Cyberattaque : des données de clients de clients d‘Harvest potentiellement compromises

[Mise à jour, le 19 mars 2025 @14h50] Selon nos confrères de Gestion de Fortune, Harvest Groupe vient d’adresser une nouvelle communication à ses clients directs, au sujet de la cyberattaque qui a commencé à affecter ses activités le 27 février dernier.

Selon celle-ci, la fintech française indique avoir désormais établi que des « comptes de messagerie de salariés » ont été compromis à l’occasion de l’incident. De là, « cette compromission pourrait avoir affecté certaines de vos données clients, nous souhaitions vous en informer ». 

Et Harvest Groupe d’assurer affiner ses « analyses » qui « mobilisent pleinement » ses équipes, pour tenir ses clients informés « sous une quinzaine de jours ». L’entreprise n’a pas répondu aux sollicitations de nos confrères.

[Mise à jour, le 13 mars 2025 @18h45] Selon nos informations, c’est un affidé de la franchise mafieuse RansomHub qui a conduit l’attaque paralysant les services SaaS de Harvest Groupe depuis le 27 février.

Cette attaque a trouvé son origine dans une machine virtuelle hébergée chez un prestataire. La fintech française ne manquait pourtant pas de dispositifs de sécurité, entre EDR sur les postes de travail et les serveurs, XDR, SIEM, et solution de gestion des correctifs. Toutefois, l’authentification à facteurs multiples (MFA) n’était pas généralisée à tous les comptes au moment de l’attaque. Les mots de passe associés à tous ceux-ci ont dès lors dû être réinitialisés.

Sollicité à plusieurs reprises par la rédaction, Harvest Groupe continue, pour l’heure, de se refuser à toute communication publique. Dans un courriel adressé tout récemment à ses clients, il assure que les données de ses applications SaaS n’ont pas été volées ni même lues. À l’heure où sont publiées ces lignes, l’attaque n’a pas encore été revendiquée. 

Selon nos constatations, il n’est pas rare que les revendications sous la bannière de RansomHub surviennent en moyenne de deux semaines à un mois après la survenue de l’attaque.

Apparue en février 2024, l’enseigne RansomHub a notamment profité des remous provoqués par l’exit-scam d’Alphv et l’opération judiciaire Cronos contre LockBit, pour recruter certains de leurs affidés et faire progresser considérablement son activité tout au long de l’année passée.

[Article original, le 5 mars 2025] La fintech Harvest compte, parmi ses clients, Crédit du Nord, Groupama, HSBC, ING, LCL, Swisslife, Centaure Investissements, Arkea Services Financiers, AXA, BNP Paribas, Boursorama Banque, ou encore le groupe BPCE.

Au total, cette « fintech leader en France » de « plus de 30 ans en plein développement », installée à Paris rue de la Baume, revendique plus de 4 600 sociétés clientes sur son site Web, où elle fait état d’une stratégie 2025 dite « l’esprit de conquête ».

L’entreprise propose des solutions de gestion du patrimoine, de la relation client, d’analyse et d’aide à la construction d’offres financières, ainsi qu’une plateforme numérique de distribution, sans compter des « données complètes sur une large variété de produits financiers ».

Ses produits sont présentés comme 100 % « en Cloud/SaaS ». Toute sa gamme embarque des API. Mais rien de tout cela ne semble accessible – à l’heure où nous publions ces lignes, et à commencer par son site Web. Et cela depuis le 27 février dernier. 

Selon nos informations, c’est à cette date, dans la nuit, qu’a été découverte une cyberattaque avec ransomware. Même son VPN SSL semble être aux abonnés absents.

Sollicitée par la rédaction, la direction de la communication d’Harvest a indiqué ne pas avoir encore produit de communiqué de presse à l’heure de notre prise de contact ni confirmé qu’un tel communiqué était en cours de préparation.

Nous lui avons adressé des questions additionnelles portant notamment sur l’étendue des dégâts constatés et leur impact sur l’activité de la fintech, sans réponse pour le moment. 

L’indisponibilité des données établie, les entreprises clients de Harvest doivent d’ores et déjà notifier la CNIL.