Skip to content

Fuite chez MAIF & BPCE

Une attaque par rançongiciel contre l'éditeur français de logiciels de gestion de patrimoine Harvest (groupe Run Some Wares, détectée le 27 février 2025) a exposé des données personnelles et financières de clients de l'assureur MAIF et du groupe bancaire BPCE (Banque Populaire / Caisse d'Épargne), via une attaque sur la chaîne d'approvisionnement.

Victime
MAIF & BPCE

Le 28 mars 2025, MAIF & BPCE — un grand assureur mutualiste français et l'un des principaux groupes bancaires de France — ont révélé que des données de clients avaient été exposées à la suite d'une cyberattaque visant Harvest, éditeur parisien de logiciels de gestion de patrimoine utilisés par une large part des conseillers financiers et banques privées en France.

Il s'agit d'une attaque sur la chaîne d'approvisionnement : les systèmes internes de Harvest ont été frappés par un rançongiciel vers le 27 février 2025, attaque revendiquée ensuite par le groupe Run Some Wares selon une logique de double extorsion (chiffrement des données et menace de publication). Comme MAIF Solutions Financières et des entités du groupe BPCE (14 Banques Populaires et 15 Caisses d'Épargne) s'appuyaient sur les outils de Harvest, les dossiers clients hébergés dans cet environnement ont été exfiltrés puis finalement publiés sur le site de fuite des attaquants.

Les catégories de données exposées comprenaient :

  • Nom, genre et date de naissance
  • Situation matrimoniale et professionnelle
  • Adresse postale, adresse e-mail et numéro de téléphone
  • Revenus et patrimoine (clients MAIF)
  • Numéro de sociétaire ; pour certains clients BPCE, numéros de comptes-titres et leurs encours

La MAIF et BPCE ont précisé qu'aucun mot de passe, pièce d'identité ni coordonnée bancaire (RIB) n'avait été compromis. Les deux établissements ont informé les clients concernés et alerté sur le risque accru d'hameçonnage, d'appels frauduleux et d'usurpation d'identité, en appelant à la vigilance face à toute sollicitation inattendue mentionnant leurs comptes.

Sources

  1. leparisien.frhttps://www.leparisien.fr/economie/votre-argent/fuite-de-donnees-pour-les-clients-maif-et-banque-populaire-caisse-depargne-que-faire-si-vous-etes-concerne-22-03-2025-J56UD4GFSNELRANHK5ICRQ66I4.php
  2. francesoir.frhttps://www.francesoir.fr/societe-science-tech/fuite-de-donnees-chez-la-maif-et-la-bpce-apres-une-cyberattaque-fin-fevrier
  3. gbhackers.comhttps://gbhackers.com/harvest-ransomware-attack/
  4. clubic.comhttps://www.clubic.com/actualite-558291-les-donnees-des-clients-de-banque-populaire-caisse-d-epargne-et-maif-en-danger-apres-cette-cyberattaque-massive.html

Incidents liés

Chaîne d’approvisionnementContenu

Fuite chez ASAF & AFPS (via Itelis)

Des adhérents de l'assureur ASAF & AFPS ont vu leurs données personnelles exposées après une fuite chez Itelis, le réseau de soins optiques qui traite leurs remboursements ; nom, date de naissance, numéro de sécurité sociale, dossiers et données de correction visuelle de 2020-2022 sont concernés.

Victim
ASAF & AFPS
Chaîne d’approvisionnementContenu

Fuite chez AG2R la Mondiale (via Itelis)

Révélée en novembre 2025, une cyberattaque contre Itelis — le réseau de soins optiques utilisé par l'assureur AG2R la Mondiale — a exposé les nom, date de naissance, numéro de sécurité sociale, dossiers de remboursement et données de correction visuelle de bénéficiaires couverts en optique entre 2020 et début 2022.

Victim
AG2R la Mondiale
Chaîne d’approvisionnementContenu

Fuite chez La Nef

En septembre 2025, la banque coopérative éthique française La Nef a alerté ses sociétaires sur l'exposition de leurs adresses email à la suite d'une cyberattaque visant le prestataire de vote SLIB ; seules des adresses email ont été touchées, sans données bancaires, pièces d'identité ni mots de passe.

Victim
La Nef
Chaîne d’approvisionnementContenu

Fuite chez Direct Assurance

En mars 2025, l'assureur direct Direct Assurance (filiale d'AXA) a subi une fuite via son partenaire Run Assurance : les attaquants ont exploité une faille dans les échanges de données entre les deux entreprises pour accéder aux données personnelles de clients, exposant à l'usurpation d'identité et au phishing.

Victim
Direct Assurance