De nos jours, chacun doit être vigilant afin d'éviter que ses informations fiscales et financières ne tombent entre de mauvaises mains. À mesure que les processus de déclaration fiscale se numérisent et s'instantanéisent pour répondre à l'évolution des habitudes des utilisateurs, la surface d'attaque de ces derniers s'élargit de manière exponentielle, en particulier si aucune mesure de sécurité élémentaire n'est prise et si la vigilance nécessaire n'est pas exercée.
Alors que la préservation de l'intégrité de nos identités numériques reste une préoccupation constante, un type d'attaque s'est multiplié. La gravité et la fréquence des fraudes fiscales et des escroqueries en ligne sont devenues une véritable épidémie ces dernières années.
La transformation numérique s'accélère dans de nombreux services gouvernementaux nationaux et internationaux ; aux États-Unis, la plupart des gens (136 millions au moment de la rédaction de cet article) remplissent déjà leur déclaration d'impôts en ligne en 2025, et le Royaume-Uni a annoncé des exigences obligatoires en matière de numérisation des revenus et des dépenses (Making Tax Digital, MTD) à compter d'avril 2026. D'autres pays prennent des mesures similaires, mais cela ne diminue en rien la nécessité d'une cybersécurité robuste et d'une protection de l'identité numérique. Au contraire, cela illustre la nécessité de mesures plus strictes et plus proactives.
Les contribuables ne doivent pas se laisser séduire uniquement par la commodité et le gain de temps offerts par les processus de déclaration fiscale numérique. Même si ces procédures étaient auparavant fastidieuses, il reste prudent de faire preuve de cybervigilance à chaque étape. Pour les professionnels de la cybersécurité, il est essentiel de comprendre l'anatomie d'un processus de déclaration fiscale en apparence légitime, mais qui se cache en réalité derrière une escroquerie sophistiquée d'ingénierie sociale et de vol d'informations. Il s'agit de donner à chacun la possibilité de protéger ses informations personnelles en toute confiance, tout en respectant les règles de sécurité appropriées au sein d'une infrastructure nationale essentielle.
Escroqueries courantes liées aux déclarations fiscales
L'un des types d'escroquerie fiscale les plus courants consiste en des campagnes de phishing, qui se manifestent souvent sous la forme d'e-mails prétendant provenir d'organismes établis tels que l'IRS (États-Unis) ou le HMRC (Royaume-Uni). Ces e-mails créent un sentiment d'urgence par leur style rédactionnel et incitent l'utilisateur à demander un remboursement ou à répondre à des accusations criminelles ou judiciaires (qui n'existent pas). Cependant, les tendances récentes montrent que les vecteurs d'attaques de phishing ont évolué au point d'exploiter la psychologie humaine.
Des informations récentes de Microsoft Security Intelligence ont révélé qu'entre le 12 et le 28 février 2025, des e-mails de phishing sur le thème des impôts ont été envoyés à plus de 2 300 organisations, principalement aux États-Unis, dans les secteurs de l'ingénierie, de l'informatique et de la construction. Ces attaques sont stratégiquement calculées et exécutées, ciblant des organisations disposant de propriétés intellectuelles et de données financières précieuses.
Les discussions courantes parmi les professionnels de la cybersécurité font état d'une utilisation accrue de l'intelligence artificielle (IA) pour créer des messages et des e-mails de phishing plus convaincants, qui semblent plus « légitimes » et trompeusement humains dans leur persuasion. On s'attend à ce que davantage de faux courriers de l'IRS ou du HMRC soient créés à l'aide de l'IA, rendant les méthodes traditionnelles de moins en moins efficaces au fil du temps.
Signes avant-coureurs courants des escroqueries liées aux déclarations fiscales
La première ligne de défense contre toute tentative de fraude financière ou fiscale consiste à comprendre les certificats numériques et les connexions sécurisées.
Les sites web fiscaux légitimes, notamment ceux de l'IRS, des agences fiscales des États et des fournisseurs de logiciels fiscaux agréés, mettent en œuvre des certificats SSL/TLS à validation étendue (EV) qui offrent le plus haut niveau d'authentification. Ces certificats sont soumis à des processus de vérification rigoureux afin de confirmer l'existence légale et le contrôle opérationnel de l'organisation.
Lorsqu'ils accèdent à un site web lié à la fiscalité, les professionnels de la cybersécurité doivent immédiatement vérifier la présence de certificats SSL/TLS dans la barre d'adresse du navigateur (indiquée par un symbole de cadenas), de chaînes de certificats valides remontant à des autorités de certification fiables et de noms de domaine appropriés correspondant à des fournisseurs de logiciels fiscaux gouvernementaux ou reconnus.
Vous pouvez généralement déterminer si un site fiscal est frauduleux en repérant les certificats validés par domaine (DV) ou même les certificats falsifiés. Les certificats DV fournissent un cryptage, mais ils ne vérifient pas l'identité de l'organisation hébergeuse. C'est là que les protocoles d'authentification des e-mails, notamment SPF, DKIM et DMARC, peuvent s'avérer utiles pour confirmer l'authenticité des communications fiscales. Les organismes et autorités agréés utilisent ces protocoles et leur absence doit être signalée.
En outre, les documents fiscaux authentiques comprennent souvent des signatures numériques utilisant une infrastructure PKI valide. Ces signatures cryptographiques fournissent une vérification de non-répudiation et d'intégrité qui est presque impossible à falsifier sans accès aux clés privées.
Menaces émergentes en matière d'escroquerie financière
- Apprentissage automatique (ML) dans la détection des fraudes : à mesure que les acteurs malveillants déploient davantage d'attaques basées sur l'IA, les organisations doivent réagir en renforçant leurs capacités de détection. Les systèmes contemporains de détection des fraudes doivent être équipés d'une technologie similaire à action rapide qui analyse les modèles comportementaux, détecte les anomalies dans les documents (souvent au niveau des pixels), recoupe les informations provenant de plusieurs sources de données et fournit des renseignements en temps réel sur les menaces. Cela permet aux décideurs humains d'agir sur la base d'informations qu'ils pourraient manquer lors d'examens manuels.
- Fraude à l'identité synthétique : l'un des nouveaux défis en matière de fraude fiscale moderne consiste à créer des identités et des personnalités fictives, construites en fusionnant des informations réelles et fausses. Ces identités peuvent passer les contrôles de vérification de base, ce qui leur permet de poursuivre leurs activités frauduleuses en contournant les protocoles de sécurité initiaux. Les capacités de détection doivent être améliorées de manière exponentielle sur plusieurs sources de données et plateformes, afin de permettre la surveillance continue des activités des utilisateurs suspects et de les séparer des utilisateurs authentiques.
Que peuvent faire les organisations pour lutter contre la fraude fiscale croissante ?
Les organisations qui traitent des données fiscales à grande échelle devraient envisager la mise en œuvre de cadres complets, comprenant :
- Des modules de sécurité matérielle (HSM) pour protéger les clés cryptographiques utilisées dans le traitement des documents fiscaux et les signatures numériques.
- Une authentification multifactorielle (MFA), incluant l'authentification basée sur des certificats comme l'un des facteurs, fournissant une couche solide de vérification d'identité.
- Une architecture zéro confiance (Zero Trust Architecture, ZTA) qui valide en permanence chaque transaction et chaque demande d'accès, quel que soit leur lieu d'origine.
- Sécurité avancée des e-mails avec détection des menaces grâce à l'intelligence artificielle.
- Procédures de réponse aux incidents 24 heures sur 24, 7 jours sur 7, dans toute l'infrastructure de l'organisation, ainsi que des exercices réguliers de réseau et des tests de pénétration pour valider l'efficacité de la réponse des équipes de sécurité.
En outre, le trafic réseau nécessite une surveillance étendue et approfondie, avec le respect des normes de protection. Cela inclut le certificat pinning pour toutes les communications provenant d'autorités fiscales fiables et validées (afin d'empêcher les attaques de type « man-in-the-middle » ou MITM), le filtrage DNS pour bloquer l'accès aux domaines connus pour être frauduleux ou suspects, et la segmentation du réseau pour isoler les systèmes de traitement fiscal des réseaux open source, créant ainsi une couche de sécurité supplémentaire.
Les professionnels de la fiscalité doivent veiller à ce que les détails des certificats de tous les sites web fiscaux et des logiciels associés puissent être vérifiés. Dans la mesure du possible, des protocoles de transfert de fichiers sécurisés pour les documents et des mesures d'authentification basées sur des certificats doivent être mis en place. Il est également dans leur intérêt de communiquer les informations actualisées sur les menaces à leurs pairs et à l'ensemble du secteur, afin de préserver les efforts plus larges de lutte contre la fraude et le blanchiment d'argent.
Choisissez GlobalSign pour améliorer la sécurité de votre organisation
À mesure que l'administration fiscale numérique sera de plus en plus acceptée à l'échelle mondiale, la convergence entre la cybersécurité et la conformité fiscale deviendra plus évidente. Les organisations qui investissent dès maintenant dans une infrastructure PKI robuste, une détection avancée des menaces et des cadres de sécurité complets seront les mieux placées pour relever des défis plus complexes.
Le maintien d'une bonne hygiène en matière de cybersécurité nécessite une volonté de s'adapter avec confiance aux nouveaux terrains et développements, en tirant parti des dernières technologies PKI, de la gestion des certificats et des informations sur les menaces afin de garder une longueur d'avance sur les cyberattaques de plus en plus sophistiquées et les acteurs malveillants déterminés.
Pour plus d'informations sur la mise en œuvre de solutions PKI et de certificats numériques pour une sécurité fiscale renforcée, découvrez les solutions de sécurité d'entreprise et les plateformes de gestion de certificats de GlobalSign.
Contactez notre équipe pour plus d'informations.
Remarque : cet article de blog a été rédigé par un contributeur invité dans le but d'offrir une plus grande variété de contenu à nos lecteurs. Les opinions exprimées dans cet article rédigé par un auteur invité sont celles du contributeur et ne reflètent pas nécessairement celles de GlobalSign.
