AMENDEMENT

Après l'article 4 octies

Insérer un article additionnel ainsi rédigé :

I. – 1. Les petites et moyennes entreprises ainsi que les entreprises de taille intermédiaire imposées d’après leur bénéfice réel ou exonérées en application des articles 44 sexies, 44 sexies A, 44 septies, 44 octies, 44 octies A, 44 duodecies et 44 terdecies à 44 septdecies du code général des impôts, peuvent bénéficier d’un crédit d’impôt au titre des dépenses engagées entre le 1^er janvier 2022 et le 31 décembre 2022 aux fins de renforcer leur dispositif de cybersécurité.

Les petites et moyennes entreprises mentionnées au premier alinéa du présent 1 répondent à la définition de l’annexe I au règlement (UE) n° 651/2014 de la Commission du 17 juin 2014 déclarant certaines catégories d’aide compatibles avec le marché intérieur en application des articles 107 et 108 du traité. Les entreprises de taille intermédiaire mentionnées audit alinéa, sont celles définies à l’article 3 du décret 2008-1354 du 18 décembre 2008 relatif aux critères permettant de déterminer la catégorie d’appartenance d’une entreprise pour les besoins de l’analyse statistique et économique.

2. Le crédit d’impôt mentionné au 1 du présent I s’applique aux dépenses engagées au titre :

a) Des prestations de missions d’évaluation, d’audit de sécurité informatique externe ;

b) Des prestations de services de société de conseil spécialisée en sécurité informatique ;

c) De l’acquisition de solutions de type LMS (Learning Management System) procurant des contenus en matière de cybersécurité, ou de solutions de simulations d’attaque informatique et de hameçonnage ;

d) Des prestations de services de simulations de crise et/ou de plan de reprise informatique par l’intermédiaire d’un prestataire spécialisé ;

e) Des prestations de mise en place de SOC et des prestations d’exploitation de SOC internalisés ou externalisés ;

f) D’acquisition de solutions anti-virus, anti-malware, EDR (Endpoint Detection and Response), MDM (Mobile Device Management) ; 

g) D’acquisitions de solutions Firewall, Web Application Firewall, Passerelle de messagerie, NAC (Network Access Control), de sauvegarde, d’évaluation des vulnérabilités, de gestion des patchs, de classification et de protection des données, de supervision et de SIEM (Security Information and Event Management).

3. Le crédit est égal à 20 % du prix de revient hors taxes de ces dépenses. Les mêmes dépenses ne peuvent entrer à la fois dans la base de calcul du crédit d’impôt défini au présent I et dans celle d’un autre crédit d’impôt.

Lorsque les dépenses sont engagées par les sociétés mentionnées aux articles 8, 238 bis L, 239 ter et 239 quater A du code général des impôts ou par les groupements mentionnés aux articles 238 ter, 239 quater, 239 quater B, 239 quater C et 239 quinquies du même code, le crédit d’impôt peut être utilisé par leurs associés proportionnellement à leurs droits dans ces sociétés ou groupements, à condition qu’il s’agisse de redevables de l’impôt sur les sociétés ou de personnes physiques participant à l’exploitation au sens du 1° bis du I de l’article 156 dudit code.

4. Le montant total de crédit d’impôt, octroyé au titre d’un ou plusieurs exercices, dont peut bénéficier une entreprise, toutes dépenses éligibles confondues, ne peut excéder, au titre des dépenses engagées du 1^er janvier 2022 au 31 décembre 2022, un plafond de 200 000 €.

Ce plafond s’apprécie en prenant en compte la fraction du crédit d’impôt correspondant aux parts des associés de sociétés de personnes et aux droits des membres de groupements mentionnés au 3 du présent I.

II. – Le crédit d’impôt défini au I est imputé sur l’impôt sur le revenu dû par le contribuable au titre de l’année civile au cours de laquelle l’entreprise a engagé les dépenses, après imputation des prélèvements non libératoires et des autres crédits d’impôt. Si le montant du crédit d’impôt excède l’impôt dû au titre de cette année, l’excédent est restitué.

La créance sur l’État correspondant au crédit d’impôt non utilisé est inaliénable et incessible, sauf dans les cas et selon les conditions prévues aux articles L. 313-23 à L. 313-35 du code monétaire et financier. 

III. – Le crédit d’impôt défini au I du présent article est imputé sur l’impôt sur les sociétés dû par l’entreprise, dans les conditions prévues au II. En cas de clôture d’exercice en cours d’année civile, le montant du crédit d’impôt est calculé en prenant en compte les dépenses éligibles au titre de la dernière année civile écoulée.

La société mère mentionnée à l’article 223 A du code général des impôts est substituée aux sociétés du groupe pour l’imputation sur le montant de l’impôt sur les sociétés dont elle est redevable, au titre de chaque exercice, des crédits d’impôt dégagés par chaque société du groupe en application du I du présent article. Les dispositions du II s’appliquent à la somme de ces crédits d’impôt.

IV. – Les entreprises déposent une déclaration conforme à un modèle établi par l’administration dans les mêmes délais que la déclaration annuelle de résultat souscrite en application des articles 53 A et 223 du code général des impôts.

La société mère d’un groupe, au sens de l’article 223 A du même code, déclare les crédits d’impôt pour le compte des sociétés du groupe, y compris ceux qui la concernent, lors du dépôt de la déclaration relative au résultat d’ensemble du groupe.

V. – Le bénéfice du crédit d’impôt défini au I du présent article est subordonné au respect du règlement (UE) n° 1407/2013 de la Commission du 18 décembre 2013 relatif à l’application des articles 107 et 108 du traité sur le fonctionnement de l’Union européenne aux aides de minimis.

VI. – Le I ne s’applique qu’aux sommes venant en déduction de l'impôt dû.

VII. – La perte de recettes résultant pour l’État du paragraphe précédent est compensée, à due concurrence, par la création d’une taxe additionnelle aux droits prévus aux articles 575 et 575 A du code général des impôts.

Alors que jusqu’ici les entreprises de taille intermédiaire (ETI) étaient assez peu exposées au risque cyber, celui-ci s’est considérablement accru ces derniers mois. Selon une enquête du Mouvement des entreprises de taille intermédiaire (METI), 1 ETI sur 2 a fait l’objet d’une cyberattaque entre avril 2020 et avril 2021. Les plus graves d’entre elles ont un coût considérable pour l’entreprise : coût financier bien sûr, mais aussi coût de réputation et traumatisme durable de l’équipe dirigeante comme des salariés.

La multiplication des cyberattaques visant les ETI s’explique en partie par l’accélération de la transformation digitale induite par la crise de la COVID-19. En outre, les ETI sont des entreprises multi-sites, pour les trois quarts d’entre elles présentes à l’international, ce qui augmente d’autant plus leur exposition à la menace cyber. Elles ont aussi des capacités financières susceptibles d’attiser la convoitise des cybercriminels. 

Or, la majorité ETI ne sont pas encore suffisamment outillées, tant en termes de compétences, d’expertises que de technologies, pour faire face au risque cyber tel qu’il se présente désormais. Il est donc impératif que ces entreprises, qui constituent un atout stratégique et un enjeu de souveraineté pour notre économie, et qui sont en outre des fournisseurs-clés de grands groupes industriels et d’OIV (opérateurs d’importance vitale), investissent rapidement et significativement dans la cybersécurité.

Le présent amendement propose par conséquent de créer un crédit d’impôt temporaire dédié aux dépenses des PME et ETI en matière d’audit, de prévention et de protection face au risque cyber. Seraient éligibles les dépenses engagées par les entreprises au titre de l’année 2022. Avec un taux porté à 20% des dépenses éligibles, ce crédit d’impôt serait limité à 200 000 euros par entreprise. Il aurait un effet d’accélération immédiat sur les investissements des PME et ETI dans la cybersécurité.