Peppol n’est pas un label de qualité qui empêche les abus, loin de là !
Le réseau Peppol seul ne garantit en rien la disparition de la fraude liée aux factures. Pour l’expert Olaf Passchier, la technologie ne suffit pas : il faut également repenser notre manière d’appréhender la fraude.
Si Peppol a pour objectif de lutter contre la fraude à la TVA, le système n’élimine pas tous les risques de fraude du jour au lendemain. Son impact se concentre principalement sur les formes classiques de fraude liée aux factures. Le risque de recevoir de fausses factures par e-mail est ainsi largement réduit. Peppol étant un réseau fermé, il n’est par ailleurs plus possible d’intercepter et de modifier des factures. Grâce à l’utilisation de données structurées, d’une transmission cryptée ainsi que d’une authentification de l’expéditeur et du destinataire, toute manipulation devient plus difficile.
« Tous les risques ne disparaissent pas pour autant, nuance Olaf Passchier, Customer Advisory Lead for Fraud, Compliance and Public Security Netherlands and Belgium, SAS. Avec Peppol, le maillon faible n’est plus l’étape du transport de la facture, mais l’identité de l’expéditeur ! »
La plupart des fraudes parfaitement possibles
Le réseau repose sur le principe de « connectez-vous une fois, connectez-vous à tous ». On peut le comparer, dans une certaine mesure, à un numéro de téléphone mobile. Une fois connecté au réseau téléphonique via ce numéro, vous pouvez joindre n’importe quel autre numéro. Dans le réseau Peppol, ce « numéro » correspond à un Access Point. Les factures transitent d’un Access Point à un autre. « En principe, les deux parties sont donc des utilisateurs enregistrés… mais c’était sans compter sur les fraudeurs ! »
Si un fraudeur parvient à usurper l’identité d’une entreprise et à exploiter un Access Point ou une plateforme logicielle trop peu sécurisés, il peut utiliser Peppol pour envoyer de fausses factures qui ont l’air sûres. « La situation est comparable à celle d’un cybercriminel qui, une fois son identité validée par le système, peut se déplacer librement au sein du réseau d’une organisation, continue Olaf Passchier. Dès lors, la plupart des formes de fraude restent parfaitement possibles, même dans Peppol. »
L’IA rend la fraude plus crédible
Peppol se contente donc confirmer qu’une facture a été envoyée via le réseau et depuis un Access Point, mais il ne garantit pas que la personne à l’origine de cette facture était effectivement habilitée à l’envoyer. « Des personnes malveillantes pourraient s’enregistrer en utilisant le numéro d’entreprise d’une entreprise existante. Bien qu’aucun cas de fraude via Peppol ne soit connu à ce jour, les experts en cybersécurité mettent déjà en garde contre les risques. »
De plus, l’IA facilite grandement la tâche des fraudeurs en rendant leurs tentatives d’usurpation d’identité crédibles. « L’IA générative est capable de rédiger des e-mails réalistes, dans plusieurs langues, sans la moindre erreur », prévient Olaf Passchier. Elle peut imiter des fournisseurs et même reproduire le tone of voice d’une entreprise. Grâce à l’IA, les fraudeurs peuvent également collecter de larges quantités de données sur une entreprise, identifier leurs partenaires d’affaires et ainsi établir de fausses factures les plus crédibles possible.
De plus, Peppol étant simple d’utilisation, de nombreuses organisations ont réduit le contrôle humain. Lorsque les factures sont automatiquement intégrées dans le système de l’entreprise, des fraudes générées par IA peuvent plus facilement passer entre les mailles du filet.
Ceci dit, Peppol constitue avant tout une excellente initiative pour détecter la fraude. Comme les données sont structurées, davantage de contrôles sont possibles. Tout est traçable en temps réel et toute anomalie peut être enregistrée efficacement via Peppol, précise encore Olaf Passchier. « Les entreprises doivent néanmoins se rendre compte que Peppol n’assume pas automatiquement ce rôle. Peppol n’est pas un label de qualité garantissant qu’une facture est sûre simplement parce qu’elle provient du réseau. De la même manière, il ne faut pas accorder automatiquement sa confiance à un e-mail qui a été envoyé via un programme reconnu comme Microsoft 365. »
Comment utiliser Peppol de manière optimale
Même dans Peppol, des mécanismes de contrôle restent indispensables. Cela commence par le choix d’un fournisseur Peppol fiable. « Prenez également des mesures en interne et faites approuver chaque paiement, conseille Olaf Passchier. Par exemple, appliquez le principe des quatre yeux : le responsable des achats confirme que les marchandises ont effectivement été livrées, et le service financier vérifie si la facture correspondante est crédible. Dans ce cas, les fraudeurs doivent contourner deux contrôles. »
La technologie doit faciliter ces contrôles. Puisque les fraudeurs recourent de plus en plus à l’intelligence artificielle, les entreprises doivent elles aussi investir dans des outils de détection intelligents. Par exemple, en mettant en place des règles et des modèles qui signalent automatiquement toute facture anormale : un nouveau numéro de compte bancaire, un montant sensiblement plus élevé que d’ordinaire, un expéditeur qui envoie tout à coup plus de factures ou un fournisseur inconnu. Un tel système ne permettra pas d’identifier à coup sûr la fraude, mais pourra exiger une vérification humaine en cas de doute.
Bref, si Peppol offre de la visibilité aux autorités en matière d’irrégularités de TVA et de détecter plus rapidement une fraude grâce aux données disponibles, aux entreprises, toutefois, de « faire bon usage du système en le combinant à des contrôles internes et à une surveillance s’appuyant sur une technologie intelligente. »



