Piratages informatiques : la somme payée pour une rançon est déductible des impôts

Les attaques par ransomware sont monnaie courante dans les entreprises belges. Ces dernières décident souvent de payer une rançon, une opération déductible fiscalement. Mais est-ce une bonne idée de payer ?

Une pandémie de ransomware. C’est ainsi que The Economist décrit les cyberattaques dont sont victimes les pouvoirs publics et les entreprises. La technique par laquelle les cybercriminels paralysent les serveurs informatiques jusqu’à ce que la victime paie une rançon fait école.

Deux cas récents ont déclenché des signaux d’alarme partout dans le monde. Une attaque contre le Colonial Pipeline a provoqué des pénuries de pétrole sur la côte est des États-Unis. Peu après, l’entreprise de transformation de la viande JBS a été victime d’une attaque de ransomware, ce qui a fait monter en flèche les prix de certains types de viande.

Dans les deux cas, les entreprises ont payé la rançon en monnaie virtuelle bitcoin. JBS a craché 11 millions de dollars, Colonial plus de 4 millions de dollars, dont le FBI a pu récupérer 2,3 millions de dollars.

Les cybercriminels gagnent en puissance et en influence partout dans le monde. On a du mal à suivre le raz-de-marée d’attaques par ransomware. Y compris dans notre pays. Selon Geert Baudewijns, CEO de la société de cybersécurité Secutec d’Aartselaar, les entreprises belges paient jusqu’à 100 millions d’euros par an en ransomware. Il constate une forte augmentation du nombre d’attaques ces dernières années.

Fiche fiscale

La semaine dernière, Secutec a dû intervenir dans un petit supermarché équipé de 14 ordinateurs et 4 serveurs. L’entreprise a été paralysée pendant une semaine et demie, et en fin de compte, la rançon s’élevait à 22 000 euros. C’est le quotidien de Baudewijns, qui joue en quelque sorte le rôle de médiateur entre le manager et le pirate informatique. « Les petites entreprises sont beaucoup plus sensibles aux attaques que les grandes », dit-il.

Payer une rançon n’est pas interdit dans notre pays. De plus, la somme est déductible des impôts. « L’argent des rançons peut être considéré comme une dépense professionnelle déductible », confirme le SPF Finances. Il y a toutefois des conditions : l’entreprise doit démontrer que les dépenses étaient nécessaires pour « obtenir ou conserver » un revenu professionnel imposable. Elle doit également prouver « l’authenticité et le montant » à l’aide de pièces justificatives. En cas d’échec, la victime peut se référer à « tous les moyens de preuve admis par le droit commun, à l’exception du serment ».

Le fiscaliste Michel Maus (VUB) adhère à l’explication de l’administration, mais selon lui, il faut également établir une fiche fiscale.

Une interdiction européenne

Mais est-ce une bonne idée de payer une rançon ? Le débat fait rage. Fin de l’année dernière, le Département américain du Trésor a prévenu que les entreprises pourraient se voir infliger une amende si elles versaient des rançons à des pirates informatiques figurant sur la liste officielle des sanctions.

« C’est un débat important », déclare Inti De Ceukelaire. Avec sa plateforme Intigriti, le hacker éthique recherche les failles des systèmes de sécurité numérique pour ensuite les colmater. Il estime qu’une interdiction de payer des rançons peut faire la différence dans la lutte contre les ransomwares. Les victimes sont plus susceptibles de signaler les incidents, estime-t-il. En outre, c’est tout simplement une très mauvaise idée de soutenir financièrement des organisations criminelles. Non seulement parce qu’alors elles savent immédiatement que vous payez, et que vous êtes donc une cible intéressante, mais aussi parce que cela leur donne plus de ressources pour étendre leurs activités ».

Une interdiction exclusivement belge n’aurait pas beaucoup de sens, estime De Ceukelaire. Il plaide au moins pour une interdiction au niveau européen, de préférence mondial. « Si l’argent qui circule aujourd’hui en masse vers les criminels était utilisé pour décrypter les ransomwares et arrêter leurs auteurs, la situation serait différente. »

Baudewijns, CEO de Secutec, comprend le raisonnement, mais n’est pas favorable à une interdiction. Selon lui, au moins un tiers des entreprises attaquées n’ont pas d’autre choix que de payer. « Lorsque votre système est en panne pendant quelque temps, la faillite menace. Cela ne peut être évité qu’en payant l’argent. Même si la politique rendait illégal le paiement de rançons, les entreprises payeraient tout de même. »