Alexandre Blanc
Chef de la sécurité de l’information - VARS | Conseils numériques et technologiques

L’audit de sécurité informatique mesure tous les aspects qui contribuent à limiter vos risques et à conserver la confiance de vos clients et partenaires.

Afin de limiter les risques de perte de données et de fraudes, les entreprises doivent se préoccuper de leur sécurité informatique. Avec les cyberattaques qui se multiplient et la transition vers le télétravail pour de nombreuses organisations, les défis sont importants, pour les PME comme pour les grandes entreprises.

Des failles attribuables à votre technologie, à vos processus ou à une erreur humaine pourraient compromettre la confiance des clients et partenaires envers votre entreprise et nuire à votre réputation. Bien sûr, il faut aussi envisager les coûts engendrés par les conséquences néfastes qui pourraient en découler.

Voici quelques questions à se poser :

  • Est-ce que vous appliquez toutes les bonnes pratiques en matière de sécurité informatique?
  • Est-ce que ces pratiques sont documentées et bien communiquées?
  • Votre plan de réponse aux incidents est-il à jour?
  • Avez-vous prévu tous les cas de figure, tels que les sauvegardes de données ou la protection des postes de travail et des serveurs?

Un audit de sécurité informatique sert à évaluer l’ensemble des éléments qui influencent votre sécurité et à répondre à ces nombreuses questions. Il permet d’identifier les bonnes pratiques à conserver et de compléter par des recommandations pour pallier les vulnérabilités détectées.

Quel est le but d’un audit de sécurité informatique?

L’audit est parfois perçu à tort comme une punition ou une critique, notamment lorsqu’il est demandé par la direction d’une entreprise sans consensus avec les équipes techniques. Il s’agit pourtant d’un excellent levier pour obtenir le soutien des preneurs de décision, pour mettre en place des processus adéquats et des solutions indispensables pour l’organisation, et pour mettre en lumière le rendement d’un tel investissement.

Un audit de sécurité informatique est avant tout une discussion ouverte avec les personnes clés de l’organisation, permettant de bien comprendre les enjeux opérationnels, les risques, et les mesures compensatoires existantes ou potentiellement manquantes.

Cet exercice vise notamment à produire une analyse d’écart avec les standards du marché et oriente l’organisation afin qu’elle se conforme aux exigences d’une certification (comme ISO27001).

Dans un contexte de menaces actives, des organisations, parfois plus grandes que la vôtre, censées avoir une meilleure posture, sont victimes d’incidents. Peu importe la taille de l’organisation, on ne peut ignorer ses propres faiblesses.

Alors que chacun prend sa responsabilité très au sérieux dans l’entreprise, des contrôles de sécurité peuvent manquer involontairement. L’audit de sécurité informatique entre en jeu pour s’assurer que vous avez couvert l’ensemble des contrôles nécessaires à la résilience de votre organisation face aux cyberincidents, en prévention, en détection et en contrôles correctifs.

Quels sont les bénéfices d’un audit de sécurité informatique?

Un audit de sécurité informatique se base sur des référentiels existants, des standards de l’industrie (ISO, CIS, etc.). La comparaison entre un référentiel donné et la situation de votre entreprise constitue ce qu’on appelle une analyse d’écart, qui vise à identifier les contrôles manquants, les risques associés et les impacts potentiels sur votre organisation.

De plus, un audit permet de mettre en place des processus de vérification récurrents, s’assurant ainsi que la croissance ou l’évolution de l’organisation reste alignée avec les requis identifiés lors de l’audit.

L’audit par un tiers apporte plusieurs avantages à une organisation. Il permettra, par exemple, de :

  • Valider la maturité de l’organisation dans le domaine de la cybersécurité par des experts;
  • Formaliser les processus et s’assurer que l’ensemble est documenté;
  • Fournir un point de départ pour démarrer un processus d’amélioration continue;
  • Renforcer la posture de sécurité de l’organisation, optimiser les processus et rendre l’entreprise plus résiliente;
  • Conduire à des recommandations pratiques, qui peuvent accompagner les changements;
  • Augmenter la confiance des partenaires et des clients, en faisant preuve de gestion active de la sécurité;
  • Faciliter la relation avec les assureurs grâce à des processus formels;
  • Réduire les risques liés aux menaces informatiques grâce à la mise en place de recommandations;
  • Renforcer la confiance et l’alignement entre la direction et le prestataire (interne ou externe) relativement à la gestion des technologies de l’information.

L’équipe d’experts qui vous accompagnera dans cet exercice sera également un partenaire privilégié en cas d’incident, vous offrant un soutien efficace.

Nous vivons présentement à l’ère numérique et cette transformation se fait à vitesse grand V. La confiance en la gestion des opérations technologiques est critique pour la pérennité et le succès d’une entreprise. La sécurité informatique touche tous les secteurs d’affaires et est un élément central du déroulement des activités. Un œil externe expérimenté portera à votre attention tous les éléments cruciaux qui auraient pu vous échapper et vous orientera vers les solutions les plus pertinentes pour votre organisation.

01 Sep 2021  |  Écrit par :

Alexandre Blanc est expert en cybersécurité au sein de Raymond Chabot Grant Thornton.

Voir le profil

Article suivant

La norme IAS 36 Dépréciation d’actifs n’est pas une nouvelle norme et, bien que bon nombre de ses exigences ne soient pas inconnues, un test de dépréciation à l’égard d’actifs (qu’il s’agisse d’immobilisations corporelles ou incorporelles) est souvent difficile à appliquer dans la pratique. Cela s’explique par le fait que les directives d’IAS 36 sont détaillées, prescriptives et complexes pour certains aspects.

La série Insights into IAS 36 a été rédigée pour aider les préparateurs d’états financiers et les personnes responsables de la gouvernance des entités publiantes à comprendre les exigences énoncées dans IAS 36 et pour revoir certains aspects où une confusion avait été constatée dans la pratique.

Les trois premiers bulletins de la série Insights into IAS 36 sont les suivants :

  • Overview of the Standard;
  • Scope and structure of IAS 36;
  • If and when to undertake an impairment review.

Le premier bulletin intitulé Overview of the Standard fournit une vue d’ensemble des principales exigences d’IAS 36 et décrit les grandes étapes à suivre pour les appliquer.

Le deuxième bulletin Scope and structure of IAS 36 aborde la question du champ d’application du test de dépréciation (c’est-à-dire les types d’actifs qui sont inclus) et la façon dont le test est structuré (c’est-à-dire le niveau auquel les actifs sont testés).

Le troisième bulletin dont il est fait mention ci-dessus précise comment déterminer si un test de dépréciation détaillé, tel qu’il est défini dans IAS 36, est nécessaire et quand il doit être effectué, le cas échéant.

Les bulletins mentionnés ci-dessus sont joints à la présente Alerte de votre conseiller.

Article suivant

Lors de la plus récente conférence du G7, un accord sur une réforme de la fiscalité internationale a été annoncé. Le 1er juillet 2021, le G20 a quant à lui fait une déclaration sur des propositions de solutions et a apporté des précisions additionnelles (« propositions de juillet »).

Depuis quelques années, l’Organisation de coopération et de développement économiques (« OCDE ») chapeaute les discussions sur une réforme de la fiscalité internationale dans le cadre de l’initiative sur l’érosion de la base d’imposition et le transfert de bénéfices, un projet mieux connu sous le nom BEPS, de l’acronyme anglais Base Erosion and Profit Shifting. Les propositions de juillet décrivent en détail comment seront implantés le Pilier Un, qui porte sur la fiscalité de l’économie digitale, et le Pilier Deux, portant sur un impôt minimum international.

Pilier Un – Transfert du droit d’imposition

Les propositions du Pilier Un visent les entreprises multinationales (« EMN ») dont le chiffre d’affaires mondial dépasse 20 milliards d’euros et dont la rentabilité, mesurée par le ratio du bénéfice avant impôt sur le chiffre d’affaires, est supérieure à 10­%. Ces seuils seront déterminés en se basant sur les résultats comptables des EMN, avec quelques ajustements. Les EMN assujetties au Pilier Un ne seront pas limitées aux entreprises œuvrant dans le secteur de l’économie numérique. Les industries extractives et les services financiers réglementés seront cependant exclus.

L’objectif du Pilier Un est le transfert du droit d’imposition de la juridiction de résidence aux juridictions de marché (là où sont localisés les clients). La portion exacte des bénéfices qui pourra être transférée n’a pas encore été confirmée. Les Propositions de juillet indiquent qu’entre 20­% et 30­% de la rentabilité excédant 10­% sera attribuée aux juridictions dans lesquelles une EMN sera considérée avoir une présence suffisante, un concept connu sous le nom de « nexus ». L’allocation se fera à partir d’une clé de répartition basée sur le chiffre d’affaires.

Les bénéfices seront alloués à une juridiction de marché si les revenus dans cette juridiction dépassent un certain seuil, seuil qui dépend du PIB de la juridiction, soit :

  • PIB inférieur à 40 milliards d’euros : 250 000 d’euros
  • PIB égal ou supérieur à 40 milliards d’euros : 1 million d’euros

Le chiffre d’affaires pour une juridiction de marché sera déterminé selon l’endroit où les biens ou les services sont utilisés ou consommés. Des règles de source détaillées pour des catégories données de transactions seront élaborées afin de faciliter l’application de ce principe.

Dans plusieurs cas, les bénéfices d’une EMN sont déjà alloués à une juridiction de marché compte tenu de sa structure actuelle. Dans ces cas, un régime de protection applicable aux bénéfices issus d’activités de commercialisation et de distribution permettra de plafonner les bénéfices résiduels à être attribués. Des travaux supplémentaires seront entrepris afin de concevoir ce régime de protection.

L’application du principe de pleine concurrence aux activités de commercialisation et de distribution sera également simplifiée et standardisée. Ces travaux devraient être complétés avant la fin de 2022.

Les propositions du Pilier Un résulteront en un transfert significatif de bénéfices entre les juridictions. Ces mesures nécessiteront la mise en place de mécanismes d’exemption ou de crédit, afin de s’assurer que les EMN ne sont pas en situation de double imposition. Le risque de double imposition est notamment causé par le fait que les différentes juridictions n’imposeront pas nécessairement les règles de la même façon.

L’instrument multilatéral sera utilisé pour la mise en place du Pilier Un, le même qui a été récemment utilisé pour apporter des modifications aux conventions fiscales. L’OCDE prévoit que l’instrument multilatéral sera prêt pour signature en 2022 et prendra effet en 2023.

Le seuil de chiffre d’affaires de 20 milliards d’euros devrait être abaissé à 10 milliards d’euros sept ans après l’entrée de vigueur de l’accord.

Pilier Deux – Impôt minimum international

Le principe de base du Pilier Deux est l’établissement d’un impôt minimum sur une base pays par pays. Il introduit les règles globales de lutte contre l’érosion d’imposition (« GloBE »). Ces propositions s’appliqueront aux EMN qui réalisent un chiffre d’affaires d’au moins 750 millions d’euros, le même seuil qui s’applique pour la production de la déclaration de prix de transfert pays par pays.

Les propositions de juillet précisent que les pays sont libres d’assujettir des EMN dont le chiffre d’affaires est inférieur au seuil de 750 millions d’euros. Ces propositions pourraient donc éventuellement s’appliquer aux petites et moyennes entreprises (« PME »). Les entités gouvernementales, les organismes internationaux, les organismes à but non lucratif, les fonds de pension et les fonds d’investissement qui sont des Entités Mères Ultimes (« EMU ») ne seront pas soumis aux règles GloBE. Seule l’industrie du transport maritime international est exclue de ces propositions.

Le taux minimum d’impôt sera d’au moins 15­%. Le calcul sera basé sur une définition commune des impôts couverts, et la base d’imposition sera déterminée en se basant sur les résultats comptables (avec des ajustements semblables à ceux considérés pour le Pilier Un).

Certains types de revenus (par exemple, les intérêts et les redevances) pourraient être assujettis à un taux moins élevé (entre 7,5­% et 9­%).

Les propositions de juillet réitèrent la panoplie de mécanismes qui pourront être utilisés afin d’arriver à un impôt minimum global. Ces mécanismes sont :

  • La règle d’inclusion de revenu (« RDIR ») : la RDIR consiste à assujettir une entité mère à un impôt supplémentaire portant sur le revenu faiblement imposé d’une de ces entités constitutives.
  • La règle relative aux paiements insuffisamment imposés d’une entité constitutive (« RPII ») : la RPII refuse la déductibilité ou requiert un ajustement équivalent lorsque le revenu faiblement imposé n’est pas assujetti à l’impôt d’une RDIR C’est une mesure sur l’érosion de la base fiscale similaire au concept de BEAT américain.
  • La règle d’assujettissement à l’impôt (« RAI ») : la règle conventionnelle qui accorde aux juridictions de source un droit d’imposition limité sur certains paiements entre parties liées imposés à un taux inférieur au taux minimum dans la juridiction de résidence du récipient. La RAI sera considérée comme impôt couvert pour les règles GloBE.

Il est convenu que le Pilier Deux appliquera un taux minimum pays par pays. Dans ce contexte, les Propositions de juillet tiendront compte des conditions dans lesquelles le régime GILTI des États-Unis coexistera avec les règles GloBE. Cette concession est importante afin de s’assurer de la participation des États-Unis aux propositions du Pilier Deux.

Selon l’OCDE, les propositions de juillet permettront d’établir un impôt minimum robuste avec un impact limité sur les EMN qui exercent de réelles activités économiques avec de la substance. Un plan d’implantation du Pilier Deux est prévu pour 2022 et son entrée en vigueur pour 2023.

Prochaines étapes

Les propositions de juillet apportent à la communauté fiscale de l’information additionnelle sur les Piliers Un et Deux. Il reste cependant plusieurs détails à être définis. L’OCDE doit finaliser un plan de mise en œuvre détaillé pour octobre 2021.

Article suivant

Le document La fiscalité au Québec : des mesures favorables à l’investissement s’adresse spécialement aux entreprises étrangères qui envisagent de réaliser un projet d’investissement au Québec.

Produit par Investissement Québec en collaboration avec nos experts, ce document présente sommairement les principales mesures fiscales qui s’appliquent aux sociétés en exploitation au Québec. Le contenu de cette brochure est présenté à titre informatif seulement et ne se substitue pas aux textes législatifs, réglementaires ou adoptés par décret par le gouvernement du Québec.

Notre équipe d’experts en fiscalité peut répondre aux besoins de votre entreprise. Communiquez avec nous pour atteindre votre plein potentiel de croissance.

Pour en savoir davantage, téléchargez le document ci-dessous.