Harvest : le cas d’école 2025

Fin janvier 2025, Harvest, éditeur de logiciels et de solutions largement utilisées en France par les sociétés de gestion, les conseillers en gestion de patrimoine (CGP), les banques privées et les assureurs, a été victime d’un incident cyber majeur. L’événement a entraîné une indisponibilité prolongée de plusieurs solutions critiques utilisées notamment pour le reporting, la gestion de portefeuilles et pour certaines obligations réglementaires.

L’incident ne s’est pas limité à une simple panne technique puisque des soupçons d’exfiltration de données et la circulation de documents sur le dark web ont également été évoqués.

Cet incident est intervenu alors que DORA venait d’entrer en application, ce qui en a fait un cas d’école immédiat. Les établissements financiers utilisateurs de Harvest se sont retrouvés face à une question centrale : fallait-il notifier l’incident aux autorités de supervision (AMF/ACPR) ? Rappelons que la notification repose sur une approche par les risques, DORA n’imposant pas une notification automatique : elle exige une évaluation fine de l’impact (continuité d’activité, services critiques, clients) et cette évaluation doit pouvoir être défendue face au superviseur.

Certains acteurs ont procédé à une notification formelle, estimant que l’indisponibilité du prestataire constituait un incident TIC majeur, d’autres, considérant que l’impact opérationnel avait pu être contourné (plans de continuité, solutions alternatives, absence d’impact direct sur les clients finaux...), ont choisi de ne pas notifier. Dans les mois suivants, l’ACPR a recontacté certains établissements pour leur demander de justifier leur analyse et leur décision de non-notification. Aucune sanction publique n’a été communiquée à ce stade, mais le message est clair : la décision doit être argumentée, documentée et traçable.

Plusieurs autres enseignements clés ont été tirés de cet épisode dans le cadre de DORA : un prestataire peut être critique de fait, même sans être officiellement qualifié de prestataire TIC critique (et sans figurer donc dans la liste établie par les autorités). Il peut devenir systémique, en raison de son poids opérationnel et de la dépendance de la Place vis-à-vis de ses solutions. Par ailleurs, les plans de continuité doivent être scrutés dans les faits : le cas Harvest a mis en lumière l’écart possible entre les dispositifs de continuité affichés et leur efficacité réelle en situation de crise.