À trois mois de l’échéance, la France impose la facturation électronique à 10 millions d’entreprises. Le problème ? Les experts en cybersécurité parlent déjà de « carnage » et les précédents ne sont pas rassurants.
Septembre 2026. Toutes les grandes entreprises et ETI françaises devront émettre et recevoir leurs factures exclusivement via des plateformes numériques agréées. En septembre 2027, ce sera au tour des TPE et PME. Au total, environ 2 milliards de factures B2B par an transiteront par 115 plateformes privées, labellisées par la DGFiP.
Sur le papier, la réforme est séduisante : lutter contre la fraude à la TVA, moderniser les échanges, fluidifier la trésorerie. Sur le terrain, le tableau est radicalement différent.
115 plateformes, 115 portes d’entrée
Le chiffre donne le vertige : 115 Plateformes Agréées (ex-PDP) ont été enregistrées par l’administration fiscale pour traiter l’intégralité des factures électroniques du pays. Cent quinze acteurs privés, aux niveaux de maturité cybersécurité radicalement hétérogènes, qui vont centraliser les données financières de 10 millions d’entreprises.
« Centraliser autant de données chez des gens pour qui la sécurité est un coût et pas un objectif, je le sens pas trop », a confié Kitetoa, de Reflets.info, après avoir assisté à un webinaire interne sur l’infrastructure prévue. Une inquiétude partagée par l’ensemble de l’écosystème, d’autant que la plupart des entreprises sélectionnent leur plateforme sur des critères de prix ou de compatibilité comptable, rarement sur des audits de sécurité.
Et le contexte n’aide pas. L’ANSSI a traité 4 386 événements de sécurité en 2024, soit une hausse de 15 % par rapport à 2023. Parmi les victimes de ransomwares en France, 37 % sont des PME, TPE et ETI, précise l’agence, soit exactement les structures qui devront se connecter à ces plateformes à partir de 2027, souvent sans responsable cybersécurité dédié.
Un gamin de 15 ans, 11,7 millions de comptes
Si les experts sont aussi alarmistes, c’est que les précédents récents donnent raison à leurs pires scénarios. En avril 2026, le portail France Titres (ANTS) a exposé les données de 11,7 millions de comptes via une faille de type IDOR, un simple identifiant modifié dans une requête API suffisait à aspirer les fiches. L’intrus ? Un adolescent de 15 ans, sans formation spécialisée.
Deux mois plus tôt, en février 2026, c’est le fichier FICOBA, le registre national des comptes bancaires, qui était compromis. Un pirate a usurpé les identifiants d’un fonctionnaire pour consulter 1,2 million de comptes, exposant noms, adresses et IBAN.
Deux brèches sur des infrastructures régaliennes, en moins de six mois. Et c’est dans ce paysage que l’État s’apprête à externaliser la totalité de la facturation interentreprises vers 115 opérateurs privés.
NIS 2, ou l’art de dire « on verra plus tard »
Cerise sur le gâteau réglementaire : la France n’a toujours pas transposé la directive européenne NIS 2. Adoptée en 2022, elle imposait aux États membres de renforcer la cybersécurité des opérateurs critiques avant octobre 2024. La France fait partie des 23 pays en retard, et Bruxelles a engagé des poursuites devant la CJUE, avec une amende potentielle de plusieurs dizaines de millions d’euros à la clé.
Le gouvernement mise sur un texte unique regroupant NIS 2 et la directive sur la résilience des infrastructures critiques, mais le projet de loi n’est pas attendu avant septembre 2026 au mieux. Autrement dit, les opérateurs de plateformes de facturation ne seront pas couverts par le cadre renforcé au moment du lancement.
Pendant ce temps, les premières campagnes de phishing ciblent déjà les comptables. De faux courriels usurpant l’identité de la DGFiP ou des plateformes agréées circulent, exploitant l’urgence réglementaire pour dérober des identifiants ou diffuser des malwares. Le scénario le plus redouté ? L’interception de factures pour modifier les coordonnées bancaires du fournisseur et détourner les paiements.
Le compte à rebours est lancé. Dans trois mois, les premières factures électroniques obligatoires atterriront sur des plateformes dont personne n’a sérieusement audité la sécurité. À l’heure où un adolescent peut percer l’ANTS avec une simple requête HTTP, on se demande légitimement : qui sera le premier à tomber ?
