Cybermois 2024 : Piratage du système informatique, que faire ?

L’intrusion dans un système informatique (serveur, réseau…) se définit comme l’accès illicite à ce système par un cybercriminel, ce qui peut entraîner le vol, voire la perte totale, des informations du système touché. Que faire en cas de piratage d’un système informatique ? Confiner les équipements concernés, préserver les preuves, identifier les origines de l’intrusion, déposer plainte, signaler à la CNIL… 

1. En quoi consiste le piratage d’un système informatique professionnel ?

Un système informatique (ou système d’information) désigne tout appareil, équipement ou ensemble de ces matériels, permettant de traiter et stocker des données. L’intrusion dans un système informatique se définit comme l’accès non autorisé à ce système par un tiers. Cela peut concerner un ordinateur, un appareil mobile, un objet connecté, un serveur ou le réseau d’une organisation. En pratique, les pirates peuvent recourir à différentes méthodes pour s’introduire dans un système informatique comme l’utilisation d’une faille de sécurité ; la mauvaise configuration d’un logiciel ou d’un équipement ; l’infection par un logiciel malveillant (virus informatiques) ; la récupération d’identifiants de connexion par le biais d’un appel ou d’un message frauduleux (hameçonnage) ; etc.

L’origine de l’intrusion peut être interne (un collaborateur mécontent ou négligeant ou bien encore un prestataire) ou bien externe (cybercriminels). Par la suite, le cybercriminel peut chercher à se propager dans les autres équipements du réseau attaqué. Le piratage d’un système informatique peut donc être d’une grande gravité pour l’organisation qui en est victime puisqu’elle peut entraîner le vol, voire la perte totale, des informations du système touché

But recherché : Le piratage d’un système informatique vise à prendre le contrôle ou utiliser les ressources d’un appareil ou d’un équipement pour en faire un usage frauduleux : gain d’argent, espionnage, sabotage, revendication, chantage ou vandalisme.

2. Comment assurer la protection de mon système informatique ?

1. Utilisez, paramétrez et mettez à jour régulièrement votre antivirus et les équipements de sécurité de votre système informatique (pare-feu, etc.)
2. Mettez à jour régulièrement les appareils, les systèmes d’exploitation ainsi que les logiciels installés de vos équipements
3. N’installez pas de logiciels, programmes, applications ou équipements « piratés » ou dont l’origine ou la réputation est douteuse
4. N’utilisez les comptes administrateurs qu’en cas de nécessité
5. Limitez les privilèges et les droits des utilisateurs au strict nécessaire
6. Vérifiez régulièrement les fichiers de journalisation de vos équipements afin d’identifier toute activité inhabituelle
7. Utilisez des mots de passe suffisamment complexes et changez-les au moindre doute
8. Faites des sauvegardes régulières et déconnectées de vos données et de votre système pour pouvoir le réinstaller dans son état d’origine au besoin
9. N’ouvrez pas les messages suspects, leurs pièces jointes et ne cliquez pas sur les liens provenant de chaînes de messages, d’expéditeurs inconnus ou d’un expéditeur connu mais dont le contenu est inhabituel ou vide

3. Victime  du piratage d’un système informatique, que faire ?

• Confinez, déconnectez du réseau et mettez en quarantaine les postes ou équipements informatiques concernés par l’incident. Coupez tous les accès réseaux pour stopper l’incident. De même, écartez et conservez les supports informatiques concernés par l’incident (clefs USB, disques durs, CD, DVD, etc.).
• Identifiez les origines possibles de l’intrusion au niveau des équipements touchés par l’attaque et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire. L’intrusion peut, par exemple, provenir du piratage d’un de vos comptes d’administration suite à un message d’hameçonnage ou d’identifiants de connexion trop faibles, ou encore, par l’utilisation d’un mot de passe par défaut qui n’aurait pas été changé. Elle peut également être la résultante de l’ouverture d’une pièce jointe, d’un clic sur un lien malveillant contenu dans un message (mail) ou bien encore de la navigation sur un site malveillant. Il peut également s’agir d’un logiciel ou d’un équipement non mis à jour d’une faille de sécurité qui aurait été utilisée par des cybercriminels. Cela peut également provenir d’une mauvaise configuration de l’équipement touché (port serveur non fermé ou peu sécurisé, mots de passe trop simples, etc.), etc. Enfin, si l’origine de l’intrusion est interne, identifiez les personnes ayant accès aux données et aux équipements concernés.
• Identifiez toute activité inhabituelle au sein de votre système informatique. Ces activités inhabituelles peuvent être de différentes natures : création de comptes administrateurs, ajout d’un fichier dans le système, lancement et/ou exécution de programmes ou de processus inconnus, existence d’une activité réseau inhabituelle ou inconnue, modification suspecte du registre Windows, etc.
• Évaluez et vérifiez l’étendue de l’intrusion à d’autres appareils ou équipements de votre système informatique. Par ailleurs, mesurez les dégâts causés et identifiez les éventuelles informations perdues ou compromises.
• Récupérez les fichiers de journalisation (logs) de vos pare-feux, des serveurs mandataires (proxys), des postes ou serveurs touchés qui seront des éléments d’investigation. Ces éléments peuvent permettre d’obtenir des « traces » du cybercriminel dans le cadre de l’analyse de l’attaque. Ils peuvent également constituer des preuves à valeur juridique en cas de procédures ultérieures.
• Réalisez une copie complète (copie physique) de la machine attaquée et de sa mémoire. Effectuez la même opération sur tous les équipements qui ont été touchés. Si vous n’êtes pas en mesure de réaliser une copie physique des équipements touchés, conserver leurs disques durs à disposition des enquêteurs car ils seront utiles pour leurs investigations.
• En parallèle de vos investigations techniques, déposez plainte au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez. Tenez à disposition des enquêteurs tous les éléments de preuves techniques en votre possession. Il est important de garder à l’esprit que le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.
• Réalisez une analyse antivirale complète (scan) des équipements touchés avec votre antivirus afin de vérifier qu’ils ne sont pas confrontés à un virus informatique. Au préalable, n’oubliez pas de mettre à jour votre antivirus. Si votre antivirus a détecté des logiciels malveillants sur vos appareils, il vous proposera de les « mettre en quarantaine », c’est-à-dire de les empêcher d’agir, ou mieux, de les supprimer directement lorsque cela est possible. Redémarrez vos équipements après cette opération.
• Supprimez les fichiers malveillants installés par le cybercriminel si l’antivirus ne les a pas détectés et que vous en avez découvert, ainsi que les accès aux comptes impliqués dans l’incident.
• Réinstallez le système à partir de sauvegardes antérieures à l’incident et réputées saines.
• Changez au plus vite tous les mots de passe d’accès aux équipements suspectés touchés. Modifiez également tous les mots de passe des utilisateurs ayant accès au système et qui ont pu être compromis.
• Après la réinstallation de votre système et avant de le remettre en service, mettez à jour l’ensemble de vos logiciels et de vos équipements au plus vite pour sécuriser votre système informatique et éviter une nouvelle intrusion. Appliquer les mises à jour de sécurité est indispensable si le cybercriminel a utilisé une faille de sécurité connue.
• En cas de violation de données à caractère personnel et selon les risques pour les personnes dont les données ont été compromises, vous pourriez être dans l’obligation de notifier l’incident à la CNIL. Vous devrez notamment préciser :
  – la nature de la violation,
  – les catégories et le nombre approximatif de personnes concernées par la violation,
  – les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
  – les conséquences probables de la violation de données,
  – les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
• Faites-vous assister au besoin par des professionnels qualifiés. Vous trouverez sur www.cybermalveillance.gouv.fr des professionnels en cybersécurité susceptibles de vous apporter leur assistance technique.

4. Plainte pour piratage informatique : que dit le code pénal ?

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

L’infraction d’atteinte à un système de traitement automatisé de données (STAD) peut être retenue. Les articles 323-1 à 323-7 du Code pénal disposent notamment que : « le fait d’accéder ou de se maintenir frauduleusement » dans un STAD, « la suppression ou la modification de données contenues dans le système« , « le fait […] d’extraire, de détenir, de reproduire, de transmettre […] les données qu’il contient » ou « l’altération du fonctionnement de ce système » sont passibles de trois à sept ans d’emprisonnement et de 100 000 à 300 000 euros d’amende.

La tentative de ces infractions est punie des mêmes peines (article 323-7 du Code pénal).

Pour aller plus loin : Afin d’adopter les bonne pratiques et savoir réagir si vous êtes victime d’un piratage, téléchargez cette fiche pratique.

Sources : © Cybermalveillance.Gouv 2024 – Retrouvez d’autres d’actualités sur le blog de l’Atwo Conseil !

Cybermois 2024 : La sécurisation du télétravail

Le développement du télétravail présente de réelles opportunités tant pour les collaborateurs que pour les employeurs. Il nécessite toutefois généralement l’ouverture vers l’extérieur du système d’information de votre entreprise, ce qui peut engendrer de sérieux risques de sécurité susceptibles de mettre à mal votre organisation, voire d’engager sa survie en cas de cyberattaque (rançongiciel, vol de données, faux ordres de virement…). Voici 10 recommandations à mettre en œuvre pour limiter au mieux les risques.

1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs

Privilégiez autant que possible l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par votre organisation. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).

2. Maîtrisez vos accès extérieurs

Limitez par un pare-feu l’ouverture de vos accès extérieurs ou distants (RDP par exemple) aux seules personnes et services indispensables, et filtrez strictement ces accès grâce à cet équipement de sécurité. Une attention toute particulière sera portée sur les éventuels accès de télémaintenance qui peuvent présenter une vulnérabilité importante s’ils sont compromis. Cloisonnez également les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de votre organisation (comme les réseaux de sauvegardes et les réseaux d’administration informatique par exemple).

3. Sécurisez vos accès extérieurs

Systématisez les connexions sécurisées à vos infrastructures par l’utilisation d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place d’une double authentification sur ces connexions VPN sera également à privilégier pour se prémunir de toute usurpation.

4. Renforcez votre politique de gestion des mots de passe

Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même régulièrement en prévention, changez-les et activez la double authentification chaque fois que cela est possible.

5. Ayez une politique stricte de déploiement des mises à jour de sécurité

Et ce, dès qu’elles sont disponibles et sur tous les matériels et logiciels accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des organisations.

6. Durcissez la sauvegarde de vos données

Les sauvegardes seront parfois le seul moyen pour l’organisation de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde des données des postes nomades des collaborateurs et de celles de ses hébergements externes (cloud, site Internet de l’organisation, service de messagerie…) pour vérifier que le service souscrit est bien en adéquation avec les risques encourus par votre organisation

7. Télétravail : utilisez des solutions antivirales professionnelles

Ces solutions permettent de protéger les organisations de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer complémentaire et démultiplier ainsi l’efficacité de la protection dans un principe de défense en profondeur.

8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure

Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.

9. Supervisez l’activité de vos accès externes et systèmes sensibles

Cette supervision doit vous permettre de pouvoir détecter le plus rapidement possible toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…

10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail

Donnez aux télétravailleurs des consignes claires et formalisées sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez-les aux risques de sécurité liés au télétravail. Cela, avec pédagogie pour vous assurer de leur adhésion et donc, de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Ces utilisateurs coupés de leur organisation ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.

Pour aller plus loin : nous vous encourageons à sensibiliser vos collaborateurs en mettant à disposition cette fiche pratique.

Sources : © Cybermalveillance.Gouv 2024 – Retrouvez d’autres d’actualités sur le blog de l’Atwo Conseil !

Cybermois 2024 : Comment sécuriser son site Internet ?

Découvrez 10 bonnes pratiques à adopter ou faire appliquer par votre prestataire pour assurer la sécurité de votre site Internet.

Vitrine promotionnelle des organisations (entreprises, collectivités, associations…), voire élément clé de leur activité, les sites Internet ou « sites Web » sont des éléments très exposés de leur système d’information. Ils peuvent être la cible de nombreuses attaques comme les défigurations, les dénis de service, ou même le vol des données personnelles ou bancaires des internautes s’étant créé un compte sur le site… Ces attaques peuvent entraîner de graves préjudices pour l’organisation qui en est victime : atteinte à l’image et à la réputation, pertes directes de revenus, etc. Que l’hébergement du site et son administration soient internalisés ou externalisés, il est essentiel de les sécuriser au mieux pour réduire les risques de piratage. Voici 10 bonnes pratiques à mettre en œuvre pour assurer la sécurité de votre site Internet.

1. Sécurisez le serveur hébergeant votre site Internet

Protégez votre serveur en adoptant une stratégie de « défense en profondeur » qui vise à mettre en œuvre plusieurs mesures de protection indépendantes au niveau de l’architecture matérielle et logicielle du serveur et de son infrastructure d’hébergement. Par exemple, mettez en place et installez des équipements de sécurité (pare-feu, serveur mandataire inverse, solution anti-DDoS…) et des solutions logicielles (antivirus, pare-feu applicatif…) pour pouvoir faire face aux principales menaces. Si vous avez recours à un hébergement externalisé, assurez-vous des moyens mis en œuvre par votre prestataire pour protéger votre site.

2. Configurez et sécurisez votre serveur en fonction de votre juste besoin

Configurez et sécurisez votre serveur en fonction des seuls services indispensables à votre activité, en partant du principe que tout ce qui n’a pas besoin d’être autorisé doit être interdit pour éviter les points d’accès inutiles et potentiellement dangereux. Protégez-le également lors de sa configuration en instaurant certaines règles comme le filtrage d’adresses IP ou de requêtes autorisées pour son administration, l’interdiction de certains formats de fichiers à risque si vous n’en avez pas l’utilité, etc. Réduisez au maximum les informations délivrées par les services ainsi que dans le code source de votre site Internet et bloquez la navigation dans vos dossiers afin d’empêcher l’affichage du contenu des répertoires de votre site Internet. Par ailleurs, désactivez et/ou limitez les services et fonctionnalités non utilisés pour réduire les risques inutiles de piratage.

3. Mettez à jour sans tarder les équipements et les logiciels de votre site Internet

Une grande majorité d’attaques de sites Internet est rendue possible par l’exploitation de failles de sécurité par les cybercriminels qui peuvent ainsi prendre le contrôle du système. Ces failles sont pourtant régulièrement corrigées par les éditeurs et constructeurs, mais ces correctifs ne sont pas toujours appliqués en temps utiles. Il est donc indispensable d’effectuer les mises à jour de sécurité des équipements et des logiciels (système d’exploitation, système de gestion de contenu, base de données, modules complémentaires, extensions…) de votre site Internet dès qu’elles sont disponibles. Lorsque c’est possible, configurez vos équipements et vos logiciels pour que les mises à jour se téléchargent et s’installent automatiquement.

4. Utilisez un mot de passe suffisamment long, complexe et différent pour chaque service

Pour réduire les risques de piratage et sécuriser au mieux vos comptes privilégiés, notamment les comptes d’administrateurs de votre site Internet, utilisez des mots de passe suffisamment longs, complexes et suffisamment différents pour chaque service. Imposez également l’utilisation d’un mot de passe solide aux utilisateurs disposant de droits sur le site Internet et veillez à leur renouvellement régulier ou à la moindre suspicion de divulgation. Si possible, activez la double authentification.

5. Réalisez des sauvegardes régulières de votre site (données et configuration)

En cas de panne, de piratage ou de destruction de vos équipements, vous pouvez perdre les données enregistrées sur ces supports. Aussi, effectuez des sauvegardes régulières de votre site web, de sa configuration et de ses bases de données, et testez sa restauration pour vous assurer de son bon fonctionnement. En cas de besoin, vous pourrez ainsi restaurer votre site Internet à une date antérieure à l’incident. Choisissez une solution de sauvegarde adaptée à vos besoins et pensez à déconnecter votre support de sauvegarde après utilisation pour qu’il ne soit pas exposé à une attaque.

6. Sécurisez les communications de votre site Internet à l’aide du protocole HTTPS

Le protocole HTTPS est un protocole de communication Internet qui assure la sécurité des données lors du transfert d’information entre l’ordinateur de l’internaute et le site Internet. Configurez votre serveur pour n’utiliser que le protocole HTTPS et éviter ainsi que des cybercriminels n’interceptent les données qui transitent, comme les données de connexion, les témoins de connexion (cookies), les informations bancaires, etc. À noter que certains navigateurs Internet parmi les plus répandus indiquent désormais à tout internaute si un Internet n’est pas protégé par le protocole HTTPS.

7. Limitez le nombre d’utilisateurs et leurs privilèges

Pour réduire les risques de compromission liée à un piratage de compte, il convient de se conformer au principe de « moindre privilège » en limitant, d’une part, le nombre d’utilisateurs ayant accès aux outils et fonctionnalités d’administration du site Internet et, d’autre part, leurs privilèges et droits d’accès. Définissez des rôles d’utilisateurs et les privilèges qui leurs sont associés pour que chaque utilisateur dispose uniquement des droits d’accès nécessaires à l’accomplissement de ses tâches. Privilégiez des comptes utilisateurs individuels à des comptes génériques ou fonctionnels, en particulier pour les utilisateurs privilégiés (administrateurs), sous peine d’augmenter les risques de compromission en cas de divulgation de leurs mots de passe.

8. Protégez votre nom de domaine

L’adresse d’un site Internet est composée d’un préfixe (ex : www) et d’un nom de domaine unique constitué d’une chaîne de caractères et d’une extension (ex : .fr, .com). Par exemple : « www.monnomdedomaine.fr ». Il est important de protéger le nom de domaine de son site pour éviter qu’il ne soit utilisé pour en faire un usage frauduleux. Enregistrez votre nom de domaine sous forme de marque auprès de l’INPI en complément de sa réservation auprès d’un bureau d’enregistrement. Mettez en place et adoptez une politique de gestion de votre nom de domaine pour le sécuriser. Par ailleurs, d’un point de vue technique, utilisez des solutions comme le verrou de registre (.FR Lock pour un domaine en .fr) et DNSSEC, recommandées par l’AFNIC, pour réduire les risques de piratage. Enfin, il faut savoir qu’un nom de domaine s’enregistre pour une période déterminée (1 à 10 ans). Veillez donc bien à renouveler en temps et en heure cet enregistrement au risque de voir votre nom de domaine libéré et réutilisé par un tiers à des fins malveillantes

9. Soyez vigilant lorsque vous utilisez des extensions pour votre logiciel de gestion de contenu

De nos jours, les systèmes de gestion de contenu (content management system ou CMS en anglais), comme WordPress ou Joomla!, proposent de leur adjoindre des extensions pour ajouter des fonctionnalités. Ces extensions peuvent constituer une brèche dans la sécurité de votre site Internet si elles sont obsolètes, non mises à jour ou insuffisamment sécurisées. Aussi, avant utilisation, vérifiez sa notoriété ainsi que sa date de dernière mise à jour qui, si elle remonte à plusieurs années, indique que l’extension n’est plus maintenue par son développeur. En outre, ne téléchargez vos extensions qu’auprès du site officiel de l’éditeur de votre CMS.

10. Surveillez l’activité de votre site Internet au quotidien

Surveillez régulièrement l’activité de votre site Internet, notamment celle de votre système de gestion de contenu (mise à jour d’articles, connexion au portail d’administration du site Internet, dépôt de fichiers…) pour y détecter une activité inhabituelle et prendre, le cas échéant, les mesures nécessaires à la résolution de l’incident. À noter qu’il existe des extensions qui visent à renforcer la sécurité et surveiller votre site Internet.

Pour aller plus loin : Par l’ANSSI : Recommandations pour la sécurisation des sites web | Par l’AFNIC : Guide pratique du titulaire d’un nom de domaine .FR

Sources : © Cybermalveillance.Gouv 2024 – Retrouvez d’autres d’actualités sur le blog de l’Atwo Conseil !

Cybermois 2024 : 10 mesures essentielles pour assurer votre cybersécurité

L’utilisation des outils numériques dans le cadre professionnel ne cesse de croître et de se diversifier. Ordinateurs de bureau ou portables, téléphones mobiles, tablettes, objets connectés… Ils font de plus en plus partie de votre quotidien. Cette intensification des usages représente pour les cybercriminels une opportunité de développer leurs attaques. Comment se protéger au mieux face à ces risques ? Voici 10 bonnes pratiques essentielles à adopter pour assurer votre cybersécurité.

1. Protégez vos accès avec des mots de passe solides

Utilisez des mots de passe suffisamment longs (entre 8 et 12 caractères), complexes (majuscules + minuscules + caractères spéciaux) et différents pour tous les équipements et services auxquels vous accédez. N’utilisez aucune information liée à votre identité. La majorité des attaques est souvent due à des mots de passe trop simples ou réutilisés. Au moindre doute, ou même régulièrement en prévention, changez-les ! Utilisez un gestionnaire de mots de passe et activez la double authentification chaque fois que c’est possible pour renforcer votre sécurité.

2. Sauvegardez vos données régulièrement

En cas de piratage, mais également en cas de panne, de vol ou de perte de votre appareil, la sauvegarde est souvent le seul moyen de retrouver vos données (photos, fichiers, contacts, messages…). Sauvegardez régulièrement les données de vos PC, téléphones portables, tablettes et conservez toujours une copie de vos sauvegardes sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée.

3. Appliquez les mises à jour de sécurité sur tous vos appareils et ce, dès qu’elles vous sont proposées

Vous corrigez ainsi les failles de sécurité qui pourraient être utilisées par des pirates pour s’introduire dans vos appareils, pour y dérober vos informations personnelles ou vos mots de passe, voire pour détruire vos données ou encore vous espionner.

4. Utilisez un antivirus

Les antivirus permettent de se protéger d’une grande majorité d’attaques et de virus connus. Il existe de nombreuses solutions gratuites ou payantes selon vos usages et le niveau de protection ou de services recherchés. Vérifiez régulièrement que les antivirus de vos équipements sont bien à jour et faites des analyses (scans) approfondies pour vérifier que vous n’avez pas été infecté.

5.Téléchargez vos applications uniquement sur les sites officiels

N’installez des applications que depuis les sites ou magasins officiels des éditeurs (exemple : Apple App Store, Google Play Store) pour limiter les risques d’installation d’une application piégée pour pirater vos équipements. De même, évitez les sites Internet suspects ou frauduleux (téléchargement, vidéo, streaming illégaux) qui pourraient également installer un virus sur vos matériels.

6. Méfiez-vous des messages inattendus

En cas de réception d’un message inattendu ou alarmiste par messagerie (email), SMS ou chat, demandez toujours confirmation à l’émetteur par un autre moyen s’il vous semble connu et légitime. Il peut en effet s’agir d’une attaque par hameçonnage (phishing) visant à vous piéger pour vous dérober des informations confidentielles (mots de passe, informations d’identité ou bancaires), de l’envoi d’un virus contenu dans une pièce-jointe qu’on vous incite à ouvrir, ou d’un lien qui vous attirerait sur un site malveillant.

7. Vérifiez les sites sur lesquels vous faites des achats

Si le commerce en ligne facilite les achats et offre l’opportunité de faire de bonnes affaires, il existe malheureusement de nombreux sites de vente douteux, voire malveillants. Avant d’acheter sur Internet, vérifiez que vous n’êtes pas sur une copie frauduleuse d’un site officiel, la crédibilité de l’offre et consultez les avis. Sans cette vérification, vous prenez le risque de vous faire dérober votre numéro de carte bancaire et de ne jamais recevoir votre commande, voire de recevoir une contrefaçon ou un produit dangereux.

8. Maîtrisez vos réseaux sociaux

Les réseaux sociaux sont de formidables outils de communication et d’information collaboratifs. Ils contiennent toutefois souvent de nombreuses informations personnelles qui ne doivent pas tomber dans de mauvaises mains. Sécurisez l’accès à vos réseaux sociaux avec un mot de passe solide et unique, définissez les autorisations sur vos informations et publications pour qu’elles ne soient pas inconsidérément publiques ou utilisées pour vous nuire, ne relayez pas d’informations non vérifiées (fake news) (Voir notre fiche sur les réseaux sociaux).

9. Séparez vos usages personnels et professionnels

Avec l’accroissement des usages numériques, la frontière entre utilisation personnelle et professionnelle est souvent ténue. Ces utilisations peuvent même parfois s’imbriquer. Matériels, messageries, « clouds »… Il est important de séparer vos usages afin que le piratage d’un accès personnel ne puisse pas nuire à votre entreprise, ou inversement, que la compromission de votre entreprise ne puisse pas avoir d’impact sur la sécurité de vos données personnelles.

10. Évitez les réseaux WiFi publics ou inconnus

En mobilité, privilégiez la connexion de votre abonnement téléphonique (3G ou 4G) aux réseaux WiFi publics. Ces réseaux WiFi sont souvent mal sécurisés, et peuvent être contrôlés ou usurpés par des pirates qui pourraient ainsi voir passer et capturer vos informations personnelles ou confidentielles (mots de passe, numéro de carte bancaire…). Si vous n’avez d’autre choix que d’utiliser un WiFi public, veillez à ne jamais y réaliser d’opérations sensibles et utilisez si possible un réseau privé virtuel (VPN).

Pour aller plus loin : nous vous encourageons à sensibiliser vos collaborateurs en mettant à disposition cette fiche pratique sur votre espace d’affichage obligatoire.

Sources : © Cybermalveillance.Gouv 2024 – Retrouvez d’autres d’actualités sur le blog de l’Atwo Conseil !

Cybermois 2024 : La cybersécurité c’est l’affaire de tous !

La cybersécurité est l’affaire de tous ! Dans le cadre du Cybermoi/s 2024, nous vous invitons à vous mobiliser et à prendre part à une action citoyenne d’ampleur nationale en relayant la campagne « Fausse Bonne Idée ».

Sources : © Cybermalveillance.Gouv 2024 – Retrouvez d’autres d’actualités sur le blog de l’Atwo Conseil !

Congés payés : les dernières évolutions

Les Sages jugent les dispositions du Code du travail relatives au droit à congés payés en cas de maladie conformes à la Constitution. Elles n’en restent pas moins non conformes au droit de l’Union européenne. Le gouvernement vient donc de proposer, par voie au projet de loi DDADUE, un aménagement des textes.

Le Conseil constitutionnel, dans sa décision du 8 février 2024 (Décision 2023-1079 QPC), a validé les dispositions du Code du travail faisant obstacle à l’acquisition de congés payés au cours de périodes d’arrêt maladie d’origine non professionnelle en les déclarant conformes à la Constitution. Néanmoins, ces dispositions restent contraires au droit de l’Union européenne, et la France devra forcément se mettre en conformité. Les entreprises restent donc dans l’incertitude des conséquences des arrêts rendus par la Cour de cassation le 13 septembre 2023 (Cass. soc. 13-9-2023 n°22-17.340, n°22-17.638 et n°22-10.529). Dans l’attente, d’un point de vue comptable, c’est le droit européen qui s’applique aux clôtures 2023. 

En septembre 2023, la Cour de cassation a jugé le Code du travail non conforme au droit européen

Pour rappel, par plusieurs arrêts du 13 septembre 2023 au fort retentissement, la Cour de cassation a mis en conformité le droit national avec le droit de l’Union européenne concernant la question de l’acquisition de droits à congés payés pour des salariés en arrêt maladie d’origine professionnelle ou non professionnelle.

Les arrêts de la Cour de cassation du 13 septembre 2023 opèrent en effet un revirement de jurisprudence important, dont il faut retenir 3 points majeurs :

• d’une part, la Cour de cassation a jugé que les salariés en arrêt de travail pour maladie ou accident, que ceux-ci soient d’origine professionnelle ou non professionnelle, bénéficient des droits à congés payés au cours de ces périodes d’arrêt ;
• d’autre part, la Cour a écarté les dispositions de l’article L 3141-5, alinéa 5, du Code du travail qui limitent à un an la durée de l’arrêt pour accident du travail ou maladie professionnelle, permettant d’acquérir des droits à congés payés ;
• enfin, la Cour précise, concernant le point de départ de la prescription, que, « lorsque l’employeur oppose la fin de non-recevoir tirée de la prescription, le point de départ du délai de prescription de l’indemnité de congés payés doit être fixé à l’expiration de la période légale ou conventionnelle au cours de laquelle les congés payés auraient pu être pris dès lors que l’employeur justifie avoir accompli les diligences qui lui incombent légalement afin d’assurer la possibilité d’exercer effectivement son droit à congé » (n°22-10.529).

Désormais, en application de cette nouvelle jurisprudence, tous les arrêts de travail, quelle qu’en soit l’origine ou la durée, donnent droit à l’acquisition de congés payés.

Rappelons toutefois que le droit européen ne garantit aux travailleurs qu’un droit à congé annuel payé d’au moins 4 semaines, soit 24 jours ouvrables (Dir. 93/104/CE art. 7), alors que le Code du travail accorde, quant à lui, 5 semaines.

En février 2024, le Conseil constitutionnel juge le Code du travail conforme à la constitution

Dans sa récente décision, le Conseil constitutionnel ne remet absolument pas en question la décision rendue par les arrêts de la Cour de cassation.

En l’espèce, la Cour de cassation a saisi le Conseil constitutionnel d’une question prioritaire de constitutionnalité, considérant qu’elle présentait un « caractère sérieux », relative à la conformité des articles L 3141-3 et  L 3141-5 du Code du travail aux droits et libertés garantis par la Constitution, et notamment le droit des travailleurs au repos garanti par l’alinéa 11 du préambule de la Constitution de 1946 et au principe d’égalité.

Dans sa décision rendue le 8 février dernier, le Conseil constitutionnel a jugé conformes les dispositions du Code du travail limitant l’acquisition de congés payés pendant les périodes d’arrêt à la Constitution, sans remettre en question les arrêts rendus par la chambre sociale de la Cour de cassation du 13 septembre 2023. 

Pour affirmer la conformité à la Constitution des articles du Code du travail, le Conseil a considéré que, si le principe d’un congé annuel payé est l’une des garanties du droit au repos, le législateur dispose, au regard de la Constitution, d’une liberté de déterminer les conditions de mise en œuvre du congé payé et qu’il a la possibilité, d’une part, de ne pas prévoir de droit à l’acquisition de congés payés en cas d’absence pour maladie non professionnelle et, d’autre part, de limiter a un an la période d’acquisition de congés payés en cas d’absence pour maladie ou accident d’origine professionnelle.

Aussi, le Conseil constitutionnel a jugé que le législateur pouvait prévoir un régime différent d’acquisition des congés payés dans le cas où l’arrêt de travail avait une origine non-professionnelle sans méconnaître le principe d’égalité prévu par la Constitution.

Le code du travail n’en reste pas moins non conforme au droit européen…

Il est donc clair que le Conseil constitutionnel et la CJUE n’apprécient pas la portée du droit aux congés payés de la même manière. Cependant, en dépit de la déclaration de conformité à la Constitution des dispositions du Code du travail par les Sages de la rue Montpensier, ces dispositions restent en contradiction avec le droit de l’Union européenne.

Dans ce contexte, certains salariés pourraient tenter de revenir sur des périodes lointaines, avec des conséquences comptables et financières potentiellement importantes pour les entreprises n’ayant pas octroyé de congés payés aux salariés en longue maladie.

Ces conséquences comptables et financières pouvaient paraitre d’autant plus difficiles à évaluer que certaines difficultés d’interprétation avaient été soulevées concernant la prescription de l’action en paiement des indemnités de congés payés, qui relève des règles relatives au paiement des salaires (C. trav. art. D 3141-7), et donc de la prescription triennale de l’article L 3245-1 du Code du travail.

Dans l’un des arrêts du 13 septembre 2023 (n°22-10.529), la Cour de cassation a notamment précisé que le point de départ de la prescription devait être apprécié à l’expiration de la période, légale ou conventionnelle, de prise des congés payés, à la condition que l’employeur ait mis le salarié en mesure d’exercer ce droit en temps utile. Cela signifie qu’en l’absence de fixation et de diligences de la part de l’employeur aucun point de départ du délai de prescription n’existe.

En l’espèce, la Cour a confirmé l’octroi de l’indemnité de congés payés sur une période de 10 ans en considérant que l’employeur n’avait pas accompli les diligences nécessaires pour garantir le droit du salarié aux congés payés. Cependant, la portée de cet arrêt reste incertaine compte tenu de la situation particulière tranchée par la Cour de cassation, qui portait sur une demande de requalification d’un contrat de prestation de services en contrat de travail et, en conséquence, la condamnation de l’employeur au paiement d’indemnités de congés payés pour les périodes de référence afférentes.

Les arrêts de la Cour de cassation du 13 septembre 2023 plaçaient ainsi les entreprises devant de multiples interrogations.

… de sorte qu’une réforme législative apparaît inévitable

La décision du Conseil Constitutionnel étant sans incidence sur la solution issue des arrêts de la Cour de cassation, le législateur a entrepris de clarifier la situation en posant un cadre.

C’est dans ce contexte que le Premier ministre a saisi le Conseil d’État d’une demande d’avis portant sur la mise en conformité des dispositions du code du travail en matière d’acquisition de congés payés pendant les périodes d’arrêt maladie (Avis CE 7 et 11-3-2024, n°408112). À la suite de cet avis, le Gouvernement a présenté le 15 mars 2024 un amendement dans le cadre du projet de loi, en discussion devant l’Assemblée nationale, portant diverses dispositions d’adaptation au droit de l’Union européenne en matière d’économie, de finances, de transition écologique, de droit pénal, de droit social et en matière agricole.

Il ressort de cet amendement, adopté par l’Assemblée nationale en première lecture le 18 mars 2024 et devenu article 32 bis du projet de loi, que le Gouvernement envisage de limiter :

• à 2 jours ouvrables par mois l’acquisition des droits à congés payés pendant les périodes de suspension du contrat de travail liées à un arrêt maladie pour raison non professionnelle, afin de se conformer à la durée minimale de 24 jours ouvrables prévue par la directive 93/104/CE ;

  En revanche, en cas d’accident du travail ou de maladie professionnelle, les salariés pourraient continuer à acquérir des droits à congés à hauteur de 2,5 jours ouvrables par mois, au-delà d’un an.

• à 15 mois la durée de report de l’ensemble des droits à congés payés, comme l’admet la CJUE (CJUE 9-11-2023 aff. 271/22).

Ce projet de texte appelle cependant certaines précisions complémentaires.

Pour le passé, les congés payés supplémentaires pour arrêt non professionnel ne devraient pas permettre de dépasser 24 jours

En vue de permettre l’application rétroactive, dans le respect des principes constitutionnels, du nouveau quantum de droits à congés susceptibles d’être acquis durant un arrêt de travail lié à un accident ou une maladie n’ayant pas un caractère professionnel, et conformément à la recommandation du Conseil d’État, le dispositif prévoit que les nouvelles règles ne peuvent, pour chaque période de référence, permettre au salarié d’acquérir des droits à congé supplémentaires durant son arrêt maladie que si le nombre de 24 jours ouvrables de congés annuels payés n’est pas déjà atteint au titre des périodes de travail effectif, et sans pouvoir dépasser ce nombre de 24 jours.

 Exemple : Un salarié absent en raison d’une maladie non professionnelle durant deux mois pendant une période de référence donnée devrait en théorie acquérir (2,5 jours x 10 mois) + (2 jours x 2 mois) = 29 jours ouvrables de congés payés soit 5 jours de plus que ce que prévoit le droit de l’UE. Mais afin de permettre la rétroactivité du texte, le dispositif est limité de telle sorte que ce salarié ne puisse acquérir aucun jour de congé supplémentaire pendant son arrêt maladie, ayant déjà acquis plus de 24 jours de congés payés à raison de sa période de travail effectif sur la période de référence. Dans ce cas, le salarié ne pourra donc acquérir que 25 jours (et non 29).

Le délai de report de 15 mois pourrait en cas d’arrêts longue durée entraîner une péremption automatique des droits

En ce qui concerne les modalités d’application du nouveau délai de report de 15 mois, le Conseil d’État souligne dans son avis que le point de départ de ce délai doit en principe correspondre à la fourniture par l’employeur de l’information sur l’étendue des droits à congés, postérieurement à la reprise du travail. Ce principe serait inscrit au nouvel article L 3141-19-1 du Code du travail.

Ainsi, les congés payés acquis avant un arrêt de travail, mais non pris en raison de cet arrêt pourraient être reportés sur une période de 15 mois débutant à la date à laquelle le salarié reçoit, postérieurement à sa reprise du travail, l’information requise de l’employeur.

Il en serait en principe de même s’agissant des congés acquis durant l’arrêt de travail. Toutefois, si le contrat de travail est suspendu depuis au moins un an à la fin de la période de référence au titre de laquelle ces congés ont été acquis, le nouveau texte prévoit que le point de départ du délai de report débuterait à la date à laquelle s’achève cette période de référence. En cas de reprise du travail par le salarié durant la période de report, cette dernière serait suspendue jusqu’à ce que le salarié reçoive de son employeur les informations relatives à ses droits à congés. Ce n’est qu’en l’absence de reprise du travail par le salarié durant la période de report qu’interviendrait la péremption automatique des droits à congés à l’issue du délai de 15 mois décompté depuis la fin de la période de référence d’acquisition des congés.

Il ressort de l’avis du Conseil d’État qu’une telle exception ne serait envisageable qu’afin de faire obstacle à certaines circonstances spécifiques qui, à défaut, entraineraient l’acquisition de droits à congé s’additionnant de manière illimitée et ne répondant plus aux finalités du congé annuel. La CJUE a en effet admis une telle péremption automatique en cas d’absence maladie pendant une très longue durée, correspondant à plusieurs périodes consécutives d’acquisition de droits (CJUE 22-11-2011, aff. C-214/10, KHS). Son extension à d’autres cas tels que le cumul de droits sur de très longues périodes ou le report de droits acquis depuis une période très ancienne est une hypothèse envisagée par le Conseil d’État dans son avis, sans toutefois qu’il ne préjuge de la jurisprudence de la CJUE.

 Exemple : Un salarié en arrêt de travail pour motif non professionnel du 1er juin 2010 au 1er juillet 2013 aura acquis les droits suivants :

• pour la période de référence achevée au 31 mai 2011 : 24 jours de congés payés, reportables sur 15 mois soit jusqu’au 31 août 2012. Le salarié, étant absent depuis un an à la fin de la période de référence et n’ayant pas repris le travail au 31 août 2012, les droits sont périmés à cette date.
• pour la période de référence achevée au 31 mai 2012 : 24 jours de congés payés, reportables sur 15 mois soit jusqu’au 31 août 2013. Le salarié ayant repris le travail le 1er juillet 2013, il lui reste à cette date une période de 2 mois pour utiliser ces droits, commençant à courir lors de la communication par l’employeur de l’information requise.
• pour la période de référence achevée au 31 mai 2013 : 24 jours de congés payés, reportables sur 15 mois soit jusqu’au 31 août 2014. Le salarié ayant repris le travail le 1er juillet 2013, il lui reste une période de 14 mois pour utiliser ces droits, commençant à courir lors de la communication par l’employeur de l’information requise.

L’employeur, s’il l’avait informé lors de sa reprise du travail le 1er juillet 2013, aurait indiqué au salarié qu’il disposait de 48 jours de congés payés à prendre. Si l’information n’a pas été donnée (ce qui paraît vraisemblable en l’état actuel du Code du travail), le délai de report est demeuré suspendu et le salarié disposera toujours de ses droits en 2024 lors de l’entrée en vigueur des nouveaux textes.

Si ce même salarié avait repris le travail plus de 3 mois après la fin de la dernière période de référence (31 août), il n’aurait pu cumuler que 24 jours de congés payés. Ainsi, s’il avait repris le travail le 2 septembre 2013, les congés payés acquis au titre de la période de référence achevée au 31 mai 2012 se seraient périmés au 31 août 2013. Il ne resterait donc plus à reporter à la date de reprise du travail que les droits acquis au titre de la période de référence achevée au 31 mai 2013, soit 24 jours.

Par ailleurs, peuvent également rester à reporter selon les situations, à la date de reprise du travail :

• les congés payés antérieurs à l’arrêt de travail et non pris à cause de ce dernier,
• ainsi que, le cas échéant, les droits à congés acquis entre le début de l’arrêt de travail et la fin de la première période de référence concernée par cet arrêt. En effet, à cette date le salarié ne sera pas arrêté depuis au moins un an, et le délai de report de 15 mois ne pourra donc pas débuter automatiquement sans information de l’employeur. Cette dernière ne pouvant, selon nous, intervenir que lors de la reprise du travail).

Le projet de texte est applicable rétroactivement

Le projet de texte prévoit une application rétroactive au 1er décembre 2009 pour les congés payés acquis durant un arrêt pour raison non professionnelle.

En revanche ne seraient pas concernés par la rétroactivité à 2009, les congés payés acquis durant un accident du travail ou une maladie professionnelle, pour lesquels le texte ne prévoit l’acquisition d’aucun droit supplémentaire. La question se pose néanmoins de savoir si ces salariés ne pourraient pas se prévaloir du droit européen pour demander à leur employeur de rétablir leurs droits à 2 jours par mois depuis 2009 (sous réserve de la limitation résultant du délai de report de 15 mois).

Concernant les congés payés acquis durant un arrêt pour raison non professionnelle par des salariés ayant quitté l’entreprise, la question se pose encore de savoir si la demande du salarié pourrait porter uniquement sur les arrêts remontant aux trois années précédant la rupture du contrat ou bien si elle pourrait remonter jusqu’en 2009 dans la mesure où l’employeur n’ayant pas informé les salariés de leurs droits, la prescription pourrait être considérée comme n’ayant pas commencé à courir.

Un délai spécifique de forclusion s’appliquerait aux salariés toujours présents dans l’entreprise

En ce qui concerne les salariés toujours présents dans l’entreprise, le projet de texte met en place un délai de forclusion de deux années pour faire valoir leurs droits à congés payés résultant des nouvelles dispositions législatives. Ce délai débuterait à la date d’entrée en vigueur de ces dispositions (Projet de loi art. 32 bis, II). Il ressort de l’avis du Conseil d’État que ce délai serait applicable même en l’absence de démarche d’information de l’employeur.

En revanche, le projet de texte n’aborde pas spécifiquement la question des règles de prescription applicable aux salariés ayant quitté l’entreprise. Le Conseil d’État estime cependant dans son avis que, dans le cas où le salarié aurait quitté l’entreprise, la prescription triennale prévue à l’article L 3245-1 du Code du travail serait susceptible d’être soulevée, faisant obstacle aux actions, en cours ou à venir, engagées par des salariés ayant quitté leur employeur plus de trois ans avant de saisir le juge.

D’un point de vue comptable, dans l’attente de l’adoption définitive de cette nouvelle législation française. C’est le droit de l’UE qui s’applique à la clôture 2023…

D’un point de vue comptable, ce qui a été jugé par la Cour de cassation en septembre dernier a conduit à révéler une obligation légale issue de l’application du droit européen existant à la clôture 2023, à la fois pour les arrêts de travail enregistrés depuis septembre et pour les arrêts passés et ceux qui étaient en cours en septembre.

Une question se posait néanmoins jusqu’à présent sur l’étendue de cette obligation et notamment sur sa potentielle rétroactivité au 1er décembre 2009, date d’entrée en vigueur du traité de Lisbonne ayant donné force contraignante à la Charte des droits fondamentaux de l’UE. Le projet de loi du Gouvernement apporte des précisions qui répondent en partie à cette question.

… tel que précisé par le projet de loi jusqu’à la date d’arrêté des comptes

Bien qu’il ne soit pas encore définitivement adopté, il ressort de l’avis du Conseil d’Etat que le projet s’inscrit parfaitement dans les prescriptions du droit européen en vigueur depuis 2009 et devant être mis en œuvre par les entreprises. En conséquence, à notre avis, il devrait être considéré comme un événement post-clôture lié à des conditions existante à la date de clôture dans la mesure où il ne fait que préciser les obligations des entreprises à cette date issues du droit européen. À ce titre, il devrait en être tenu compte pour ajuster les provisions constatées à la clôture 2023.

En résumé, les entreprises doivent :

1. Pour les arrêts de travail enregistrés depuis septembre et ceux en cours à cette date, faire désormais en sorte que les salariés continuent d’acquérir des droits à congés payés sur toute la période d’arrêt conformément au projet de texte ; il faut en conséquence créditer les congés au compteur des salariés concernés au titre de cette obligation et ajuster les dettes provisionnées pour congés payés (compte 4282).

les dettes provisionnées pour congés payés, correspondant aux congés crédités au compteur du salarié, sont déductibles fiscalement, sauf pour les entreprises ayant opté avant 1987 pour le maintien du régime fiscal alors en vigueur, soit leur déduction au titre de l’exercice de leur paiement.

2. Pour les arrêts de travail pour raison non professionnelle passés enregistrés depuis 2009, appliquer ce nouveau dispositif de façon rétroactive, en respectant les règles de report précisées plus haut et en tenant compte des règles de prescription et de forclusion, c’est-à-dire :

• pour les salariés présents dans l’effectif, en recensant les arrêts depuis 2009,
• pour les salariés ayant quitté l’entreprise depuis moins de 3 ans, en recensant a minima les arrêts des 3 années précédents la rupture du contrat de travail, voire les arrêts depuis 2009 (en précisant laquelle de ces deux hypothèses a été retenue).

Pour les salariés ayant quitté l’entreprise depuis plus de 3 ans, en revanche, aucun passif ne devrait être à constater.

En pratique, si l’entreprise a décidé avant la clôture de créditer des congés au compteur des salariés encore présents, elle doit ajuster la provision pour congés payés (compte 4282).

Si elle a pris avant la clôture un engagement formel de verser une compensation financière à son personnel au titre des congés payés non octroyés, une dette est à comptabiliser à ce titre. Le passif relève alors de la catégorie des provisions pour charges de personnel, déductibles fiscalement (BOI-BIC-PROV-30-20-10 n^o 1).

En l’absence d’engagement, pris avant la clôture, de créditer le compte du salarié ou de lui verser une compensation financière, la sortie de ressources liée au risque de réclamation des salariés concernés doit être estimée selon les hypothèses raisonnables attachées aux arrêts de travail concernés à la date d’arrêté des comptes (salariés présents ou ayant quitté l’entreprise, nombre de salariés concernés, durée et ancienneté des arrêts, contexte social, contentieux en cours…).

Si la sortie de ressources est probable ou certaine à la date d’arrêté des comptes, elle doit être provisionnée (compte 1511). Il n’est pas possible, à notre avis, de considérer que l’obligation ne peut être évaluée avec une fiabilité suffisante. Cette exception, prévue par le PCG (art. 322-4), n’est pas applicable à ce cas où une analyse est toujours possible, sur la base d’hypothèses à indiquer en annexe.

Si la sortie de ressources n’est pas jugée suffisamment probable, il s’agit d’un passif éventuel (PCG art. 321). Sauf si la probabilité de sortie de ressources est jugée faible, une information est à donner en annexe ce titre (nature du passif éventuel, estimation des effets financiers, indication des incertitudes relatives au montant ou à l’échéance de toute sortie de ressources ; PCG art. 833-12/2).

le régime de la provision est à notre avis celui des provisions pour litiges : en l’absence de demande d’indemnisation formalisée contre l’entreprise à la clôture, la provision n’est en principe pas déductible fiscalement (CE 7-8-2008 n°287712), sauf à envisager au cas par cas et, en fonction des circonstances, à se placer sous une jurisprudence plus souple. Le Conseil d’État a en effet jugé que la probabilité d’un risque de charges salariales supplémentaires pouvait résulter, pour une caisse de banques mutualistes, d’actions judiciaires engagées par des salariés d’autres caisses, dès lors que ces actions se fondaient sur un accord salarial applicable à l’ensemble des caisses (CE 24-5-2000 n°185647).

Sources : © Editions Francis Lefebvre 2024 – Retrouvez d’autres d’actualités sur le blog de l’Atwo Conseil !