Cybersécurité : le bilan 2024

Le dernier baromètre du Cesin (Club des experts de la sécurité de l’information et du numérique) met en lumière une légère baisse des cyberattaques en 2024. Des attaques dont les conséquences restent, cependant, graves.

Réalisé par OpinionWay pour le compte du Cesin depuis 2015, le Baromètre de la cybersécurité permet, chaque année, de dresser un bilan du combat que mènent les entreprises membres de ce club contre les cyberattaques. Des entreprises composées à 14 % de PME, à 39 % d’ETI et à 47 % de grandes entreprises. Premier enseignement de cette enquête : 47 % des sondés ont subi au moins une cyberattaque réussie en 2024, c’est-à-dire une attaque qui n’a pas pu être arrêtée par les dispositifs de protection ou de prévention. Un chiffre en repli de 2 points sur un an. Pour rappel, ce taux était de 57 % en 2020, 54 % en 2021, 45 % en 2022 et 49 % en 2023. Exception faite de 2023, la tendance s’inscrit donc à la baisse depuis maintenant 5 ans. Mais attention si le nombre d’attaques a reculé (pour 12 % des entreprises) ou s’est stabilisé (pour 69 %), pour 19 % de l’ensemble des entreprises interrogées (et 25 % des ETI), il a, au contraire, augmenté.

Toujours le phishing

Lorsqu’on les interroge sur le type d’attaques qu’elles ont subi, le phishing est cité par 60 % des entreprises victimes (comme l’an dernier). Pour rappel, le phishing (hameçonnage en français) est une technique qui permet à des pirates de se faire passer pour une banque, un fournisseur ou encore une institution publique auprès d’une entreprise ou d’un particulier afin d’obtenir des informations sensibles (coordonnées bancaires, mots de passe…) ou d’introduire un logiciel malveillant dans un système informatique. Basée sur l’usurpation de l’identité d’un tiers de confiance, cette technique d’attaque est difficile à contrer, ce qui explique son succès. Les autres vecteurs d’attaques les plus souvent évoqués par les entreprises sont les vulnérabilités logicielles ou les défauts de configuration (47 %, +3 points) utilisés par les pirates, les attaques en déni de service (41 %, +7 points), les tentatives d’intrusions dans le réseau informatique de l’entreprise (39 %, +5 points) et la fameuse arnaque au président (36 %, +8 points) qui, comme son nom l’indique, consiste à se faire passer pour un dirigeant de la société afin de « forcer » un salarié de l’entreprise à mettre en œuvre un paiement qui sera détourné.

L’erreur humaine

Sur les causes des incidents constatés, le bilan dressé par les entreprises évolue. L’erreur de manipulation/de configuration ou la négligence d’un administrateur interne ou d’un salarié, l’an dernier classé en 4e place, recule à la 6e place (22 %, -11 points), signe que des efforts de formation ont été entrepris. La cyberattaque opportuniste (38 %, -1 point) reste la première cause de cyberattaque devant le défaut de configuration (33 %), les vulnérabilités résiduelles (29 %), les défauts de gestion de comptes (28 %) et le recours au Shadow IT (23 %, -12 points), c’est-à-dire l’utilisation par un salarié d’une application ou d’un matériel informatique souvent plus convivial ou performant que les solutions fournies mais non approuvées par la DSI. Là encore, on peut noter que des efforts de sensibilisation des salariés ont été menés l’an dernier pour limiter le recours des collaborateurs au Shadow IT.

Un impact sur le business plus de 6 fois sur 10

Si, dans 35 % des cas, une cyberattaque réussie n’a pas entraîné de perturbation, les autres fois, elle a eu un impact notable sur le business de l’entreprise victime. L’arrêt temporaire de la production, fréquent lors des attaques par rançongiciel (logiciel qui crypte les données informatiques, lesquelles ne pourront être déchiffrées qu’après le paiement d’une rançon), est cité par 23 % des répondants. Suivent l’impact médiatique (16 %), l’indisponibilité du site web (15 %), la compromission de données de l’entreprise (14 %) ou encore les pertes financières liées à des transactions frauduleuses (11 %).

Des dispositifs de protection plus performants

84 % des entreprises interrogées estiment que les solutions et services de sécurité proposés sur le marché sont adaptés à leurs besoins (contre 87 % en 2023). Dans le détail, les EDR (Endpoint Detection & Response) (95 %) font partie des solutions jugées comme étant les plus efficaces avec les pare-feux (95 %), les dispositifs d’authentification multi-facteurs (95 %) et les VPN (90 %).On note également que plus de la moitié des entreprises interrogées (62 %) déclarent avoir déjà mis en place un programme d’entraînement pour faire face à une cyber-crise. Pour rappel, le taux n’était que de 57 % en 2023 et de 51 % en 2022, signe que l’exercice prend désormais toute sa place dans les plans de reprise d’activité (PRA) établis par ces entreprises. Enfin, le budget consacré à la cybersécurité a légèrement augmenté en 2024. 48 % (+3 points en un an) des entreprises y affectent plus de 5 % de l’ensemble du budget IT et 41 % (+2 points) moins de 5 %. Les 11 % (-6 points) restant affirment ne pas avoir encore pris de décision à ce sujet. L’enquête révèle également que 72 % des entreprises interrogées ont souscrit une cyber-assurance (contre 70 % en 2023) et que 64 % d’entre elles envisagent de la renouveler, contre 18 % qui n’envisagent pas cette solution.

Article publié le 21 février 2025 – © Les Echos Publishing 2025 – Crédit photo : da-kuk

L’état de cessation des paiements

Lorsqu’une entreprise se retrouve en cessation des paiements, son dirigeant doit le déclarer au tribunal dans les 45 jours qui suivent.

Durée : 02 min 32 sec

Article publié le 21 février 2025 – © Les Echos Publishing 2025

Associations : taxe sur les salaires 2025

Le barème de la taxe sur les salaires et l’abattement applicable aux associations sont revalorisés en 2025.

Les limites des tranches du barème de la taxe sur les salaires sont relevées au titre des rémunérations versées à compter du 1er janvier 2025.Compte tenu de cette revalorisation annuelle, le barème 2025 de la taxe sur les salaires est le suivant :

Taxe sur les salaires 2025
Taux (1) Tranches de salaire brut pour un salarié
Salaire mensuel Salaire annuel
4,25 % ≤ 762 € ≤ 9 147 €
8,50 % > 762 et ≤ 1 522 € > 9 147 et ≤ 18 259 €
13,60 % > 1 522 € > 18 259 €
(1) Taux de 2,95 % en Guadeloupe, Martinique et à La Réunion et de 2,55 % en Guyane et à Mayotte (toutes tranches confondues)

Aucune taxe n’est due lorsque son montant est inférieur ou égal à 1 200 €. Si le montant de la taxe est supérieur à 1 200 € et inférieur à 2 040 €, il est appliqué une décote égale aux trois quarts de la différence entre 2 040 € et le montant de la taxe exigible.


À savoir : l’abattement sur la taxe sur les salaires, dont bénéficient les organismes sans but lucratif, passe de 23 616 € en 2024 à 24 041 € en 2025.

Article publié le 20 février 2025 – © Les Echos Publishing 2025 – Crédit photo : RgStudio

Les mesures sociales de la loi de finances

La loi de finances pour 2025 reconduit plusieurs dispositifs comme la monétisation des jours de RTT et l’exonération de cotisations sociales appliquée aux pourboires.

Durée : 01 min 53 sec

Article publié le 20 février 2025 – © Les Echos Publishing 2025

Vers un rebond de l’activité partielle de longue durée

Les entreprises confrontées à une diminution durable de leur activité qui ne compromet pas leur pérennité pourront prochainement bénéficier de « l’activité partielle de longue durée rebond ».

Mise en lumière lors de l’épidémie de Covid-19, l’activité partielle permet aux employeurs confrontés à une baisse d’activité de réduire le temps de travail de leurs salariés ou de fermer temporairement leur entreprise. Dans cette situation, les employeurs versent à leurs salariés une indemnité qui leur est ensuite en partie remboursée par l’État. Il y a peu, les employeurs qui devaient faire face à une diminution, cette fois durable, de leur activité, pouvaient recourir à l’activité partielle de longue durée (APLD). Un dispositif qu’il n’est aujourd’hui plus possible d’actionner mais qui sera prochainement remplacé par « l’activité partielle de longue durée rebond » (APLD-R). Cette mesure a pour objectif d’aider les employeurs à faire face à « une compétition internationale exacerbée, au prix de l’énergie toujours haut et aux mutations économiques profondes de certains secteurs ».

Pour qui et comment ?

L’APLD-R s’adressera aux entreprises confrontées à une réduction durable de leur activité qui, pour autant, ne remet pas en cause leur pérennité. Et ce, dans le but d’assurer le maintien dans l’emploi de leurs salariés. Le recours à ce dispositif impliquera :- soit la signature d’un accord collectif, au niveau de l’entreprise, de l’établissement ou du groupe ;- soit, le cas échéant, après consultation du comité social et économique, l’élaboration d’un document unilatéral de l’employeur conforme à un accord de branche étendu conclu en matière d’APLD-R.

Précision : l’accord collectif conclu devra préciser sa durée d’application, les activités et les salariés concernés par l’APLD-R et les réductions des horaires de travail pratiquées. Il devra aussi, tout comme le document unilatéral de l’employeur, comporter des engagements de l’employeur portant sur le maintien de l’emploi et la formation professionnelle.

Il appartiendra ensuite à la DDETS (direction départementale de l’emploi, du travail et des solidarités) de valider l’accord collectif ou d’homologuer le document unilatéral de l’employeur.

Quand ?

Pour pouvoir bénéficier de l’APLD-R, les employeurs devront transmettre leur accord collectif ou leur document unilatéral à la DDETS à compter du 1er mars 2025 et jusqu’à une date déterminée par décret, au plus tard le 28 février 2026. Des avenants de révision de l’accord collectif ou du document unilatéral pouvant être transmis à la DDETS après cette date.

Important : la durée de l’autorisation de recours à l’APLD-R ainsi les niveaux d’indemnisation des salariés et des employeurs doivent encore être fixés par un décret.

Art. 193, loi n° 2025-127 du 14 février 2025, JO du 15

Article publié le 20 février 2025 – © Les Echos Publishing 2025 – Crédit photo : Edwin Tan

Trajets domicile-travail des salariés : du nouveau !

Pour l’année 2025, la participation de l’employeur aux frais de transports publics de personnes ou de services publics de location de vélos utilisés par les salariés est exonérée d’impôt sur le revenu et de cotisations sociales dans la limite de 75 % du coût de l’abonnement.

Les employeurs ont l’obligation de participer au financement de l’abonnement aux transports publics de personnes et aux services publics de location de vélos utilisés par leurs salariés pour effectuer leurs trajets domicile-travail. Une participation qui doit au moins atteindre 50 % du coût de leur abonnement. Dans cette limite, la participation de l’employeur est alors exonérée d’impôt sur le revenu mais aussi de cotisations sociales (y compris CSG-CRDS).

75 % du coût de l’abonnement

Pour favoriser l’utilisation des transports en commun, tout en préservant le pouvoir d’achat des Français, les pouvoirs publics ont, pour les années 2022, 2023 et 2024, assoupli le régime social et faveur applicable à la participation de l’employeur aux frais de transport des salariés. Concrètement, la limite d’exonération d’impôt et de cotisations sociales de cette participation a été portée de 50 à 75 % du coût de l’abonnement aux transports publics de personnes (ou aux services publics de location de vélos). Bonne nouvelle, la dernière loi de finances a reconduit cette mesure pour l’année 2025 !

À noter : il n’est plus possible cette année, contrairement à l’année 2024, de cumuler la participation de l’employeur aux frais d’abonnement aux transports publics de personnes (ou aux services publics de location de vélos) avec la prime de transport (participation de l’employeur aux frais de carburant et aux frais d’alimentation des véhicules électriques, hybrides rechargeables et à hydrogène).

Art. 52, loi n° 2025-127 du 14 février 2025, JO du 15

Article publié le 20 février 2025 – © Les Echos Publishing 2025 – Crédit photo : Copyright Maskot

Protection de l’enfance : contrôle des antécédents judiciaires des intervenants

La procédure de contrôle des antécédents judiciaires pour les personnes œuvrant dans les secteurs de la protection de l’enfance ou de l’accueil du jeune enfant entrera en vigueur le 31 mars 2025 dans 23 nouveaux départements.

Les personnes condamnées pour certains crimes et délits (meurtre, agression sexuelle, viol, trafic de drogue, harcèlement moral, vol, chantage, escroquerie, etc.) ne peuvent pas exploiter ni diriger un établissement, un service ou un lieu de vie ou d’accueil œuvrant dans les champs de la protection de l’enfance ou des modes d’accueil du jeune enfant. Ils ne peuvent pas non plus y intervenir ou y exercer une fonction permanente ou occasionnelle, à quelque titre que ce soit (salarié, bénévole, professionnel libéral, etc.). À ce titre, une procédure de contrôle des antécédents judiciaires de ces personnes a été mise en place.

Qui est visé par ce contrôle ?

Sont concernés par ce contrôle des antécédents judiciaires les personnes œuvrant notamment dans :
– les structures d’accueil d’enfants de moins de 6 ans ;
– les structures mettant en œuvre des mesures de prévention ou d’aide sociale à l’enfance et les prestations d’aide sociale à l’enfance, y compris l’accueil d’urgence des mineurs non accompagnés ;
– les structures mettant en œuvre des mesures d’évaluation de la situation des mineurs non accompagnés ;
– les lieux de vie et d’accueil qui ne constituent pas des établissements et services sociaux ou médico-sociaux et qui prennent en charge des mineurs et jeunes de moins de 21 ans.

Comment le contrôle est-il effectué ?

Avant tout prise de fonction, les personnes majeures souhaitant travailler dans une association concernée par cette mesure doivent lui transmettre une attestation d’honorabilité datée de moins de 6 mois. Cette attestation est délivrée par le président du conseil départemental de leur domicile uniquement si aucune condamnation définitive n’est inscrite sur le bulletin n° 2 du casier judiciaire, ni sur le fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (Fijaisv). Par ailleurs, l’attestation d’honorabilité indique également une éventuelle mise en examen ou condamnation non définitive.


En pratique : la demande de l’attestation d’honorabilité est effectuée par la personne concernée via le site FranceConnect. L’attestation est délivrée dans un délai d’environ 15 jours.

Les associations doivent vérifier l’authenticité de cette attestation d’honorabilité via le site honorabilite.social.gouv.fr ou, si l’attestation ne leur est pas fournie, la solliciter directement auprès du président du conseil départemental.


À savoir : une nouvelle attestation d’honorabilité doit être fournie et authentifiée tous les 3 ans tant que la personne intervient dans l’association.

Et en cas de condamnation ?

L’association qui est informée par l’administration de la condamnation non définitive ou de la mise en examen d’une personne y travaillant peut, en raison de risques pour la santé ou la sécurité des mineurs ou des majeurs en situation de vulnérabilité avec lesquels elle est en contact, prononcer à son encontre une mesure de suspension temporaire d’activité jusqu’à la décision définitive.Lorsque la personne fait l’objet d’une condamnation définitive et qu’il n’est pas possible de lui proposer un autre poste de travail n’impliquant aucun contact avec des personnes accueillies ou accompagnées, l’association peut mettre fin à son contrat de travail ou à ses fonctions.

À partir de quand ?

Les mesures relatives aux contrôles des antécédents judiciaires sont entrées en vigueur le 23 septembre 2024 dans six départements : Essonne, Hauts-de-Seine, Maine-et-Loire, Nord, Paris et Vendée.Elles entreront en vigueur le 31 mars 2025 dans 23 nouveaux départements : Ain, Aisne, Alpes-Maritimes, Aube, Bouches-du-Rhône, Cantal, Corrèze, Eure-et-Loir, Gironde, Ille-et-Vilaine, Loire, Loire-Atlantique, Moselle, Pas-de-Calais, Hautes-Pyrénées, Savoie, Haute-Savoie, Haute-Saône, Seine-et-Marne, Deux-Sèvres, Tarn, Var, Val d’Oise.Enfin, elles s’appliqueront sur l’ensemble du territoire français à compter du 2e trimestre 2025.


Important : les associations disposent d’un délai de 6 mois à compter de la date d’entrée en vigueur dans leur département pour obtenir une attestation d’honorabilité pour leurs salariés, intervenants et bénévoles.

Décret n° 2024-643 du 28 juin 2024, JO du 30Arrêté du 8 juillet 2024, JO du 11Arrêté du 8 juillet 2024, JO du 11

Article publié le 20 février 2025 – © Les Echos Publishing 2025 – Crédit photo : www.natasha-lebedinskaya.ru

Bitcoin

À la fois actif spéculatif et monnaie décentralisée, le bitcoin ne cesse d’attirer des investisseurs.

Février 2025 – semaine 9

Article publié le 20 février 2025 – © Les Echos Publishing 2025

Monétisation des jours de RTT : le dispositif est prolongé

La possibilité, pour les salariés, de demander la monétisation de leurs jours de RTT est prolongée d’un an. Ce dispositif s’applique donc jusqu’au 31 décembre 2026.

Les salariés qui travaillent au-delà de la durée légale de travail de 35 heures par semaine ont droit à des jours de repos dit « de réduction du temps de travail », communément appelés les RTT. Pour préserver le pouvoir d’achat des Français, les pouvoirs publics avaient instauré, à compter du 1er janvier 2022, un dispositif permettant aux salariés de monétiser leurs jours de RTT. Et ce dispositif, qui devait cesser de s’appliquer fin 2025, vient d’être reconduit jusqu’au 31 décembre 2026.

Précision : donnent lieu à des jours de RTT les heures de travail accomplies entre 35 et 39 heures par semaine. Les heures de travail effectuées au-delà de 39 heures par semaine étant considérées comme des heures supplémentaires.

Un accord de l’employeur

La monétisation des jours de RTT, au profit des salariés, suppose l’accord de l’employeur. Sachant que ce dispositif est ouvert à toutes les entreprises quel que soit leur effectif. De leur côté, les salariés peuvent demander la monétisation (ou rachat) de tout ou partie des jours de RTT qu’ils acquièrent jusqu’au 31 décembre 2026.

Une majoration de rémunération

Les salariés qui demandent la monétisation de jours de RTT travaillent au lieu de poser un jour de repos et perçoivent, en contrepartie, une rémunération majorée.

À noter : la majoration appliquée aux jours de RTT monétisés correspond à la majoration appliquée aux heures supplémentaire, soit à 25 %, sauf taux différent (sans pouvoir être inférieur à 10 %) prévu dans un accord d’entreprise ou d’établissement (ou, à défaut, un accord de branche).

Un régime social et fiscal de faveur

Les heures de travail accomplies par les salariés au titre de la monétisation de leurs jours de RTT donnent droit, pour les employeurs, à une déduction forfaitaire de cotisations sociales patronales fixée à 1,50 € (par heure) pour les entreprises de moins de 20 salariés (0,50 € pour les entreprises qui comptent au moins 20 et moins de 250 salariés). De leur côté, les salariés bénéficient, sur la rémunération (majoration comprise) des jours de RTT monétisés, d’une réduction des cotisations salariales d’assurance vieillesse. De plus, cette rémunération est exonérée d’impôt sur le revenu, dans la limite de 7 500 € par an, cette limite comprenant également la rémunération (majoration comprise) des heures supplémentaires et complémentaires effectuées durant l’année.

Art. 8, loi n° 2025-127 du 14 février 2025, JO du 15

Article publié le 20 février 2025 – © Les Echos Publishing 2025 – Crédit photo : Marko Pekic