La cyberattaque subie par l’éditeur français Harvest met en évidence l’impact grandissant des supply chain attacks mais aussi l’importance de se questionner plus sérieusement sur les défis des dépendances technologiques.
L’écosystème français de l’épargne vient de passer des jours désagréables. Conseillers en gestion de patrimoine, gestionnaires de fortune, banques privées ou encore assureurs ont été privés des outils informatiques clés pour leurs activités depuis le 28 février… un douloureux rappel des difficultés qu’il y a aujourd’hui à exercer son métier sans numérique. La cyberattaque qui est à l’origine de ce problème majeur ne les a cependant pas ciblés directement : c’est l’éditeur français de logiciels Harvest, spécialiste de ce secteur, qui a été touché. Un ransomware sur l’un des serveurs de l’éditeur, hébergé chez un prestataire, l’a en effet forcé à bloquer l’accès à ses logiciels pour ses clients, empêchant l’ouverture de nouvelles affaires, leurs opérations d’arbitrage ou encore l’élaboration de bilans patrimoniaux.
Impact systémique
C’est une nouvelle illustration à la fois de la fragilité de nos écosystèmes numériques faits d’interdépendances de plus en plus complexes, et de l’impact croissant des « supply chain attacks » qui visent les prestataires du numérique des entreprises. Mais plus encore, le cas Harvest fait apparaître le danger de la concentration des usages auprès d’un seul acteur. L’éditeur, à travers ses nombreux logiciels, capte en effet la clientèle de 80 % des entreprises de l’écosystème de l’épargne en France. Autrement dit, presque tous se sont retrouvés concernés simultanément par la mise à l’arrêt d’une grande partie de leur activité : l’impact est dès lors devenu systémique.
En ce sens, la cyberattaque n’est qu’un déclencheur. Face à de telles situations de marché, de multiples causes peuvent conduire au même résultat. En juillet 2024, la « panne mondiale » de systèmes Windows qui avait cloué au sol des avions et perturbé les marchés financiers, était due à une mise à jour défectueuse de l’éditeur Crowdstrike. Le dénominateur commun n’est pas la cybersécurité (même si, coïncidence, Crowdstrike s’avère être un acteur de la cyber), c’est plutôt la dépendance à quelques outils clés.
Penser la dépendance au-delà de la géopolitique
Cette dépendance technologique n’est évidemment pas nouvelle. Pour les Européens, elle ne se limite d’ailleurs pas au numérique. Les discussions entre les États membres de l’Union sur la nécessité ou non de continuer à acheter du matériel militaire américain face au comportement erratique de l’administration Trump en sont la parfaite illustration. Or, imaginer un président américain clouer au sol les avions de chasse que son pays vend à ses alliés depuis des années paraissait jusqu’à peu tout droit sorti d’un roman de science-fiction, et non une hypothèse de travail des membres de l’OTAN… Peut-on porter le même questionnement pour les outils numériques présents dans toutes nos firmes ? Impensable, répondront la plupart… mais dans une nouvelle ère de déstabilisation, l’idée ne manque pourtant sans doute pas de trotter dans les têtes bien faites qui réévaluent les facteurs de risque pour le Vieux Continent.
Toutefois, au-delà de la géopolitique, le cas de la cyberattaque sur Harvest a le mérite de rappeler que l’enjeu de dépendance technologique ne se limite pas aujourd’hui à une question de souveraineté nationale. In fine, c’est la capacité à être libre de ses choix, de pouvoir en sortir et de réagir rapidement avec des alternatives en cas de problème, qui compte le plus. Malheureusement, même si elles affirment toutes être très pragmatiques en la matière, les organisations privées comme publiques risquent bien de devoir le prouver dans les faits à l’avenir. Que ce soit face à une cyberattaque écosystémique ou au comportement imprévisible d’une superpuissance.