Ingénierie sociale et cybercriminalité

vendredi 29 Nov 2019

Par un étudiant du MAS ILCE

Au cours des dernières décennies, le monde industriel a subi une accélération extraordinaire. De nouveaux secteurs ont fait leur apparition (microélectronique, biotechnologies, énergies renouvelables, etc.) et cela grâce à l’essor de l’informatique et à la révolution d’internet. Cette toile qui relie les Hautes Ecoles et les Universités à travers le monde permet non seulement de partager le savoir acquis, mais aussi de contribuer aux nouvelles découvertes. La communication est instantanée et nous sommes désormais tous, entreprises et particuliers, dépendants de cette technologie révolutionnaire.

Par la force des choses, l’ère internet a inspiré de nouvelles vocations et engendré la cybercriminalité, dont les techniques d’attaque et d’escroquerie sont en constante évolution.

Selon une étude menée en 2018 par un cabinet d’audit de renommée internationale, il ressort que les détournements de biens (dans 51% des cas) et la cybercriminalité (dans 44% des cas) figurent parmi les risques financiers les plus élevés pour les entreprises en Suisse. (1)

Si le risque, pour une entreprise, de subir un détournement de fonds dépend de son système de contrôle interne, et plus précisément des contrôles automatisés ou des contrôles effectués par ses collaborateurs, donc l’humain, il n’en est pas moins pour les risques de cybercriminalité. De nombreux cybercriminels comptent sur le facteur humain pour contourner les sécurités informatiques.

Comment évaluer un risque lié à la cybercriminalité ?

En janvier 2016, le Département fédéral de la défense et le groupe de défense et d’aéronautique RUAG annonçaient aux médias avoir été piratés par un logiciel espion visant à faire de l’espionnage industriel.  Approximativement, 200 jours se sont écoulés entre l’installation du logiciel espion et la découverte du piratage. (2)

Le risque d’une attaque cyber dépend de la sensibilité des informations détenues par l’entreprise, mais aussi du contexte dans lequel elle opère. Un hôpital, par exemple, ne détient pas de secrets de fabrication, mais plutôt des fichiers confidentiels relatifs aux patients. Une attaque visant à chiffrer les fichiers pourrait mettre en péril la vie des patients, mais aussi la réputation de l’hôpital.

A l’origine, les pirates informatiques s’intéressaient aux informations sensibles détenues par les entreprises, susceptibles d’être revendues au plus offrant sur le darknet. De nos jours, les attaques touchent également les particuliers. Le but des cybercriminels est d’installer des malwares pour empêcher l’accès aux fichiers et obtenir ainsi une rançon contre restitution des fichiers. (3)

Mais comment y parviennent-ils ?

En août 2014, La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI informait le public qu’elle avait reçu plusieurs annonces de petites et moyennes entreprises suisses ayant subi des tentatives d’escroquerie par le biais des méthodes d’ingénierie sociale, appelée aussi «social engineering». (4)

L’ingénierie sociale, de quoi s’agit-il ?

L’ingénierie sociale est une technique d’attaque qui vise à exploiter les vulnérabilités humaines. Le but est de gagner la confiance des victimes afin d’obtenir des informations confidentielles comme leur mot de passe, ou de leur faire effectuer des actions comme des transferts d’argent.

Dans un premier temps (pour la partie ingénierie), le criminel recueille et analyse des informations sur l’entreprise afin de construire des méthodes sophistiquées d’attaques (secteur d’activité, postes clés, modèles utilisés pour les adresses e-mails). Des renseignements qu’il trouvera facilement sur le site de l’entreprise. Si nécessaire, il complétera les informations manquantes par la prise de contact avec un collaborateur de l’entreprise. (4)

En règle générale (pour la partie sociale), le criminel contacte un collaborateur de l’entreprise sous un faux prétexte. Pour établir un climat de confiance, le criminel tente de développer des relations au travers de conversations, d’échanges d’e-mails ou de contacts par le biais des réseaux sociaux. Il peut aussi se présenter comme un prestataire de services informatiques, un prestataire réseau, une banque, un dirigeant d’entreprise, une entreprise de recrutement. Pour arriver à ses fins, le criminel privilégiera le choix d’un collaborateur ne faisant pas partie de la direction.

Comment les cybercriminels opèrent-ils ?

Les cybercriminels disposent de nombreux moyens afin d’entrer en contact avec leur victime. En voici les grandes lignes :

Par téléphone, le but étant d’obtenir le plus rapidement possible un maximum d’informations sur l’entreprise.

Par e-mail, l’objectif étant de faire ouvrir une pièce jointe ou cliquer sur un lien dont l’URL redirigera le collaborateur sur un site infecté.

Par une clé USB, afin de contaminer le système par un virus (pour mémoire, un virus va altérer les fichiers, ce qui causera la perte des données).

Par une prise de contact directe, le but étant de commettre une escroquerie. Le collaborateur reçoit un e-mail imitant l’adresse d’un dirigeant de l’entreprise (faux dirigeant). Le faux dirigeant va demander dans son courriel d’effectuer un transfert d’argent pour un objectif de nature confidentielle et urgente. Pour appuyer le scénario, le collaborateur reçoit un appel du faux dirigeant, ce dernier va l’empresser d’effectuer le transfert dans la plus grande discrétion. Le collaborateur, tenu par le caractère confidentiel de cette demande, ne va pas en vérifier la légitimité et effectuera le transfert.

C’est ainsi que Gilbert Chikli, considéré comme l’inventeur de l’arnaque au faux Président, a réussi à détourner 7,9 millions d’euros à des entreprises telles que : Accenture, Alstom, HSBC, la Banque postale, le Crédit lyonnais et Thomson Technicolor. (5)

Quels sont les moyens de prévention ?

Si vous êtes une entreprise

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI recommande aux entreprises suisses les règles de bases suivantes :

  • Mettez en place des formations de prévention du personnel relatives à ces phénomènes, notamment pour les postes clés. (6)
  • Sensibilisez les collaborateurs à la nécessité que chacun respecte les processus et les mesures de sécurité définis par l’entreprise. Il est notamment recommandé de prévoir, pour tout virement, le principe des quatre yeux avec une signature collective à deux. (6)
  • N’indiquez jamais sur le site internet de votre entreprise les adresses nominatives des membres de la direction ou de vos collaborateurs. (7)
  • Installez un système de sauvegarde (back-up) et vérifiez périodiquement la fiabilité des sauvegardes de vos systèmes informatiques.

Si vous êtes un particulier

Les méthodes des cybercriminels sont de plus en plus sophistiquées et trouver un mot de passe pour accéder à vos différents comptes (LinkedIn, Facebook, etc.) ne représente plus un défi pour eux. On peut partir du principe qu’il ne vaut pas la peine de se protéger si l’on n’a rien de spécial à cacher. Mais nous ne sommes pas seuls… Ce n’est jamais agréable, lorsque vos amis commencent à recevoir des messages de votre part leur demandant de l’argent parce que vous êtes soi-disant dans une situation difficile.

Voici quelques indications sur les précautions à prendre :  

Téléphone 

Lorsque le contact vous semble douteux ou inhabituel, ne donnez aucune information et ne procédez à aucune action. (6)

E-mail

Lorsque vous recevez un email suspect ou inhabituel, n’ouvrez jamais les pièces jointes.

Le cas échéant, vérifiez la présence de virus dans les fichiers attachés en soumettant ces derniers à un détecteur de virus. Certains sites web proposent ce type de service gratuitement (ex. www.virustotal.com/old-browsers/).

A noter qu’un virus qui est nouveau sur le marché ne pourra pas être détecté dans ses premières heures d’existence. D’où l’importance de ne pas se fier aveuglément aux premiers résultats obtenus, mais plutôt de soumettre à nouveau le fichier au détecteur de virus 24 heures plus tard.

Il en est de même pour un raccourci proposé dans un e-mail. Il est possible de s’assurer que le lien n’est pas corrompu en effectuant une vérification d’expansion URL (ex. www.expandurl.net) ou de vérifier le détenteur du nom de domaine à l’aide de l’outil WHOIS (http://itools.com/tool/domaintools-whois par ex.). Lorsque vous effectuez cette opération, soyez particulièrement vigilant à ne pas cliquer sur le lien, mais plutôt à sélectionner le lien.

Clé USB

Lorsque vous ignorez la provenance d’une clé USB, n’insérez jamais cette dernière sur un ordinateur, qu’il soit privé ou relié au réseau de l’entreprise.

Mots de passe

Pour une meilleure sécurité de vos différents comptes (LinkedIn, Facebook, Google mail…), choisissez un mot de passe assez long, facile à retenir et qui ne se trouve pas dans un dictionnaire. Idéalement, il devrait contenir au moins dix caractères, avec des caractères spéciaux et des chiffres. Pour créer un mot de passe efficace et facile à retenir, sélectionnez deux mots et rajoutez-y des chiffres et des caractères spéciaux. (8)

Utilisez un mot de passe différent pour chaque prestataire de services, ainsi si l’un de vos comptes est piraté le même mot de passe ne pourra pas être utilisé partout.

Pour vous faciliter la vie, servez-vous d’un gestionnaire de mots de passe tel que : Keepass, 1password, Lastpass ou Dashlane. (8)

Identifiant à deux facteurs

Pour améliorer la sécurité de vos différents comptes (LinkedIn, Facebook), il est possible de mettre en place un identifiant à deux facteurs (comme exemple, l’identifiant à deux facteurs est déjà utilisé par les banques lors des connexions e-banking). (8)

Un identifiant à deux facteurs permet de rajouter une couche supplémentaire de sécurité, en plus de votre mot de passe. Dès que vous entrez votre mot de passe auprès de votre prestataire de services, vous êtes invité à saisir un nouveau code d’identification par le biais de votre téléphone mobile. Le pirate ne pourra pas accéder à votre compte LinkedIn ou Facebook sans le code reçu sur votre téléphone mobile. (9)

Parmi les sites les plus recommandés concernant les identifiants à deux facteurs, vous trouverez www.TurnOn2FA.com. (8)

Pour terminer, que vous soyez une entreprise ou un particulier, effectuez les mises à jour proposées par les logiciels de vos outils professionnels et privés (ordinateur ou Android). Vous éviterez ainsi qu’un cybercriminel exploite les failles de sécurité des softwares, qui sont corrigées lors des mises à jour.

Utilisez un antivirus, il vous permettra de :

  • détecter les logiciels d’hameçonnage (phishing)
  • détecter les fichiers et sites infectés
  • vous protéger contre les rançongiciel (ransomware). (3)

Selon le MELANI, tout indique qu’il y aura de nouvelles vagues de courriels frauduleux et que le nombre d’escroqueries de ce type va aller croissant. En sensibilisant vos collègues, vos connaissances et vos proches à ces stratagèmes, vous éviterez peut-être qu’ils en deviennent victimes à leur tour. Discuter de cette thématique avec votre entourage professionnel et personnel, c’est participer activement à la prévention liée à la cybercriminalité. (7)


(1)          https://www.pwc.ch/en/insights/risk/global-economic-crime-survey.html

(2)          https://www.rts.ch/info/economie/7697872-piratage-informatique-contre-ruag-et-le-departement-federal-de-la-defense.html

(3)          https://www.rts.ch/play/tv/a-bon-entendeur-signe/video/cybersecurite-surfez-proteges–signe-2019?id=10342026

(4)          https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/recrudescence-d_attaques-utilisant-des-methodes-dingenierie-soci.html

(5)         https://www.nouvelobs.com/justice/20171201.OBS8287/gilbert-chikli-le-roi-de-l-arnaque-cerne-par-les-affaires.html

(6)          https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/recrudescence-d_attaques-utilisant-des-methodes-dingenierie-soci.html

(7)          https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-sur-la-situation/rapport-semestriel-2018-2.html

(8)          https://www.laliberte.ch/news/la-cybersecurite-et-vous-les-conseils-de-paul-such-484892

(9)          https://www.youtube.com/watch?v=-Gf_5HroWvM


Salaire vs dividende, tout est question de proportionnalité

lundi 18 Nov 2019

Par Alexandre Schorderet

Si le salaire rémunère un travail fourni, d’où l’adage « tout travail mérite salaire », le dividende, quant à lui, correspond au retour sur investissement relatif à un capital propre engagé. Cette distinction n’est toutefois pas toujours appliquée de manière évidente lorsqu’il s’agit de rémunérer un employé détenteur de participation.

L’aspect fiscal entre bien souvent en ligne de compte. En effet, la forme sous laquelle la rémunération des cadres est versée a des conséquences considérables au niveau de la fiscalité :

Un salaire élevé est soumis à plus de charges sociales, mais réduit également le bénéfice de l’entreprise et par conséquent la charge fiscale de cette dernière.

Quant au dividende, il n’est pas soumis aux charges sociales, mais entraine une double charge fiscale : imposition sur le bénéfice de l’entreprise et imposition sur le revenu de l’actionnaire. La double imposition est, dans certaines conditions, atténuée par une imposition partielle au niveau fédéral[1] et une imposition partielle ou à taux réduit au niveau cantonal[2].

Ces différences poussent certains cadres à favoriser une forme de rémunération plutôt qu’une autre. Si l’aspect fiscal peut influencer la structure de rémunération, il tient toutefois à respecter une proportionnalité adéquate afin d’éviter d’une part la qualification d’un dividende en tant que salaire déterminant soumis aux cotisations sociales et d’autre part à une distribution dissimulée de bénéfice.

Qualification d’un dividende en tant que salaire déterminant soumis aux cotisations sociales

Lors d’un contrôle de la caisse de compensation, celle-ci peut requalifier une partie d’un dividende en salaire déterminant. Le montant correspondant est alors soumis aux charges sociales.

Selon le tribunal fédéral, « il y a lieu de déroger à la répartition choisie par la société s’il existe une disproportion manifeste entre la prestation de travail et le salaire ainsi qu’entre le capital propre engagé dans l’entreprise et le dividende versé »[3]. Cela signifie qu’une reclassification d’un dividende en salaire déterminant ne peut avoir lieu que lorsque le salaire est jugé insuffisant conformément aux usages du secteur et lorsqu’un dividende trop élevé a été versé. En présence d’un rendement des fonds propres de plus de 10%, les caisses de compensation considèrent qu’un dividende est excessif[4].

Pour déterminer si l’indemnité sous forme de salaire est appropriée, les éléments suivants sont pris en considération : le cahier des charges, le niveau de responsabilité, l’expérience, la connaissance de la branche, le genre d’activité, l’évolution des salaires, le taux d’occupation ou encore le calculateur de salaire de l’office fédéral de la statistique. De plus et si cela est possible, le dividende est comparé avec celui distribué à des détenteurs de participations qui ne sont pas employés. Le salaire peut également être comparé avec celui d’autres salariés n’ayant pas de droit de participation afin de mesurer l’éventuel déséquilibre.[5]

Si la disproportion est prouvée, la partie du dividende non admise est convertie en salaire déterminant soumis aux cotisations.

D’un point de vue fiscal, l’employé actionnaire qui aura bénéficié de l’imposition partielle sur le dividende risque de voir sa taxation adaptée à la suite de la décision de la caisse de compensation, ce qui entrainerait également des intérêts de retard sur le montant de l’impôt dû.

Distribution dissimulée de bénéfice

Lorsqu’un salaire de cadre est jugé excessif, on parle de distribution dissimulée de bénéfice ou encore de prestation appréciable en argent.

Par excessif, on entend les prélèvements qui ne sont pas conformes à l’usage commercial[6].

Il y a distribution dissimulée de bénéfice lorsque les quatre conditions suivantes sont cumulativement satisfaites[7] :

1) la société fait une prestation sans obtenir de contre-prestation correspondante

2) cette prestation est accordée à un actionnaire ou à une personne le touchant de près

3) ladite prestation n’aurait pas été accordée dans de telles conditions à un tiers

4)  la disproportion entre la prestation et la contre-prestation est manifeste de telle sorte que les organes de la société auraient pu se rendre compte de l’avantage qu’ils accordaient

Pour déterminer si la rémunération correspond aux prestations fournies, l’autorité fiscale doit vérifier qu’elle égale à la rémunération qu’aurait obtenue une tierce personne dans les mêmes circonstances.

Une rémunération est donc excessive si elle dépasse celle d’une personne avec une formation et expérience similaire, occupant la même position et la même fonction dans une entreprise active dans le même domaine, ayant une taille et une situation financière analogue. Si une telle comparaison n’existe pas, il est admissible de fixer le salaire de base en fonction des statistiques.

Dans ce cas de figure, la méthode dite « valaisanne » est généralement appliquée pour déterminer le salaire acceptable d’un employé actionnaire. La méthode valaisanne prend en compte un salaire de base et l’adapte en fonction du chiffre d’affaires et du bénéfice. Cette formule tient compte l’implication des salariés et la situation de l’entreprise[8].

Le TF ainsi que l’administration fédérale des contributions approuve cette méthode de calcul, car elle permet un résultat exempt d’arbitraire, adapté aux circonstances du cas d’espèce[9].

Une fois que l’autorité fiscale a considéré un salaire ou une partie de celui-ci comme étant une prestation appréciable en argent, la part non admise est alors réintégrée au bénéfice imposable de la société selon les règles correctrices[10]. Gardons également à l’esprit que la procédure de rappel d’impôts engendre des intérêts moratoires sur le montant de l’impôt dû qui peuvent se révéler conséquents.

Une distribution dissimulée de bénéfice sous forme de salaire ne viole pas les règles comptables impératives[11]. Cette mauvaise appréciation entre la prestation et sa contre-prestation n’est donc pas considérée comme une soustraction d’impôt et ne relève par conséquent pas du droit pénal[12].

Une reprise peut également être faite chez l’actionnaire ayant bénéficié de la prestation appréciable en argent. En effet, lorsque l’actionnaire possède au moins 10% du capital-actions ou du capital-social, il peut bénéficier de l’imposition partielle des dividendes[13]. Toutefois la requalification du salaire en dividende intervient souvent après l’entrée en force de sa taxation personnelle et malheureusement pour l’actionnaire, une simple requalification de revenu ne constitue pas un motif valable pour une révision de la taxation[14]. Toutefois, le contribuable peut demander le remboursement des cotisations sociales payées sur la part du salaire requalifiée. Pour ce faire, il dispose d’un délai d’une année à compter de la fin de l’année civile durant laquelle la taxation de la société est entrée en force[15].

D’autre part, la distribution dissimulée de bénéfice entraine l’application de l’impôt anticipé de 35%[16]. La société qui a octroyé des prestations sous la forme d’une distribution dissimulée de dividende a l’obligation de transférer la charge d’impôt au bénéficiaire de la prestation sans quoi l’administration fiscale des contributions considèrera le montant de la prestation appréciable en argent selon la méthode du « brut pour net ». L’actionnaire qui aura déclaré la prestation appréciable en argent comme salaire aura droit au remboursement. En effet, même si la prestation n’a pas été qualifiée de dividende lors de la taxation, elle a quand même fait l’objet d’une imposition dans son chef.[17]

Finalement et bien qu’il ne semble pas qu’une disproportion de revenu puisse entrainer une procédure en matière pénale, il est préférable d’éviter tout risque de reclassification d’un revenu à la fois chez l’actionnaire qu’au sein de la société. Comme, il a été mentionné des conséquences financières, via des intérêts moratoires élevés et un refus de réouverture d’une taxation, ainsi qu’une charge administrative supplémentaire en serait la conséquence.


[1] Art. 20 al. 1bis LIFD

[2] Commission de l’économie et des redevances. (2019, septembre). Imposition des dividendes – explications de l’AFC. Récupéré sur parlement.ch : https://www.parlament.ch/centers/documents/_layouts/15/DocIdRedir.aspx?ID=DOCID-3-7767

[3] ATF 141 V 634

[4] Département fédéral de l’intérieur. Directives sur le salaire déterminant dans l’AVS, AI et APG, état janvier 2019. Ch. 2018.

[5] Ibidem, ch. 2016

[6] Art. 58 al. 1 let. B LIFD

[7] ATF 140 II 88, consid. 4.1, 138 II 57 consid. 2.2, 131 II 593 consid. 5.1.

[8] Me Philippe Ehrenström. (2019, septembre). Salaire excessif, distribution dissimulée de bénéfice et méthode valaisanne. Récupéré sur droit du travailensuisse.com : https://droitdutravailensuisse.com/2016/06/29/salaire-excessif-distribution-dissimulee-de-benefice-et-methode-valaisanne/

[9] ATF 2C_421/2009 consid. 3.3, 2C_188/2008 consid. 5.3 & ATA/485/2013; ATA/125/2013; ATA/25/2013; ATA/170/2012

[10] Art. 58 al. 1 let b LIFD

[11] P. Brülisauer & M. Mühlemann. Kommentar zum Bundesgesetz über die direkte Bundessteuer. Zweifel/Beusch (éd.). Art. 58 LIFD, N 381

[12] Ibidem, N 249, N 261-262

[13] Art. 18b al. 1 LIFD

[14] J-P. Krafft. Commentaire de la loi sur l’impôt fédéral direct. Art. 20 LIFD, N 230

[15] Art. 16 al. 3 LAVS

[16] Art. 4 al. 1 let. b LIA et art. 20 al. 1 et 2 OIA

[17] I. Baumgartner & S. Bossart Meier.  Kommentar zum Bundesgesetz über die Verrechnungssteurer. Zweifel/Beusch/Bauer-Balmelli (éd.). Art. 20 LIA, N 26.