C’est une cyberattaque qui pourrait avoir des rebondissements pour l’écosystème bancaire et assurantiel. Dans la nuit du 26 au 27 février, des cybercriminels ont exploité une faille dans le système d’information d’un des hébergeurs du groupe Harvest, éditeur incontournable de logiciels dédiés aux métiers du patrimoine et de la finance qui revendique 4600 clients (banques, assurances, fonds d’investissement, family offices). Les assaillants sont parvenus à pénétrer dans un serveur chez un des fournisseurs de l'entreprise ; une intrusion qui a permis de bloquer des logiciels (sans pouvoir accéder à leurs données) en échange d’une rançon (« ransomware »). En parallèle du serveur, les cybercriminels ont attaqué Harvest directement. En effet, quelques jours plus tard, une intrusion dans des boîtes mails de collaborateurs (un data center et deux serveurs concernés) a également été détectée. C'est dans ces deux serveurs qu'étaient hébergées les messageries. Les criminels sont parvenus à saisir des fichiers de travail contenant des données de clients finaux des assureurs, des banques et des conseillers en gestion de patrimoine (CGP). Discrets dans les jours qui ont suivi la cyberattaque – en dépit de l’envoi de courriels aux assureurs, banques et CGP les informant qu’ils étaient concernés – les dirigeants du groupe ont choisi désormais de s’exprimer devant leurs clients.

Début avril, la directrice générale adjointe de Harvest France, Sonia Fendler, a livré le modus operandi adopté lors de la convention annuelle de l’Association nationale des conseils financiers (Anacofi). « La première chose à faire dans ce genre de situation c’est de tout fermer : les portes, les fenêtres, la cheminée. En accord avec les autorités, nous avons donc éteint nos dix data centers et arrêté tous nos services, même s’ils n’avaient pas été compromis », a-t-elle expliqué ; sans pour autant nier que les documents sensibles retrouvés sur les serveurs internes auraient dû être supprimés voire anonymisés. « Je vous présente toutes mes excuses sur ce que l’on vous fait vivre, mais on en sortira plus forts », a confessé Sonia Fendler.

Assureurs impactés

« La cyberattaque dont l’éditeur de logiciels Harvest a été victime démontre à nouveau que toutes les sociétés, petites ou grandes, institutions financières ou sociétés commerciales, cotées ou non, sont exposées au risque cyber. La première conséquence, c’est l’arrêt de l’activité chez Harvest. Cela a impacté par ricochet les clients de l’éditeur, notamment certains conseillers en gestion de patrimoine (CGP) qui n’ont pas pu travailler pendant plusieurs semaines, décrypte Guillaume Deschamps, Head of Finex France et Luxembourg chez le courtier WTW. L’onde de choc a également touché les banques, les grands noms de l’assurance et les institutions financières. Au-delà de l’arrêt de l’activité, cela veut dire risque réputationnel pour les clients de Harvest et gestion de crise pour tenter de "limiter la casse". La seconde conséquence pour certains clients, c’est une possible fuite de données (data leak). » À l’évidence, l’onde de choc affecte la plupart des assureurs de la Place : Axa France, Maif solutions financières, Eres ou encore CNP assurances, lequel a développé avec Harvest une plate-forme à l’attention des gestionnaires de patrimoine indépendants (CNP Alysée) aussitôt mise à l’arrêt. 

La filiale de La Banque Postale a répertorié fin mars une fuite concernant l’état civil, le numéro de contrat et la répartition de l’investissement au sein de ce contrat d’assurance vie d’un nombre restreint de clients de ses partenaires (conseillers en gestion de patrimoine indépendants). La Maif constate de son côté que les cybercriminels ont pu avoir accès aux données de 55 000 de ses clients et prospects : état civil, situation matrimoniale et professionnelle mais en aucun cas aux relevés d’identité bancaire, aux mots de passe et aux pièces d’identité. Le groupe Harvest a travaillé en étroite collaboration avec l’ACPR, la Cnil et l’ANSSI (qui ont mis en place une cellule spéciale pour suivre ce dossier). « L’incident n’est pas terminé et ses conséquences précises sont toujours en cours d’investigation », explique aujourd’hui un porte-parole de l’ACPR à l’AFP. D’après plusieurs sources, dont le site spécialisé H24Finance, le groupe Harvest et Suravenir, la filiale assurance vie et prévoyance du groupe Crédit mutuel Arkéa, ont saisi la justice et porté plainte contre X. Suravenir s’ajoute désormais à la liste des établissements touchés par une possible compromission des données : Axa France, Maif solutions financières, Eres, 14 Banques populaires, 15 banques Caisses d’épargne et la Banque Palatine. La question des dommages et intérêts, des indemnisations comme celle du risque réputationnel commence à se poser pour l’éditeur de logiciels dont les actionnaires sont FiveArrows (groupe Rothschild & Co), TA Associates et Montagu Private Equity. Dans une lettre ouverte à Harvest publiée le 8 avril, quatre associations représentant des CGP (Anacofi CIF, CNECEF patrimoine, CNCGP, La Compagnie CIF) sont vent debout. Le piratage « affecte directement l’activité et la confiance de nombreux professionnels de notre secteur, expliquent-elles, évoquant de « graves préjudices d’ores et déjà causés par cet incident et par la gestion de celui-ci ». Autant de pertes de chiffre d'affaires pour les CGPI ! À suivre…