Peppol est-il vraiment sécurisé ?

Un titre audacieux, peut-être même un peu exagéré.
Avant tout : Peppol est nettement plus sécurisé que l’e-mail, mais la vigilance reste essentielle. Même avec Peppol.

À quel point le réseau Peppol est-il sécurisé ?

Peppol est un réseau sécurisé permettant l’envoi et la réception de factures électroniques structurées.

Tous les documents sont transmis de manière chiffrée. Cela signifie que les factures ne peuvent pas être interceptées ou modifiées en cours de route. Comparé à l’e-mail, Peppol est donc sans aucun doute un moyen beaucoup plus sûr d’échanger des factures.

Mais la sécurité ne dépend pas uniquement du réseau Peppol lui-même.

Le rôle des Access Points

Pour envoyer une facture via Peppol, une entreprise doit être connectée via un Access Point (AP) agréé. Il s’agit en quelque sorte des portes d’accès au réseau Peppol. En Belgique, il existe actuellement 199 Access Points reconnus. Chaque AP doit suivre une procédure d’agrément stricte avant de pouvoir enregistrer des entreprises.

Cette procédure d’agrément est essentielle.

En théorie, une partie malveillante pourrait tenter d’enregistrer frauduleusement une entreprise afin d’envoyer ensuite de fausses factures en son nom. C’est pourquoi il est crucial que les Access Points :

vérifient rigoureusement l’identité de la partie qui effectue l’enregistrement via des sources officielles (comme la BCE)
utilisent des méthodes d’identification sécurisées (par exemple eID ou itsme)

Un processus d’enregistrement sans identification solide peut être convivial, mais il augmente le risque d’abus.

Faut-il s’inquiéter ?

Non, mais il faut rester vigilant.

Chaque envoi via le réseau Peppol est entièrement traçable. En cas de fraude, celle-ci peut donc être détectée relativement rapidement. Toutefois, comme pour toute forme de facturation, la prudence reste de mise :

Vérifiez que le nom et le numéro de compte correspondent à ceux affichés dans votre application bancaire
Comparez le numéro de compte avec celui des factures précédentes
Soyez particulièrement attentif aux factures inattendues

Peppol est sécurisé, mais aucun système n’est 100 % à l’abri de la fraude.

Que fait Doccle pour renforcer la sécurité ?

La sécurité est fondamentale pour Doccle. Nos équipes travaillent en permanence à renforcer les mesures de protection et les contrôles.

Enregistrement Peppol sécurisé via itsme

Lorsqu’une entreprise s’enregistre à Peppol via Doccle :

l’identité est confirmée via itsme
les données itsme sont comparées aux données officielles de la BCE

Si les données correspondent, l’enregistrement est activé. Nous garantissons ainsi que seule la personne légalement habilitée peut enregistrer l’entreprise. Dans les cas exceptionnels où itsme n’est pas possible, nos équipes effectuent un contrôle manuel sur base de documents officiels du représentant légal. Plus d’info’s.

Sécurisation renforcée de votre compte

Tout aussi important : la sécurisation de votre propre compte. Un mot de passe fort constitue le minimum. Encore mieux :

Se connecter via itsme ou eID
Activer l’authentification à deux facteurs (2FA)
Utiliser la biométrie dans l’application mobile (empreinte digitale ou reconnaissance faciale)

Vous avez deux comptes distincts (privé et professionnel) ? Dans ce cas, itsme ne peut être lié qu’à un seul compte. Activez alors impérativement l’authentification à deux facteurs pour votre second compte via Profil > Sécurité. Connectez-vous à votre compte.

Que pouvez-vous faire pour vous protéger ?

Surtout dans la phase initiale de la facturation électronique, un contrôle supplémentaire est recommandé.

Pour les factures entrantes, vérifiez à la fois :

la version PDF
la version XML

Pourquoi ?

Une erreur lors de la conversion automatique du PDF vers le format XML peut entraîner des écarts dans les montants ou les données. Il ne s’agit généralement pas d’une fraude, mais d’une erreur technique.

Dans Doccle, vous pouvez télécharger et comparer facilement les deux versions.

Faites-le en particulier pour :

de nouveaux fournisseurs
des factures inattendues
des situations douteuses

En résumé

Peppol est un réseau sécurisé et robuste pour la facturation électronique. Grâce au chiffrement et à la traçabilité complète, le niveau de sécurité est bien supérieur à celui des factures envoyées par e-mail.

Mais la sécurité est une responsabilité partagée :

Les Access Points doivent respecter les règles imposées par le réseau Peppol
Les éditeurs de logiciels doivent mettre en place des processus sécurisés
Les utilisateurs doivent continuer à vérifier attentivement leurs factures

Doccle investit quotidiennement dans des mesures supplémentaires afin de renforcer à la fois la facilité d’utilisation et la sécurité.

Questions fréquentes

Oui. En cas d’erreur lors de la conversion en XML, une facture électronique incorrecte peut être générée. Il ne s’agit pas d’une fraude, mais d’une erreur technique. Une correction s’effectue via une note de crédit.

Les entreprises sont identifiées par leur numéro de TVA ou leur numéro BCE. Si vous indiquez un mauvais numéro, la facture peut être envoyée à une autre entreprise. Vérifiez donc toujours que la facture vous est bien destinée.
En théorie, oui. Cela peut se produire si un logiciel ou un Access Point n’applique pas des contrôles de sécurité suffisants lors de l’enregistrement.

Comme une entreprise peut s’enregistrer auprès de plusieurs Access Points pour l’envoi, un fraudeur pourrait exploiter un Access Point moins strict pour usurper une identité d’entreprise. D’où l’importance d’un contrôle d’enregistrement rigoureux.
Dans l’application Doccle, vous recevez une notification si un client n’est pas encore enregistré sur Peppol.
Que faire en cas de facture suspecte ?
- Ne payez pas en cas de doute
- Contactez l’expéditeur
- Demandez une note de crédit si nécessaire
- Une facture électronique est une facture officielle. Toute correction doit se faire via une note de crédit.
Si vous soupçonnez une fraude, signalez-le via le point de contact pour les entreprises : https://meldpunt.belgie.be/meldpunt/fr/bienvenue