Dans trois mois, toutes les grandes entreprises et ETI françaises devront envoyer leurs factures au format électronique.
Les premières attaques n’ont même pas attendu la mise en place de la réforme. Des mails frauduleux qui imitent la direction des finances publiques ou des plateformes agréées circulent depuis plusieurs semaines. Le procédé est classique. Un mail d’apparence officielle demande aux services comptables de se mettre en conformité avant le 1er septembre. Le lien renvoie vers un faux portail puis les identifiants sont aspirés. Pendant cette phase de transition, les équipes vont recevoir des messages légitimes de sites qu’elles ne connaissent.
La fraude au virement va trouver un terrain de jeu immense
Un pirate intercepte une facture authentique, remplace les coordonnées bancaires du fournisseur par les siennes et l’entreprise paie sans se douter de rien. Ce type de fraude au virement existe depuis des années. Toutefois, la centralisation de tous les flux sur des plateformes numériques va multiplier les points d’entrée.
Les PME et TPE, qui concentraient plus d’un tiers des incidents cybersécurité suivis par l’ANSSI en 2024, seront connectées à ce système dès septembre 2027. Beaucoup d’entre elles n’ont ni responsable informatique ni budget dédié à la sécurité.
115 plateformes agréées et des niveaux de protection très inégaux
Toutes ces factures vont passer par des plateformes de dématérialisation partenaires, les fameuses PDP. L’État en a agréé 115. Toutefois, la plupart des entreprises choisissent leur prestataire en regardant le prix et la compatibilité avec leur logiciel comptable.
N’oublions pas que personne ne demande un audit de sécurité avant de signer. Le journaliste Kitetoa, spécialiste du sujet chez Reflets.info, résumait le malaise après avoir assisté à un webinaire sur l’infrastructure.
L’État donne des leçons qu’il ne s’applique pas
Le bilan récent de l’administration en matière de sécurité informatique ne plaide pas en sa faveur. Un pirate a siphonné 1,2 million de dossiers bancaires dans le fichier FICOBA en février. Cela fut possible en récupérant le login et le mot de passe d’un fonctionnaire. Deux mois plus tard, un enfant de 15 ans, sans formation particulière, a trouvé une faille béante dans le portail de l’ANTS. 11,7 millions de comptes ont été exposés.
Et pendant ce temps, cette même administration prépare une plateforme centralisée qui va concentrer la totalité des flux financiers des entreprises du pays. La France est d’ailleurs poursuivie par Bruxelles pour ne pas avoir transposé la directive NIS 2. Le texte imposait aux opérateurs d’infrastructures critiques de muscler leur cybersécurité avant octobre 2024. L’État exige des entreprises qu’elles basculent vers le tout numérique, mais il n’a pas été capable de respecter ses propres engagements européens en matière de protection. Le décalage entre le discours et la pratique finit par peser sur la crédibilité de toute la réforme.
