Klaerenn
⌘K
Klaerenn
Tribunes

La plus grande surface d'attaque non régulée de l'économie française

L'État oblige 4 millions d'entreprises à dépendre d'un intermédiaire qu'elles ne peuvent ni auditer, ni diversifier, ni refuser. Et c'est elles qui porteront les conséquences en cas d'incident.
La plus grande surface d'attaque non régulée de l'économie française
« Mais vous êtes complètement fous dans cette maison ! » — Astérix, Les Douze Travaux d'Astérix

Le 1er septembre 2026, 4 millions d'entreprises françaises assujetties à la TVA devront recevoir leurs factures par l'intermédiaire d'une Plateforme Agréée (PA) immatriculée par l'État. En septembre 2027, toutes devront aussi en émettre par ce canal. Chaque facture B2B émise en France transitera par l'un des 108 opérateurs privés agréés par la DGFiP ¹. Pour les assujettis à la TVA, aucune alternative, aucun contournement possible.

La réforme de la facturation électronique vient de créer, en toute discrétion, une concentration inédite de données économiques sensibles, hors du champ de vision de tous les régulateurs cyber.

Ce que fait la réforme

L'intention est légitime. La fraude à la TVA coûte entre 10 et 20 milliards d'euros par an à l'État français ². À l'échelle européenne, le manque à gagner dépasse 120 milliards ³. Le carrousel TVA prospère grâce à l'opacité des échanges entre entreprises. Le fisc découvre la fraude des mois après les faits, quand les sociétés éphémères ont disparu.

La réforme y répond par deux dispositifs. Le e-invoicing impose que chaque facture B2B transite au format structuré (Factur-X, UBL ou CII) entre deux Plateformes Agréées : celle de l'émetteur et celle du destinataire. La PA émettrice consulte l'annuaire central du PPF pour identifier la PA du destinataire, puis lui transmet la facture directement. En parallèle, elle remonte les données extraites au concentrateur de la DGFiP. Le e-reporting complète le dispositif sur les transactions B2C et internationales. L'État voit ainsi chaque transaction en quasi temps réel : montant HT, TVA, taux, catégorie, identité des parties. Le croisement automatique entre TVA collectée et TVA déduite devient possible à l'échelle nationale.

La France est le seul pays à avoir intégré dès le lancement le e-reporting de données de facturation à destination de l'administration fiscale ⁴. L'Italie a résolu le même problème depuis 2019, avec le SDI (Sistema di Interscambio), une plateforme unique étatique. La France a choisi un modèle inverse : déléguer le transit à plus d'une centaine d'opérateurs privés, et réduire le portail public (PPF) à un rôle d'annuaire et de concentrateur ⁵. Ce choix a un nom dans la littérature réglementaire : le modèle « en Y ».

Ce que la réforme crée sans le dire

Le passage obligé

Chaque facture transite par deux PA : celle de l'émetteur et celle du destinataire. Si l'une des deux tombe (panne, cyberattaque, faillite), la facture ne passe plus. La PA de l'émetteur est indisponible : l'entreprise ne peut plus émettre. La PA du destinataire est indisponible : la facture est émise mais ne peut pas être délivrée. Deux points de défaillance par transaction, pas de canal alternatif. Les spécifications prévoient un mécanisme de retry (statut « erreur routage »), mais c'est une file d'attente, pas un mode dégradé : si la PA reste indisponible 48 heures, les factures s'accumulent, rien ne passe. La CNCC confirme que le vendeur ne peut pas contourner sa propre PA, même si l'acheteur n'a pas de PA active : la facture reste en statut « déposée, non transmise » ⁶.

L'annuaire central du PPF ajoute un troisième point de dépendance : si les PA ne peuvent pas le consulter, elles ne savent pas vers quelle PA router. Mais le PPF est une infrastructure DGFiP, probablement dans un périmètre de sécurité étatique. Les deux PA, elles, sont des opérateurs privés sans cadre de résilience.

La distinction compte. Un bureau d'enregistrement de noms de domaine intervient à l'enregistrement, puis au renouvellement ; si Gandi tombe, les domaines existants continuent de résoudre. Une autorité de certification émet un certificat ; si elle tombe, les signatures existantes restent valides. Ces tiers opèrent en amorçage. Les PA s'interposent sur chaque facture comme un péage s'interpose sur chaque passage.

Cartographie économique concentrée

Chaque PA agrège les données de facturation de ses clients : identité des parties, montants, volumes, conditions, délais de paiement, relations commerciales. Une PA qui sert 10 000 entreprises détient une cartographie des échanges B2B d'un pan entier de l'économie. Compromettre trois ou quatre PA majeures donnerait à un attaquant, étatique ou criminel, une visibilité sur le tissu économique français d'une profondeur rare.

Ce que les éditeurs avaient déjà, et ce qui change

L'objection vient immédiatement : Tiime, Pennylane ou Sage détenaient déjà les données comptables de leurs clients avant la réforme. Les banques voyaient déjà les flux financiers.

La criticité change. Avant la réforme, si Tiime tombait, l'entreprise pouvait encore facturer par un autre canal. Après septembre 2026, si Tiime-PA tombe, l'entreprise ne peut plus émettre de facture conforme à la loi. La même donnée, portée par un outil optionnel ou par un intermédiaire réglementaire en coupure, ne produit pas le même risque.

Le graphe s'enrichit aussi. La banque voyait les virements, les montants, les dates. L'expert-comptable voyait les écritures. Le logiciel de compta voyait les factures. Aucun de ces acteurs ne voyait simultanément les deux côtés de chaque transaction pour l'ensemble de ses clients. La PA voit les factures émises et reçues de ses clients. Plus sa base grandit, plus la probabilité augmente qu'émetteur et destinataire soient tous deux ses clients, et que la PA reconstitue les deux côtés d'une même transaction. Pennylane revendique 800 000 entreprises utilisatrices de son logiciel ⁷, dont une large part deviendrait cliente de sa PA dès septembre. À cette échelle, elle reconstituerait un graphe de relations commerciales B2B qu'aucun acteur individuel ne possédait avant.

La réforme pousse par ailleurs à l'intégration PA + compta + banque chez un acteur unique : c'est le modèle que tous les éditeurs promeuvent. Un incident touche alors la facturation, la comptabilité et la trésorerie d'un coup. Le design même de la réforme encourage ce mouvement, puisque l'intégration native réduit les frictions.

Le secret professionnel qui disparaît

Les données comptables ne bénéficient d'aucune classification sectorielle comparable aux données de santé (hébergement HDS obligatoire), aux données bancaires (secret bancaire, supervision ACPR) ou aux données personnelles (RGPD, supervision CNIL). Il n'existe pas de « secret comptable » en droit français.

Ce qui existait, c'est le secret professionnel de l'expert-comptable. L'article 21 de l'ordonnance du 19 septembre 1945 impose à tous les membres de l'Ordre un secret absolu sur les informations recueillies dans l'exercice de leurs fonctions ⁸. La violation est sanctionnée d'un an d'emprisonnement et de 15 000 euros d'amende (article 226-13 du Code pénal). Ce secret est attaché à la personne du professionnel inscrit à l'Ordre, pas à la donnée elle-même.

La réforme fait sortir les données de facturation de ce périmètre protégé. Quand les factures transitaient par l'expert-comptable, elles étaient couvertes par le secret professionnel. Quand elles transitent par une PA, un éditeur SaaS qui n'est pas membre de l'Ordre, ce secret ne s'applique plus. Les salariés d'un cabinet comptable eux-mêmes ne portent pas le secret professionnel au sens de l'ordonnance de 1945, seulement une obligation de réserve au titre du droit du travail ⁹. Les développeurs d'un éditeur SaaS, encore moins.

La PA ne porte aucune obligation de secret professionnel sur les données qu'elle traite. Le RGPD couvre les données personnelles contenues dans les factures (noms, adresses). Le secret des affaires (loi 2018) est une protection que l'entreprise lésée fait valoir a posteriori, pas une obligation imposée ex ante au tiers. Les données commerciales (montants, volumes, relations B2B, conditions tarifaires, délais de paiement) qui constituent l'essentiel de la valeur de renseignement économique d'une facture n'entrent dans aucun de ces périmètres.

La profession comptable n'a pas soulevé le sujet. Le Conseil National de l'Ordre a publié un comparatif de 26 PA ¹⁰, des outils de cartographie clients, des formations aux cas d'usage. Tout est orienté « comment s'adapter », rien sur « que risque-t-on ». Les webconférences de l'Ordre de Paris confirment que « le secret professionnel est préservé » ¹¹, mais sous l'angle du contenu de la facture (pas de détail des prestations sensibles), pas sous l'angle du transit et de l'hébergement par un tiers non soumis au secret. La question « les PA sont-elles soumises au secret professionnel ? » est posée dans la littérature spécialisée ¹² sans recevoir de réponse juridique claire. Parce que la réponse est non.

Que choisit la PME ?

La plupart des PME ne choisiront pas leur PA. Elles choisiront un logiciel de comptabilité (Tiime, Pennylane, Indy, Dougs) et hériteront de la PA intégrée à cet outil. Le dirigeant de PME ne sait pas qui opère sa PA, chez quel hébergeur tournent ses données de facturation, sous quelle juridiction, avec quels engagements de disponibilité. Il a une relation contractuelle avec son éditeur de compta, pas avec la PA en aval. Changer de PA revient à migrer tout le stack de gestion : comptabilité, facturation, rapprochement bancaire, historique d'archivage.

Les éditeurs l'ont compris. Cegid intègre nativement sa PA dans ses solutions ¹³. Pennylane se vend « all-in-one ». Qonto inclut la PA gratuitement dans ses forfaits de compte pro. La PA gratuite joue le rôle du rasoir offert : ce sont les lames, l'abonnement à l'écosystème complet, qui rapportent. Sauf qu'ici, le rasoir est une obligation légale.

Il reste des logiciels comptables installés en local. Sage 50 (ex-Ciel Compta), EBP Compta : nombre de TPE les utilisent précisément pour garder leurs données sur leur poste. La réforme ne change rien à ce choix, sauf sur un point : chaque facture émise ou reçue devra transiter par une PA, en SaaS, en coupure. Sage a intégré sa PA « gratuitement » dans tous ses abonnements Ciel, y compris les versions locales. EBP s'appuie sur la PA Cegid. L'entreprise qui avait fait le choix du on-premise pour maîtriser ses données se retrouve, par obligation légale, à faire transiter 100 % de ses flux de facturation par un intermédiaire cloud qu'elle n'a pas choisi.

Qui régule les PA

La DGFiP, via un Service d'Immatriculation dédié ¹⁴. Pas l'ANSSI. Pas l'AMF. Pas l'ACPR. Le fisc.

L'immatriculation exige une certification ISO 27001, des tests d'interopérabilité avec le PPF, un audit de conformité triennal par un organisme indépendant, et le respect du RGPD ¹⁵. Le tout pour une durée de trois ans renouvelable.

ISO 27001 certifie un système de management de la sécurité, pas un niveau technique. Une PA peut obtenir sa certification avec un périmètre restreint, une appréciation des risques indulgente et une maturité opérationnelle faible. Les textes mentionnent les « recommandations de l'ANSSI » ¹⁶ sans préciser lesquelles, sans exiger de qualification, sans critère objectif vérifiable. SecNumCloud est exigé pour l'hébergeur tiers, mais la plupart des PA ont internalisé leur infrastructure pour contourner cette obligation. L'audit de conformité est confié à un organisme « indépendant » sans exigence de qualification PASSI ni d'accréditation COFRAC. Ni obligation de SOC, de PRA testé, de SLA publiés, de capacité de détection d'incidents.

Pour des opérateurs qui vont concentrer les flux de facturation de 4 millions d'entreprises, ces exigences sont calibrées sur la conformité fiscale, pas sur la résilience opérationnelle.

Cinq cadres, zéro couverture

Le CRA (Cyber Resilience Act) vise les produits avec éléments numériques. Les PA sont des services SaaS purs, consommés via navigateur, sans installation locale. Le CRA les exclut ¹⁷. DORA (Digital Operational Resilience Act) cible 21 types d'entités financières. Les PA ne sont pas des établissements financiers, même si elles traitent les factures de toutes les banques de France. DORA ne les couvre pas ¹⁸.

NIS 2 devrait les attraper. La directive classe les « services d'informatique en nuage » parmi les secteurs hautement critiques, SaaS inclus ¹⁹. Un éditeur SaaS dépassant 50 employés ou 10 M€ de chiffre d'affaires tombe dans le périmètre. Pennylane et Tiime y sont. Le problème : NIS 2 devait être transposée en droit français en octobre 2024. En mars 2026, le projet de loi n'a toujours pas été voté à l'Assemblée nationale ²⁰. Les obligations NIS 2 n'existent pas encore en droit français.

La directive REC (résilience des entités critiques) couvre onze secteurs dont les « infrastructures numériques » et les « infrastructures des marchés financiers » ²¹. Les PA se situent entre les deux, sans appartenir à aucun. REC renvoie à NIS 2 et DORA pour les obligations cyber — renvoi vers des textes qui ne s'appliquent pas aux PA, ou pas encore transposés.

Reste la LPM et le dispositif OIV. Une indisponibilité simultanée de trois ou quatre PA majeures paralyserait la capacité de facturer de centaines de milliers d'entreprises. Personne n'a lancé cette réflexion.

Chaque cadre réglementaire de cybersécurité exclut les PA ou renvoie à un autre cadre qui les exclut aussi. L'obligation de dépendance (septembre 2026) précède l'obligation de résilience (NIS 2, date inconnue).

Un vecteur d'attaque créé par la réforme

Chaque facture reçue par une PA contient un fichier XML embarqué dans un PDF/A-3 (format Factur-X) ou un XML autonome (formats UBL, CII). La PA doit parser cet XML, le valider contre le schéma XSD de la norme EN 16931, en extraire les données structurées, puis les router et les remonter à l'administration. Ce parsing s'exécute à chaque facture, en temps réel, en production. L'XML provient de l'extérieur, de n'importe quel assujetti à la TVA en France.

Avant la réforme, aucune entreprise ne dépendait en temps réel d'un parser XML pour facturer. La réforme a créé un canal d'injection XML à l'échelle nationale : 4 millions d'émetteurs potentiels, chacun pouvant envoyer un XML à n'importe quelle PA via le flux de facturation normal. Un XML malformé dans une facture envoyée par le canal légitime est un vecteur d'attaque natif du système.

Le risque n'est pas théorique. La bibliothèque libxml2, omniprésente dans les chaînes de traitement XML tous langages confondus, a accumulé cinq CVE critiques ou hautes en dix-huit mois. CVE-2024-40896 (CVSS 9.1) permet des attaques XXE même quand le développeur a tenté de bloquer les entités externes ²². CVE-2024-56171 est un use-after-free exploitable via la validation de schémas XSD ²⁴ — exactement ce que font les PA à chaque facture reçue. Deux autres CVE critiques ont vu leurs PoC publiés avant que les correctifs ne soient disponibles dans les distributions majeures ²³. Aucune PA ne publie de SBOM : il est impossible de vérifier quelles bibliothèques sont en production. Le risque est documenté sur la bibliothèque de parsing XML la plus répandue du marché.

La DGFiP teste l'interopérabilité des formats. Elle ne teste pas la robustesse du parsing face à des entrées adverses. Aucune PA n'a l'obligation de publier un SBOM (Software Bill of Materials), de documenter ses dépendances critiques, ni de soumettre son parsing XML à du fuzzing. L'ANSSI n'a pas mandat sur ce périmètre.

L'alternative qui existait

La réforme aurait pu fonctionner sans tiers en coupure. L'entreprise émet sa facture au format structuré, la signe avec un cachet électronique qualifié eIDAS, et l'envoie directement à son client par le canal de son choix. En parallèle, les données fiscales sont transmises à l'administration en mode reporting asynchrone, hors du chemin critique de la facture.

Ce modèle résout les mêmes problèmes : l'État reçoit les données de transaction en quasi temps réel, l'authenticité repose sur la cryptographie, et si le prestataire de signature a un incident, les factures déjà émises restent valides. Ce modèle n'a pas été retenu. L'argument de la DGFiP : déployer des cachets qualifiés auprès de 4 millions d'assujettis, dont 96 % sont des micro-entreprises sans maturité numérique, aurait été trop complexe. L'argument se tient pour l'écrasante majorité des assujettis. Mais la PA résout ce problème de complexité en créant un problème de résilience, et le prestataire eIDAS aurait opéré en amorçage, pas en coupure. La différence est celle entre un intermédiaire qui signe une fois et un péage qui s'interpose sur chaque passage. L'infrastructure existante des prestataires de confiance qualifiés eIDAS, déjà régulée par l'ANSSI ²⁵, n'offrait pas les mêmes perspectives de création de valeur.

Qui en bénéficie

La liste des PA immatriculées répond d'elle-même. Les éditeurs de logiciels de comptabilité et de gestion (Cegid, Sage, Pennylane, Tiime, EBP, Yooz, Dext) passent de fournisseur substituable à intermédiaire réglementaire en coupure. Le lock-in passe de commercial à légal. Les opérateurs historiques de dématérialisation (Docaposte/SERES, Cegedim, Generix, Esker) voient un marché de niche se transformer en obligation universelle ; leur base de prospects passe de quelques milliers de grandes entreprises à 4 millions d'assujettis. Les néobanques (Qonto, SEQINO/Crédit Mutuel Arkéa) gagnent un point d'entrée dans le flux commercial de leurs clients. L'Ordre des experts-comptables a créé ECMA, association loi 1901, sa propre structure PA ¹³. Ces acteurs répondent aussi à un besoin réel : simplifier la conformité pour des millions de TPE qui n'auraient pas géré le e-invoicing seules. Mais le design de la réforme a transformé un service en passage obligé.

Le PPF, initialement prévu comme alternative étatique gratuite, a été abandonné le 15 octobre 2024 pour ses fonctions de facturation directe. Les raisons invoquées par le ministère : contrainte budgétaire, respect du calendrier, et « maturité » du marché des PDP avec plus de 70 acteurs déjà immatriculés ²⁶. La CPME s'est opposée au projet de facturation électronique devenue payante, reprochant au gouvernement de « faire porter le coût de la complexité sur les entreprises » ²⁸. Les syndicats de la DGFiP ont contesté l'abandon d'une mission de service public ²⁸ᵇ. Le résultat est factuel : toutes les entreprises doivent passer par un prestataire privé payant pour se conformer à une obligation légale. L'option publique gratuite n'existe plus.

Ce que je sais, ce que je ne sais pas

Ce que je sais. Les textes réglementaires (décret n°2022-1299 ²⁷, article 242 nonies B de l'annexe II au CGI) placent les PA en coupure sur un flux critique sans leur imposer de cadre de résilience proportionné. L'ISO 27001 est le seul garde-fou cyber effectif. La DGFiP est le seul régulateur. NIS 2 n'est pas transposée en droit français. Aucun des 108 opérateurs immatriculés n'est formellement identifié comme entité critique ou OIV.

Les PME héritent de leur PA via leur éditeur de compta, sans visibilité ni pouvoir de négociation sur les conditions de sécurité. La profession comptable n'a soulevé aucun débat sur la confidentialité des données transitant par les PA. Le parsing XML de chaque facture reçue constitue un vecteur d'attaque natif du système. La bibliothèque libxml2, omniprésente dans les chaînes de traitement XML, accumule les CVE critiques.

Ce que je ne sais pas. Combien de PA ont un SOC opérationnel, un PRA testé, des SLA contractuels de disponibilité. Comment la DGFiP gère le scénario de défaillance simultanée de plusieurs PA.

Si le SGDSN ou l'ANSSI ont produit une analyse de risque sur cette infrastructure. Si le périmètre OIV a été évalué au regard de cette réforme. Si des discussions interministérielles ont eu lieu entre la DGFiP et l'ANSSI sur le dimensionnement sécuritaire des PA.

Quelle est la concentration réelle des flux par PA : la DGFiP ne publie pas cette donnée et ne l'exige pas. Quelles bibliothèques de parsing XML et PDF sont utilisées par les PA majeures : aucun SBOM n'est exigé ni publié. Si les PA majeures partagent des dépendances d'infrastructure communes (hébergeur, prestataire de cachet, composants logiciels) qui constitueraient un point de défaillance unique masqué.

Position

La réforme de la facturation électronique résout un problème réel. Les milliards de fraude TVA justifient une action forte. Et parmi les 108 PA immatriculées, plusieurs vont au-delà des exigences : Pennylane annonce héberger sa PA chez un prestataire qualifié SecNumCloud sans y être contrainte, Docaposte/SERES apporte 30 ans de maturité en dématérialisation, certains éditeurs investissent dans des SOC et des PRA sans que personne ne le leur demande. Le problème n'est pas la mauvaise foi des opérateurs. Le problème est l'absence de cadre qui généralise ces bonnes pratiques et protège les entreprises dont la PA ne fait pas cet effort.

L'État a conçu un système pour résoudre un problème fiscal et a créé, comme externalité, une infrastructure critique supervisée par le fisc, hors du champ de vision des régulateurs cyber.

Deux types de mesures changeraient la donne.

Ce que l'entreprise devrait pouvoir faire dès septembre 2026. Déclarer au moins deux PA dans l'annuaire central, l'une en émission, l'autre en réception, avec possibilité de basculer sur une PA secondaire en cas de défaillance de la principale. Le principe est éprouvé : le DNS gère plusieurs enregistrements MX avec priorité depuis 1986 pour le routage des emails. L'annuaire PPF pourrait fonctionner de la même manière, avec une PA principale et une PA de secours par entreprise. La limitation actuelle de l'annuaire à une seule adresse par entreprise est un choix d'implémentation, pas une contrainte architecturale. Pour que cette redondance soit réelle, le cahier des charges DGFiP devrait aussi imposer aux éditeurs intégrant une PA de garantir le raccordement à au moins une PA alternative. Aujourd'hui, les intégrations natives (Tiime, Pennylane, Cegid) verrouillent l'entreprise sur une seule PA. Ouvrir le choix supprimerait le point de défaillance unique par construction, atténuerait le lock-in commercial, et diluerait la concentration des flux. La DGFiP a le pouvoir d'imposer ces évolutions par voie réglementaire, dans son périmètre existant, sans attendre NIS 2 ni l'ANSSI.

Ce que les régulateurs devraient imposer à horizon 2027. Identifier les PA dépassant un seuil de clients ou de volume de transactions comme entités importantes NIS 2 dès la transposition, ou les inclure dans le périmètre OIV. Produire un référentiel ANSSI dédié aux PA, couvrant la continuité d'activité, la détection d'incidents et la gestion des vulnérabilités, en remplacement de la seule ISO 27001. SecNumCloud est déjà exigé pour la couche hébergement, mais la qualification porte sur le datacenter, pas sur l'application. Le code de la PA, son parsing, sa gestion des incidents, sa rétention des données tournent au-dessus sans aucune qualification. L'État lui-même peine à imposer SecNumCloud sur son propre périmètre ²⁹. Un référentiel ANSSI couvrant la couche applicative des PA serait un premier pas réaliste. Exiger des PA un SBOM et des tests de robustesse sur le parsing des formats de facturation, avec signalement obligatoire des vulnérabilités critiques.

Réduire ce qui est exposé, pas seulement protéger ce qui est stocké. Imposer une durée maximale de rétention des données de facturation par les PA dans leur rôle de transit : une fois la facture remise au destinataire et les données remontées au concentrateur DGFiP, la PA n'a plus de raison fonctionnelle de la conserver. Compromettre une PA qui purge après 30 jours donne accès à un mois de flux. Compromettre une PA qui accumule 10 ans d'historique donne accès à la trajectoire économique complète de milliers d'entreprises. Aucun texte ne distingue aujourd'hui le rôle de transit du rôle d'archivage, et les PA qui sont aussi éditeurs de compta conservent tout par design. La minimisation des données n'est pas seulement un principe RGPD : c'est une mesure de réduction de la surface d'attaque.

À l'heure où tout le cadre réglementaire européen — NIS 2, DORA, les guides ANSSI sur la gestion des tiers — impose aux entreprises de maîtriser leurs dépendances critiques, d'auditer leur supply chain, de documenter leurs risques fournisseurs, l'État crée par voie réglementaire une dépendance que l'entreprise ne peut ni auditer, ni diversifier, ni refuser. Elle ne peut pas exiger un SBOM de sa PA, pas négocier un SLA de disponibilité, pas basculer vers un opérateur alternatif sans migrer tout son système de gestion. Mais c'est elle qui portera la responsabilité en cas d'incident sur ses données. L'État impose le risque. L'entreprise assume les conséquences.

Références

¹ DGFiP, « Liste des plateformes agréées immatriculées », consulté le 14 mars 2026 — 108 PA définitivement immatriculées au 16 février 2026. impots.gouv.fr

² DGFiP, rapport « La TVA à l'ère du digital en France », remis au Parlement le 3 novembre 2020 : fraude à la TVA estimée entre 10 et 20 milliards d'euros (Cour des comptes/Insee). vie-publique.fr

³ Commission européenne, rapport VAT Gap 2025 (données 2023) — 128 milliards d'euros de manque à gagner en Europe, dont 12,1 milliards pour la France. taxation-customs.ec.europa.eu

⁴ FNFE-MPE, « Réforme de la facture électronique : cap 2026 », octobre 2025. fnfe-mpe.org

⁵ MEG, « Comprendre les plateformes de facturation électronique », mars 2026. mon-expert-en-gestion.com

⁶ CNCC, FAQ Facturation électronique, question n°32, v2 janvier 2026. doc.cncc.fr

⁷ Pennylane, page d'accueil : « plus de 800 000 entreprises et 4 500 cabinets comptables ». pennylane.com

⁸ Ordonnance n°45-2138 du 19 septembre 1945, article 21. legifrance.gouv.fr

⁹ Compta-Facile, « Secret professionnel de l'expert-comptable ». compta-facile.com

¹⁰ CNOEC, guide comparatif « Bien choisir sa plateforme agréée », mis à jour février 2026 (cité par Compta Online). compta-online.com

¹¹ Compta Online, « Facture électronique : enjeux sectoriels et cas pratiques », janvier 2026. compta-online.com

¹² Facture-electronique-obligatoire.fr, « Facturation électronique pour professions libérales ». facture-electronique-obligatoire.fr

¹³ Compta Online, « Plateformes agréées : quelles sont les sociétés immatriculées provisoirement », septembre 2025. compta-online.com

¹⁴ DGFiP, « Facturation électronique et plateformes agréées », janvier 2026. impots.gouv.fr

¹⁵ Article 242 nonies B de l'annexe II au CGI ; formulaire d'immatriculation. demarche.numerique.gouv.fr

¹⁶ Docaposte, « PDP, c'est fini : comprendre le rôle d'une plateforme agréée », février 2026. docaposte.com

¹⁷ DLA Piper, « Cyber Resilience Act: the fine line between SaaS and digital products », février 2026. dlapiper.com

¹⁸ ANSSI, FAQ MonEspaceNIS2 — articulation NIS 2 / DORA. aide.monespacenis2.cyber.gouv.fr

¹⁹ Directive (UE) 2022/2555 (NIS 2), considérant 33. Analyse : irenard-avocat.com, « Éditeurs SaaS et cybersécurité : êtes-vous NIS2 CRA DORA proofed ? », février 2026. irenard-avocat.com

²⁰ Sénat, projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Analyse : Mathias Avocats, octobre 2025. avocats-mathias.com

²¹ Directive (UE) 2022/2557 (REC), annexe — onze secteurs. eur-lex.europa.eu · Conseil d'État, avis sur le projet de loi, 2024. conseil-etat.fr

²² CVE-2024-40896 — CVSS 9.1. security.snyk.io · Analyse détaillée. cve.news

²³ CVE-2025-49794 et CVE-2025-49796 — CVSS 9.1 (RedHat). Seal Security, décembre 2025. seal.security

²⁴ CVE-2024-56171, CVE-2025-24928, CVE-2025-32415 — IBM Security Bulletin, 2025. ibm.com

²⁵ ANSSI, « Les services de confiance » — liste nationale de confiance des prestataires qualifiés eIDAS. cyber.gouv.fr

²⁶ Ministère du budget, communiqué de presse du 15 octobre 2024 (rapporté par Daf-Mag, 15 novembre 2024). daf-mag.fr

²⁷ Décret n°2022-1299 du 7 octobre 2022. legifrance.gouv.fr

²⁸ CPME, communiqué du 17 octobre 2024, « La CPME s'oppose au projet de facturation électronique payante ». jss.fr

²⁸ᵇ Solidaires Finances Publiques, « Facturation électronique : nouvel abandon de l'État pour nos missions de service public ». solidairesfinancespubliques.org

²⁹ Loi n° 2024-449 du 21 mai 2024 (SREN), article 31. legifrance.gouv.fr · Rapport commission des lois du Sénat, décembre 2025. senat.fr

More like this

Wheel of Confusion

Wheel of Confusion

Microsoft opère sur près d'un milliard de postes Windows 11 dans le monde un edge cloud que personne ne nomme comme tel. Cette absence de qualification a un coût mesurable pour les États qui se disent maîtres de leurs choix.
Now You See Me

Now You See Me

Les SIEM d'entreprise couvrent 21% des techniques MITRE ATT&CK. En cinq ans, aucune progression. 90% de faux positifs, 62% d'alertes ignorées, 74% des brèches avec alertes ignorées. The closer you look, the less you see.
Ghost in the Binary

Ghost in the Binary

Le CRA évalue la conformité du code source. Le compilateur modifie le binaire. Le régulateur ne voit pas la différence. Quand la réglementation européenne déclare conforme un produit qu'elle n'a pas les moyens de vérifier.
L'Arnaque

L'Arnaque

La circulaire du 5 février place la souveraineté en critère numéro un des achats numériques de l'État. Elle renvoie à un décret absent depuis dix-huit mois. Cinq couches de sécurité dépendent d'infrastructures que l'Europe ne contrôle pas. Aucun texte en vigueur ne les couvre.
Soylent Green

Soylent Green

Les "Leaders" des Magic Quadrants ne sont pas des entreprises ordinaires. 80% des fondateurs cyber israéliens viennent du renseignement militaire. Une stratégie de sécurité devrait partir du métier. Le radar propose l'inverse : un modèle universel.
Fantômas au Conseil d'État

Fantômas au Conseil d'État

Le décret d'application de l'article 31 de la loi SREN devait définir les données sensibles de l'État. Dix-huit mois après le délai, il n'existe pas. Entre-temps, l'État annonce, légifère, migre — et chaque texte renvoie à un texte absent.