La réforme de la facturation électronique entre en vigueur le 1er septembre 2026 en France. Toutes les entreprises assujetties à la TVA devront recevoir leurs factures au format électronique via des plateformes agréées par l’administration fiscale. L’émission suivra un calendrier progressif selon la taille de l’entreprise.
Mais derrière les discussions sur la conformité réglementaire, un sujet reste largement sous-estimé : la cybersécurité des flux de facturation. La DGCCRF estime que la fraude à la facture représente plus de 2 milliards d’euros de préjudice annuel en France. Le passage au tout-numérique va redistribuer les cartes. En bien, et en moins bien.
1. La fraude au faux fournisseur ne disparaît pas, elle mute
La fraude au faux fournisseur (ou fraude au RIB) reste l’arnaque B2B la plus répandue en France. Un tiers se fait passer pour un fournisseur légitime et envoie une facture avec un IBAN modifié. Résultat : le virement part sur le mauvais compte.
Avec la facturation électronique, les factures transitent par des Plateformes de Dématérialisation Partenaires (PDP) certifiées par l’État. Chaque émetteur est identifié par son SIREN, chaque facture est structurée au format Factur-X, UBL ou CII. Ce cadre rend la substitution d’identité plus difficile.
Plus difficile, mais pas impossible. Les attaquants cibleront les maillons faibles de la chaîne : comptes utilisateurs mal protégés sur les plateformes, accès API sans authentification forte, ou ingénierie sociale auprès des gestionnaires de comptes. La surface d’attaque se déplace du mail vers la plateforme. Plusieurs critères de sécurité permettent de départager les solutions disponibles sur le marché de la facturation électronique.
2. Le choix de la plateforme agréée est une décision de sécurité
L’administration a immatriculé plus de 100 plateformes en tant que PDP ou OD (Opérateurs de Dématérialisation). Toutes ne se valent pas sur le plan de la sécurité.
Les critères à vérifier avant de s’engager :
- Hébergement des données : localisation des serveurs (France, UE, hors UE), certifications ISO 27001 ou SOC 2
- Chiffrement : TLS 1.3 en transit, chiffrement au repos des factures stockées
- Authentification : MFA obligatoire, gestion des rôles et des droits d’accès
- Traçabilité : journaux d’audit horodatés, alertes en cas de comportement anormal
- Plan de continuité : PRA/PCA documenté, SLA de disponibilité
Le problème : la plupart des entreprises choisissent leur plateforme sur des critères de prix ou de compatibilité comptable, sans auditer la posture sécurité.
3. Les API de facturation élargissent la surface d’attaque
Le modèle technique de la réforme repose sur des échanges automatisés entre les ERP des entreprises, les PDP et le Portail Public de Facturation (PPF). Ces interconnexions passent par des API REST qui véhiculent des données financières sensibles : montants, coordonnées bancaires, numéros de TVA intracommunautaire, détails des prestations.
Chaque API mal sécurisée devient un vecteur potentiel :
- Injection de fausses factures si l’authentification API repose sur une simple clé statique sans rotation
- Exfiltration de données commerciales (volumes d’achat, fournisseurs stratégiques, marges) exploitables pour de l’intelligence économique
- Déni de service ciblé sur le flux de facturation, bloquant la trésorerie de l’entreprise
Les RSSI doivent intégrer ces flux dans leur cartographie des risques au même titre que les API de paiement ou d’authentification. Le niveau de sécurité API varie fortement d’une plateforme agréée à l’autre, ce qui rend la phase de sélection d’autant plus critique.
4. Le e-reporting crée un flux de données fiscales permanent vers l’État
Au-delà de la facturation inter-entreprises, la réforme introduit le e-reporting : la transmission régulière de données de transaction à l’administration fiscale. Cela concerne notamment les opérations B2C et les transactions internationales.
Ce flux continu de données représente une cible de choix. Un attaquant qui intercepte ou modifie ces données pourrait :
- Fausser les déclarations de TVA d’une entreprise
- Provoquer des contrôles fiscaux injustifiés
- Exploiter les données agrégées pour du profilage commercial
La sécurisation de ce canal est d’autant plus critique que les données y transitent de façon automatique et récurrente, sans validation humaine systématique.
5. La période de transition concentre les vulnérabilités
Entre aujourd’hui et septembre 2026, des millions d’entreprises vont migrer leurs processus de facturation. Cette phase de transition est la plus risquée d’un point de vue cyber.
Les équipes comptables vont recevoir des emails légitimes de plateformes qu’elles ne connaissent pas encore. Le terrain idéal pour du phishing ciblé. Les nouveaux outils seront déployés rapidement, parfois sans audit de sécurité complet. Les anciens et nouveaux systèmes coexisteront pendant des mois, multipliant les points d’entrée.
Les campagnes d’hameçonnage usurpant l’identité de la DGFiP ou d’une PDP ont déjà commencé. Elles exploitent l’urgence réglementaire (« Mettez-vous en conformité avant le 1er septembre ») pour pousser des malwares ou voler des identifiants.
Comment s’y préparer concrètement
La facturation électronique obligatoire est un progrès pour la lutte contre la fraude. Le cadre structuré, l’identification des acteurs par SIREN et le transit via des plateformes certifiées réduisent significativement les risques de falsification.
Mais ce progrès n’est réel que si les entreprises traitent ce projet comme un projet de sécurité, pas uniquement comme une mise en conformité comptable.
Les actions prioritaires : intégrer le flux de facturation électronique dans la politique de sécurité SI existante. Auditer la posture sécurité de la plateforme choisie avant de signer. Former les équipes comptables et financières aux nouvelles menaces (phishing PDP, fraude au SIREN). Exiger le MFA et la rotation des clés API sur tous les accès plateforme. Mettre en place une surveillance des flux anormaux (factures inhabituelles, changements de RIB).
La réforme impose un calendrier serré. Mais bâcler le volet sécurité pour respecter la deadline serait une erreur coûteuse. Les 2 milliards d’euros de fraude annuelle à la facture ne vont pas disparaître. Ils vont migrer vers les acteurs les moins préparés.
À propos de l'auteur
