Alors que les attaques de rançongiciels se multiplient, le FBI redouble d'efforts dans ses conseils aux entreprises concernées :ne payez pas les cybercriminels. Mais le gouvernement américain offre également une incitation peu remarquée à ceux qui paient :les rançons peuvent être déductibles des impôts.

L'IRS n'offre aucune orientation formelle sur les paiements de rançongiciels, mais plusieurs experts fiscaux interrogés par l'Associated Press ont déclaré que les déductions sont généralement autorisées en vertu de la loi et des directives établies. C'est une « doublure argentée » pour les victimes de rançongiciels, comme le disent certains avocats fiscalistes et comptables.

Mais ceux qui cherchent à décourager les paiements sont moins optimistes. Ils craignent que la déduction ne soit une incitation potentiellement problématique qui pourrait inciter les entreprises à payer des rançons contre l'avis des forces de l'ordre. Au minimum, disent-ils, la déductibilité envoie un message discordant aux entreprises sous la contrainte.

"Cela me semble un peu incongru", a déclaré le représentant de New York John Katko, le meilleur républicain du comité de la Chambre sur la sécurité intérieure.

La déductibilité est un élément d'un plus grand dilemme résultant de l'augmentation des attaques de ransomwares, dans lesquelles les cybercriminels brouillent les données informatiques et exigent un paiement pour déverrouiller les fichiers. Le gouvernement ne veut pas de paiements qui financent des gangs criminels et pourraient encourager davantage d'attaques. Mais ne pas payer peut avoir des conséquences dévastatrices pour les entreprises et potentiellement pour l'économie dans son ensemble.

Une attaque de ransomware contre Colonial Pipeline le mois dernier a entraîné des pénuries de gaz dans certaines parties des États-Unis. La société, qui transporte environ 45 % du carburant consommé sur la côte Est, a payé une rançon de 75 bitcoins, alors évaluée à environ 4,4 millions de dollars. Une attaque contre JBS SA, la plus grande entreprise de transformation de viande au monde, a menacé de perturber l'approvisionnement alimentaire. L'entreprise a déclaré avoir payé l'équivalent de 11 millions de dollars aux pirates informatiques qui ont pénétré dans son système informatique.

Les ransomwares sont devenus une entreprise de plusieurs milliards de dollars, et le paiement moyen était de plus de 310 000 $ l'an dernier, en hausse de 171 % par rapport à 2019, selon Palo Alto Networks.

Les entreprises qui paient directement les demandes de ransomware sont tout à fait en droit de demander une déduction, ont déclaré des experts fiscaux. Pour être déductibles d'impôt, les dépenses d'une entreprise doivent être considérées comme ordinaires et nécessaires. Les entreprises sont depuis longtemps en mesure de déduire les pertes des crimes plus traditionnels, tels que le vol ou le détournement de fonds, et les experts affirment que les paiements de rançongiciels sont généralement également valables.

"Je conseillerais à un client de prendre une déduction pour cela", déclare Scott Harty, avocat spécialisé en fiscalité des sociétés chez Alston &Bird. "Cela correspond à la définition d'une dépense ordinaire et nécessaire."

Don Williamson, professeur de fiscalité à la Kogod School of Business de l'American University, a rédigé un article sur les conséquences fiscales des paiements de ransomwares en 2017. Depuis lors, a-t-il déclaré, la montée des attaques de ransomwares n'a fait que renforcer les arguments en faveur de l'IRS pour permettre les paiements de ransomware sous forme de déductions fiscales.

"Cela devient plus courant, donc cela devient plus ordinaire", a-t-il déclaré.

C'est une raison de plus, selon les critiques, pour interdire les paiements de rançongiciels en tant que déductions fiscales.

"Plus nous rendons le paiement de cette rançon moins cher, plus nous incitons les entreprises à payer, et plus nous incitons les entreprises à payer, plus nous incitons les criminels à continuer", a déclaré Josephine Wolff, professeur de politique de cybersécurité à la Fletcher School of Tufts University.

Pendant des années, les rançongiciels ont été plus une nuisance économique qu'une menace nationale majeure. Mais les attaques lancées par des cybergangs étrangers hors de portée des forces de l'ordre américaines se sont multipliées au cours de l'année écoulée et ont propulsé le problème des ransomwares à la une.

En réponse, les hauts responsables de l'application de la loi aux États-Unis ont exhorté les entreprises à ne pas répondre aux demandes de rançongiciels.

"C'est notre politique, c'est notre conseil, du FBI, que les entreprises ne devraient pas payer la rançon pour un certain nombre de raisons", a déclaré le directeur du FBI Christopher Wray ce mois-ci devant le Congrès. Ce message a été repris lors d'une autre audience cette semaine par Eric Goldstein, un haut responsable de la Cybersecurity &Infrastructure Security Agency du Department of Homeland Security.

Les responsables avertissent que les paiements entraînent davantage d'attaques de ransomwares. "Nous sommes dans ce bateau dans lequel nous nous trouvons maintenant parce qu'au cours des dernières années, des gens ont payé la rançon", a déclaré Stephen Nix, assistant de l'agent spécial en charge des services secrets américains, lors d'un récent sommet sur la cybersécurité.

On ne sait pas combien d'entreprises qui paient des rançongiciels profitent des déductions fiscales. Lorsqu'on lui a demandé lors d'une audience du Congrès si l'entreprise demanderait une déduction fiscale pour le paiement, le PDG de Colonial, Joseph Blount, a déclaré qu'il ignorait que c'était une possibilité.

"Excellente question. Je n'en avais aucune idée. Pas du tout au courant", a-t-il déclaré.

Il y a des limites à la déduction. Si la perte subie par l'entreprise est couverte par une cyber-assurance (ce qui est également de plus en plus courant), l'entreprise ne peut pas déduire le paiement effectué par l'assureur.

Le nombre de polices de cyberassurance actives est passé de 2,2 millions à 3,6 millions de 2016 à 2019, soit une augmentation de 60 %, selon un nouveau rapport du Government Accountability Office, la branche d'audit du Congrès. Cela s'est accompagné d'une augmentation de 50 % des primes d'assurance payées, qui sont passées de 2,1 milliards de dollars à 3,1 milliards de dollars.

L'administration Biden s'est engagée à faire de la lutte contre les ransomwares une priorité à la suite d'une série d'intrusions très médiatisées et a déclaré qu'elle examinait les politiques du gouvernement américain relatives aux ransomwares. Il n'a fourni aucun détail sur les changements, le cas échéant, qu'il pourrait apporter concernant la déductibilité fiscale des ransomwares.

"L'IRS est au courant de cela et l'examine", a déclaré la porte-parole de l'IRS, Robyn Walker.