Mathieu Leblanc
Directeur principal | Ing., M. Ing., MBB | Fiscalité

On entend parler de nations qui s’espionnent, de geeks qui piratent de grandes entreprises pour s’amuser; comment puis-je savoir si mon entreprise est à risque?

Nous sommes tous à risque. Les vraies questions à se poser sont : « À quel niveau de risque sommes-nous exposés? » et « À quelle sorte de risque sommes-nous exposés? ». Comme vous l’avez déjà mentionné, il y a plusieurs pirates potentiels et comprendre quelle est notre information la plus précieuse nous aidera à savoir qui pourrait nous en vouloir. Pour simplifier les choses, utilisons les catégories de pirates de Marc Théberge, responsable des opérations de cybersécurité chez Arc4dia : le gangster et le traître.

Le gangster cherchera à vous exploiter pour obtenir un gain rapide, un profit rapide, alors que le traître cherche à vous exploiter pour un profit à long terme.

Depuis peu, nous sommes tous victimes du rançongiciel, la grande vedette du gangster. Que ce soit des pertes fiscales directes de 1 G$ en 2016 ou la perte d’informations cruciales d’une mission comme la perte de neuf ans de preuves par la police, l’impact sur les entreprises a entraîné des fermetures. Heureusement, vous pouvez vous protéger en vous assurant de toujours avoir au moins deux (2) sauvegardes. Et souvenez-vous : seules les sauvegardes fonctionnelles sont valides.

Le réseau de zombies est toujours actif dans la catégorie du gangster, causant des dommages en exploitant de plus en plus l’Internet des objets (IdO) et les routeurs résidentiels. C’est un outil un peu plus vicieux, car beaucoup de systèmes d’IdO ne peuvent tout simplement pas être mis à jour ou retouchés pour les protéger de vecteurs d’exploitation connus. Actuellement, la meilleure stratégie d’atténuation consiste à les isoler d’un accès internet direct. Il y a quelques technologies récentes qui sont intéressantes à envisager comme le routeur Wi-Fi de Google et le réseau sécurisé F-Secure SENSE, qui offrent toutes les deux un certain niveau de protection à nos appareils d’IdO résidentiels très vulnérables.

Comme si le gangster n’apportait pas déjà assez de problèmes, voici une autre menace, la plus dangereuse pour votre entreprise : le traître.

Le traître ira loin soit pour causer de très grands dommages à votre réputation, soit en restant caché afin de vous voler davantage et de profiter de vous plus longtemps.

Nous avons vu des criminels ou des pirates parrainés par l’État qui ont réalisé toutes sortes de piratages très créatifs qui visaient ces objectifs dans le meilleur intérêt de leur secteur d’activité. La lutte contre de tels acteurs est le sujet de nombreuses études et travaux professionnels, mais essayons plutôt de cerner quelques idées afin de mieux comprendre le problème.

Le traître tentera de violer votre sécurité en ciblant vos renseignements les plus précieux. Afin de préserver votre vie privée, la première étape est de déterminer quelles sont vos informations les plus précieuses et les aspects les plus précieux de votre réputation.

Nous savons par exemple que les pirates ciblent les systèmes centraux afin d’obtenir un accès aux éléments suivants :

  • propriété intellectuelle;
  • infrastructure essentielle;
  • stratégies internationales;
  • plans d’acquisition;
  • soumissions;
  • savoir-faire;

Certains de nos clients présentent des offres d’achat internationales afin d’acquérir des ressources. Les pirates ont ciblé les dirigeants responsables de ces processus dans le but de surenchérir en indiquant les plus bas coûts indirects possible. Au cours des dix dernières années, ces pertes d’informations critiques ont entraîné des fermetures d’entreprises.

D’autres ont subi des fuites d’informations confidentielles. Il est très fréquent que les entreprises ayant des informations sensibles aient à payer des rançons en échange de la confidentialité de ces informations, sinon elles perdraient la confiance de leurs clients. Ces paiements de rançon s’effectuent à huis clos et ne viennent pas aux oreilles du public, mais ils sont de bons exemples des endroits exposés aux risques. Les informations concernant les rançons payées sont très limitées, mais nous pouvons reculer jusqu’en l’an 2000 lorsque le FBI a révélé qu’au cours de l’année précédente, plus de 40 sociétés ont versé plus de 100 000 $ pour éviter la divulgation d’informations.

En résumé, si vous êtes propriétaire d’une entreprise florissante, vous êtes exposé à des risques importants, surtout de nos jours avec la hausse du piratage criminel.

Nous ne voyons rien, mais nous avons entendu parler des « combats de pirates »; comment cette menace a-t-elle évolué au cours des dernières années?

C’est vrai, les combats de pirates sont réels. En fait, certains fournisseurs de solutions de sécurité aiment souligner que certains de leurs clients ont subi quasiment tous les types possibles de maliciels avancés et que, par conséquent, c’est vers eux qu’ils se tournent pour avoir de l’information quand ils suspectent que quelque chose se trame.

Il est certain que les menaces ont évolué. Après avoir souffert d’une grande exposition grandissante au cours des dernières années, les maliciels avancés ont diminué le nombre ciblé d’hôtes afin de miser sur la valeur en optimisant le rendement de leur investissement en technologie contre le secteur de la sécurité de l’information.

L’essor des rançongiciels, lequel est devenu possible en raison des cryptomonnaies comme le bitcoin, a donné naissance à une nouvelle sorte de maliciel qui ne tente pas de demeurer caché. Il agit rapidement avec une force brute.

À l’extrémité opposée du spectre, où le caractère furtif est essentiel pour le succès du maliciel, nous constatons une augmentation des maliciels sans fichier. Ce genre de maliciel évite de toucher au disque dur du système et choisit plutôt de vivre dans la mémoire, ce qui le rend bien plus difficile à détecter.

Nous avons entendu parler d’un moyen de défense qui s’appelle la « recherche de maliciels »… de quoi s’agit-il?

Traditionnellement, un antivirus essaie de garder votre ordinateur exempt de tout virus. Cette méthode était très efficace pour trouver un maliciel connu ou un virus qui avait déjà été vu auparavant. Il s’agissait d’une méthode efficace pour stopper les virus, car les méthodes de propagation étaient bien plus lentes, surtout avant l’avènement d’Internet.

De nos jours, cette technique fondée sur un mécanisme de lutte contre les machines s’oppose à une menace très dynamique contrôlée par des humains. La « vieille » méthode est un combat entre les machines et les humaines, et, dans ce cas-ci, les machines perdent royalement la bataille.

La recherche de maliciels ramène les combattants à un niveau humain-humain grâce à une connexion dynamique et continuelle aux hôtes protégés. Les chercheurs de maliciel effectuent une analyse en direct des mouvements dans les ordinateurs ayant lancé une alerte sans interrompre le fonctionnement de ces derniers.

Donc quelle est la meilleure stratégie de protection si l’on tient compte des coûts?

Un de mes guides préférés provient du Australian Signal Directorates du gouvernement australien :

Commencez par leurs quatre recommandations prioritaires et ajoutez une plateforme de dépistage et de réponse soutenue par un service géré de qualité qui recherche les maliciels. Des services dédiés de recherche de maliciels font partie d’une stratégie offensive visant à trouver le temps de solidifier l’environnement plutôt que de réagir en urgence et essayer d’arrêter les pirates potentiels de manière peu efficace.

Laissons les vieilles techniques de côté. Nous avons beaucoup de clients importants qui abandonnent les onéreux services SEIM et IDS/IPS au profit de services plus abordables ou plus simples qui sont plus efficaces, comme nous l’avons dit plus haut.

Pour les petites entreprises, j’ajouterais que vous devriez vous assurer d’avoir un service simple de réseau privé virtuel (VPN) pour tous les appareils qui sortent de vos locaux. Un service comme Freedome par F-Secure est tout simplement trop abordable, pratique et convivial pour s’en passer. Il protégera les utilisateurs contre plusieurs attaques locales typiques qui surviennent au café du coin ou à l’aéroport.

Pierre Roberge est un vétéran du Centre de la sécurité des télécommunications (CST). Depuis onze ans, Pierre Roberge a dirigé les équipes en techniques avancées chargées de protéger les intérêts nationaux du Canada dans le cyberespace. Même si la majorité des projets de M. Roberge restent classifiés, il s’est bâti une solide réputation parmi la « collectivité des cinq »à titre d’expert et d’innovateur de premier rang dans les opérations de cyberintelligence.

Ses prix déclassifiés incluent le prix d’Excellence du CST et la Mention élogieuse du Chef d’état-major de la Défense. Tout en travaillant aux côtés de cinq homologues britanniques et américains, Pierre Roberge a dirigé des équipes de plus de 100 personnes pour lutter contre les cybermenaces provenant d’acteurs étatiques et non étatiques.

M. Roberge possède de l’expérience en environnement de réseau d’entreprise complexe utilisant les technologies les plus avancées. Son expérience technique est très vaste, allant de la sécurisation d’une infrastructure de bas niveau, à l’interfaçage avec des réseaux dynamiques et interfonctionnels.

27 Mar 2017  |  Écrit par :

M. Leblanc est directeur principal au sein de Raymond Chabot Grant Thornton. Il est votre expert en...

Voir le profil

Article suivant

Rien d’étonnant à ce que ce deuxième budget du ministre des Finances, l’honorable Bill Morneau, soit écrit à l’encre rouge et le demeure pendant plusieurs années. Le solde budgétaire devrait afficher un déficit de 23 G$ en 2016-2017 et atteindre un déficit de 18,8 G$ en 2021-2022.

Compétences des travailleurs

Parmi les mesures annoncées aujourd’hui, plusieurs visent à renforcer la classe moyenne. Par exemple, l’injection d’un montant additionnel de 1,8 G$ sur six ans, et ce dès 2017-2018, permettra aux travailleurs canadiens d’acquérir des compétences et des outils nécessaires à leur réussite dans une économie en évolution. Cette mesure se traduira par davantage de possibilités, selon le gouvernement, « de mettre à niveau leurs compétences, d’acquérir de l’expérience ou d’obtenir de l’aide pour démarrer leur propre entreprise ».

Certaines mesures visent à renforcer le système de soins de santé public du Canada pour qu’il soit en mesure de répondre aux besoins des familles canadiennes, alors que d’autres visent à assurer l’intégrité du régime fiscal en éliminant davantage d’échappatoires fiscales et en intensifiant la prévention de l’évasion fiscale et la lutte contre l’évitement fiscal avec des investissements de 523,9 M$ de plus sur cinq ans.

Innovation et infrastructures

En matière d’innovation, soulignons la création du nouveau Fonds stratégique pour l’innovation qui sera doté d’une enveloppe de 1,26 G$ sur cinq ans, laquelle représente une somme supplémentaire de 200 M$ sur trois ans. Son but est de regrouper et de simplifier les programmes actuels d’innovation en entreprise. Grâce à ce fonds, les entreprises auront « accès à un processus de demande plus simple et bénéficieront d’un traitement plus rapide et d’une aide plus adaptée et davantage axée sur les résultats ».

Pour les collectivités canadiennes, le transport en commun devrait être au rendez-vous. Le budget vient préciser que le gouvernement investira 20,1 G$ sur 11 ans dans le cadre d’accords bilatéraux avec les provinces et les territoires. Quant à la Banque de l’infrastructure du Canada,  si aucune précision n’est fournie quant à son emplacement éventuel, on s’attend à ce qu’elle démarre ses activités à la fin de 2017; elle sera chargée d’investir au moins 35 G$ sur 11 ans.

Soulignons également que le gouvernement appuiera les entreprises innovantes en libérant 400 M$ sur une période de trois ans, par l’intermédiaire de la Banque de développement du Canada, et ce à compter de 2017-2018. Ces fonds seront destinés aux entrepreneurs canadiens qui ont atteint un stade de développement plus avancé.

Finalement, avec ce budget, les créateurs de richesse canadiens – les entreprises – demeurent sur leur faim : aucune baisse d’impôt n’a été annoncée, ni pour les PME ni pour les grandes entreprises, aucune mesure vigoureuse pour les exportateurs canadiens non plus, lesquels rencontrent face à nos voisins du Sud un climat commercial incertain. La mise à jour économique de l’automne 2017 du gouvernement devra fournir aux entreprises canadiennes plus de réponses que de questions. Espérons-le!

Pour un aperçu des mesures fiscales contenues dans le budget 2017, consultez les pages suivantes.

Bonne lecture!

Article suivant

Benoit Turcotte
Associé | M. Fisc. | Fiscalité

L’ordonnance du 30 janvier 2017

Lordonnance exécutive du 30 janvier dernier rendue par le président des États-Unis, Donald Trump, restreint lémission de nouveaux règlements par les organismes fédéraux américains.

Ceci a incité l’ Internal Revenue Service  (ci-après l’« IRS ») à ne plus proposer d’interprétations techniques fiscales, hormis les avis habituels comme les changements de taux d’intérêt.

Cette nouvelle ordonnance indique que chaque fois qu’un ministère ou qu’une agence exécutive propose de faire des commentaires ou de promulguer un nouveau règlement, l’organisme en question doit indiquer au moins deux règlements existants qui doivent être abrogés.

Les règlements

Ces interprétations représentent l’opinion du Département du Trésor des États-Unis relativement à l’Internal Revenue Code  (ci-après l’« IRC ») et constituent une référence quant à l’interprétation de la loi fédérale de l’impôt sur le revenu. Les interprétations techniques du Trésor reprennent lapplication de l’IRC en fournissant une interprétation officielle de la loi fiscale américaine par le Département du Trésor. Souvent ces interprétations sont données à la suite de demandes d’interprétation privée (private letter rulings) ou à l’initiative du Trésor pour clarifier certains aspects de la loi (revenue rulings).

Les objectifs de l’ordonnance

Selon la Maison Blanche, l’idée de compenser de nouvelles réglementations en supprimant d’anciens règlements a le potentiel de fournir un « équilibre réglementaire » au flux de nouvelles formalités administratives émises par le gouvernement américain et d’aider à simplifier ou à éliminer les règlements obsolètes.

De plus, selon la Maison Blanche, les coûts additionnels associés aux nouvelles réglementations seront compensés, dans la mesure permise par la loi, par lélimination des coûts existants associés à au moins deux règlements antérieurs.

Les effets de l’ordonnance

Selon le président Donald Trump, les entrepreneurs auront plus de facilité à créer une entreprise et à l’exploiter sur le marché américain, les entreprises n’étant pas limitées par les règlements fiscaux.

Toutefois, les opposants du président, dont plusieurs du domaine des affaires et de la fiscalité, sont plutôt d’avis que  cette ordonnance pourrait nuire à la saine administration du système d’imposition et de taxation de la première économie mondiale, en créant ou en maintenant un flou réglementaire autour de règles fiscales complexes. Plusieurs intervenants du milieu jugent aussi ces interprétations comme nécessaires au bon fonctionnement du gouvernement et à la saine gestion de l’environnement fiscal dans lequel évoluent les entreprises américaines ou les entreprises faisant affaire aux États-Unis.

17 Mar 2017  |  Écrit par :

M. Turcotte est associé au sein du cabinet RCGT. Il est votre expert en fiscalité pour le bureau...

Voir le profil

Article suivant

Stratégies fiscales en direct

Saviez-vous que les opérations intragroupe sont souvent l’objet d’erreurs qui engendrent d’importantes cotisations par les autorités? En effet, il s’agit d’erreurs fréquentes qui peuvent facilement être évitées. Voici certains éléments à ne pas négliger et des pistes de solution pour limiter l’incidence des taxes sur vos liquidités lors d’opérations intragroupe.

Règles de base

Les entreprises doivent percevoir et remettre les taxes relatives à leurs fournitures taxables, et ce, même si les transactions sont faites à l’intérieur d’un groupe de compagnies. Les montants payés ou payables à une entité en contrepartie d’une fourniture taxable entraînent des conséquences fiscales, peu importe qu’une facture ait été émise ou non. En effet, les transactions peuvent être constatées par un contrat, une facture ou même une écriture comptable.