Après la cyberattaque, Harvest réaffirme ses engagements et ses priorités. Avec Sonia Fendler et Vincent Couroyer

À l’occasion du Midsommar 2025, Sonia Fendler, directrice générale adjointe d’Harvest, et Vincent Couroyer, président de la Commission Innovation-Fintech de la CNCGP, sont revenus sur la cyberattaque subie par l’entreprise, les tensions qu’elle a provoquées dans la relation avec les CGP, et les leçons qui en ont été tirées. Transparence, communication de crise, sécurisation des applicatifs, solidité financière et plan de continuité : comment Harvest envisage-t-elle la suite ?

Une communication en deux temps pour assurer la transparence

Vincent Couroyer : C'est le moment de faire un point sur toutes ces semaines, avec un peu de recul sur cet événement. J'ai envie de dire, les remontées que l'on a a priori des CGP, c'est la communication. Pourquoi y a-t-il eu des communications différentes, aussi rapprochées, avec des messages différents, durant les premiers jours et les premières semaines ?

Sonia Fendler : Merci de cette question, effectivement, c'est une question que se posent beaucoup de vos adhérents. Ce qu'il faut vraiment, en toute franchise et vraiment en priorité, dès le départ, on a vraiment voulu communiquer en totale transparence, de façon immédiate, au fil de l'eau, nos investigations. Et ceci, que ce soit auprès des autorités de tutelle ou des professionnels B2B que vous êtes.

La sécurisation des applicatifs et les premiers constats

Ce qui est vrai, c'est que dès qu'on a eu connaissance de cette cyberattaque, il y a eu deux temps. Un premier temps où on a fait tout de suite appel aux meilleurs spécialistes pour aller rechercher dans nos applicatifs et les datas de nos applicatifs, s'il y avait eu un impact. S'il y avait des données qui avaient été abîmées, volées, déstructurées, modifiées ; est-ce que les applicatifs avaient été touchés, etc. Ça a été notre priorité première. Dès qu'on a su que les applicatifs et que les données étaient toujours là et n'avaient pas été touchés, c'est vrai qu'on a communiqué de suite, que ce soit auprès des autorités ou auprès des professionnels que vous êtes.
Et pour deux raisons : on était soulagés parce que, un, ça voulait dire que pour nous, les applicatifs avaient résisté à cette cyberattaque, et deux, ça voulait dire qu'on pouvait commencer à redémarrer. Ça a pu paraître long parce qu'on est remontés trois semaines en arrière sur les datas, mais voilà, c'était notre priorité. Seconde étape, où là, effectivement, on a vu, a posteriori, du moins après, qu'il y avait des fichiers et quelques comptes de messagerie.
Ce sont moins de 4 % des répertoires périphériques qui ont été impactés, ce qui, à l'échelle d'Harvest, est encore moins. Malgré tout, c'est trop, avaient été impactés et avaient été extraits. C'est là où, de nouveau, en toute transparence et tout de suite, on a communiqué aux autorités, dont la CNIL notamment, et également auprès des professionnels. Donc c'est vrai que ces deux communications ont pu sembler contradictoires, mais ça a été vraiment deux phases d'une même vérité en toute transparence.

VC : J'ai envie d'être provocateur. Est-ce qu'on peut dire qu'il y a eu une faute au sein d'Harvest ? Les procédures n'ont pas été suffisamment solides pour permettre à ces données d'être à disposition des hackers ?

SF : Je rappelle quand même que c'était moins de 4 % des données de nos actifs et quelques comptes de messagerie. Et on avait d'ores et déjà investi plusieurs millions dans la cybersécurité. On a fait des tests, plein de tests, des tests de PCA, et à chaque fois de façon satisfaisante. Et là, on va continuer à investir. Et je remercie à nouveau nos actionnaires qui nous ont accompagnés, non seulement pour accélérer ce qu'on avait déjà anticipé, et pour aller encore plus loin. Et ça, on va anticiper tant sur les infrastructures, sur les dispositifs de sécurité, sachant qu'on avait déjà la surveillance 24/24. On était déjà à un niveau assez élevé. Et également sur nos process, nos procédures internes, pour éviter, bien entendu, qu'un tel incident se renouvelle.

Une réponse pensée pour les clients finaux des CGP

VC : Comme vous, nos clients sont nos préoccupations. Et il y a eu beaucoup de questions autour de cette notion de client. On a beaucoup parlé des outils, de la donnée, des fuites, et pas du tout parlé de nos clients et des conséquences de cette cyberattaque pour nos clients.

SF : Je trouve que tu as raison, c'est vraiment important de rappeler quand même que le principal dommage qu'il y a eu, c'est sur ce client final, qui sont vos clients.  Et là-dessus, notre dispositif dès le départ a été de se dire : on ne communique pas sur vos clients, ce sont les vôtres. Par contre, on a mis à disposition de la CNCGP, et j'en profite pour vous remercier, parce qu'autant toi que Julien, vous avez été, le Conseil d'administration, vous avez été exemplaires pour nous accompagner dans la communication, et on a souhaité que le cabinet qui nous accompagnait vous mette à disposition un kit de communication, un kit réglementaire, pour que vous puissiez vous-même le transmettre à chaque CGP et que chacun d'entre vous, chacun des rangs, décide de ce qu'il souhaite faire ou pas. J'espère que ça a été utile parce que c'était vraiment notre souhait premier pour ce client final.

VC : Tu le sais, je vous l'ai dit à plusieurs reprises dans les échanges, quotidiens et parfois plusieurs fois par jour. Nos adhérents, nous nous sommes sentis démunis puisque la décision de couper l'ensemble des applicatifs était votre décision et on s'est sentis démunis. C'était important parce qu'en fait pendant ces plusieurs semaines, les clients finaux se sont dit : mais où sont mes données ? Comment se fait-il que le CGP à qui j'ai fait confiance n'a plus accès à mes données, mais c'est à lui que j'ai confié mon argent ?

SF : C'est un vrai point, et je pense que la cyberattaque dont on a été victime a mis en exergue l'importance qu'on avait sur la place, sur ce marché, et d'autant plus notre responsabilité. Et je pense que c'est une responsabilité de place, vraiment collective, de faire en sorte que demain, on ait le process pour qu'il n'y ait pas d'indisponibilité des données telles qu'on vous l'a fait. Après, c'est vrai que ça a été notre priorité, c'était de redémarrer au plus vite l'ensemble des applicatifs.

La distinction entre PCA classique et réponse à une cyberattaque

VC : Ça fait une bonne transition avec ma question d'après : votre PCA, votre plan de continuité d'activité, en fait, nous, on ne l'a pas vu. Et comment ça va se passer maintenant ?

SF : C'est là où je pense que les professionnels ne réalisent pas la différence entre un plan de continuité d'activité ou un plan de reprise d'activité et une cyberattaque. Parce que notre plan de continuité d'activité a fonctionné, les datas étaient là, les sauvegardes étaient là, les applicatifs ont pu être redémarrés et on en fait régulièrement, on remonte en 48 heures l'ensemble des machines. Une cyberattaque, vous éteignez toutes les machines, vous éteignez la lumière de toute la maison. Et après, vous allez rallumer progressivement, et ça, ça prend beaucoup de temps, parce qu'avant de rallumer, vous allez regarder ce qui s'est passé. Est-ce que ça a été impacté ? Pas impacté. Est-ce qu'on reconstruit ? On ne reconstruit pas. C'est ce qui a paru, et je comprends, extrêmement long. Donc, ce n'est pas du tout le même phénomène. Et je pense que c'est, je le redis, c'est vraiment là où on a une action de place pour faire en sorte que ce plan de continuité d'activité, il soit vrai sur toute la chaîne de valeur. Donc pour vous, que ce soit chez Harvest, n'importe quel applicatif, il faut qu'on ait un système qui puisse vous redonner l'activité dans un temps court, quelle que soit la situation. Mais une cyberattaque, ce n'est pas un serveur qui tombe, c'est vraiment beaucoup plus grave.

VC : C'est vrai que de notre point de vue, on a eu l'impression que Harvest était devenue une entité tentaculaire, et qu'on était démunis face à ces différents enjeux de protection de données, de protection des clients, des clients Grands Comptes, des clients CGP, ça a créé un peu d'inquiétude dans le partenariat entre le monde des CGP et Harvest.

SF : Harvest, je rappelle, c'est une PME, on est 500 personnes, et on investit, et je redis, vraiment, je pense que les gens le sous-estiment, on investit énormément dans la sécurité, dans l'infrastructure, et je pense qu'il faut une structure suffisamment solide pour faire face à ce genre de dispositifs. Et le marché des CGP, vous connaissez, tu connais mon affection, vraiment, sur les CGP, même si des fois je peux ne pas être d'accord. Je suis très admirative de votre profession. Et j'ai rejoint Harvest aussi pour ça, parce que Harvest avait conscience qu'ils avaient oublié un peu de vous écouter ces dernières années, et ça fait partie en tout cas de mon enjeu.

Le soutien des actionnaires et la poursuite des investissements

VC : Tu l'as dit, ça mérite, ça nécessite beaucoup d'investissement, ce qui vous est arrivé. Or, vous aviez aussi envie de faire beaucoup d'investissements dans le futur. Je me souviens lors de nos dialogues, vous avez cité des chiffres effarants sur les entreprises qui ne résistent pas à une cyberattaque. Comment on va faire demain si Harvest n'est plus là et qu'il ne résiste pas à la cyberattaque ?

SF : J'ai eu beaucoup de questions sur la solidité financière d'Harvest et je pense que c'est une bonne question parce que l'ANSSI nous le disait bien, globalement, les sociétés qui subissent une cyberattaque, dans les six mois qui suivent, en général, il y en a une sur deux à minima qui s'écroulent. J'avoue que je remercie à nouveau nos actionnaires qui ont été extrêmement supportifs dès le départ. Déjà en nous mettant en contact avec les spécialistes internationaux pour résoudre la situation, pour nous accompagner dans les solutions à mettre en place à court terme, à moyen terme et à long terme. Donc oui, je vous rassure, Harvest reste solide, a un bilan sain et on va continuer à investir des montants très significatifs, largement au-dessus du montant de la rançon qui avait été demandée pour justement qu'on soit solides. On a pu nous dire, vous voulez être un acteur européen, vous nous oubliez. Je pense vraiment qu'aujourd'hui, si on veut faire les investissements qu'il faut, il faut avoir une taille significative, parce que, je le redis, ces coûts d'infrastructure, de cybersécurité, outre l'évolution des logiciels, qui reste quand même le cœur du métier, c'est extrêmement conséquent.

La contribution stratégique des CGP au développement d’Harvest

VC : Parlons d'avenir, parce qu'en fait, ce qui vous est arrivé a posé la question d'Harvest et de l'ambition d'Harvest dans le monde des CGP, on s'est sentis en disant, mais est-ce qu'on est importants pour Harvest dans leur développement ? Les ambitions européennes dont tu parlais, les grands comptes qui ont été un fort développement, est-ce qu'on est toujours un enjeu majeur pour vous ? Parce que c'est important d'être certain de ça.

SF : Déjà les CGP, vous êtes à l'origine d'Harvest, les premiers clients d'Harvest ou Manymore, ou de toute façon même les structures qu'on a rachetées, ce sont vous. Donc déjà, un, c'est un point clé. Deuxièmement, c'est un tiers de notre activité chez Harvest. Donc ce que je vous dis, c'est que vous êtes plusieurs milliers de clients chez nous et je pense que votre voix a fini par ne plus être assez entendue, mais vous restez vraiment dans notre cœur de dispositifs et on a énormément d'effectifs qui sont dédiés à votre activité, que ce soit chez les équipes commerciales, l'assistance, les customer success. D'ailleurs, il y a eu des recrutements en début d'année spécifiques pour votre canal de distribution. Donc on a fait plus de 40 webinaires l'année dernière, justement spécifiquement pour votre profession. On a fait 12 rencontres en région avec Clémentine, qui est la manager des équipes commerciales CGP. Et on va continuer à revenir en région. La proximité, pour moi, c'est le point clé. Et puis, je le redis toujours, les meilleures innovations, elles sont venues de votre marché. Vous êtes capables d'apporter des idées innovantes, de les tester. Si ça ne marche pas, ce n'est pas grave, on en refait une autre. Et ça, c'est magique pour un éditeur de logiciels comme nous.

Des investissements concrets pour les outils O2S, BIG et Fidnet

VC : Alors tu as parlé tout à l'heure d'investissement dans le futur. C'est quoi les grands chantiers, les grands enjeux d'Harvest demain qui vont faire d'Harvest notre outil essentiel ?

SF : En tout cas, on va tout faire pour. Ça passera dans les investissements sur les logiciels et je vais vous donner quelques idées de nouveautés. Mais vraiment aussi, je réinsiste, sur cette proximité qui nous a manqué, cette écoute, voilà. Le challenge, on a déjà remis en place les clubs utilisateurs. Donc il y a un club utilisateur O2S, un club utilisateur BIG et on va en faire un sur Fidnet, qu'avec des CGP pour contenir le coût de vos besoins. Dans les premiers temps, on a vraiment à cœur de faire évoluer à nouveau O2S, qui est quand même le cœur du moteur, avec une agrégation qui va être renforcée notamment avec une observabilité très fine qui va nous permettre de rejeter contrat par contrat quand il y a une anomalie, et pas tout. Il y a le gel des avoirs qui est très demandé, qui va arriver au mois de juillet. Il y a plusieurs choses sur O2S qui sont en cours. BIG, il y a une nouvelle édition qui va arriver, beaucoup plus commerciale, mais dans le sens conseil toujours vis-à-vis de vos clients.

L’intelligence artificielle au cœur des développements futurs

Et bien entendu, et ça moi je suis une fan de l'IA parce que l'intelligence artificielle va révolutionner tous les métiers et le nôtre. On a déjà des belles expertises en interne sur l'IA. Je pense à Mathilde Debrousse chez nous, qui est top. Et on a des beaux projets sur ce sujet-là.

Lire aussi : Après la cyberattaque contre Harvest, assureurs et banques confrontés à des perturbations opérationnelles

Voir aussi : « Pour les CGP, la dimension conseil est de plus en plus prégnante »