Cyberattaque Harvest : retour sur l'attaque ransomware qui a paralysé la fintech française en février 2025

15 juillet 2026
Cyberattaque Harvest : retour sur l'attaque ransomware qui a paralysé la fintech française en février 2025

En février 2025, Harvest, cet éditeur de logiciels SaaS très implanté chez les conseillers en gestion de patrimoine, a subi une harvest cyberattaque qui a mis à genoux ses plateformes pendant des semaines. Ce n'était pas juste un incident technique de plus. L'attaque a révélé à quel point une faille chez un prestataire d'hébergement peut cascader jusqu'aux données personnelles de milliers de particuliers, via les outils utilisés par les CGP et certaines banques ou assureurs. On en parle encore aujourd'hui parce que les leçons valent pour toute la chaîne de la fintech et de la cybersécurité en France.

Comment tout a commencé : la nuit du 26 au 27 février

Les premiers signes sont apparus dans la nuit du 26 au 27 février 2025. Des cybercriminels ont exploité une vulnérabilité sur une machine virtuelle hébergée chez l'un des prestataires de Harvest. Pas besoin d'une attaque ultra-sophistiquée contre les systèmes internes de l'entreprise : l'accès initial est passé par la supply chain, un classique qui continue de faire des ravages.

Une fois à l'intérieur, les attaquants ont déployé leur ransomware et exfiltré des volumes importants de données. Les services SaaS sont devenus inaccessibles : site web, VPN, et surtout les outils métiers comme Feefty, Quantalys, Prisme ou O2S. Des milliers de CGP se sont retrouvés à travailler en mode dégradé, papier et crayon, pendant une quinzaine de jours minimum. Harvest a rapidement parlé de « cyber incident » sans trop entrer dans les détails au début.

Le 10 avril, le groupe Run Some Wares a revendiqué l'attaque sur son site de leaks. Ce collectif émergent, apparu publiquement fin février mais probablement actif depuis au moins mi-2024, pratique le double extorsion : chiffrement + menace de publication des données volées. Des premiers lots de fichiers ont été mis en ligne, avec listes de répertoires et échanges typiques de négociation de rançon en bitcoin.

Ce qui a vraiment fuité : bien plus que des fichiers internes

Les répertoires exfiltrés donnent une idée assez précise de l'ampleur. On y trouve des dossiers de projets en cours, des documents stratégiques, des organigrammes, de la comptabilité et de la paie, des fichiers RH avec contrats et évaluations de salariés, des clés de chiffrement (KeePass, Veeam, bases de données), des archives de messagerie interne et même des éléments liés au développement et à des modèles d'IA.

Mais le point le plus sensible pour l'écosystème, c'est ce qui est passé par les boîtes mail des employés de Harvest. Certaines contenaient des extractions Excel non anonymisées de données clients issues des plateformes utilisées par les CGP. Résultat : des listes de clients, des identités, des informations sur des comptes-titres, parfois des IBAN ou des encours ont atterri sur le dark web.

Des institutions comme MAIF Solutions Financières, BPCE, Axa France ou Banque Palatine ont dû alerter leurs propres clients. Des milliers de particuliers se sont retrouvés exposés à des risques concrets d'usurpation d'identité et d'arnaques au faux conseiller bancaire. Harvest a toujours maintenu que les données stockées directement dans ses logiciels SaaS n'avaient pas été lues ni exfiltrées en masse, mais la compromission des messageries a suffi à créer une fuite en cascade. C'est typique de ces attaques modernes : on ne vole pas seulement ce qui est chiffré, on prend ce qui traîne dans les communications quotidiennes.

La gestion de crise chez Harvest : entre critiques et rétablissement progressif

La communication initiale a été pointée du doigt. Tardive, parfois erratique, elle a laissé les clients dans le flou pendant les premiers jours critiques. Les CGP, via des associations comme l'ANACOFI, ont dû se débrouiller pour comprendre ce qui les concernait exactement.

À partir de mi-mars, Harvest a multiplié les mails directs. Elle a annoncé la réouverture progressive des applications (certaines dès fin mars, d'autres sur les semaines suivantes), la remise à zéro des mots de passe et surtout l'exemption de facturation pendant toute la période d'indisponibilité. Des notifications individuelles ont été envoyées aux clients concernés par une possible exposition de leurs données.

Fin juin 2025, la direction adjointe réaffirmait encore la solidité financière du groupe et les investissements massifs consentis en sécurité, bien au-delà du montant de la rançon demandée. L'entreprise n'a pas fait partie des statistiques habituelles des victimes de ransomware qui s'effondrent dans les six mois. Mais le coût réputationnel et opérationnel reste lourd, et les procédures judiciaires ou réglementaires (CNIL, autorités de contrôle du secteur financier) ont probablement suivi leur cours.

Ce que cette harvest cyberattaque nous apprend en 2026

Le cas Harvest reste un excellent cas d'école pour plusieurs raisons.

D'abord, il rappelle que même avec de l'EDR, du XDR et du SIEM en place, une faille chez un prestataire d'hébergement suffit à tout faire basculer. La gestion des risques tiers n'est pas un sujet théorique : c'est souvent le maillon le plus faible.

Ensuite, la compromission des messageries montre à quel point les pratiques de partage de données restent fragiles. Des extractions Excel de données clients qui circulent par mail, c'est encore beaucoup trop courant dans les environnements financiers. La minimisation des données et le chiffrement des échanges sensibles ne sont pas des options.

Côté réponse à incident, la leçon est claire : la communication de crise fait partie intégrante de la résilience. Les clients (ici les CGP, mais aussi les banques et assureurs en bout de chaîne) ont besoin de réponses rapides, précises et régulières. Les obligations RGPD des responsables de traitement (les CGP) ont d'ailleurs obligé beaucoup d'entre eux à notifier la CNIL dans les 72 heures, même quand Harvest agissait en sous-traitant.

Enfin, pour les éditeurs SaaS qui servent des secteurs régulés, la solidité technique ne suffit plus. Il faut aussi démontrer une vraie capacité à absorber le choc, à restaurer vite et à assumer la transparence. Les CGP et leurs partenaires ont désormais un argument de plus pour exiger des clauses contractuelles solides sur la sécurité, les tests d'intrusion, les sauvegardes testées et les plans de continuité.

En fait, cette harvest cyberattaque n'a pas inventé de nouvelles techniques. Elle a surtout mis en lumière des faiblesses structurelles qu'on voit encore trop souvent : dépendance forte à quelques éditeurs critiques, hygiène des données perfectible, et sous-estimation des impacts en cascade sur les particuliers.

Ceux qui gèrent des portefeuilles ou qui conseillent des clients sur leur patrimoine savent désormais que la cybersécurité de leur outil métier n'est pas un sujet IT lointain. C'est directement lié à la confiance qu'on leur accorde. Et cette confiance, une fois ébranlée par une fuite de données sur le dark web, met du temps à se reconstruire.

Les enseignements de février 2025 valent toujours en 2026. Ils valent même pour toutes les organisations qui s'appuient sur des prestataires externes pour des fonctions critiques. Parce que la prochaine harvest cyberattaque – ou son équivalent – n'attend pas pour frapper ailleurs.

Nous sommes une équipe d'experts passionnés, convaincus que la sécurité informatique est devenue un enjeu majeur et stratégique pour toutes les organisations, quels que soient leur taille et leur secteur d'activité.
Partager cet article:
Top