Harvest aux abonnés absents, un comité de retour d’expérience s’impose

Harvest est leader français des logiciels dédiés aux métiers du patrimoine et de la finance. Cette entité s’est, au fil des années et des rachats divers, positionné sur nombre de segments dans la chaîne de valeur. Combien de professionnels du métier n’utilisent pas BIG, O2S, Fidroit, Quantalys... ?

Dans la nuit du 26 au 27 février dernier, le Groupe Harvest a indiqué avoir détecté une cyberattaque en cours. Il a alors décidé d’appliquer l’ensemble des protocoles et recommandations en vigueur au sein de son groupe, notamment l’interruption de l’interconnexion en amont et en aval de toutes liaisons, toutes capacités d’agrégation, tous suivis et arbitrages des dossiers clients.

L’attaque contre Harvest est majeure. D’abord, par le nombre d’acteurs touchés, effet direct de l’agrégation, proposée par les services d’Harvest, de données venant d’institutions financières, assurantielles, des CGP, des réseaux utilisateurs. Ensuite, par l’étendue des données partagées et échangées : juridiques, fiscales, sociales, de santé, des éléments patrimoniaux, de stock et flux, à caractère professionnel ou privé, des clients. L’ampleur du contenu concerné est encore renforcée par les informations collectées dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme, par tous les acteurs. Enfin, par la position dominante dans l’écosystème du groupe attaqué, notamment depuis l’acquisition de Manymore.

Durant cette crise, point de communication ouverte, transparente, proactive d’Harvest. Le groupe a d’abord voulu minimiser l’incident, laissant dans l’expectative la majeure partie des utilisateurs et de leurs clients. Il a refusé de coordonner, avec les associations professionnelles, les actions préventives, réglementaires, pouvant ou devant être prises par les acteurs, faisant naître un sentiment d’abandon.

D’autant que la durée de la rupture de services n’a pas été de courte durée. Le 19 mars, soit trois semaines après l’attaque, Harvest annonçait un retour à la normale... dans le courant de la semaine suivante ! Entretemps, c’est en mode sensiblement dégradé que les utilisateurs se voient contraints de répondre aux besoins de leurs clients, partenaires. Enfin, élément clé, le vingt-et-unième jour de la cyberattaque, Harvest précisait que des compromissions concerneraient des fichiers de travail, et non des bases de production. Peu après, on apprenait que la Maif et le groupe BPCE, utilisateurs des solutions Harvest, avaient alerté leurs clients sur la fuite de données personnelles... Cette attaque pose des questions. Pour l’Association Nationale des Conseils Diplômés en Gestion du Patrimoine (ANCDGP), elles devront être mises sur la table dans le cadre d’un comité de retour d’expérience pour que tous les acteurs concernés en tirent les leçons et puissent s’adapter. Comprendre, par exemple, pourquoi le plan de continuation d’activités (PCA) n’a pas pu être déclenché...

Au rayon des questions, il faudra aussi s’interroger sur la législation actuelle, qui prévoit que chaque acteur concerné par une rupture de service d’un sous-traitant, chargé de ses données, doit télédéclarer à la CNIL, déposer sa propre plainte auprès des forces de polices dans les soixante-douze heures après la découverte de la compromission pour que ses assurances, notamment cyber, garantissent les éventuels dommages. Cette démultiplication redondante des procédures interroge. On pourra aussi s’inspirer des retours d’expérience des cyberattaques subies par les hôpitaux. Ce secteur a renforcé sa résilience par le compartimentage et l’étanchéité des systèmes d’informations des données de santé. A contrario, l’ultra concentration et l’interconnexion proposées par les services d’Harvest semblent renforcer le caractère systémique pour l’écosystème.

Ce caractère systémique est lui-même accentué par le fait que cette concentration s’est faite à un moment où les autorités de tutelle (ACPR et AMF) n’ont eu de cesse de démultiplier les recommandations en matière de standardisation de la formalisation du conseil rendu, de l’alourdissement administratif des procédures, favorisant une utilisation de plus en plus importante des process des relations avec les clients, le tout devant se faire sur des supports « durables ».