Skip to content
RançongicielEn cours

Fuite chez Harvest

Harvest, éditeur français de logiciels de gestion de patrimoine, a été victime d'une attaque par rançongiciel à double extorsion du groupe Run Some Wares, révélée en avril 2025 ; des fichiers internes et clients ont été exfiltrés et publiés, exposant des données de dizaines de milliers de personnes et de milliers d'entreprises.

Victime
Harvest

Le 11 avril 2025, Harvest — éditeur français de référence de logiciels de gestion de patrimoine et d'ingénierie financière, utilisés par des banques, des assureurs, des family offices et des conseillers en gestion de patrimoine (CGP) — a été confirmé comme victime d'une attaque par rançongiciel après l'apparition de données volées sur le dark web. L'intrusion a été détectée vers le 26-27 février 2025, et le groupe Run Some Wares en a revendiqué la responsabilité publiquement le 10 avril, en publiant les fichiers exfiltrés sur son site de fuite.

Les attaquants ont employé un modèle de double extorsion, chiffrant les systèmes internes tout en exfiltrant des données sensibles avant de menacer de les diffuser. Les outils de Harvest étant au cœur de nombreux processus de gestion de patrimoine, la fuite a eu des répercussions sur tout le secteur du conseil financier en France ; quatre associations professionnelles de CGP ont publié une lettre ouverte alertant que l'incident affectait directement l'activité et la confiance des clients de nombreux professionnels.

Les données exposées, d'après les analyses de la fuite, couvrent plusieurs catégories :

  • Fichiers métier et opérationnels
  • Données financières et comptables
  • Dossiers RH et données du personnel
  • Identifiants et clés de chiffrement
  • Documentation juridique et réglementaire
  • Actifs techniques et de développement
  • Données de tiers et de clients

Les informations liées à la fuite évoquaient environ 50 000 personnes et près de 5 000 entreprises concernées, sans que Harvest ne publie de décompte officiel précis. Harvest a reconnu le « cyber-incident », prévenu les conseillers et clients touchés et travaillé avec des spécialistes pour en évaluer l'ampleur ; les données ayant été publiées, l'incident restait en cours quant à ses conséquences pour l'entreprise et ses clients en aval.

Sources

  1. 01net.comhttps://www.01net.com/actualites/fuite-massive-france-vol-donnees-bouscule-monde-finance-francaise.html
  2. lemagit.frhttps://www.lemagit.fr/actualites/366620232/Ransomware-la-FinTech-francaise-Harvest-victime-dune-cyberattaque
  3. cybelangel.comhttps://cybelangel.com/blog/harvest-ransomware-attack-report/
  4. gestiondefortune.comhttps://www.gestiondefortune.com/banque-cgp/rubriques-banque-privee/actualites/12285-harvest-les-cgp-concernes-par-une-fuite-de-donnees-sont-prevenus.html

Incidents liés

RançongicielEn cours

Fuite chez La Centrale du Financement

Un pirate a exfiltré environ 387 Go de données (quelque 411 000 fichiers) du réseau du courtier en crédit et en prêt immobilier La Centrale de Financement, exposant des documents KYC, financiers et internes très sensibles, puis a mis le lot en vente après l'échec de négociations d'extorsion.

Victim
La Centrale du Financement
RançongicielContenu

Fuite chez Commune de Lens

Fin décembre 2025, la mairie de Lens (Pas-de-Calais, France) a révélé une intrusion dans son système d'information qui a paralysé les services municipaux pendant environ une semaine, bloquant les logiciels des agents et les lignes téléphoniques ; le vecteur d'attaque n'a pas été divulgué et aucun vol de données n'a été confirmé.

Victim
Commune de Lens
RançongicielEn cours

Fuite chez Résidence du Parc (Champdeniers-Saint-Denis)

En décembre 2025, l'EHPAD Résidence du Parc à Champdeniers-Saint-Denis (Deux-Sèvres), qui héberge environ 90 résidents, a été frappé par un rançongiciel ayant chiffré des fichiers et déposé une demande de rançon de 5 millions de dollars ; des données administratives et possiblement des pièces d'identité numérisées ont été exposées.

Victim
Résidence du Parc (Champdeniers-Saint-Denis)
RançongicielEn cours

Fuite chez Michelin

En novembre 2025, le groupe d'extorsion Cl0p a inscrit le manufacturier français de pneumatiques Michelin sur son site de fuites, affirmant avoir volé des fichiers internes (production, ingénierie, chaîne d'approvisionnement, finances, RH) via la faille zero-day Oracle E-Business Suite (CVE-2025-61882).

Victim
Michelin