MAJ au 31/03/2025 ———————————————————————

Chers adhérents, chère adhérente,

Dans ses derniers mails (26 à 28 Mars), faisant suite à la cyberattaque subie. HARVEST annonce trois choses :

• D’une part, la société HARVEST avertit ses clients de manière individuelle sur le fait de savoir s’ils sont ou non concernés par la compromission des données qu’elle avait annoncée. ;
• D’autre part que BIG et Fidnet, sont à nouveau disponibles ;
• Et enfin, la société HARVEST annonce que consciente du désagrément occasionné du fait de la cyberattaque qu’elle a subi, ses clients ne seront pas facturés pour toute la période d’indisponibilité de ses services.

Nous savons qu’elles sont vos difficultés pour remplir vos obligations réglementaires aussi dans l’objectif de toujours mieux vous accompagner voici quelques éléments de réponses :

•             Vous pouvez accomplir vos formalités vis-à-vis de la CNIL en utilisant le Kit de Gestion des Violations de Données disponible sur l’espace adhérent. En cas de notification après le délai de 72 heures, vous êtes invités à mentionner les raisons proposées dans le Kit (Annexe 1).

•             Vous pouvez attendre d’avoir des informations précises de HARVEST sur vos clients potentiellement concernés avant de considérer une information individuelle à ces derniers.

Les élus de l’ANACOFI ainsi que toutes ses équipes restent mobilisés pour vous accompagner pendant toute cette période. Nous vous prions d’agréer, Chers adhérents, chères adhérentes, nos plus sincères salutations.

MAJ au 24/03/2025 ———————————————————————

Chers adhérents, chères adhérentes,

Aux vues de la législation en cybersécurité et des éléments connus, suite à la cyberattaque subie par HARVEST, vos associations recommandent à tous les adhérents ayant reçu un message d’HARVEST, leur signifiant qu’ils sont concernés par les conséquences de la cyberattaque susmentionnée, de :

– indiquer ladite attaque en cybersécurité dans votre registre de violation des données ;

-Notifier à la CNIL ladite violation des données, soit par une notification simple, si vous estimez qu’il vous manque des éléments pour pouvoir faire une notification complète (cf guide mis à disposition). Soit par une notification complète. Ladite notification doit intervenir au maximum 72 heures après la notification que vous aura envoyé HARVEST, pour permettre la prise en charge de votre éventuel préjudice par votre RC PRO (en vertu de l’article 5 de la loi du LOI n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur) ;

– Enfin si vous avez identifié que vous subissez un risque élevé du fait de cette cyberattaque et que des données auront été éventuellement volées. Il faudra en outre avertir tous les clients concernés par la violation des données et ses conséquences.

Par ailleurs, si HARVEST ne vous a fait parvenir aucun mail pour signifier que vous êtes concernés par les conséquences de la cyberattaque, vous devez simplement remplir votre registre de violation des données. Nous vous recommandons néanmoins d’effectuer une notification à la CNIL de la violation des données, même si celle-ci n’a pas eu de conséquences pour vos clients.

Concernant, la prise en charge par vos RCPRO d’éventuels préjudices dont vous pouvez faire l’objet, vous devez, en vertus de l’article 5 de la loi du LOI n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur, porter plainte auprès des « autorités compétentes » au plus tard soixante-douze heures (72) après la connaissance de l’atteinte par la victime.

Information complémentaire notamment sur les Autorités Compétentes et la marche à suivre : https://entreprendre.service-public.fr/actualites/A16531

Aux vues des éléments dont nous disposons, à ce jour, nous ne pouvons pas dire exactement quel est le point de départ pour chacun d’entre vous du délai des 72 heures.

Néanmoins, nous ne saurions que trop vous recommander de faire vos déclarations et si nécessaire de porter plainte auprès de l’autorité compétente, dès réception de votre part du message d’HARVEST, vous avertissant que vous faites partie des sociétés dont les fichiers sont impactés par la cyberattaque subie par eux.

Toutes nos associations restent mobilisées pour vous accompagner, que ce soit par le biais de kits de documents explicatifs, messages ou au travers de nos équipes d’élus et salariés juristes.

Enfin, nous vous rappelons qu’une présentation de ce que nous savons de la situation a été rajoutée au programme de notre Convention du 3 avril prochain à Paris.

Vous n’êtes pas seuls. L’équipe juridique et des élus de l’ANACOFI est à vos côtés.

Nous vous prions d’agréer, Chers adhérents, chères adhérentes, nos plus sincères salutations »

MAJ au 21/03/2025 ———————————————————————

Suite aux dernières informations reçues, en collaboration avec les conseils d’Harvest, un Kit d’accompagnement a été produit. Il doit vous permettre de réagir correctement, en fonction de la situation qui est celle de votre cabinet.

Cependant et à la demande des rédacteurs du document, il est à destination des seuls membres, par ailleurs client d’Harvest. Aussi il se trouve dans la partie «espace adhérent »

MAJ au 19/03/2025 ———————————————————————

Comme nous vous en avons informé, la société HARVEST a subi une attaque au ransomware. Suite à cette attaque elle a communiqué sur ledit incident et notamment, via le dernier mail en date du 19 mars 2025.

Dans un premier temps, HARVEST indique la réouverture de certaines de ses solutions tel que :

• Feefty ;
• Quantalys (France, Italie, Luxembourg) ;
• Prisme ;
• O2S.

Mais la société informe également que d’autres applicatifs sont encore non fonctionnels et seront progressivement rouverts dans les jours et semaines à venir. IL s’agit de :

• Big;
• Hauméal;
• Fidnet;
• Clickimpôts;
• MoneyPitch.

Par ailleurs, dans un second temps, HARVEST indique avoir identifié, lors de ses enquêtes, que certains de leurs fichiers internes et compte de salarié ont été compromis.

À ce jour, nous ne savons pas ce qu’HARVEST entend par fichier compromis.

La société indique que ladite compromission peut avoir affecté certaines données clients et qu’elle reviendra de manière individuelle vers tous les CGP concernés dans les semaines à venir.

Suite aux échanges que nous avons avec HARVEST, nous devrions pouvoir proposer dans cet espace un kit de documentation visant à vous aider à remplir vos obligations, dans l’éventualité de nouvelles déclarations ou actions à mener auprès de vos clients ou des autorités. Vous devriez également trouver un « Questions / Réponses » relatif à cet incident.

A cette heure et sous réserve des informations individualisées annoncées, nous pouvons envisager 3 situations :

• Vous n’êtes pas concernés par la « compromission » des données déclarée par HARVEST ou il n’y a aucun risque du fait de cette compromission.
  Dans cette hypothèse, vous avez déjà fait la déclaration initiale que nous vous recommandions et vous devez juste remplir votre « registre des violations des données » (Procédure RGPD – cf Kit de procédures et/ou Livret Réglementaire Adhérent).
• Les données de vos clients sont concernées par la compromission et il y a un risque pour les données de vos clients.
  Dans ce cas, vous devez d’une part remplir votre registre des violations des données et notifier à la CNIL ladite compromission sous 72h maximum. Le point de départ du délai de 72h débute à partir du moment où le responsable de traitement à la certitude qu’un incident affectant la sécurité des données personnelles a eu lieu.
• Les données de vos clients sont concernées par la compromission et il y a un risque élevé pour les données de vos clients.
  Ici, vous devrez non seulement remplir votre registre des violations des données, notifier à la CNIL ladite compromission mais aussi notifier aux clients touchés par ladite compromission, la violation de leurs données et ce, dans les meilleurs.

L’ANACOFI reste bien évidemment à vos côtés, ne manquera pas de vous accompagner et de vous tenir informé de toute évolution de la situation.

14/03/2025 ———————————————————————

Les données étant inaccessibles, vous devez en notifier la CNIL même si HARVEST l’a déjà fait en tant que sous-traitant.

En votre qualité de responsable de traitement, vous êtes tenu de notifier cet incident à la CNIL, conformément à vos obligations légales. 

Pour faire la notification : Notification 

Voici notre document pour vous aider à préparer la notification auprès de la CNIL : AIde à la préparation de la notification CNIL par l’ANACOFI

Nos partenaires conformité peuvent être un support dans ces démarches, vous trouverez la liste des prestataires dans votre espace adhérent.

Mail envoyé par Harvest à ses clients:

Chère cliente, cher client,

Dans le prolongement de notre dernière communication du 6 mars, nous continuons, dans une démarche de transparence, à vous tenir informés de l’état d’avancement de notre gestion de l’incident de cybersécurité.
 
En réponse, nous avons immédiatement mobilisé nos équipes en collaboration avec des experts en cybersécurité et les autorités compétentes.

Nous souhaitons vous rassurer : nos investigations forensiques, visant à déterminer l’origine et le périmètre du cyber incident, n’ont révélé aucune extraction, fuite ou lecture de données de vos clients contenues dans les logiciels Harvest que vous utilisez. Nos experts analysent dorénavant les répertoires internes utilisés par nos collaborateurs, hors logiciels Harvest, pour finaliser l’analyse. Nous reviendrons vers vous lorsque cette analyse sera terminée.

Grâce aux mesures mises en œuvre préalablement à l’incident, et celles prises en réponse, nous sommes déjà parvenus à rouvrir certains services comme Feefty et demain Quantalys, et nous faisons tout notre possible, grâce à nos équipes mobilisées 24 heures sur 24 et 7 jours sur 7, pour parvenir à être en capacité d’ouvrir nos services dans les meilleurs délais.

Concernant O2S, nous espérons pourvoir ouvrir partiellement ce service dès le début de la semaine prochaine. Les premières fonctionnalités disponibles seront : mails et synchronisation agenda; pour les parcours projet, audit et portefeuille modèle, les calculs utiliseront les données intégrées jusqu’au 26 février 2025.  

Certains travaux de configuration sur O2S seront réalisés hors des horaires de bureau, pour accélérer la reprise progressive et par étape de l’ensemble de ses fonctionnalités. O2S sera ainsi ouvert en journée uniquement, les horaires vous seront communiqués sur l’applicatif directement.

Concernant Big et Fidnet, nos travaux se poursuivent. Nous disposons de l’ensemble des sauvegardes pour permettre un rétablissement optimal. Nous vous informerons dès que possible des dates envisagées pour l’ouverture.

Nous souhaitons renouveler nos remerciements pour votre patience et votre compréhension.
 
L’équipe Harvest