Bonjour à tous,

Harvest c’est un peu la série de l’été, sauf que c’est pas l’été. D’ailleurs, Sonia Fendler, la DGA d’Harvest expliquait y’a pas longtemps que « 20 ans, [elle pourra nous] faire une série Netflix sur les cyberattaques ». C’est cool qu’elle trouve ça un peu rigolo, et cela reflète bien son côté résolument sympathique, mais est-ce bien sérieux ?

En tout cas, c’est le symbole d’une entreprise qui prend à la légère la communication avec ses clients, et surtout la gravité des problèmes, qu’elle n’a cessé de minimiser. Pire, quand Clement Domingo et moi-même avons montré l’étendue du problème, les avocats d’Harvest nous ont envoyé dans la journée un courrier, e-mail, et message privé, de mise en demeure. Alors que les propos étaient purement factuels, et servaient, comme cette newsletter, à montrer la différence entre la réalité et la communication d’Harvest.

Et comme on va le voir plus longuement aujourd’hui, elle est béante.

Publicité

Merci à Shaka de soutenir Zero Bullshit.
Vous pouvez visiter leur site pour soutenir la newsletter.
Ou vous aussi communiquer auprès des 150’000 abonnés de mes newsletters.

Soutenir via un don

📚 BIG Bang Theory

Quand Brice Pineau et Jean-Michel Dupiot unissent leurs forces en cet été 1989, le mur de Berlin est encore debout et l'internet grand public n'existe pas. Le premier, diplômé de l'ESSEC, a déjà un parcours significatif dans le secteur financier avant de créer en 1987 sa propre structure, BMC-ITD, spécialisée dans les logiciels de simulation pour le monde financier. De son côté, Jean-Michel Dupiot s'était spécialisé dans les solutions de simulation pour l'assurance, notamment dans les domaines de la retraite et de la prévoyance.

Ces deux pionniers partagent une intuition commune : l'informatique va révolutionner le conseil patrimonial. Leur rencontre débouche sur la création d'Harvest en août 1989 qui va concevoir des logiciels offrant une vision à 360° inédite aux CGP1. Le premier, sobrement baptisé Big, fait sensation grâce à sa capacité à intégrer simultanément l'analyse fiscale, sociale, financière et patrimoniale. Un autre produit, précurseur de ClickImpôts, transforme en quelques clics l'angoissante déclaration de revenus.

La complexité et la constante évolution de la réglementation française, loin d'être un obstacle, deviennent un avantage concurrentiel pour Harvest, dont les logiciels permettent de naviguer dans ce dédale normatif. Banques et assureurs commencent à s'équiper de ces solutions avant-gardistes, reconnaissant leur valeur ajoutée dans un secteur en pleine mutation. Harvest pose ainsi les bases de son ADN : l'innovation au service de l'expertise patrimoniale.

La Bourse ou la Vie

Le nouveau millénaire marque un tournant. Alors que la bulle internet éclate et que de nombreuses start-up disparaissent, Harvest, solidement ancré dans son métier, accélère sa croissance. La solidité de son modèle économique, basé sur des revenus récurrents et une expertise métier difficilement réplicable, lui permet de traverser cette période tumultueuse sans encombre. La société enrichit constamment son offre et fidélise une clientèle de plus en plus large, notamment parmi les grands comptes bancaires et assurantiels qui équipent l'ensemble de leurs réseaux commerciaux.

Cette réussite discrète mais solide conduit à une étape décisive : en juin 2005, Harvest s'introduit sur l’Alternext2 marquant l'entrée d'investisseurs institutionnels comme NextStage AM, valorisant l’entreprise autour de 12M€. Ce choix stratégique reflète la volonté des fondateurs de donner à leur entreprise les moyens d'une nouvelle phase de développement tout en préservant leur indépendance. Harvest restera cotée jusqu'en 2019, année où Five Arrows organisera son retrait de la cote pour préparer une nouvelle étape stratégique,

Grâce à ces appuis, Harvest entame sa stratégie d'acquisitions pour compléter son savoir-faire. Fin 2005, c'est Quantix Finances qui rejoint le groupe, apportant son expertise en analyse financière et permettant d'élargir la palette d'outils d'aide à la décision. Deux ans plus tard, O2S est absorbée, enrichissant Harvest d'une solution de gestion et CRM3 pour les CGP. Cette acquisition s'avérera déterminante, ajoutant une brique essentielle à l'écosystème logiciel d'Harvest : la capacité à gérer la relation client dans sa globalité, au-delà des seuls aspects techniques de la gestion de patrimoine.

Dans les bureaux désormais plus spacieux de la société, l'innovation est frénétique. Les équipes de développement, renforcées par l'apport de nouveaux talents, travaillent à l'enrichissement continu des solutions existantes et à l'exploration de nouvelles voies. ClickImpôts s'impose comme le logiciel de référence pour la déclaration et l'optimisation fiscale des revenus, séduisant tant les professionnels que le grand public par sa simplicité d'utilisation et sa fiabilité. Big connaît des mises à jour majeures pour suivre l'évolution de la réglementation, affirmant sa position de solution incontournable pour l'analyse patrimoniale globale.

À la veille des années 2010, Harvest s'est imposé comme un acteur incontournable du logiciel financier en France, avec une croissance constante de son chiffre d'affaires et une base installée de plusieurs milliers de clients professionnels. Son modèle économique, basé sur des licences et de la maintenance récurrente, lui assure une visibilité financière appréciable dans un secteur technologique souvent volatil.

Système 1 / Système 2

Le début de la décennie 2010 voit Harvest poursuivre sa stratégie d'élargissement. En 2012, c'est ISSOS qui rejoint la famille, apportant ses outils d'aide à la vente pour les réseaux bancaires et assurantiels. Cette acquisition stratégique permet à Harvest d'ajouter de nouvelles fonctionnalités destinées aux forces commerciales – simulateurs de crédits, d'épargne salariale – complétant ainsi l'écosystème logiciel du groupe.

Parallèlement, les produits historiques gagnent en profondeur : Big et O2S deviennent des plateformes complètes couvrant l'ensemble de la chaîne de conseil patrimonial, de la simulation retraite à l'allocation d'actifs. Le groupe anticipe aussi la révolution digitale qui bouleverse le secteur financier.

En 2017, Harvest franchit une nouvelle frontière en lançant MoneyPitch, plateforme numérique collaborative entre les conseillers patrimoniaux et leurs clients. Cette innovation arrive à point nommé, alors que la numérisation des services financiers s'accélère et que de nouvelles générations de clients exigent davantage d'autonomie et de transparence.

Ce qui singularise alors Harvest sur le marché, c'est sa capacité à séduire deux segments de clientèle complémentaires : d'un côté les CGP, segment sur lequel l'entreprise acquiert une position dominante avec plus de 3’000 cabinets clients ; de l'autre, les grands comptes institutionnels comme BPCE, Crédit Agricole, AXA ou BNP Paribas, qui constituent l'épine dorsale de ses revenus récurrents.

Le double positionnement d'Harvest constitue sa force, avec une compréhension fine des besoins tant des CGP indépendants que des directeurs des systèmes d'information des grandes banques parisiennes.

À l'aube de 2019, la petite start-up de 1989 est devenue une ETI florissante : plus de 4’000 clients professionnels utilisent ses solutions, son chiffre d'affaires avoisine 32M€ et près de 300 collaborateurs contribuent à son succès. Trois décennies après sa création, Harvest se prépare à un nouveau chapitre de son histoire, avec une position dominante sur plusieurs segments du marché français.

Extension du domaine du patrimoine

Fin 2018, une page importante de l'histoire d'Harvest se tourne. Les fondateurs Brice Pineau et Jean-Michel Dupiot cèdent une participation majoritaire de 58,3% du capital et 70,1% des droits de vote à Five Arrows Principal Investments, filiale de Rothschild & Co. L'opération se concrétise début 2019 et Five Arrows dépose ensuite un projet d'OPAS4 auprès de l'AMF, suivi d'un retrait. Cette transaction valorise la société à environ 121M€ et les deux cofondateurs conservent une participation minoritaire pour accompagner la transition. Avec le temps, Five Arrows montera à 62,5%, tandis que les deux fondateurs garderont 9,8% chacun.

Le retrait de la cote marque symboliquement la fin d'une ère. Mais ce take private ouvre aussi de nouvelles perspectives, libérant l'entreprise des contraintes de reporting trimestriel et lui permettant de se concentrer sur des investissements à plus long terme.

Un tournant encore plus significatif s'opère en septembre 2020 avec l'arrivée de Virginie Fauvel comme directrice générale. Ingénieure des Mines de Nancy, cette experte en fintech a occupé des postes de direction chez Cetelem, BNP Paribas (ou elle a lancé HelloBank) et Allianz avant de rejoindre Harvest.

Elle lance rapidement un plan ambitieux visant à faire d'Harvest un champion européen de la wealthtech. Ce plan stratégique repose sur plusieurs piliers : accélération de l'innovation produit, croissance externe ciblée, internationalisation et transformation de l'organisation interne pour gagner en agilité.

La gouvernance se structure autour d'un directoire renouvelé, tandis que Brice Pineau assume un rôle de président du conseil de surveillance, assurant ainsi une transition en douceur.

Les cartes et les territoires

Harvest entame alors une phase d'expansion accélérée par acquisitions. Plus qu'une simple croissance externe, la société déploie un modèle d'intégration rodé, permettant d'absorber les nouvelles entités tout en préservant leur dynamique et leurs talents.

En décembre 2020, c'est Fidroit, spécialiste de la formation et du conseil en gestion de patrimoine, qui rejoint le groupe, apportant une expertise pédagogique et des contenus patrimoniaux à forte valeur ajoutée. Six mois plus tard, en juin 2021, Harvest absorbe Quantalys, fintech dans les données financières et l'analyse de portefeuilles. Cette acquisition permet d'élargir l'offre aux outils de construction de portefeuille et ouvre les portes de marchés limitrophes comme l'Italie, le Luxembourg, la Belgique et la Suisse.

En mars 2023, c'est au tour de Feefty, jeune pousse spécialisée dans les produits structurés, de rejoindre le groupe. Harvest complète ainsi sa palette d'outils avec une brique dédiée à la conception et au suivi de produits structurés, un segment en forte croissance auprès des banques privées et family offices. Puis à l'automne 2023 c’est Manymore, principal concurrent historique d'Harvest sur le marché français, qui est absorbé.

Grâce à cette stratégie agressive de croissance externe, le groupe double de taille en cinq ans. De 300 collaborateurs en 2018, Harvest passe à environ 500 répartis sur plusieurs sites en France et en Italie.

Les résultats financiers suivent la même croissance. L’ARR5 atteint 65M€ en 2023, avec une croissance annuelle moyenne de 20% depuis l'entrée majoritaire de Five Arrows.

Résultats consolidés du groupe 2021-2023, avec focus sur le marché français.
Les marchés étrangers sont clairement anecdotiques dans les résultats.

Focus sur les résultats de Harvest France

Focus sur les résultats de Quantalys

Plus remarquable encore, Harvest a multiplié par trois son marché total adressable entre 2018 et 2023, passant de 1,5G€ à 4,3G€. Cette expansion fulgurante s'explique par l'élargissement de son offre, mais aussi par sa capacité à séduire de nouveaux types de clients : aux conseillers en gestion de patrimoine historiques s'ajoutent désormais assureurs, banques privées, banques de détail et gestionnaires d'actifs. Une dynamique renforcée par la SaaS-isation rapide du secteur.

La plateforme technologique d'Harvest, initialement centrée sur le CRM et la planification patrimoniale, s'est métamorphosée en un écosystème complet couvrant l'intégralité du parcours client: de la gestion des relations, à la distribution de produits financiers, en passant par l'analyse de données et les outils réglementaires.

Ce qui, en 2024, se matérialise par une position clairement dominante d’Harvest sur ses différents marchés en France, mais aussi en Europe :

• CRM : 58%🇫🇷 - 13%🇪🇺

• Wealth & fiscalité : 64%🇫🇷 - 16%🇪🇺

• Stratégie d’investissement : 23%🇫🇷 - 7%🇪🇺

• Distribution : 61%🇫🇷 - 15%🇪🇺

• Produits structurés : 14%🇫🇷 - 14%🇪🇺

• Part de marché globale : 47%🇫🇷 - 13%🇪🇺

Trente-cinq ans après sa naissance, la position d’Harvest est désormais incontestable : environ 3’600 CGP en France (39% de ses revenus), une présence dans la quasi-totalité des grandes institutions financières françaises, et un portefeuille de clients sans équivalent chez la concurrence. Ses dix plus grands clients, parmi lesquels figurent des géants comme BPCE, Crédit Agricole, AXA, BNP Paribas et la Caisse des Dépôts, représentent à eux seuls 40% de ses revenus annuels, témoignant de la confiance accordée par les plus grands noms de la finance française.

Face à ce mastodonte, la concurrence peine à exister : Hokus Platform, son principal rival, ne compte qu'une poignée de clients significatifs (6 à 8), quand Harvest en dénombre des milliers. Cette position dominante n'est pas synonyme de marchés saturés pour autant. Avec seulement 20% du marché potentiel externalisé, Harvest dispose encore d'une marge de croissance additionnelle estimée à 50M€ sur son cœur de métier. Le potentiel de croissance organique reste considérable, car de nombreuses institutions financières gèrent encore leurs processus patrimoniaux avec des outils internes obsolètes ou des solutions disparates, alors que la tendance à l'externalisation et à la digitalisation ne fait que s'accélérer.

Quant à l’Europe, c’est plus de 4 500 clients diversifiés (CGP, banques privées, assureurs...) et un ARR, certes modeste, mais qui affiche x4 en dix ans,

Le groupe a su également anticiper les grandes tendances de son secteur : l'essor de l'intelligence artificielle dans l'analyse financière, la demande croissante de solutions ESG6, les nouveaux cadres réglementaires comme MiFID II7 ou DDA8, et l'évolution des comportements clients vers plus d'autonomie et de transparence.

De quoi permettre à Five Arrows de faire un bien bel exit.

💸 5 Arrows, 1 Exit

Le soleil brille sur Paris quand est officialisé le nouveau chapitre de l'histoire d'Harvest, en août 2024 : après cinq années sous l'égide de Five Arrows, l'entreprise passe sous le contrôle conjoint de deux mastodontes du private equity : TA Associates et Montagu Private Equity.

L'info s'est ébruitée dans la presse spécialisée juste avant l'été, lors qu'un journaliste avançait un montant de transaction estimé à 500M€. Mais l'opération a été initiée dès 2023, et les discussions auraient débuté début 2024 avec plusieurs fonds intéressés – dont Blackstone ou Cinven – avant que l'offre du duo Montagu/TA ne soit retenue début mai 2024 et closée fin juillet.

Ce qui distingue ce changement d'actionnariat, c'est moins le remplacement d'un fonds par un autre que la nature même de l'attelage mis en place. Five Arrows laisse sa place à un duo d'investisseurs aux moyens considérables : TA (45G$ d’AUM9), géant américain du private equity spécialisé dans les investissements de croissance, et Montagu (14G€ d’AUM), fonds britannique renommé pour sa capacité à accompagner des entreprises technologiques dans leur expansion internationale.

Le périmètre d'acquisition englobe ainsi toutes les entités détenues par Financière Winnipeg, holding de tête, et l’archipel de sociétés dans lesquelles sont logées les différents logiciels.

Pour comprendre le pari (et la valorisation), il faut plonger dans l'analyse stratégique du secteur. D'après les observateurs du marché, Harvest affiche une trajectoire impressionnante : un CAGR10 de 17 % sur cinq ans, dont 14 % en organique et 3 % via croissance externe, atteignant 64 M€ d'ARR en 2023 et autour de 70-75 M€ en 2024.

L'objectif stratégique pour la période 2024-2028 est encore plus ambitieux : doubler le CA à 131,4 M€ en accélérant fortement à l'international. L’idée c’est de passer d’une plateforme modulaire à une solution entièrement cloud, couvrant toute la chaîne de valeur front-office du wealth management, sur un marché adressable en forte progression, estimé à 1,6G€ en 2028. La société compte doubler la part de ses revenus hors France (10 %) et porter sa marge d’EBITDA au-delà de 50%.

Ce deal illustre particulièrement le retour en grâce des actifs SaaS rentables (20x l’EBITDA, légèrement au-dessus des standards), dans un contexte M&A où les multiples se contractent. La stratégie buy-and-build est ici renforcée par la forte récurrence des revenus (près de 87 % en 2024) et une excellente rétention client, avec un NRR moyen de 109 % sur la période récente.

La mécanique du cœur (financier)

Le prix déboursé par le duo prend 495 M€ comme valorisation de base pour 100% du capital de Financière Winnipeg. Mais comme toujours ce chiffre n'est que le point de départ d'une équation financière bien plus complexe.

• Un montant de base de 495 M€ ;

• Augmenté d'ajustements journaliers entre la signature et le closing, augmentant le montant au closing d’environ 2M€ ;

• Le remboursement de la dette OC11 d'environ 46,3 M€ ;

• De 79,2M€ de dette senior contractée auprès d’investisseurs institutionnels, dont le remboursement a permis la levée des sûretés financières sur les entités opérationnelles du groupe ;

• Et du prêt d'actionnaire consenti par Five Arrows, intégralement remboursé au closing.

Soit un effort financier au dessus de 540M€ (dont 411M€ cash pour les actions de la holding), selon un mécanisme de locked box, qui permet de fixer le prix à partir de comptes déjà arrêtés (en l’occurrence ceux de 2023), ce qui simplifie grandement les opérations, vu le nombre important de parties. 58% sera financé par TA (333,5M€) et 42% par Montagu (333,5M€). 13 investisseurs dit Tier 1, entrent également au capital via un SPV, dont Fauvel, qui réinvestit plus de 5M€, aux côtés de cadres (CFO, CRO etc.) d’Harvest, qui ont accès à des actions préférentielles et feront partie de la gouvernance. Ainsi qu’une petite centaine de salariés dits Tier 2.

Une partie de la somme est versée en numéraire via un compte centralisateur qui orchestre ensuite la redistribution à chaque vendeur. L'autre partie est structurée sous forme de transfert de titres contre actions aux véhicules d'investissement, permettant aux actionnaires réinvestisseurs, notamment les managers clés, de participer à la nouvelle aventure via les SPV Ceres InvestCo 1 ou 2 créés pour l’occasion. Le tout via un montage assez complexe.

Au sommet de l’architecture se trouvent les véritables acquéreurs économiques : Montagu et TA, qui agissant via une structure d'investissement commune. La cascade complète de détention évoque les poupées russes : chaque entité en abrite une autre, dans un emboîtement qui masque (en partie) la propriété directe, mais garantit le contrôle effectif.

Montagu + TA → Ceres Holding🇬🇧 → Ceres PikCo🇫🇷 → Ceres MidCo🇬🇧 → Ceres Groupe🇫🇷 → Financière Winnipeg🇫🇷 (Harvest)

Ce qui distingue cette structure des montages classiques est le mécanisme utilisé. Des sociétés intermédiaires ont été créées spécifiquement pour centraliser l'apport non monétaire des titres. Chaque niveau de la cascade reçoit les titres par échange contre émission d'actions de la société réceptrice, sans paiement en numéraire.

Ce montage emboîté permet d'optimiser la structure fiscale et juridique de l'opération. Il offre une flexibilité pour d'éventuelles restructurations futures et facilite la gestion des différentes catégories d'actionnaires, tout en maintenant un contrôle indirect mais effectif des fonds d'investissement sur l'actif acquis.

Montagu et TA se sont également protégés avec les droits habituels des opérations de private equity : droits de drag-along12, de tag-along13, de préemption et d'exclusion en cas de conflit avec un minoritaire, et la possibilité de forcer la sortie des minoritaires en cas d'IPO ou de revente.

💥 Encore un matin

Sauf que l’histoire commence très mal, seulement 6 mois après. Entre temps, Sonia Fendler est arrivée en tant que DGA14. Cette ancienne cadre de Generali, qui a aussi présidé Altixia, est une experte des CGP. De l’avis général, c’est d’ailleurs une grande professionnelle, qui comprend ses clients, les écoute, et semble faire l’unanimité au sein des pros du patrimoine. Quand elle adresse ses voeux en janvier 2025, mettant la sécurité tout en haut de son e-mail, elle n’imagine évidemment pas ce qui va lui tomber dessus, à elle, et à toute l’entreprise, quelques semaines plus tard.

Dans la nuit du 26 au 27 février, plusieurs problèmes sont détectés, et les outils tombent les uns après les autres. Après une communication rapide auprès des clients pour les informer, la DRH d’Harvest alerte toute l’entreprise.

Mais selon mes informations, l’attaque avait commencé plusieurs jours avant, quand le groupe de pirates Run Some Wares a utilisé une vulnérabilité d’un système de VOIP Mitel pour récupérer les droits administrateurs. Le problème était connu depuis octobre 2024, et noté avec une criticité de 9,8/10 par Mitel15. Notre confrère du MagIT a expliqué (ici et ici) les détails techniques, expliquant au passage qu’il n’y voit pas d’erreur flagrant d’appréciation d’Harvest.

Selon plusieurs sources concordantes, l’appareil dont il était question plus haut a été fourni par Waycom. Il n’était certes plus utilisé, et donc plus maintenu… mais il était resté connecté.

Pourtant, Waycom est considéré par Harvest, au même titre de Budget Insight, qui permet la connexion bancaire, comme un des deux PECI16, parce qu’en plus de la téléphonie, c’est lui qui fournit les serveurs où sont hébergés les applications. Conformément à la réglementation, ils sont d’ailleurs tous en France.

Cela dit de nombreuses insuffisances de Waycom avaient été mises en avant par le contrôle interne (22 en 2022) alors qu’Harvest s’engageait dans un processus de certification ISO 27001 pour la Plateforme Wealth. Mais le risque opérationnel notamment lié aux SI17 est clairement pris en compte, et comme dans la plupart de ces grosses entreprises, un PCA18 et des scénarios de crise sont établis.

Plus largement le problème n’était pas totalement inconnu ni d’Harvest, ni de ses nouveaux propriétaires. Parce que courant 2023, quand la vente a été décidée, un audit indépendant a été commandé à Oliver Wyman qui met clairement en évidence le risque de ransomware19.

Cela veut dire que les sauvegardes (copies des données pour restauration en cas de problème) peuvent être modifiées ou supprimées, et qu’en cas d’attaque par ransomware, les hackers peuvent chiffrer ou effacer les sauvegardes, ce qui empêche la restauration des datas les systèmes. Si j’étais malicieux, je dirais que désormais, Harvest a librement accès à ses backups…

Mais ce n’est pas qu’un problème de sécurité parmi d’autres. Plusieurs dizaines de vulnérabilités ont été recensées, dont un nombre de failles critiques élevé dans Feefty, la plateforme de produits structurés, qui avait été rachetée quelques mois avant l’audit. Au total, 26 failles critiques étaient ouvertes au moment de l’audit. Chacune restait en moyenne 200 jours ouverte, contre 5 à 10 jours maximum pour la moyenne du secteur.

Enfin, l’audit met en avant l’absence de SOC20 , ce qui veut dire qu’aucune détection automatique d’activité suspecte sur le réseau ou dans les bases de données n’est en place, pas plus qu’une centralisation des journaux d’activité. Donc l’entreprise ne peut pas savoir si elle est attaquée, ni enquêter après coup. Un SOC aurait été prévu en 2024, sans qu’il ne soit possible de dire s’il a été mis en place (et inversement). C’est la cause de 24 incidents durant l’année, qui n’ont été détectés que par une supervision manuelle. Augmentant donc le risque.

Globalement, le rapport conclue :

😖 Le prix du doute

Parmi les données qui ont fuité figure la quasi-totalité des prénoms-noms des clients et prospects de CGP clients d’Harvest, en plus de près de 100’000 emails, de pros et de clients finaux, et une foule de détails déjà abordée dans Le Brief Patrimonial. Ce qui fait forcément grincer des dents dans le milieu. Mais est-ce qu’il y aurait encore autre chose ?

La réalité de l’attaque est encore aujourd’hui difficile à cerner. Parce qu’Harvest a largement limité la communication auprès des clients, mais aussi, possiblement, parce que l’entreprise ne sait pas forcément si les pirates sont en possession d’autres données. Ou n’a pas vocation à le déclarer publiquement sans confirmation.

Mais voici ce qui est connu, et les différentes hypothèses actuelles :

• ✅ Un ransomware a été déployé sur le réseau interne du siège d’Harvest, cryptant toute ou partie des données, devenues illisibles pour Harvest, mais récupérées par les pirates.

• ✅ Tout ou partie de ces données ont été diffusées par les pirates le 11 avril dernier, un peu après avoir été envoyées directement à un certain nombre de relais, dont Zero Bullshit, parce qu’Harvest a refusé de payer la rançon.

• ✅ Run Some Wares s’est servi d’informations contenues dans les données qu’ils ont volé pour tenter de s’introduire dans les serveurs applicatifs d’Harvest et chez certains clients.

• ❌ Jusqu’ici, tout semble indiquer qu’aucun client n’a été piraté.

• ✅ Run Some Wares a mis en vente une base de données, qui a été rapidement supprimée.

• ❓ L’extrait de quelques lignes de la base de données laisse à penser que ce pourrait être celle d’OS2, mais :

  • Cela pourrait tout simple être un extract présent sur un ordinateur, et non un accès directement au serveur ;

  • Il ne m’a pas été possible de vérifier la réalité des données contenus dans l’extrait ;

  • Les pirates n’ont pas communiqué sur la raison du retrait de la vente.

• ❓ Run Some Wares a sous entendu dans une communication avoir d’autres données.

  • Cela pourrait être d’autres fichiers du réseau interne ;

  • Mais pourquoi pas aussi des base de données issues des serveurs applications, dont les données sont évidemment très sensibles. Et valent très cher.

Parce qu’il faut bien comprendre ce qui est derrière ce piratage. J’avoue avoir été très surpris quand Harvest a rapidement dit qu’il n’y avait pas lieu de s’inquiéter. Les pirates de ce rang n’attaquent pas au hasard. Et les boîte comme Harvest, ne sont pas ciblées par une simple attaque malveillante destinée à faire planter les logiciels. Si les pirates sont entrés… ce n’est pas pour sortir les mains vides.

On ne va pas refaire toute la comm’ d’Harvest, déjà détaillée dans Le Brief Patrimonial, mais on voit que ce n’est pas cohérent. Même histoire pour la tribune de Vincent Couroyer (qui sent le ChatGPT à plein nez), pourtant patron de l’innovation à la CNCGP21. Dans une tribune dans CityWire, il explique :

C’est triplement faux. Et j’avoue être interloqué qu’après deux mois, la communication des uns et des autres soit autant à l’ouest.

1. Si les données ont été publiées, ce n’est pas parce que personne n’a voulu les acheter. Ces données n’ont jamais été à vendre. C’est parce que Harvest n’a pas souhaité payer la rançon22.

2. Le fait que ces données aient été publiées, ne présagent en aucun cas que d’autres, qui ont de la valeur, ne soient pas à vendre. Voire, n’aient pas déjà été vendues. Imaginez un peu la base de données O2S, avec des centaines de milliers de clients, qualifiés, CSP+ etc. Imaginez combien de telles données peuvent valoir…

3. À aucun moment cette attaque ne doit rassurer qui que ce soit ! C’est complètement délirant de dire un truc pareil. On a dans la nature des informations très précises concernant des particuliers qui peuvent servir à monter de vastes escroqueries. On a vu à chaque leak ces dernières années les conséquences… Affirmer ce genre de trucs c’est un très gros manque de connaissance sur le sujet.

Parce qu’en plus des données personnelles habituelles, pour lesquelles on a des leaks quasi quotidiennes, on est ici en présence de données explicites et très précises comme des placements, des numéros de comptes ou des opérations.

Alors certes, on s’en fout que telle personne a placé tel montant. Cependant, on a vu comment les leaks de Free, par exemple, on permis la mise en place de plateau de phoning, où des escrocs se font passer à la chaine pour des conseillers bancaires, juste en liant un nom et un numéro de téléphone, crédibilisé par la banque (grâce à l’IBAN) et l’adresse. Ou tout autre élément qui servent à dire “regardez, je suis pas un escroc, je sais”.

Imaginez donc ce qu’il est possible de faire avec des informations aussi précises... Avec des numéros clients, des numéros de dossiers, des montants, des coordonnées, des noms de CGP ou de conseillers etc. Et ce n’est évidemment aucune une incitation à aller escroquer, ceux dont c’est l’occupation n’ont pas besoin de mes trucs & astuces.

🌝 Harvest Moonwalk

Alors oui, bien que les communications d’Harvest se sont toujours bornées à minimiser la portée des fuites, on pourrait tout à fait leur répondre que ça n’est pas à eux d’en décider. Certes, le fait que leurs stratégies, des morceaux de codes, des documents comptables, ou des informations très sensibles sur leurs salariés aient fuité, quelque part, c’est leur problème.

Pourtant Harvest l’a répété le vendredi 11 avril dernier, il n’y aurait rien de sensible dans les données.

Mais ce n’est pas à eux de déterminer la gravité de la fuite pour leurs clients, comme me l’explique le cadre d’un grand groupe, par ailleurs DPO :

Un autre DPO, au sein de l’assureur d’un grand groupe bancaire va dans le même sens.

Ce n’est malheureusement pas le cas.

C’est par exemple le cas MAIF, dont plusieurs dizaines de milliers de notes de conseillers MSF23 ont fuité, avec des informations patrimoniales très précises, suivi à chaque fois du prénom et du nom du sociétaire.

Dès la fin du mois de février, MAIF comme BPCE ou Banque Palatine, avait informé un des clients que leurs données avaient fuité, conformément à leurs obligations. La CNIL m’a également confirmé avoir été saisie, non seulement par Harvest, mais également par plusieurs autres sociétés.

Le problème, c’est que plusieurs fichiers comportent des mentions qui dépassent très largement des informations patrimoniales, comme les montrent ces extraits.

Ce type d’informations, trouvées dans les données de plusieurs clients d’Harvest pourrait clairement faire l’objet de sanctions de la CNIL, selon un juriste consulté. D’autant qu’une grosse partie d’entre elles (en tout cas, toutes celles citées au-dessus) sont suivies du nom et du prénom de la personne concernée.

Contacté, MAIF ne s’est pas défilé, confirmant la réalité des informations (issues d’un fichier datant de 2021) et m’a indiqué avoir « mené […] un audit qui a fait apparaître que ces commentaires étaient des cas isolés, liés à une mauvaise application des consignes ». Et de préciser :

Mais le plus étonnant… c’est le début de la réponse de MAIF :

Oui.
Vous avez bien lu.

Après avoir minimisé l’impact pendant 2 mois, après avoir menacé ceux qui ont révélé la gravité des fuites, Harvest a clairement dit qu’il n’y avait aucune information sensible, sans n’avoir jamais vérifié les données de sa fuite. Et de la même façon qu’Harvest a menti en disant avoir contacté tous les CGP concernés (comme le démontrent les dizaines de professionnels qui m’ont affirmé l’inverse), Harvest n’a même pas été capable d’informer ses clients sur les cas les plus graves.

Alors même que depuis le début des discussions avec les pirates, ils ont la liste de 813’581 fichiers dérobés.

🤑 L’explorateur de DORA

Harvest n’est évidemment pas coupable de son propre piratage, et on peut comprendre l’idée de Sonia Fendler quand elle explique, en sous-texte, que n’importe qui peut être piraté.

Certes.

Mais la légèreté des mots et l’inconsistance de la communication semble problématique et très amateur face aux conséquences pour leurs clients. Voire même leurs salariés, dont les passeports, fiches de paie, notes des enfants ou déclarations d’impôts se retrouvent dans la nature.

Si j’ai commencé cette newsletter par une longue introduction sur Harvest, c’est parce que cette histoire n’est sans doute pas étrangère au problème. C’est un groupe ancien, qui a grossi rapidement, en rachetant d’autres entreprises, probablement avec des SI peu compatibles, et pour qui la sécurité, sans être parfaitement ignorée ou secondaire, ne semble pas avoir été une priorité absolue.

Et pourtant, qu’est-ce que la finance, à part de la confiance ? Si les gens mettent massivement dans les comptes courants ou les livrets, c’est parce qu’ils croient au système. S’ils préfèrent les fonds en euros, ou les produits très chargés, c’est parce qu’ils ont confiance dans les intermédiaires, les banquiers, les gérants etc.

Cette confiance, Harvest vient de la briser très violement. Evidemment en subissant un piratage d’ampleur, qui pourrait encore s’aggraver, puisque les pirates pourraient encore avoir des données non vendues ou non dévoilées. Mais surtout en ayant une communication désastreuse et opaque envers leurs clients.

L’entreprise ne risque probablement pas d’être en difficultés financières à très court terme, compte tenu de son niveau d’EBITDA. Mais la question de l’avenir se pose.

Comment imaginer que des CGP vont continuer à faire confiance à Harvest après ça, même si les alternatives ne sont pas nombreuses, alors qu’une des rares réponses a été de proposer une gratuité… quand le produit n’était pas disponible. Surtout une fois que tous auront du informer leurs propres clients, conformément aux règles de la CNIL.

Comment imaginer que les institutionnels, gérants et autres gros assureurs, notamment ceux dont les noms sont sortis dans la presse, continuent à court terme leur collaboration ? Non pas qu’Harvest soit une mauvaise entreprise, ou fournisse de mauvais services. Mais par peur de l’association.

D’autant que, en plus des chambres de CGP qui ont annoncé réfléchir à des actions en justice, 3 gros assureurs m’ont confirmé en off avoir mandaté des avocats pour mesurer leur préjudice afin d’attaquer Harvest.

La probabilité que l’entreprise s’effondre à moyen terme reste peu probable. D’autant que certaines solutions, comme Quantalys, sont assez éloignées de tout ça, et peu risquées. Mais clairement, les conséquences vont être extrêmement violentes, tant sur la perte de clients, que sur les provisions que va devoir faire Harvest sur les procès à venir (quand bien même cela ne présage évidemment pas d’une quelconque culpabilité ou responsabilité) et les enquêtes des différents régulateurs.

Parmi ces régulateurs, il y a évidemment l’ACPR, puisque dans le cadre de DSP224, Harvest est gréé en tant que PSIC25 pour agréger les mouvements des épargnants. Ces mêmes mouvements qu’on retrouve en pagaille, parfois parfaitement identifiables (identité, produit, montant, date) dans les fichiers de la fuite.

Alors même que 3 ans après son adoption, DORA26 est entrée en vigueur le 17 janvier dernier, imposant un cadre réglementaire complet sur la gestion des risques TIC pour le secteur financier. Si rien ne démontre à ce stade que Harvest ne s’était pas conformé à DORA, et si, qui plus est, plusieurs procédures de sécurité et d’urgence étaient effectivement en place, cette fuite est un grave échec.

Elle met également en avant la limite de certaines grosses organisations. Parce qu’il n’est pas question ici d’expliquer que les différentes entités nommées s’en foutent, et n’en ont jamais rien fait pour protéger les données. C’est faux. Mais ce que montrent ici les faillites, c’est que ce qui est décidé en haut lieu, dans le cadre d’un comex ou d’une opération de M&A, qui finit dans un PowerPoint envoyé à des managers qui eux même vont l’expliquer à des opérationnels, ça ne marche pas. Ou pas toujours. Ou pas bien.

Tous ceux qui ont travaillé dans la finance ou l’assurance le savent… mais les autres aussi, évidemment. Qui n’a jamais eu un fichier confidentiel qui a trainé sur son ordinateur de travail, alors qu’il aurait du être détruit ? Ou fait des extracts complets de données qui auraient du être partiels ? Ou ramener, puis stocker, des fichiers pros sur son ordinateur personnel ? Et je ne m’en dédouane pas moi-même.

A l’inverse, sociétés qui imposent des gestions ultra strictes des données professionnelles, bloquant nombre d’accès ou de site, énervent les employés qui ne peuvent plus regarder leur mail, consulter leur réservation de vacances, ou télécharger le logiciel non maison, dont ils ont besoin. Et ça agace.

Reste que tout ça n’est pas nouveau.
Et que, finalement, une entreprise fait bien ce qu’elle veut avec ses propres données. Qu’elle est la seule responsable et impactée si ses brevets, son code, ses applications ou ses chiffres sortent.
Mais ce n’est pas le cas quand on a la responsabilité de données de tiers.

Alors non, l’affaire Harvest ce n’est pas juste un ransomware.
L’affaire Harvest, ce n’est pas juste une fuite.
C’est avant tout faillite d’un système.

Compte tenu de la mise en demeure envoyée par ses avocats suite aux premières révélations, Harvest n’a pas été interrogé, mais bénéficiera d’un droit de réponse légal le cas échéant.
Contactée, l’ACRP n’a pas répondu.
La CNIL a confirmé avoir « enregistré une notification de violation de données de cette société » mais ne peux communiquer aucun élément supplémentaire, « s’agissant d’un dossier en cours d’instruction ».

• Edit 20/04 08H30 - Correction du montant ajusté au closing et précision sur la répartition PA/Montagu.