour partiel d’O2S
O2S est à nouveau disponible depuis le 18 mars, mais seulement de façon partielle et sur les horaires de bureau, les autres plages horaires étant mobilisées pour la reprise progressive du service.
Generali Lux et Axa Lux devraient être prochainement concernées, ainsi que l’a indiqué Sonia Fendler, la nouvelle directrice générale de l’éditeur, suivant des propos rapportés par le journaliste Gilles Petit lors des Pyramides de la Gestion organisée par Investissement Conseils.
Les investigations se poursuivent sur Big et Fidnet, sans qu’une date de reprise ne soit annoncée à ce stade.
L’activité des CGP et des banques privées abonnés a été fortement perturbée depuis l’interruption des services d’Harvest. De même que celle des assureurs et sociétés de gestion en lien avec les distributeurs par ricochet, ou des associations de CIF dont les contrôles sont paralysés par l’impossibilité pour les concernés de fournir les pièces justificatives.
Evenement majeur
« Il s’agit sans aucun doute d’un événement majeur pour la profession, avec des impacts significatifs pour de nombreux cabinets, rapporte un intermédiaire. Il est probable que les plans de continuité d’activité (PCA) évoluent en profondeur à la suite de cet épisode. »
L’épisode Harvest va faire office de rappel salutaire pour les intermédiaires qui doivent encore travailler leur architecture sécuritaire. Notamment ceux qui n’auraient pas encore mis sur pied de PCA, ni de registre RGPD. En tant que responsable de traitement au titre de cette réglementation, ils doivent également faire un avenant à leur contrat avec Harvest pour engager l’éditeur comme sous-traitant de données personnelles.
Sinistrose
Pour l’heure, aucune trace de fuite n’a été détectée, mais l’angoisse du sinistre est sur toutes les lèvres. « Les assureurs cyber ne prennent en charge le sinistre que s’il a été déclaré dans les 72 heures à partir de la connaissance de risque de fraude, or Harvest a mis deux semaines à communiquer sur l’absence d’extraction, fuite ou lecture des données clients », déplore Philippe Loizelet, président de l’ANCDGP.
Dans la pratique, peu de CGP ont souscrit des RC pro couvrant le risque cyber, au grand dam de certaines associations professionnelles.
Associations au front
De leur côté, l’heure est aux demandes d’explications. L’une d’elles a envoyé un recommandé rédigé avec l’appui d’un avocat, qui demande des explications détaillées sur la cyberattaque et les actions de remédiation entreprises, la confirmation écrite qu’aucune donnée client n’a été compromise ou exposée et le délai estimé pour le rétablissement complet des services.
Des réunions vont se tenir dans les prochains jours afin que les associations puissent convenir d’une position de Place, tournée vers la prévention des attaques futures. L’ANDCGP a déjà arrêté sa thèse, qu’expose Philippe Loizelet : « Nous demandons la présence d’Harvest dans le cadre d’un comité de retour d’expérience (Crex) qui rassemble les associations professionnelles, l’Ansii, l’AMF, l’ACPR et de la CNIL. Chaque attaque est innovante, il faut absolument partager l’information avec les parties prenantes pour éviter qu’elle ne se reproduise et préciser les procédures et processus qui auraient dû être respectés. »
Interrogée, Harvest n’a pour l’heure pas répondu à nos sollicitations.
