IR35 : La cyberattaque de Giant Group suscite de nouveaux appels en faveur d’une réglementation légale des sociétés faîtières

Un nombre croissant d’entrepreneurs parapluies

Depuis le déploiement des réformes de l’évitement fiscal IR35 dans le secteur privé en avril 2021, des preuves anecdotiques suggèrent qu’il y a eu une augmentation marquée du nombre d’entrepreneurs travaillant par l’intermédiaire de sociétés faîtières.

En effet, l’embauche d’entrepreneurs qui travaillent par l’intermédiaire de sociétés faîtières signifie que l’organisation d’utilisateurs finaux n’a pas à déterminer le statut fiscal de ces personnes, ce qui est une responsabilité que les réformes leur ont imposée.

Les entrepreneurs qui travaillent par l’intermédiaire de parapluies, tels que Giant Group, sont considérés comme des employés de ces sociétés, de sorte que les règles IR35 ne s’appliquent plus aux engagements qu’ils entreprennent pour les clients finaux.

Dans la période qui a mené aux réformes, Computer Weekly a publié de nombreux rapports sur les entreprises du secteur privé qui ont introduit des interdictions d’embauche interdisant le recours à des entrepreneurs de sociétés à responsabilité limitée, tout en favorisant les personnes qui fournissaient leurs services par l’intermédiaire de sociétés faîtières.

Étant donné que les réformes sont entrées en vigueur en avril 2021 et que les comptes les plus récents du groupe Giant ne prennent en compte que ses activités commerciales jusqu’en mai 2020, il est possible que de nombreux autres entrepreneurs aient rejoint ses rangs au cours de la période intérimaire.

Comme mentionné précédemment, Giant Group est également utilisé en coulisses pour gérer la paie d’autres organisations, y compris le marché indépendant YunoJuno, à des fins de conformité IR35.

Le site Web du groupe Giant répertorie également les sociétés de recrutement Hays, Alexander Mann et Adecco comme clients de référence, entre autres.

James Poyser, fondateur du portail de commentaires indépendant anonyme OffPayroll.org.uk, a déclaré que son site Web avait reçu des rapports d’entrepreneurs engagés via des agences qui ne savaient pas qu’ils étaient payés par Giant jusqu’à ce que l’incident se produise.

« Il y a beaucoup de personnes directement touchées qui ont choisi Giant comme société faîtière, mais il y a aussi des gens qui ne savaient pas que Giant était impliqué dans la chaîne d’approvisionnement qu’ils ont [with their clients] jusqu’à ce qu’ils ne soient pas payés », a déclaré Poyser à Computer Weekly.

« Je soupçonne que YunoJuno n’est pas la seule personne pour laquelle Giant fait de la paie parce qu’ils font certainement de la paie d’agence de recrutement, où l’entrepreneur travaillant par l’intermédiaire de l’agence ne saura pas non plus qu’il fait partie de Giant. Les géants sont de grandes entreprises et ils ont des vrilles partout. »

Poyser a ajouté: « Vous pouvez voir à quel point Giant est grand à partir de leur chiffre d’affaires [£218m]. Près d’un demi-milliard de livres de salaire par an passent par cette entreprise. Donc, pour que les gens ne soient même pas payés pendant une semaine, c’est une somme d’argent stupéfiante qui a été retardée par cela. »

Computer Weekly a contacté YunoJuno pour commenter cette histoire et a reçu la déclaration suivante de son fondateur et PDG, Shib Mathew: « Nous pouvons confirmer que certains de nos pigistes ont subi des retards de paiement de giant. Notre priorité a été de tenir ces pigistes au courant des progrès de Giant pour résoudre le problème qui est maintenant entre les autorités compétentes.

Panne de communication

L’une des plaintes récurrentes parmi les entrepreneurs gâchés par l’incident est la difficulté de parler directement à quelqu’un de l’entreprise des salaires manquants ou retardés, mais aussi de demander des assurances quant à savoir si la cyberattaque a mis leurs données personnelles en danger.

« Nous avons probablement tous été à la pointe d’une violation de données quelque part, et vous avez tendance à recevoir un e-mail d’excuse assez rapidement – « C’est ce qui s’est passé, et voici les données qui ont été divulguées, et voici ce que nous vous recommandons de faire pour vous protéger », a déclaré Poyser.

« Les entrepreneurs ont été dans l’ignorance, en termes de ce qu’ils devraient faire, et plus de communication sur ce front de la part de Giant aurait été utile, afin que les gens sachent ce qu’ils devraient faire pour protéger leurs données personnelles. »

Un entrepreneur, qui a parlé à Computer Weekly sous couvert d’anonymat, a déclaré qu’ils étaient payés sur une base mensuelle par Giant et qu’ils découvriraient dans les prochains jours si leur cycle de paie avait été perturbé par l’incident. En attendant, l’inquiétude quant à la sécurité de leurs données est une priorité.

« Cela me préoccupe vraiment », a déclaré l’entrepreneur. « Ils ont dans leurs dossiers mon passeport, mon permis de conduire, mes coordonnées bancaires, parce que ce sont toutes les informations que vous devez leur remettre en tant qu’employeur. C’est un trésor absolu d’informations pour un pirate informatique. »

Dans un communiqué, distribué à la presse le 27 septembre, Giant Group a reconnu à quel point le manque de communication avait été frustrant pour les entrepreneurs et les clients de l’entreprise, mais a déclaré qu’il était nécessaire de mettre hors ligne l’ensemble de ses opérations – y compris ses systèmes de messagerie et de téléphone – pour s’assurer que « l’intégrité de l’enquête n’était pas compromise ».

La déclaration a confirmé que la société avait fait appel au cabinet d’avocats Crowell & Moring pour réunir un groupe d’«experts aux États-Unis, au Royaume-Uni et à Bruxelles » pour enquêter sur l’incident.

La société a également mentionné à plusieurs reprises dans ses déclarations publiques sur l’incident que ses bases de données sont cryptées. Il a également publié une page de questions fréquemment posées sur son site Web et publié la réponse suivante à une question sur la question de savoir si des données d’entrepreneur ont été compromises: « Pour vous rassurer, toutes vos données sont conservées sur des baies Pure Storage, qui sont automatiquement cryptées. »

Computer Weekly a également reçu une confirmation distincte du bureau du commissaire à l’information que Giant avait informé l’organisme de surveillance de la protection des données de l’incident, tandis que la National Crime Agency a déclaré dans un communiqué qu’elle « travaillait avec des partenaires pour mieux comprendre les impacts » de l’attaque.

S’agissait-il d’un ransomware ?

Des questions subsistent sur la nature exacte de la « cyberattaque sophistiquée » qui a frappé les systèmes de Giant Group, ce qui a donné lieu à des spéculations selon lesquelles la société a été victime d’un gang de ransomwares.

Computer Weekly a contacté Giant Group pour obtenir des éclaircissements sur la nature de l’attaque, et on lui a dit que toutes les informations qu’il peut fournir à l’heure actuelle sont dans le domaine public.

Cependant, une déclaration publiée par le PDG de la Freelancer and Contractor Services Association (FCSA) semble confirmer qu’il s’agissait d’une attaque de ransomware dont Giant Group a été victime.

La FCSA est un organisme de membres qui fournit une accréditation aux sociétés faîtières qui souhaitent démontrer leur engagement à fonctionner de manière conforme. Giant Group est une société faîtière accréditée par la FCSA et l’un des membres fondateurs de l’Association. Daniel Haslam, directeur des ventes du groupe Giant, est également membre du conseil d’administration de la FCSA.

« Nous sommes en liaison avec Giant pour nous assurer que nous pouvons résoudre ce problème rapidement, et bien que Giant ait été victime d’une cyberattaque criminelle de ransomware, je suis rassuré que leur seule priorité est de s’assurer que les entrepreneurs reçoivent l’argent qui leur est dû », a déclaré phil Pluck, PDG de la FCSA, dans un communiqué partagé avec ContractorUK.com.

Bien que Giant Group n’ait pas encore confirmé ou nié directement qu’il s’agissait d’une attaque de ransomware, plusieurs signes suggèrent que cela pourrait en avoir été la cause première.

« La vitesse de la panne et la nature prolongée de la reprise portent toutes les caractéristiques d’une seule », a déclaré Paul Watts, analyste distingué au Forum sur la sécurité de l’information.

Les attaques de ransomware sont de plus en plus répandues, a déclaré Watts, c’est pourquoi il est « impératif que la résilience des entreprises soit au cœur de la stratégie commerciale » en raison de l’effet paralysant que de telles attaques peuvent avoir sur les opérations commerciales.

Comme indiqué précédemment par Computer Weekly, une plainte récurrente des entrepreneurs touchés par l’attaque du groupe Giant est qu’il a fallu si longtemps à l’entreprise pour se remettre en marche.

Watts a ajouté : « Dans un monde dépendant du numérique, les attaques de ransomware affichent un scénario de perturbation imminent que la plupart des entreprises devraient planifier. Comme le démontre la cyberattaque contre Giant Group, son impact peut transcender votre définition traditionnelle des technologies de l’information.

« Dans certains cas, les technologies opérationnelles peuvent être déconnectées ou doivent être déconnectées pour limiter les dommages supplémentaires. Cela peut propulser une organisation d’un abîme analogique pleinement opérationnel à un abîme analogique inutilisable en quelques minutes.

« Les cyberattaques peuvent se produire rapidement et de manière décisive, en quelques minutes, comme cela semble avoir été le cas avec Giant Group. Pour gérer efficacement une telle attaque, la clé est de planifier, planifier, répéter, répéter et planifier un peu plus, afin que les organisations soient les mieux placées pour défendre, répondre, récupérer et survivre.

Que peut-on apprendre de l’incident?

Crawford Temple, PDG de Professional Passport, une société qui fournit des services d’évaluation de la conformité aux sociétés faîtières, a déclaré que, ransomware ou non, l’incident a toujours des « implications préoccupantes » pour toutes les sociétés faîtières.

« Cela place la barre plus haut pour chaque fournisseur d’examiner ses systèmes et de s’assurer que des systèmes robustes sont en place pour protéger leurs données et celles de l’ensemble de la chaîne d’approvisionnement », a-t-il déclaré.

« Les défis pour les fournisseurs et leurs mesures de sécurité ont été accrus avec tant de travailleurs travaillant maintenant à distance, ce qui a fourni des points d’accès supplémentaires aux pirates. C’est probablement l’une des principales raisons pour lesquelles il semble y avoir de plus en plus de rapports de ransomware circulant en ce moment.

La nouvelle du cyberincident de Giant Group a également coïncidé avec des rapports de problèmes techniques qui ont gâché une autre société faîtière, connue sous le nom de Unified Payroll, qui a conduit à ce qu’une autre tranche d’entrepreneurs ne soit pas payée ce qui leur est dû.

Dans un communiqué publié sur le site Web d’Unified Payroll, ses problèmes sont imputés à un « problème de sécurité » avec le compte bancaire de l’entreprise, datant des 16 et 17 septembre. Au moment d’écrire ces lignes, la société a déclaré qu’elle restait incapable de payer ses sous-traitants et les a informés qu’elle n’accepterait pas d’autres feuilles de temps « jusqu’à ce que le problème soit entièrement résolu ».

Le communiqué ajoute : « Nos administrateurs travaillent en étroite collaboration avec nos banquiers pour résoudre ce problème en temps opportun. Nous n’avons pas reçu de délais clairs. »

Computer Weekly comprend que les deux incidents chez Giant Group et Unified Payroll sont isolés et sans rapport, mais Temple a déclaré que les deux incidents devraient obliger le secteur des sociétés faîtières à réévaluer ses processus et protocoles de sécurité informatique.

Il a déclaré que pour cette raison, Professional Passport avait « initié un examen des mesures de sécurité que nos fournisseurs et partenaires de la chaîne d’approvisionnement ont mises en place et travaillera avec eux pour élaborer des normes appropriées ».

En tant qu’autre organisme soucieux d’assurer la conformité et les bonnes pratiques dans le secteur des parapluies, Computer Weekly a demandé à la FCSA si elle avait des politiques pour guider ses membres sur la façon de faire face aux attaques de ransomware, et si ses membres étaient censés effectuer régulièrement des tests d’intrusion sur leurs systèmes. L’Association n’a pas répondu directement à ces questions.

Renforcer les arguments en faveur d’une réglementation légale

Bien que l’on espère que l’attaque du groupe Giant pourrait amener d’autres sociétés faîtières à réévaluer leur propre posture de sécurité, les acteurs du marché sous-traitant espèrent que l’incident pourrait inciter le gouvernement britannique à accélérer le déploiement de la réglementation légale pour les sociétés de parapluie.

Il y a eu des progrès sur ce front, le gouvernement britannique ayant établi des plans pour créer un organisme unique d’application de la loi (SEB) en temps voulu qui sera chargé de protéger les travailleurs et les entrepreneurs parapluies contre les employeurs voyous et les fautes professionnelles.

Cela s’explique par un nombre croissant de comptes anecdotiques qui ont servi à mettre en évidence les liens entre les sociétés faîtières non conformes et les stratagèmes d’évasion fiscale, ainsi que sur les rapports de ces mêmes entités faisant des déductions inutiles sur le salaire des entrepreneurs qu’elles emploient.

Jusqu’à l’entrée en vigueur du SEB, les sociétés faîtières restent sans aucun moyen réel de recours lorsque des incidents tels que l’attaque du groupe Giant les empêchent de recevoir l’argent qui leur est dû, a déclaré Poyser d’OffPayroll.org.

« Il n’y a nulle part où les gens peuvent aller et signaler ces problèmes », a-t-il déclaré. « Si le gouvernement peut mettre au point un seul organisme d’application de la loi et le faire connaître afin que tout travailleur parapluie aux prises avec des problèmes sache de quels ministères le soutien dont il a besoin, ce serait un début. »

Julia Kermode, fondatrice du cabinet de conseil indépendant IWORK.co.uk, a soutenu ce point de vue et a déclaré que les retombées du GiLa cyberattaque d’ant Group aurait pu être plus facile à supporter pour les entrepreneurs s’il y avait un tiers indépendant qu’ils pouvaient consulter sur les prochaines étapes à suivre.

« Si la réglementation avait déjà été en place, alors je ne pense pas que tout ce qui s’est passé chez Giant aurait été empêché, mais il y aurait eu un organisme indépendant en place où les entrepreneurs pourraient s’adresser pour obtenir réparation, qui pourrait enquêter sur ce qui s’est passé et conclure si la situation a été traitée de manière appropriée », a déclaré Kermode à Computer Weekly.

« Dans l’état actuel des choses, il n’existe pas de telle voie de recours, et les travailleurs touchés n’ont d’autre choix que d’attendre que le problème soit résolu.  Il est ridicule que le gouvernement ait choisi d’ignorer nos appels collectifs à la réglementation de ce secteur, choisissant plutôt de permettre aux travailleurs vulnérables de continuer à être menacés d’exploitation. Il suffit de regarder les victimes des frais de prêt pour comprendre les conséquences très graves de l’inaction continue du gouvernement. »