L’éditeur leader du marché de la gestion de patrimoine a été touché par un acte offensif envers son dispositif informatique le 27 février dernier. Si la société n’a pas encore communiqué sur l’ensemble des éventuels dommages, les professionnels du patrimoine sont encore privés de l’accès à leurs outils.

Le 27 février dernier, Harvest a été victime d’une cyberattaque. Depuis, les différents outils (Fidroit, O2S, Big, Quantalys, Prisme, MoneyPitch) accessibles en mode SaaS sont tombés en panne sèche. La société, dirigée par Virginie Fauvel et leader quasi-monopolistique de son marché, assure communiquer très régulièrement auprès de ses clients, mais n’a, pour l’heure, pas encore communiqué de façon officielle. Le temps de pouvoir identifier l’ensemble des dégâts ?

Toujours est-il que les professionnels du patrimoine (cabinets de conseils en gestion de patrimoine, mais aussi établissements bancaires et compagnies d’assurance) ne peuvent utiliser leurs outils du quotidien. Comme l’exprime un CGP sur LinkedIn, « Le temps des CGP est suspendu ».

Toujours est-il que les CGP doivent réagir vis-à-vis de la CNIL. Sur son site internet, la société Opadeo conseille aux CGP que « Suite à la cyberattaque d’Harvest, il y a des obligations CNIL à faire en tant que vous, responsable des traitements, et Harvest sous-traitant. D'autant qu'O2S contient une quantité astronomique de données à caractère personnel sur les clients : adresse, mail, téléphone, RIB, patrimoine, CNI, peut-être données médicales.… (…) En effet notre analyse est :

- qu’il y a eu une violation de données du fait d’un cas cité : perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite ;

- En revanche, on ne sait pas encore s’il y a eu fuite de données.

(.…) La violation de données et la cyberattaque ne concernent pas vos systèmes, mais ceux d'un sous-traitant. Donc pas de panique. Quand on lit les instructions CNIL, dans cette configuration, il faut documenter la violation de données en interne. »

S’agissant des actions à mener envers les clients, Opadeo affirme qu’ « Il faut prévenir les clients si la fuite de données est avérée. En effet, la CNIL précise : en cas de doute sur l’incidence de la fuite de données personnelles concernant la vie privée des personnes concernées (c’est le cas à ce jour car nous ne savons pas s’il y a eu fuite ou non de données), notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes. »

Notons qu’Opadea jugeait d’ailleurs le dispositif de sécurité d’Harvest « plutôt sérieux », au regard des réponses apportée par l’éditeur en juillet dernier, tout en précisant que, dans le cadre de son PCA (plan de continuation des activités) la société :

« - dispose d’une procédure de gestion et d’escalade des incidents.
- a mis en place un comité des risques et est accompagné par un cabinet d’audit externe ;

- avec activation de la cellule de crise en cas de problème majeur ;

- et réalise des évolutions régulières sur l’infrastructure matérielle et logicielle de ses environnements pour améliorer en permanence les performances et la sécurité. »

Face à cet événement sans précédent, l’Anacofi a réagi. « Les données étant inaccessibles, les CGP doivent en notifier la CNIL même si Harvest l'a déjà fait en tant que sous-traitant », conseille également l’association. De son côté, la CNCGP a également informé ses adhérents sur les démarches à tenir auprès de la Commission nationale de l'informatique et des libertés tout en précisant qu’ « Il n’est pas nécessaire de procéder à une déclaration de sinistre en l’absence de mise en cause de votre responsabilité professionnelle par un tiers. »

De son côté, Philippe Loizelet, président de l’ANCDGP, réagissait sur LinkedIn : « Compte tenu, qu'au surplus, plusieurs compagnies d'assurances et promoteurs de services d'investissements ont délégué ou permis l'interconnexion à leurs propres bases, les perturbations sont massives (chacun déclenchant son plan "sécurité"). A cette heure, la perte ou l'étendue de la divulgation de données ne sont pas précisées, ni même avérées. Reste que s'agissant d'un prestataire, chaque confrère CGP, courtier, IOBSP, CIF utilisateur doit se poser la question d'une notification auprès de la CNIL dans les 72 heures. (…) Courage, ténacité, pugnacité aux équipes d'Harvest Groupe et à Mesdames Virginie Fauvel et Delphine Asseraf. »

Un message de soutien que partage notre rédaction.