@Work

Facture électronique : La cybersécurité, angle mort de la réforme ?

Par Xavier Biseul, publié le 13 avril 2026

Des cyberattaques des plateformes agréées à la génération de fausses factures par usurpation d’identité, la généralisation de la facturation électronique créera, de facto, de nouvelles vulnérabilités. La réforme prévoit bien nativement des mécanismes de protection, mais il est possible, et conseillé, d’aller plus loin.

Par définition, toute dématérialisation augmente la surface d’attaque aux risques cyber et expose les organisations à de nouvelles vulnérabilités. La réforme de la facturation électronique n’échappe pas à la règle. En concentrant les flux de données financières, les plateformes agréées deviendront des cibles privilégiées des cybercriminels. Les entreprises, elles-mêmes, pourraient être victimes d’attaques par des rançongiciels chiffrant les factures en cours de traitement comme celles archivées.

En cas de cyberattaque, pas de retour possible au circuit papier pour émettre ou recevoir des factures, toute activité commerciale sera paralysée. La réforme crée, de fait, une nouvelle dépendance aux systèmes numériques. En cas d’exfiltration de données sensibles se pose aussi la question de l’usurpation d’identité et de la génération de fausses factures en tout point conformes à celles émises par le prestataire habituel. Le faussaire fera juste valoir un changement de coordonnées bancaires pour détourner les fonds vers un compte illégitime.

Comme toujours en cybersécurité, les PME seront particulièrement exposées à ces risques, surtout dans la phase de transition.
« Alors que les grands comptes disposent de processus établis pour vérifier les paiements, les PME courent le risque de régler des factures indûment émises », avance Cécilia Lopes, fondatrice d’EBS Group.
Ne disposant peu ou pas de compétences cyber internes, ces mêmes PME seront, par ailleurs, enclines à déporter cet enjeu de sécurité auprès de la plateforme agréée (PA) retenue, de leur expert-comptable ou de leur éditeur de logiciel de gestion. « Les débuts de la réforme pourraient être marqués par des couacs, notamment en raison de la volumétrie des flux à traiter et des différences de protocoles de communication entre plateformes, alerte Cécilia Lopes. Par ailleurs, le démarchage par de fausses plateformes constitue une menace supplémentaire, d’autant plus que certains dirigeants de TPE et PME sont souvent allergiques à tout ce qui relève de l’administratif. »

Cécilia Lopes

Fondatrice d’EBS Group

« Alors que les grands comptes disposent de processus établis pour vérifier les paiements, les PME courent le risque de régler des factures indûment émises. »

Vice-président de la Fédération des Tiers de Confiance du numérique (FnTC), Alain Borghesi rappelle que la question de la sécurité a été prise en compte dès la conception de l’architecture. À la différence du modèle italien, la DGFiP a retenu un schéma dit en Y où les données de paiement collectées par les plateformes agréées, interopérables entre elles, se déversent vers le Portail public de facturation (PPF). « Cette architecture répartie permet de réduire significativement le risque de point de défaillance unique, en assurant une répartition efficace du risque entre les différents acteurs. »

Alain Borghesi note, par ailleurs, qu’« une plateforme, pour être agréée, doit respecter un cahier des charges de cybersécurité extrêmement rigoureux. Cela passe par l’obtention de la certification ISO 27001 et un hébergement dans un environnement qualifié SecNumCloud. »
Les factures et données associées doivent être transmises sur des canaux chiffrés de bout en bout, avec une connexion TLS 1.2 minimum pour sécuriser les échanges entre le SI de l’entreprise, les PA et le PPF.

Les API sont régies par la norme Afnor XP Z12‑013 qui impose OAuth2 comme protocole d’autorisation standard. Enfin, le décret n°2024-266 du 25 mars 2024 oblige les plateformes à recourir à un procédé d’authentification à au moins deux facteurs dont l’un d’eux est « dynamique », c’est-à-dire non réutilisable. À l’avenir, les PA devront aussi accepter le portefeuille numérique européen, pour une sécurisation accrue (lire encadré).

Alain Borghesi

Vice-président de la
Fédération des Tiers de Confiance du numérique (FnTC)

« Une plateforme, pour être agréée, doit respecter un cahier des charges de cybersécurité extrêmement rigoureux. »

Associée au cabinet de conseil RSM France, Mathilde Jounot préconise d’aller au-delà de ce que proposent par défaut les prestataires de services. Sur les quelque 110 plateformes agréées et celles en cours d’immatriculation, toutes n’ont pas la notoriété et le niveau de maturité cyber de Docaposte, Cegedim, Esker, OpenText ou Tessi. « Lors de la rédaction de son cahier des charges, une entreprise peut contractuellement exiger des niveaux de garantie supplémentaires et la mise en oeuvre d’audits de sécurité a minima annuels. »

Par ailleurs, la double authentification proposée par les PA peut être complétée par le dispositif d’identification de type Single Sign-On (SSO) propre à l’entreprise. « Il s’agit de s’assurer que seules les personnes mandatées pourront accepter ou refuser les factures », précise Mathilde Jounot.

Mathilde Jounot

Associée au cabinet de conseil RSM France

« Une entreprise peut contractuellement exiger des niveaux de garantie supplémentaires et la mise en oeuvre d’audits de sécurité a minima annuels. »

La phase d’« onboarding » sera particulièrement cruciale. Dans une approche KYB (Know Your Business), la plateforme agréée devra procéder à la vérification de l’identité de la personne physique qui se présente comme le représentant légal de l’entreprise. Au-delà de l’examen du Kbis et des pièces d’identité officielles (CNI, passeport), il s’agira de s’assurer – afin d’éviter tout risque d’autodésignation frauduleuse – que le futur utilisateur dispose de tous les droits d’action via un mandat signé.

Enfin, des acteurs spécialisés dans la dématérialisation des processus se positionnent entre les entreprises, émettrices ou réceptrices de factures, et les plateformes agréées en agissant comme tiers de confiance. Yousign ou Signaturit entendent ainsi capitaliser sur leur savoir-faire dans le domaine de la sécurisation des transactions, par exemple la souscription d’un contrat de location, pour l’appliquer au monde de la facturation.

Au-delà de la signature électronique, leurs solutions peuvent couvrir toute la chaîne de confiance propre à la facturation, de la vérification des identités à l’archivage légal en passant par l’émission de certificats numériques et les services d’horodatage. En cas de contentieux ou de contrôle, elles peuvent produire la « piste d’audit faible ». C’est-à-dire l’ensemble des éléments qui permettent de retracer le cheminement d’une opération de facturation, depuis le bon de commande jusqu’au paiement.

Le règlement eIDAS 2 apportera une sécurisation accrue

Adoptée en avril 2024, la version 2 du règlement européen eIDAS (Electronic identification, authentification and trust Services) permettra, d’ici à 2030, à tout résident et personne morale de l’Union européenne, de stocker, gérer et fournir des données d’identification personnelle et des attestations électroniques d’attributs au sein d’un portefeuille numérique européen (EUDIW). Dans un livrable intitulé Identité Numérique Professionnelle : cas d’usage dans les processus de la facturation électronique en France, la FnTC évoque les gains de sécurité apportés par ce futur « wallet » européen.

À LIRE AUSSI :

À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights