ITAA-Zine | Numéro 2 - Mars 2023

Gestion des risques des PME : cyberrisques et cyberrésilience

Les cyberincidents peuvent avoir un impact majeur sur la capacité d’une PME à poursuivre ses activités, et lui occasionner des pertes financières considérables. Il est crucial que les PME identifient et atténuent ces risques dans un contexte où nos économies se numérisent de plus en plus. Les comptables des PME sont leurs conseillers et reçoivent toute leur confiance. Ils peuvent jouer un rôle essentiel dans l’atténuation des cyberrisques au sein de ces entreprises.

Le sujet des cyber-risques vous intéresse ?

Alors, rendez-vous au

Le webinaire sera animé par un expert reconnu dans le domaine, qui partagera ses connaissances et expériences avec vous. Au cours de ce webinaire, vous apprendrez comment vous protéger contre les cyberattaques. Nous partagerons également avec vous le témoignage d’un membre qui a subi une attaque et qui vous fera bénéficier de son expérience.

Si vous n’êtes donc pas encore inscrit à la série des 4 séminaires membres, vous avez toujours la possibilité de le faire en cliquant sur ce lien: https://inis.itaa.be/ Participant/Registration/86568220; tout en accédant aux 4 formations.

Nous sommes convaincus que ce webinaire sera une occasion unique de renforcer vos compétences et de mieux comprendre les enjeux de la cybersécurité dans votre profession.

Nous espérons vous y voir nombreux.

La cellule de formation education@itaa.be

ITAA-zine Magazine mensuel de l’ITAA (ne paraît pas en janvier et en juillet) N° 2/2023

ADMINISTRATION ET RÉDACTION

ITAA, Boulevard Emile Jacqmain 135/2, B-1000 Bruxelles

Tél. : +32 2 240 00 00

E-mail : info@itaa.be

COORDINATION DE LA RÉDACTION

Stéphane De Bremaeker (NL) –stephane.debremaeker@itaa.be

Gaëtan Hanot (FR) – gaetan.hanot@itaa.be

COMITÉ DE RÉDACTION

Stéphane De Bremaeker, Johan De Coster, Frédéric Delrue (Vice-Président), Chantal Demoor, Liesbet Dhaene, Carine Govaert, Gaëtan Hanot, Nathalie Lambot, François Lezaack, Eric Steghers, Bart Van Coile (Président)

IMAGES

iStockphoto

TRADUCTIONS

Azimut Translations, IGTV

ÉDITEUR RESPONSABLE

B. Van Coile, Boulevard Emile Jacqmain 135/2, B-1000 Bruxelles

AVIS AUX LECTEURS

Les auteurs, le comité de rédaction et l’éditeur veillent à la fiabilité des informations publiées, lesquelles ne pourraient toutefois engager leur responsabilité. Les articles représentent les points de vue et les opinions des auteurs et donc pas nécessairement ceux de l’Institut ou du comité de rédaction.

L’Institut des conseillers fiscaux et des experts-comptables (ICE) a été créé par la loi du 17 mars 2019. L’ICE se présente en tant qu’ITAA, et est le résultat d’une fusion entre l’IEC et l’IPCF. L’ITAA est géré par un Conseil et un Comité exécutif. Plus d’informations via : www.itaa.be

ÉDITEUR

Wolters Kluwer Belgium

Motstraat 30, B-2800 Mechelen

Gestion des risques des PME : cyberrisques et cyberrésilience

Les cyberincidents peuvent avoir un impact majeur sur la capacité d’une PME à poursuivre ses activités, et lui occasionner des pertes financières considérables. Il est crucial que les PME identifient et atténuent ces risques dans un contexte où nos économies se numérisent de plus en plus. Les comptables des PME sont leurs conseillers et reçoivent toute leur confiance. Ils peuvent jouer un rôle essentiel dans l’atténuation des cyberrisques au sein de ces entreprises. Cet article propose une liste visant à aider les comptables à améliorer la cyberrésilience des PME. Les bureaux comptables peuvent aussi y recourir eux-mêmes pour évaluer leur propre cyberrésilience.

Les petites et moyennes entreprises (PME) sont aujourd’hui confrontées à des risques nouveaux, qui peuvent nuire considérablement à leur activité. Ces risques trouvent leur source dans des mégatendances mondiales, comme le réchauffement climatique, la numérisation, l’intégration économique mondiale et le COVID-19. Accountancy Europe a lancé une série d’articles sur la gestion des risques dans les PME afin d’informer ces entreprises et leurs comptables : durabilité (« sustainability », juillet 2020), check-list de durabilité pour les PME (« SME sustainability checklist », 2021), propriété intellectuelle (« intellectual property », 2022) et insolvabilité (« insolvency », 2021).

Cet article traite des cyberrisques. Il vous expliquera pourquoi et de quelles manières les PME devraient considérer et atténuer les cyberrisques, et comment leurs comptables peuvent les y aider. Cet article comprend une check-list que le comptable peut utiliser pour aider ses clients PME à renforcer leur résilience face aux cyberrisques. Elle peut servir de base à une discussion ou d’évaluation initiale de la cyberrésilience du client. Cette liste peut aussi contribuer à renforcer la cyberrésilience et la sensibilité aux cyberrisques au sein même de la pratique comptable.

Il n’est pas nécessaire que les comptables se penchent eux-mêmes sur chaque point de la liste. Le but est qu’ils sachent reconnaître à quels moments ils doivent renvoyer leurs clients vers une expertise légale pertinente.

1. A quels cyberrisques les PME sont-elles confrontées ?

Le Rapport sur les risques mondiaux 2021 du Forum économique mondial (FEM) identifie les défaillances de cybersécurité comme étant le quatrième risque présent et manifeste le plus potentiellement dangereux pour le monde. Ce qui les place juste derrière d’autres risques

critiques, tels que les catastrophes climatiques ou les maladies infectieuses.

Les cyberrisques trouvent leur source dans des économies et des business models de plus en plus numérisés : processus commerciaux, paiements, listes de clients et de contacts, conceptions de produits et de services, etc. Les PME peuvent tirer profit des améliorations apportées par la technologie en termes d’efficacité, d’innovation, de productivité et de gestion. Mais elles doivent aussi se montrer conscientes des risques qui accompagnent ces opportunités et les atténuer afin de pouvoir pleinement profiter du potentiel de la technologie numérique.

Les cybermenaces comptent parmi les principaux risques liés à la numérisation. Ces menaces peuvent être subdivisées grosso modo en erreurs humaines d’une part et cyberattaques de l’autre :

• Les erreurs humaines sont le fruit d’erreurs non intentionnelles de la part d’employés, de managers ou de partenaires commerciaux ayant accès aux flux de travail ou aux bases de données numérisée(e)s de l’entreprise. Il peut s’agir notamment de la publication accidentelle de listes de clients ou autres informations sensibles, de l’oubli de mots de passe, de la suppression de contenu numérique ou de l’infraction à des législations telles que le Règlement général européen sur la protection des données (RGPD).

• Les cyberattaques émanent de parties malintentionnées (personnes externes, partenaires commerciaux voire membres du personnel de la PME) qui, volontairement, portent atteinte à, détruisent, espionnent, partagent, publient ou abusent d’une autre façon du contenu et des processus numérisés d’une entreprise (vous trouverez quelques exemples spécifiques ci-dessous).

Une stratégie efficace d’atténuation des cyberrisques doit s’attaquer à ces deux dimensions, puisqu’elles sont liées entre elles. Les erreurs humaines peuvent exposer l’entreprise à des cyberattaques, tandis que les cyberattaques facilitent les erreurs humaines.

41% phishing

40% webgebaseerde aanvallen

39% algemene malware

19% kwaadwillende insider

12% denial of service

11% social engineering

7% gecompromitteerd/gestolen apparaat.

Exemples de cyberattaques

D’après un rapport publié en 2021 par l’Agence européenne pour la cybersécurité (ENISA), les cyberincidents les plus fréquents dans les PME européennes sont les suivants :

2. En quoi les cyberrisques peuventils affecter les PME ?

Les PME deviennent une cible privilégiée des cyberattaques. Elles sont trois fois plus susceptibles d’être visées par des cybercriminels que les grandes entreprises.

Voici quelques exemples de conséquences négatives des cyberattaques pour les PME :

• pertes financières : les cyberincidents entraînent souvent des pertes financières substantielles, résultant

du vol d’informations sur l’entreprise ou d’informations financières, notamment de données bancaires ou de cartes de paiement, ou encore du vol d’argent ;

de perturbation du commerce, c’est-à-dire impossibilité d’effectuer des transactions en ligne, perturbation majeure de la production ou d’autres processus numériques clés ;

– de frais de réparation des systèmes, réseaux et appareils affectés ;

• pertes commerciales, la confiance étant un aspect essentiel des relations commerciales. Les cyberattaques peuvent entacher la réputation des PME et éroder la confiance que leur portent leurs clients et leurs partenaires commerciaux. Ce qui peut ensuite les amener à perdre des clients, des partenaires commerciaux et des opportunités de vente ;

• retombées légales : la législation sur la vie privée et la protection des données exige des entreprises qu’elles gèrent la sécurité de toutes les données à caractère

personnel qui sont en leur possession. Ces données peuvent concerner leur personnel, leurs clients ou leurs relations commerciales. Si ces données sont compromises, accidentellement ou délibérément, et si la PME a négligé de prendre les mesures de sécurité appropriées, elle est passible d’amendes et de sanctions règlementaires.

3. Quels sont les principaux obstacles à la cyberrésilience des PME ?

Pour une PME qui souhaite atténuer les risques liés aux cyberincidents et les conséquences négatives décrites précédemment, renforcer sa cyberrésilience est indispensable. Cependant, il existe des obstacles susceptibles de miner les efforts déployés dans ce domaine. Ces efforts ont été décrits par l’ ENISA, le European Union Agency for Cybersecurity

3.1. Manque de sensibilité

Le manque de sensibilité et d’engagement de la part de la direction constitue l’un des obstacles fondamentaux à l’atténuation des cyberrisques. En pratique, l’atténuation implique d’allouer un certain budget et des ressources, et de déployer des processus de cybersécurité efficaces. Beaucoup de propriétaires de PME sont accaparés par la

gestion quotidienne de leur activité et ne réalisent pas toujours l’ampleur du risque que les erreurs et attaques liées à la cybersécurité posent pour leur entreprise. Il se peut donc qu’ils n’aient pas pour priorité de prendre des mesures préventives afin de protéger leur activité et n’en découvrent le prix qu’une fois qu’un cyberrisque s’est matérialisé.

Le manque de sensibilité aux cyberrisques se retrouve également au sein du personnel. Chaque membre d’une PME ayant accès aux systèmes de technologie de l’information de l’entreprise peut provoquer un cyberincident involontaire. C’est pourquoi il est vital que tout le personnel soit attentif aux problèmes de cybersécurité potentiels.

3.2. Des informations critiques et sensibles mal protégées

3.4. Manque d’expertise et de personnel

L’effet multiplicateur de la pandémie

Ces cyberrisques ont encore été exacerbés par les tendances récentes (générées par la pandémie de COVID-19), qui ont forcé les entreprises à travailler davantage en ligne et à distance. À titre d’exemple, durant la pandémie, le nombre d’e-mails de hameçonnage a augmenté de 667 %.

Gérer la cybersécurité au sein d’une PME n’est pas une sinécure. C’est un sujet qui nécessite des connaissances très pointues. Cependant, il est courant dans les PME que plusieurs personnes endossent plusieurs rôles. Par conséquent, un employé d’une PME peut assurer la cybersécurité en même temps que d’autres processus internes. De nombreuses solutions de cybersécurité exigent des connaissances informatiques poussées pour pouvoir être déployées et gérées correctement. Il est crucial de reconnaître les limitations potentielles d’un employé responsable de la cybersécurité et, par exemple de détecter lorsqu’une expertise supplémentaire est temporairement nécessaire.

Les PME manipulent toute une série d’informations, telles que les fichiers de leur personnel, les informations de leurs clients, les détails de la production et des achats, des données financières, des politiques, des procédures, etc. Toute cette documentation est indispensable à l’entreprise. Des lois, des règlementations ou des accords peuvent aussi contraindre les PME à protéger ces documents.

Faute de politique de back-up spécifique ou de solutions antivirus actualisées pour tous les types d’appareils, ou en cas d’utilisation de logiciels obsolètes ou non corrigés, les informations critiques et sensibles d’une entreprise peuvent se trouver gravement mises en péril. La PME deviendrait alors une cible facile pour les différents types de cyberattaques décrits plus haut.

3.3. Un budget insuffisant

Les efforts en matière de cybersécurité impliquent des investissements non négligeables, notamment pour sensibiliser, déployer des contrôles de cybersécurité, interagir avec des experts externes et prévoir une formation spécialisée pour le personnel. Beaucoup de PME considèrent la cybersécurité comme un coût plutôt que comme un investissement essentiel à leur activité. Elles ont donc tout intérêt à mieux comprendre les risques que les problèmes de cybersécurité posent pour leurs opérations et investir les budgets nécessaires dans les contrôles requis afin de protéger cet aspect critique de leur activité.

À mesure qu’une PME se développe et change, la technologie qu’elle emploie évoluera à l’avenant. Ce qui veut dire que le paysage des cybermenaces évoluera. Dès lors, les PME devront rester assidues et cohérentes dans leurs efforts de cybersécurité. Si l’entreprise n’emploie pas directement une personne dotée de connaissances spécialisées en technologie de l’information et de la communication (ICT), ce qui est typique des PME non techniques, il lui faudra investir dans l’assistance d’un expert extérieur.

3.5. Manque de directives adaptées

La disponibilité et l’adéquation des directives sous forme de normes, de livres blancs ou autre documentation similaire représentent un autre défi majeur. Ces documents existent déjà mais, d’après l’ENISA, la plupart ne proposent que des informations trop génériques ou sont trop complexes pour les PME et nécessitent qu’elles fassent appel à une expertise IT. Qui plus est, beaucoup de PME ignorent simplement que de telles directives existent, ignorent lesquelles seraient les plus adaptées à leur activité ou ne savent même pas par où commencer.

4. Pourquoi le comptable est-il bien placé pour vous aider ?

Les comptables professionnels sont bien placés pour aider les PME à surmonter les obstacles décrits à la section précédente. La plupart ne sont pas des experts IT, mais ils occupent une position privilégiée pour aider les PME à renforcer leur cyberrésilience. En effet :

• ils sont les conseillers de confiance des PME ;

• la plupart des PME européennes font déjà appel à des comptables pour des services tels que le business planning, la gestion des finances et du flux de trésorerie, la fiscalité et la conformité, la comptabilité et la consultation financière. Cela signifie qu’ils ont souvent une connaissance poussée des systèmes IT de leurs clients, particulièrement en ce qui concerne leurs systèmes financiers ;

• les propriétaires de PME rencontrent leurs comptables régulièrement et ceux-ci peuvent constituer leur premier point de contact ;

• les PME font appel à des comptables pour les conseiller et questionner leurs suppositions en matière de gestion d’entreprise.

Chaque comptable ou bureau de comptabilité peut avoir des centaines de PME parmi ses clients. Ils savent donc depuis longtemps ce qui convient à ces entreprises et comprennent les principes qui les sous-tendent.

En ce qui concerne plus particulièrement la cybersécurité, les comptables peuvent aider les PME des manières suivantes :

• en les sensibilisant (direction et personnel) à la nécessité d’atténuer les cyberrisques ;

• en leur indiquant quelles opérations ou pratiques d’entreprise entraînent le plus de cyberrisques ;

Apprendre par la pratique

Tous les bureaux de comptabilité européens ne sont pas au même niveau en termes de cybercompétences, de sensibilité aux cyberrisques et des services qui y sont liés. Tout bureau ou comptable qui souhaite fournir des services de cyberrésilience à des clients PME doit commencer par faire le bilan sur sa propre pratique. Il doit procéder à une autoévaluation – en s’aidant de la check-list (voir p. 8) – et renforcer peu à peu sa cyberrésilience.

La pratique et ses données seront ainsi protégées à coup sûr contre les cyberrisques. Qui plus est, cette autoévaluation aidera la pratique à acquérir expérience et expertise sur la cyberrésilience et à développer un réseau de cyberexperts vers lequel le comptable pourra finalement renvoyer ses clients.

• en identifiant quels aspects de l’activité sont « les plus pertinents » pour les opérations journalières de l’entreprise et requièrent à ce titre une attention et une protection maximales. Par exemple, les systèmes de comptabilité doivent faire l’objet d’un back-up afin de limiter autant que possible les perturbations. Un arrêt de la production informatisée aurait des retombées bien plus graves pour la PME et ce processus devrait lui aussi être protégé en conséquence ;

• en budgétisant et en planifiant les investissements en matière de cyberrésilience des PME, en les conseillant sur les mesures essentielles à prendre et en les adaptant aux caractéristiques particulières de l’entreprise ;

• en déterminant où et quand une expertise IT spécialisée sera nécessaire pour lancer certaines démarches de cyberrésilience et en mettant la PME en contact avec des experts pertinents du réseau du comptable ;

• en informant la PME sur la législation pertinente, comme le RGPD, et en l’assistant dans ses démarches de mise en conformité ;

• en offrant une assurance indépendante sur les systèmes de cyberrésilience de la PME, pour autant que cette assurance soit fournie par une personne ou un bureau autre que celui ou celle qui a conseillé la PME pour mettre en place ces systèmes ;

• en conseillant la PME sur le développement de plans d’urgence en cas de cyberattaque.

La section suivante propose une check-list simple pour aider le comptable à renforcer la cyberrésilience de ses clients PME.

5. Check-list pour les comptables

Pour une PME, recruter des experts IT en interne ou faire appel à des externes est onéreux. Toutefois, les PME peuvent entreprendre quelques démarches basiques pour renforcer leur cyberrésilience. Le comptable de la PME peut utiliser cette check-list (voir p. 8) pour identifier « l’état » actuel de la PME en termes de cyberrisques et l’aider à agir là où c’est nécessaire. Le comptable doit aussi pouvoir évaluer à quels moments la PME aurait besoin d’expertise IT, et la conseiller à ce niveau.

5.1. Etape 1 – Le réseau

Les comptables doivent commencer par bâtir un réseau d’experts ICT sur lequel ils peuvent compter pour recueillir des informations supplémentaires et vers lequel ils peuvent renvoyer leurs clients en cas de besoin.

Le comptable peut sensibiliser la PME aux cyberrisques, la convaincre d’agir et la conseiller sur quelques démarches initiales à entreprendre.

Cependant, la plupart des comptables ne disposent pas de l’expertise nécessaire en ICT pour présenter des solutions

Définitions et terminologie

Hameçonnage (phishing) : type d’ingénierie sociale qui consiste pour l’attaquant à envoyer un message frauduleux (parodique, faux ou trompeur de l’une ou l’autre façon) afin de duper une personne et l’inciter à divulguer ses informations sensibles à l’attaquant, ou pour déployer un programme malveillant sur l’infrastructure de la victime, comme du ransomware.

Déni de service : une attaque DoS qui empêche les utilisateurs d’accéder à un service en submergeant ses ressources physiques ou ses connexions réseau.

Attaques émanant du web : lorsque des criminels exploitent les vulnérabilités d’un code pour accéder à un serveur ou à une base de données. Ce type de menace de cybervandalisme s’appelle une attaque de couche application. Les utilisateurs partent du principe que les informations personnelles sensibles qu’ils divulguent sur votre site web resteront privées et protégées.

Logiciel malveillant : nom collectif pour désigner les différentes variantes de programmes malveillants tels que les virus, le ransomware et les logiciels espions. Appelés aussi malware (pour malicious software), ces programmes se composent généralement de codes développés par des cyberattaquants pour occasionner des dégâts majeurs aux données et aux systèmes, ou pour obtenir l’accès non autorisé à un réseau.

Initié malveillant : appelé aussi « Turncloak », il s’agit d’une personne qui abuse de manière malveillante et intentionnelle d’informations d’identification légitimes, généralement pour voler des informations à des fins financières ou personnelles.

Ingénierie sociale : une manipulation technique qui exploite les erreurs humaines afin d’obtenir des informations, accès ou éléments de valeur privés.

plus élaborées à la PME en cas de besoin. En outre, les exigences de leur profession les empêchent d’accepter du travail pour lequel ils n’ont pas les compétences requises.

5.2. Étape 2 – La grille d’évaluation

Cette grille est basée sur un outil simple développé par le SMESEC- consortium (Cybersecurity for Small and Mediumsized Enterprises) et s’adresse spécifiquement aux PME dont les ressources, l’histoire et l’expertise en cybersécurité sont limitées. Compléter cette grille et entreprendre les

Authentification multifacteur : La MFA est une méthode d’authentification électronique grâce à laquelle l’utilisateur ne peut accéder à un système ou à une application qu’après avoir présenté deux ou plusieurs preuves légitimes de son identité.

Ransomware : un logiciel malveillant qui menace de publier les données à caractère personnel de la victime ou de bloquer indéfiniment ses accès en échange du paiement d’une rançon.

Privilèges d’administrateur système : le fait d’être habilité à apporter des modifications majeures à un système, généralement un système d’exploitation. Il peut aussi s’agir de programmes logiciels importants, tels qu’un système de gestion de base de données.

Liste blanche ou liste d’autorisés : un mécanisme qui permet explicitement à certaines entités identifiées d’accéder à un privilège particulier, à un service, un degré de mobilité ou de reconnaissance, bref une liste de droits accordés alors qu’ils sont normalement refusés par défaut.

WLAN : Wireless area network (réseau local sans fil).

premières démarches nécessaires à une amélioration devrait être simple et économique pour beaucoup de PME. Le client devrait utiliser cette grille comme base lorsqu’il discute avec ses clients PME de leur résilience aux cyberrisques.

Les comptables peuvent aussi utiliser la check-list pour renforcer la cyberrésilience et la sensibilité aux cyberrisques de leur propre pratique. Le comptable ne doit pas forcément pouvoir aborder chaque point de la check-list mais il devrait être capable de reconnaître à quels moments renvoyer ses clients vers l’expertise technique nécessaire.

Check–list pour cyberrisques

Les clients de votre PME sont-ils conscients des cyberrisques et peu susceptibles d’exposer la PME à des cybermenaces ?

Le personnel de la PME sait-il comment identifier et traiter les e-mails, liens et sites web suspects ou dangereux ainsi que les failles de sécurité du matériel, et agir en conséquence ? ex. clés USB à risque

Qu’en est-il des fournisseurs ?

Les employés de la PME reçoivent-ils régulièrement des formations sur la cybersécurité ?

La PME a-t-elle mis en place une politique de sécurité des informations ?

L’a-t-elle distribuée et expliquée à ses employés ? Type de risque

Tâches et responsabilités

La PME a-t-elle désigné un responsable de la cybersécurité ?

C’est-à-dire un employé de confiance auquel rapporter les failles et les erreurs, responsable du traitement a posteriori d’une cyberattaque et de la sensibilisation du personnel.

Cette personne possède-t-elle les connaissances et compétences nécessaires pour réagir aux types de cyberattaques les plus fréquents, tels qu’identifiés dans cet article ?

Cette personne dispose-t-elle de l’autorité/des pouvoirs nécessaires dans la PME pour entreprendre des actions d’amélioration ?

La PME dispose-t-elle d’un plan pour atténuer les retombées économiques négatives d’une cyberattaque ?

Les données sensibles ou critiques stockées par la PME sont-elles cryptées ?

Y compris les données sur appareils mobiles ?

La PME traite-t-elle les données personnelles et sensibles dans le respect du RGPD ?

Type de risque Oui Non Je ne sais pas Protection des données

La PME protège-t-elle l’accès physique à ses ordinateurs, serveurs et réseau ? Actionnaires externes ? Propriétaires ?

Sources de financement principales

Type de risque Oui Non Je ne sais pas

Back-ups

La PME a-t-elle réalisé un back-up récent de ses données et systèmes ?

Dispose-t-elle d’un back-up hors ligne, ou du moins à un autre endroit et entièrement déconnecté de ses systèmes ?

La PME a-t-elle essayé de restaurer un back-up de données et/ou de système avec succès ?

Les comptes sont-ils protégés par un système d’authentification multifacteur (MFA) ? ex. mot de passe combiné à un code PIN ou à un jeton de sécurité

Les mots de passe des employés de la PME sont-ils forts et spécifiques à chaque système et compte d’utilisateur ? Sont-ils modifiés régulièrement ?

Est-il certain que chaque employé ne peut accéder qu’aux systèmes auxquels il est censé avoir accès ?

Existe-t-il un blocage suffisant pour empêcher les anciens employés d’accéder aux systèmes ?

Si un employé a été victime d’une cyberattaque, son mot de passe a-t-il été modifié ?

La PME a-t-elle mis en place une routine pour restreindre et protéger l’usage de privilèges d’administrateur système ?

Mises à jour

Type de risque Oui Non Je ne sais pas

Est-ce que tous les logiciels des appareils des employés de la PME sont mis à jour régulièrement (ex. applications et systèmes d’exploitation) ?

Le système de protection de la PME contre les logiciels malveillants est-il régulièrement mis à jour (ex. programmes antivirus, filtres antispam) ?

Est-ce que tous les logiciels présents sur les serveurs et appareils du propriétaire de la PME sont régulièrement mis à jour, y compris le pare-feu ?

Le réseau IT de la PME est-il sécurisé par un pare-feu qui protège ses systèmes des attaques extérieures ?

Les appareils, systèmes et applications de la PME sont-ils protégés contre les logiciels malveillants (ex. par des programmes antivirus, une protection contre le ransomware, des filtres antispam) ?

La PME a-t-elle configuré sa protection contre les logiciels malveillants de façon à ce qu’elle analyse les pièces jointes d’e-mails, les téléchargements, les fichiers reçus par le biais du réseau et les dispositifs de stockage connectés ?

Type de risque

Est-ce que tous les logiciels présents sur les serveurs et appareils du propriétaire de la PME sont régulièrement mis à jour, y compris le pare-feu ?

Est-ce que tous les mots de passe et données échangés entre les clients et le serveur sont cryptés ?

Oui Non Je ne sais pas Communication sécurisée

Le WLAN du propriétaire de la PME est-il crypté et protégé et les employés sontils obligés d’utiliser un VPN lorsqu’ils accèdent aux systèmes de l’entreprise depuis leur domicile ?

5.3. Étape 3 – Analysez les résultats et entreprenez les actions qui s’imposent

Si le nombre de OUI se trouve entre :

0 – 10

Type de risque

Le responsable de la cybersécurité est-il capable de mettre fin à une cyberattaque et de limiter ses effets ?

Les gestionnaires et les employés de la PME savent-ils quoi faire en cas de cyberincident ? Y a-t-il des procédures en place et des rôles clairement répartis ?

Si les clients ou les vendeurs de la PME sont attaqués, informeraient-ils la PME si celle-ci est affectée par l’attaque ?

La PME est-elle en contact avec un expert ICT qui puisse l’aider en cas de besoin urgent ?

La PME dispose-t-elle d’une assurance pour couvrir les perturbations de son activité liées à l’IT, dont les cyberattaques, et les conséquences qui en découlent pour ses opérations ? Type de risque

Le WLAN des employés est-il distinct de celui des invités ?

La PME a-t-elle défini qui était responsable de la sécurité de chacun de ses logiciels et services ?

La PME a-t-elle inspecté son code, plus particulièrement en vue d’identifier les vulnérabilités et les défauts de sécurité ?

La PME procède-t-elle à des tests d’intrusion en boîte noire contre les menaces de sécurité les plus courantes ?

11 – 24

La PME est une proie facile. Aidez la PME à identifier les réponses NON ou NE SAIS PAS les plus faciles à résoudre pour arriver à OUI pour chacune.

La PME part sur de bonnes bases mais doit encore progresser. Élaborez un plan pour l’aider à atteindre un score de 24 ou plus dans les 6 prochains mois.

25 – 30

La PME travaille déjà beaucoup à sa cybersécurité. Discutez ensemble de ce qu’elle pourrait faire de plus.

La PME est une référence et un exemple pour les autres.

31 – 38

6. Conclusion

Les activités commerciales et la survie des PME peuvent lourdement pâtir des cyberincidents, qu’ils soient intentionnels ou dus à une erreur humaine. Il est crucial pour les propriétaires et les employés des PME d’être conscients des cyberrisques potentiels, de travailler ensemble afin de les atténuer et d’agir efficacement si un cyberincident se produit. Le comptable de la PME peut y contribuer. Ces comptables connaissent leurs PME et peuvent les conseiller dans des domaines tels que l’identification des cyberrisques, les démarches d’atténuation, la sensibilisation et autres. La check-list que fournit cet article vise à aider le comptable à lancer une première discussion d’identification des cyberrisques avec ses clients PME. Mais quels que soient les efforts déployés pour les atténuer, ces risques peuvent toujours se présenter. Les PME et leurs comptables doivent mettre en place des procédures, back-ups et systèmes efficaces pour assurer la continuité de l’activité de l’entreprise et la sauvegarde de ses systèmes en cas de risque. Cette check-list peut aussi les aider à cet égard.

Accountancy Europe

https://www.accountancyeurope.eu

Voitures de société (partiellement) électriques et bornes de recharge : les impôts directs en 2023

En 2021, le gouvernement a initié le verdissement de la mobilité par une réforme en profondeur de la fiscalité des voitures de société. L’objectif du gouvernement : qu’à partir de 2026, tous les nouveaux véhicules roulent sans aucune émission de carbone. Dans la pratique, ce seront principalement des voitures de société électriques. L’expansion de la conduite électrique s’accompagne de l’expansion d’un réseau où le ravitaillement en électricité peut se faire aisément. Pour stimuler cela, des mesures ont également été prises pour encourager les investissements dans les bornes de recharge. Entretemps, nous sommes déjà en 2023, au milieu d’un régime transitoire. Qu’en est-il des voitures de société ou des bornes de recharge qui ont été achetées et à quoi devons-nous être attentifs pour les achats qui doivent encore être effectués ?

De quoi s’agit-il ?

Depuis l’instauration des différentes dispositions légales visant au verdissement de la mobilité, la circulaire 2021/C/115 du 22 décembre 2021 a donné un premier commentaire détaillé sur le verdissement de la fiscalité automobile. D’autres modifications législatives ont été apportées en 2022 (sur le plan des bornes de recharge). Celles-ci ont été commentées dans la circulaire 2023/C/1 du 2 janvier 2023. Un compte rendu complet de ces deux circulaires nous mènerait trop loin, mais vous retrouvez dans cet article les points d’attention les plus importants.

1. Voitures de société : déductibilité en fiscalité directe

Si vous voulez rouler à l’électricité aujourd’hui, vous avez le choix entre :

1. les voitures hybrides (plug-in) ; ou

2. les voitures électriques.

La première catégorie peut être fiscalement intéressante, grâce à ses faibles émissions de CO2, mais il s’agit encore de voitures à carburant fossile. L’incitation fiscale pour ce type de voiture est limitée dans le temps. À plus long terme, la voiture 100 % électrique sera la seule voiture de société qui pourra encore bénéficier de la déductibilité fiscale.

1.1. Voitures à combustibles fossiles (y compris les voitures hybrides)

Pour déterminer le pourcentage de déduction applicable à une voiture hybride, il faut tenir compte de la formule suivante :

120% – (0,5% × C 1 × coefficient 2)

1 C représente les émissions de CO2 du véhicule de société concerné.

2 Le coefficient s’élève à :

Type de moteur Coefficient

Moteur diesel 1

Moteur au gaz naturel et puissance imposable < 12 CV fiscaux 0,90

Tous les autres moteurs, tels que les moteurs à essence, GPL... 0,95

C’est cette formule qui détermine le pourcentage de déduction possible pour toutes les voitures de société utilisant des carburants fossiles et achetées jusqu’au 31 décembre 2025. À partir du 1 er janvier 2026, toutes les voitures hybrides achetées (même si elles sont partiellement électriques) ne constitueront plus une dépense déductible en aucune manière.

Mais même avant le 31 décembre 2025, il est préférable de garder un œil sur le moment de l’achat des voitures de société à carburant fossile. Pour déterminer la date d’achat, il faut prendre en compte la date du bon de commande, du contrat de location ou du contrat de leasing. Les voitures de société ne doivent donc pas encore avoir été livrées.

Les voitures de société achetées jusqu’au 31 décembre 2022 bénéficient de la fiscalité la plus « favorable ». Tous les frais relatifs à ces voitures de société sont déterminés par la formule ci-dessus, le pourcentage minimum étant de 40 % 1 . La limite maximale de déductibilité a été fixée à 100 %. Ce pourcentage de déductibilité est également garanti pendant toute la durée

Les voitures de société achetées entre le 1 er janvier 2023 et le 30 juin 2023 bénéficient également, pendant toute la durée, du régime fiscal « favorable » antérieur, sauf pour les frais de carburant . Les frais de carburant suivent toujours le taux de déduction de la voiture, mais ils ne peuvent faire l’objet que d’une déduction maximale de 50 %.

Toutes les voitures de société consommant des combustibles fossiles et achetées à partir du 1 er juillet 2023 bénéficieront d’un régime fiscal moins favorable. Ces voitures bénéficieront initialement de la même déductibilité que celle déterminée pour les voitures achetées entre le 1 er janvier 2023 et le 30 juin 2023, mais la déductibilité ne sera plus garantie pendant toute la durée : toutes ces voitures bénéficieront du régime fiscal « favorable » jusqu’au 31 décembre 2015, mais elles seront soumises à une limite minimale et maximale modifiée à partir de l’exercice d’imposition 2026, à savoir :

1.2. Voitures électriques (ou voitures sans émissions de CO2 )

L’option fiscale la plus intéressante pour une nouvelle voiture de société est la voiture de société électrique (une voiture sans émission de CO2). Pour ces voitures de société, il n’y a pas de limitation légale de déduction et 100 % des frais peuvent être déduits pendant toute la durée. Cela reste applicable à toutes les voitures acquises jusqu’au 31 décembre 2026.

Toutefois, les voitures électriques achetées à partir du 1 er janvier 2027 seront soumises à une limitation de la déduction.

2. Voitures de société : avantage de toute nature pour utilisation privée

Les règles de calcul de l’avantage de toute nature sont restées inchangées depuis 2021. Le calcul se fait encore toujours à l’aide de la formule suivante :

Valeur catalogue × CO2-% × coefficient d’âge × 6/7

Il existe un montant minimum forfaitaire à appliquer à titre d’avantage de toute nature, à savoir :

2024 1 360 euros 1 370 euros 1 400 euros 1 540 euros

2.1. Pourcentage de CO2

Le pourcentage de CO2 dans la formule de détermination de l’avantage en nature est déterminé sur la base de la formule suivante :

5,5 + [ 0,1 × (émissions de CO2 de la voiture – R) ] / 100 « R » représente l’émission de référence CO2 en fonction de l’émission CO2 moyenne des voitures nouvellement immatriculées. Ces chiffres d’émissions de référence sont :

D’un point de vue fiscal, il est donc important que l’achat d’une voiture de société utilisant un carburant fossile (comme la voiture de société hybride rechargeable respectueuse de l’environnement en matière de CO2) se fasse de préférence avant le 30 juin 2023. À partir de l’exercice d’imposition 2029, il ne sera possible de déduire les frais liés à une voiture de société utilisant un carburant fossile que si la voiture a été achetée avant le 30 juin 2023.

Il y a, pour le pourcentage de CO2, un minimum de 4 % et un maximum de 18 %.

1 Pour les voitures dont les émissions de CO2 sont inférieures à 200 g, la limite minimale est de 50 %. En matière d’impôt des personnes physiques, la limite minimale est de 75 % si la voiture a été achetée avant 2018.

2.2. Avantage de toute nature plus favorable pour les voitures électriques

Malgré la formule inchangée, on constate une augmentation d’une année sur l’autre de l’avantage de toute nature pour les voitures à carburant fossile. En effet, en partie grâce aux mesures de réforme et au verdissement général du parc automobile, l’émission moyenne de CO2 des voitures nouvellement immatriculées a fortement diminué ces dernières années.

Étant donné que les voitures électriques ne sont pas soumises à cette formule et qu’elles bénéficient toujours du taux minimum de 4 %, le verdissement du parc automobile en Belgique n’a pas d’incidence sur le calcul de l’avantage

de toute nature. Le résultat effectif de l’avantage de toute nature annuel offre donc plus de sécurité pour les voitures électriques que pour les voitures à carburant fossile.

3. Bornes de recharge

Pour rendre le ravitaillement en électricité plus accessible, les propriétaires ou conducteurs d’une voiture à propulsion électrique sont également intéressés par l’investissement dans une borne de recharge. C’est pourquoi le gouvernement a mis au point plusieurs incitants fiscaux pour ces investissements, qui encouragent les particuliers et les entreprises à investir dans les infrastructures de recharge.

3.1. Bornes de recharge privées

Les particuliers peuvent bénéficier d’une réduction à l’impôt des personnes physiques pour l’installation de bornes de recharge depuis le 1 er septembre 2021, à savoir :

obligatoirement être jointes à la déclaration à l’impôt des personnes physiques.

3.2. Bornes de recharge dans les entreprises

Lorsqu’une entreprise installe une borne de recharge, contrairement aux autres frais de la voiture de société, la déductibilité de cette borne n’est pas limitée. Les frais sont donc intégralement déductibles et, en outre, une déduction fiscale majorée est possible. La déduction majorée s’élève à :

Cependant, il y a des conditions complémentaires à prendre en compte :

1. Il doit s’agir tout d’abord d’une borne de recharge intelligente : le temps de charge et la puissance de charge doivent pouvoir être contrôlés par un système de gestion de l’énergie. La borne de recharge doit être digitalement connectée, via un protocole standardisé, à un système de gestion.

2. La borne de recharge ne doit consommer que de l’électricité verte. Cela peut se faire par :

• la conclusion d’un contrat d’énergie avec un fournisseur qui s’engage à ne fournir que de l’énergie produite à partir de sources d’énergie renouvelables ;

• la production sur place d’électricité à partir de sources d’énergie renouvelables ; ou

• un mélange des options évoquées ci-dessus.

3. L’installation doit être fixe et approuvée par un organisme de contrôle agréé.

Le montant maximum de l’investissement qui peut être pris en considération est :

Livraison et installation du système de recharge

Il existe des conditions complémentaires pour la déduction majorée des frais. La borne de recharge doit :

1. être intelligente ;

2. être accessible au public ;

3. être fixée de façon permanente dans le sol ou au mur ;

4. être amortie sur au moins cinq ans.

La déduction majorée n’est pas seulement applicable au frais de la borne de recharge elle-même, mais peut également être appliquée aux frais accessoires, tels que les frais d’installation, les frais d’étude et d’expertise, la cabine électrique, etc.

Enfin, la déduction majorée des frais ne peut pas être combinée avec l’application de la déduction pour investissement pour borne de recharge.

Expert-comptable certifié

La réduction d’impôt ne peut être demandée qu’une seule fois et elle ne doit pas avoir été demandée au cours des périodes imposables précédentes.

Depuis le 1 er janvier 2023, il est également possible de demander la réduction d’impôt jusqu’à un montant d’investissement de 8 000 euros s’il s’agit d’une borne de recharge bidirectionnelle. Il s’agit d’une borne de recharge qui peut charger l’électricité dans deux directions, de la borne de recharge vers la voiture électrique, mais aussi de la voiture électrique vers la borne de recharge pour un autre usage. L’électricité de la voiture pourrait alors être utilisée sur le réseau électrique auquel la borne de recharge est connectée.

Afin de ne pas perdre l’avantage fiscal, il est également important de savoir qu’à partir de l’exercice d’imposition 2023 la facture et l’attestation de contrôle doivent

Analyse comparative du Tax shelter pour les sociétés débutantes et en croissance

De manière générale, les PME participent à la croissance économique et à la création d’emplois. Mais pour les entreprises débutantes ou en phase de croissance, la recherche de financement relève parfois du parcours du combattant ! Certains organismes financiers sont en effet frileux à prendre des risques lorsque les garanties offertes par ces entreprises sont limitées. C’est pourquoi le législateur a instauré des mesures fiscales, dénommées respectivement ‘tax shelter start-up’ (art. 145/26 CIR 92) et ‘tax shelter scale-up’ (art. 145/27 CIR 92), permettant d’une part, d’aider les PME débutantes et en phase de croissance à trouver du financement et d’autre part, d’octroyer aux citoyens qui investissent dans des sociétés nouvelles ou des sociétés en croissance, une réduction d’impôt.

Le tax shelter ‘start-up’ est applicable depuis l’exercice d’imposition 2016. C’est à partir de l’exercice d’imposition 2019, que cet incitant a été complété par de nouvelles réductions d’impôt afin d’aider les entreprises en croissance.

Les principes généraux de ces deux mesures sont présentés ci-après. Notre analyse s’appuie également sur les circulaires fiscales 2018/C/111, 2019/C/57, 2022/C/53.

De quelle réduction le contribuable peut-il bénéficier ?

La réduction d’impôt s’élève à :

Tax shelter start-up Tax shelter scale-up

30% du montant investi

45% si l’investissement est réalisé dans une microsociété au sens de l’article 1:25 du CSA.

Tax shelter start-up Tax shelter scale-up

Réduction d’impôt Réduction d’impôt pour les sommes versées en argent pour l’acquisition de nouvelles actions d’entreprises en croissance

à l’occasion de la constitution d’une société ou d’une augmentation de capital réalisée dans les 4 ans suivant la constitution de cette même société.

à l’occasion d’une augmentation de capital réalisée entre la 5ème et la 10ème année depuis sa constitution.

La date de constitution correspond à la date à laquelle l’acte est déposé au greffe du Tribunal de l’entreprise.

Les actions doivent faire l’objet d’un apport en numéraire et doivent être entièrement libérées.

25% du montant investi

La réduction d’impôt est une réduction d’impôt fédérale, imputée sur les revenus imposés globalement au taux progressif et non sur les revenus imposés distinctement.

La réduction d’impôt est applicable sur la période d’imposition durant laquelle l’investissement a été réalisé.

Elle n’est accordée que pour autant qu’il existe suffisamment d’impôt pour imputer la réduction et celle-ci ne peut être reportée vers le partenaire ou vers la période imposable suivante.

A vos calculettes ! Avant d’investir en vue de réaliser une économie d’impôt, il faut donc vérifier si l’impôt estimé est au moins équivalent à la réduction d’impôt ! Il pourrait par conséquent être plus intéressant de répartir son investissement sur plusieurs exercices plutôt que de verser la somme en une fois.

Dans quel contexte cette réduction peut-elle être accordée ?

Exemple

• Mr X souhaite investir 60 000 EUR dans une entreprise en croissance.

• La réduction potentielle s’élève à 60 000 EUR × 25% = 15 000 EUR.

• Monsieur X est marié, sans enfant à charge, domicilié à Waterloo. Sa conjointe ne bénéficie d’aucun revenu professionnel.

• Le taux moyen d’imposition de l’exercice d’imposition de l’année antérieure était de 30%.

Dans le cas 1, il sera préférable d’étaler l’investissement par exemple sur 2 ans pour maximiser l’économie d’impôt.

Dans le cas 2, l’impôt est suffisant pour appliquer la réduction dans son entièreté sur une année.

Dans les cas 3 et 4, il n’y a pas d’avantage fiscal à investir dans le tax shelter « scale-up », car la réduction ne s’applique pas sur les revenus taxables distinctement.

Comment investir ?

L’investissement en actions ou parts nouvelles peut se faire de différentes manières, soit directement par le citoyen, soit via une plateforme de crowdfunding, soit via la souscription à de nouveaux instruments de placement émis par un véhicule de financement qui investira à son tour dans les actions ou parts de la société.

Dans le cadre des sociétés débutantes, l’investissement peut également être réalisé via un fonds starter public ou d’une pricaf privée starter.

Les conditions liées à l’investisseur

Pour bénéficier de la réduction tax shelter « start-up » ou « scale-up » le contribuable doit réunir les conditions suivantes.

L’investisseur doit être un habitant du Royaume assujetti à l’impôt des personnes physiques.

Certains non-résidents, qui sont soumis à l’impôt des non-résidents et qui sont régularisés peuvent également bénéficier de la réduction s’ils recueillent en Belgique au moins 75% de leurs revenus professionnels. Il doit respecter cette condition durant les 48 mois qui suivent l’apport en capital.

L’investisseur doit conserver les actions ou les instruments de placement pendant une période de 48 mois à partir de la date d’acquisition des actions (ou des instruments de placement).

Au moment de l’apport, l’investisseur ne peut exercer dans la société concernée, un mandat d’administrateur de manière directe ni de manière indirecte. S’il devient dirigeant dans les 48 mois qui suivent l’apport en capital, il ne doit percevoir aucune indemnité pour cela. Il ne peut exercer, en tant que représentant permanent d’une autre

société, un mandat d’administrateur, de liquidateur, ni assumer une activité dirigeante via un contrat d’entreprise. Cette dernière condition doit être respectée au moment de l’apport en capital et durant une période de 48 mois suivant la libération du capital.

Maximum

L’investisseur peut investir jusqu’à un maximum de 100 000 EUR par an de manière cumulée pour les deux mesures tax shelter « start-up » et « scale-up ». Les conjoints et les cohabitants légaux ont chacun droit à ce montant maximum.

Exemple

Monsieur X souscrit de nouvelles actions à concurrence de 75 000 EUR dans la société A (start-up) et de 75 000 EUR dans la société B (scale-up).

La limite de 100 000 EUR est dépassée, il ne pourra prétendre qu’à la réduction maximale de 25 000 EUR. En effet, les actions étant nominatives, la réduction est accordée au contribuable au nom duquel les actions ou parts sont inscrites, il ne pourra donc pas transférer une partie de son investissement vers son conjoint ou reporter l’excédent vers la période imposable suivante.

Le contribuable peut optimiser les montants à reprendre dans sa déclaration à son libre choix.

Par la souscription des nouvelles actions ou parts, l’investisseur ne peut obtenir une représentation de plus de 30% du capital de l’entreprise concernée. L’exclusion de la réduction vaut uniquement pour la partie de l’apport qui excède le pourcentage.

Exemple

Un contribuable souscrit 5 000 actions nouvelles pour un montant de 50 000 EUR dans une PME dont le capital social s’élève à 100 000 EUR après augmentation, représenté par 10 000 actions. La réduction d’impôt maximale à laquelle il pourra prétendre s’élève à 30 000 EUR soit 30% de 100 000 EUR.

L’investisseur ne peut cumuler la réduction tax shelter « start-up » ou « scale-up » avec la réduction d’impôt pour acquisition d’actions de l’employeur ni avec la réduction d’impôt pour la souscription d’un fonds de développement.

Les conditions à respecter dans le chef de

Le tax shelter « start-up » exige le respect de 11 conditions dans le chef de la société bénéficiaire de l’apport, tandis que le tax shelter « scale-up » en exige 13.

Les conditions spécifiques sont :

1) La société est une société résidente ou une société dont le principal établissement ou le siège de direction ou d’administration est établi dans un autre Etat membre de l’Espace Economique Européen et qui dispose en Belgique d’un établissement belge visé à l’article 229 du CIR 92, et :

Tax shelter start-up Tax shelter scale-up La société est constituée au plus tôt le 01/01/2013.

Il n’est pas nécessaire que cette société soit constituée au plus tôt le 01/01/2013.

2) Critères concernant la société en croissance liés au nombre d’équivalents temps plein :

Tax shelter start-up

Tax shelter scale-up

La société occupe au moins 10 équivalents temps plein, en exécution de contrats de travail, et ce durant les douze mois qui suivent la libération des actions.

3) Critères concernant la société en croissance liés à l’évolution du chiffre d’affaires ou du nombre d’équivalents temps plein sur les deux derniers exercices :

Tax shelter start-up Tax shelter scale-up Sur les deux derniers exercices précédant la libération des actions :

• soit la société a augmenté son chiffre d’affaires de 10% en moyenne par exercice d’imposition ;

• soit le nombre de personnes occupées en ETP a augmenté de 10% en moyenne par exercice d’imposition.

4) Le montant pouvant être obtenu dans le cadre du tax-shelter « start-up » et du tax-shelter « scale-up » est limité :

Tax shelter start-up Tax shelter scale-up

La société n’a pas reçu plus de 500 000 EUR.

Ce montant est éventuellement diminué de la somme qui aurait été perçue durant la période imposable dans le cadre du tax shelter scale-up.

La société n’a pas reçu plus de 1 000 000 EUR.

Ce montant est éventuellement diminué de la somme qui aurait été perçue durant la période imposable dans le cadre du tax shelter start-up.

la société bénéficiaire de l’apport

Par une loi-programme du 27 décembre 2021, les limites d’apports fiscalement favorisés perçus par les sociétés ont été doublées avec effet au 1er janvier 2021. C’est ainsi que le montant maximal que peuvent recevoir les sociétés au cours de leur existence, dans le cadre de la réduction d’impôt tax shelter « start-up », est passé de 250 000 EUR à 500 000 EUR, tandis que le plafond pouvant être perçu par les sociétés dans le cadre de la réduction tax shelter « scale-up » est passé de 500 000 EUR à 1 000 000 EUR. Ce montant doit être préalablement diminué du montant reçu dans le cadre de la réduction d’impôt tax shelter sociétés débutantes.

Exemple

Une société a été constituée en 2018 et a bénéficié d’un apport de 100 000 EUR en espèces réalisé dans le cadre de la réduction d’impôt tax shelter « start-up ». La réduction d’impôt a été calculée sur ce montant de 100 000 EUR.

Durant l’année 2023, cette même société procède à une augmentation de l’apport par création de nouvelles actions nominatives. Le montant maximum pouvant être levé s’élève à 900 000 EUR dans le cadre de la réduction d’impôts tax shelter sociétés en croissance.

Dans le cas où le montant de l’augmentation de capital dépasserait le plafond de 900 000 EUR, seul le montant de 900 000 EUR donnera droit à la réduction d’impôt.

Les autres conditions sont similaires pour les deux mesures :

5) La société n’est pas constituée à l’occasion d’une fusion ou d’une scission.

6) La société est considérée comme petite, conformément à l’article 1:24 §§ 1 er à 6 du CSA, pour l’exercice d’imposition afférent à la période au cours de laquelle l’apport en capital a lieu. Les critères de taille doivent être considérés à la date de la clôture du bilan. Les critères relatifs au chiffre d’affaires et au total du bilan sont toujours considérés sur une base consolidée.

7) La société n’est pas une société d’investissement, de trésorerie ou de financement, et ce pendant les 48 mois qui suivent la libération des actions ou parts.

8) La société n’est pas une société immobilière et ce pendant 48 mois qui suivent la libération des actions ou parts (voir la définition de ce type de société dans les articles 145/26 et 145/27 du CIR 92). Il s’agit des sociétés dont l’activité ou l’objet social consiste en la construction, l’acquisition, la gestion, l’aménagement, la vente ou la location de biens immobiliers pour compte propre, ou toute société ayant un droit réel sur un bien immobilier utilisé par son dirigeant d’entreprise mandaté, son conjoint ou son partenaire légal ou ses enfants.

9) La société n’est pas une société de management pendant une période de 48 mois à compter de la date de libération des actions ou parts : elle ne peut être une société qui a été constituée afin de conclure des contrats de gestion ou d’administration ou qui obtient la plupart de ses bénéfices de tels contrats.

10) La société n’est pas cotée en bourse.

11) Avant l’émission des nouvelles actions, la société n’a pas encore opéré de réduction de capital (hors réductions de capital en vue de compenser une perte subie ou en vue de constituer une réserve pour couvrir une perte prévisible), ou distribué des dividendes.

12) La société n’utilise pas les sommes perçues pour une distribution de dividendes ou pour l’acquisition d’actions ou parts ni pour consentir des prêts, et ce durant une période de 4 ans à partir de la libération des actions ou parts.

13) La société ne fait pas l’objet d’une procédure collective d’insolvabilité ou ne se trouve pas dans les conditions d’une telle procédure.

Déclaration fiscale et attestations

Le contribuable doit reprendre dans sa déclaration le montant qu’il a versé dans le cadre X sous le code 1334 ou 2334 de sa déclaration.

Il doit pouvoir produire, à la demande de l’administration, l’attestation fiscale rédigée par l’entreprise débutante ou en croissance, ou par le véhicule de financement. Cette attestation confirme que l’investissement répond à toutes les conditions légales. L’attestation confirme qu’au 31 décembre de l’année au cours de laquelle les actions ont été acquises et au 31 décembre de chacune des quatre périodes imposables suivantes, les actions sont toujours en possession du contribuable.

Reprise de la réduction d’impôt

En cas de non-respect de certaines conditions au cours du délai de 12 ou de 48 mois, la réduction d’impôt qui a été accordée précédemment est partiellement reprise. Cette reprise s’effectue pour l’année au cours de laquelle les conditions ne sont plus respectées, par l’inscription d’une majoration d’impôt fédérale dans le cadre X de la déclaration fiscale sous le code 1328 ou 2328 (sociétés débutantes) ou 1343 ou 2343 (sociétés en croissance), et est calculée en fonction du nombre de mois entiers restants, à compter de la date à laquelle la condition n’est plus respectée jusqu’à la fin du délai de 12 ou de 48 mois.

L’attestation mentionnant le nombre de mois restants doit être délivrée en vue d’estimer correctement le montant de la réduction à récupérer.

Exemple

Monsieur Dupont acquiert directement des actions d’une société en croissance le 06/08/2018 pour un montant de 10 000 EUR. Il n’est pas dirigeant de l’entreprise concernée. Monsieur Dupont bénéficie de la réduction d’impôt à concurrence de 2 500 EUR.

Le 04/10/2020, il devient administrateur de cette société et est rémunéré pour cela.

Mr Dupont a respecté les conditions pendant 26 mois. Le nombre de mois restant à courir jusqu’au délai des 48 mois est de 22. La reprise de la réduction s’élève à

2 500 EUR × 22/48 = 1 145,83 EUR.

Exemple

En date du 05/12/2021, Monsieur Dupont souscrit à 20 actions d’une entreprise en croissance, pour un montant de 10 000 EUR et bénéficie de la réduction d’impôt à concurrence de 2 500 EUR.

Le 20/02/2023, il vend la moitié de ses actions.

Monsieur Dupont a respecté les conditions pendant 15 mois. Le nombre de mois restant à courir jusqu’au délai des 48 mois est de 33. La reprise de la réduction s’élève à :

2 500 EUR × 10/20 actions cédées × 33/48 mois = 859,38 EUR.

Nathalie Procureur Expert-comptable (fiscal) certifié

eStox, le registre électronique des actions sécurisé de votre société

Discrétion garantie

Obligations liées à UBO remplies

Un registre électronique aux multiples avantages, proposé par les notaires, les experts-comptables et les conseillers fiscaux.

Disponible en tout temps et en tout lieu www.estox.be