Chaque jour, l’Union européenne encaisse des cyberattaques visant ses hôpitaux, ses réseaux d’énergie, ses télécommunications ou ses institutions démocratiques. Face à des adversaires étatiques et criminels de plus en plus sophistiqués, Bruxelles propose un nouveau train de mesures pour muscler sa défense numérique. Mais ces réformes seront-elles à la hauteur des menaces ?
Comment protéger un continent hyperconnecté dont les infrastructures vitales reposent sur des chaînes d’approvisionnement mondialisées, parfois opaques, souvent vulnérables ? Comment garantir la sécurité des citoyens sans freiner l’innovation ni alourdir la charge des entreprises ? Et surtout, comment transformer la cybersécurité en réflexe collectif plutôt qu’en réaction tardive aux crises ? C’est à ces questions pressantes que la Commission européenne tente aujourd’hui de répondre avec une ambitieuse refonte de son arsenal réglementaire.
L’Europe est confrontée quotidiennement à des cyberattaques et à des attaques hybrides ciblant des services essentiels et des institutions démocratiques. Hôpitaux paralysés, administrations perturbées, réseaux énergétiques sous tension : combien d’alertes faudra-t-il encore pour considérer la cybersécurité comme une priorité stratégique aussi cruciale que la défense militaire ou l’indépendance énergétique ? Face à ces menaces croissantes, la Commission européenne a proposé un nouveau train de mesures visant à renforcer la résilience et les capacités de l’Union.
Au cœur du dispositif, une révision du règlement sur la cybersécurité entend solidifier les fondations mêmes du marché numérique européen : les chaînes d’approvisionnement en technologies de l’information et de la communication (TIC). L’objectif ? Garantir la sécurité des produits dès leur conception grâce à un processus de certification simplifié. Peut-on encore accepter que des failles de sécurité soient découvertes une fois les systèmes déjà déployés ? Pourquoi ne pas exiger, en amont, des standards élevés et vérifiables ?
Pour Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie, « Les menaces en matière de cybersécurité ne sont pas seulement des défis techniques. Elles constituent des risques stratégiques pour notre démocratie, notre économie et notre mode de vie. Avec le nouveau train de mesures sur la cybersécurité, nous disposerons des moyens nécessaires pour mieux protéger nos chaînes d’approvisionnement critiques dans le domaine des TIC, mais aussi pour repousser fermement les cyberattaques. Il s’agit d’une étape importante pour garantir notre souveraineté technologique européenne et assurer à chacun une sécurité accrue. »
Des chaînes d’approvisionnement des TIC sous surveillance
Le nouveau règlement cherche à réduire les risques liés aux fournisseurs de pays tiers jugés sensibles sur le plan de la cybersécurité. Peut-on confier des réseaux stratégiques à des acteurs susceptibles d’être soumis à des pressions étrangères ? L’Union propose un cadre harmonisé, proportionné et fondé sur les risques afin d’identifier et d’atténuer collectivement les menaces dans 18 secteurs critiques.
Pourquoi ne pas profiter d’une lecture illimitée de UP’ ? Abonnez-vous à partir de 1.90 € par semaine.
Les incidents récents ont rappelé combien ces chaînes d’approvisionnement sont devenues des talons d’Achille. La question n’est plus seulement technique : elle est aussi géopolitique. Dépendances économiques, ingérences potentielles, vulnérabilités cachées… La sécurité numérique peut-elle vraiment être dissociée de la souveraineté ?
Le nouveau règlement sur la cybersécurité définit un cadre fiable pour la sécurité de la chaîne d’approvisionnement des TIC, reposant sur une approche harmonisée, proportionnée et fondée sur les risques. Cela permettra à l’UE et aux États membres d’identifier et d’atténuer ensemble les risques dans les 18 secteurs critiques pour l’UE, en tenant également compte des incidences économiques et de l’approvisionnement du marché.
Il permettra un désengagement obligatoire des réseaux européens de télécommunications mobiles à l’égard de fournisseurs de pays tiers à haut risque, en s’appuyant sur les travaux déjà réalisés grâce à la boîte à outils pour la sécurité des réseaux 5G. Un tournant assumé : mieux vaut prévenir que réparer.
Certifier pour rassurer ?
Autre pilier : la simplification du cadre européen de certification de cybersécurité. Les produits et services destinés aux consommateurs devront passer par des tests plus efficaces. L’ECCF apportera davantage de clarté et simplifiera les procédures, ce qui permettra d’élaborer des systèmes de certification dans un délai de 12 mois par défaut. Ce cadre introduira également une gouvernance plus souple et plus transparente afin de mieux associer les parties prenantes grâce à l’information et à la consultation du public.
Mais la certification volontaire peut-elle suffire à instaurer la confiance ? Pour les entreprises, elle se veut un atout : démontrer la conformité aux règles européennes, réduire les coûts administratifs et gagner en crédibilité sur le marché. Pour l’Union, c’est aussi un levier de compétitivité. Et si la cybersécurité devenait finalement un avantage commercial plutôt qu’une contrainte ?
Au-delà des produits, les organisations pourront certifier leur posture cyber globale. De quoi répondre aux attentes croissantes des clients et des partenaires, de plus en plus attentifs aux risques numériques.
Moins de paperasse, plus d’efficacité ?
Le train de mesures promet également de faciliter le respect des règles existantes. Comment exiger des 28 700 entreprises, dont 6 200 micro et petites entreprises, qu’elles se conforment à des obligations complexes sans leur offrir de la clarté ? Les modifications simplifieront les règles de compétence, rationaliseront la collecte de données sur les attaques par rançongiciel et faciliteront la surveillance des entités transfrontières, en confiant à l’ENISA un rôle de coordination renforcé.
Nouvelle catégorie d’entreprises intermédiaires, règles de compétence rationalisées, collecte de données sur les rançongiciels simplifiée : l’idée est claire. Peut-on renforcer la sécurité sans noyer les acteurs économiques sous la bureaucratie ?
L’ENISA, chef d’orchestre européen ?
Enfin, l’Agence de l’Union européenne pour la cybersécurité (ENISA) voit son rôle renforcé. Depuis 2019, elle s’est imposée comme un pilier de l’écosystème de cybersécurité de l’UE. Le règlement révisé sur la cybersécurité présenté aujourd’hui permet à l’ENISA d’aider l’UE et ses États membres à comprendre les menaces communes. Il leur permet également de se préparer et de réagir aux cyberincidents. Demain, pourra-t-elle devenir le véritable centre nerveux de la défense numérique du continent ?
L’agence continuera de soutenir les entreprises et les parties prenantes actives dans l’UE en lançant des alertes précoces concernant les cybermenaces et les cyberincidents. En coopération avec Europol et les centres de réponse aux incidents de sécurité informatique, elle aidera les entreprises à réagir aux attaques par rançongiciel et à s’en relever. L’ENISA mettra également au point une approche à l’échelle de l’Union en vue fournir aux parties prenantes de meilleurs services de gestion des vulnérabilités. Elle utilisera le guichet unique pour la notification des incidents proposée dans le règlement omnibus numérique.
L’ENISA continuera de jouer un rôle clé en vue d’étoffer la main-d’œuvre qualifiée dans le domaine de la cybersécurité en Europe. Pour ce faire, elle pilotera l’académie des compétences en matière de cybersécurité et mettra en place des systèmes d’attestation des compétences en matière de cybersécurité à l’échelle de l’UE pour combler la pénurie criante d’experts.
Pour lutter contre la désinformation et privilégier les analyses qui décryptent l’actualité, rejoignez le cercle des lecteurs abonnés de UP’
Alertes précoces, coordination avec Europol, aide aux victimes de rançongiciels, gestion des vulnérabilités, guichet unique pour la notification des incidents : ses missions s’élargissent donc. Car sans talents, même les meilleures lois restent lettre morte.
Souveraineté numérique : reprendre le contrôle des plateformes
Dans ce contexte, la souveraineté numérique s’impose comme un enjeu stratégique croissant pour les États européens. Réuni à Bercy lors des premières Rencontres de la souveraineté numérique, ce lundi 26 janvier 2026, le gouvernement français a présenté plusieurs initiatives visant à mieux cartographier les dépendances technologiques des acteurs publics et privés, notamment à travers la création d’un Observatoire de la souveraineté numérique et d’un indice de résilience. L’objectif : mesurer et réduire les vulnérabilités structurelles face aux grandes plateformes et aux infrastructures étrangères.
Au-delà des infrastructures, l’exécutif alerte également sur le rôle des algorithmes de recommandation, devenus des acteurs invisibles du débat public. En sélectionnant et en hiérarchisant les contenus, ces systèmes façonnent l’accès à l’information, favorisent la polarisation et créent des bulles informationnelles, avec des effets directs sur les processus démocratiques, les élections ou encore la santé mentale des jeunes. Leur opacité, souvent comparée à des « boîtes noires », constitue désormais un enjeu de sécurité autant que de régulation.
Ces failles sont d’autant plus préoccupantes qu’elles peuvent être exploitées par des acteurs d’ingérence étrangère, capables de manipuler les logiques d’engagement pour amplifier artificiellement certains récits ou déstabiliser l’opinion. Face à ces risques, la France entend renforcer la sensibilisation du grand public et s’appuyer sur le règlement européen sur les services numériques (DSA) pour imposer davantage de transparence et de responsabilité aux plateformes. La régulation des algorithmes apparaît ainsi comme un test décisif de la capacité de l’Union européenne à défendre sa souveraineté numérique et démocratique.
« Les questions de souveraineté numérique sont des questions de souveraineté collective, qui concernent toute la société. Il ne s’agit plus seulement d’un sujet économique, de compétitivité ou d’innovation, mais c’est un enjeu démocratique et de protection d’un certain modèle français et européen. » déclare Clément Beaune. Pour Anne Le Hénanff, « La souveraineté commence par la lucidité. Nous devons savoir d’où et de quoi nous dépendons : sur quelles briques technologiques ; dans quels secteurs ; et pour quels usages. C’est tout l’objectif de l’Observatoire de la souveraineté numérique, que j’ai décidé de confier au Haut-commissariat à la Stratégie et au Plan. »
Dans un contexte de tensions géopolitiques et de compétition technologique accrue, la souveraineté numérique est devenue un enjeu majeur de compétitivité, de sécurité et de résilience. Cloud, données, intelligence artificielle ou cybersécurité : les dépendances numériques touchent aujourd’hui le cœur du fonctionnement des entreprises et des services publics. Face à ces enjeux, le gouvernement a fait de la souveraineté numérique une priorité et a décidé de créer un Observatoire de la souveraineté numérique.
Son lancement officiel a eu lieu le 26 janvier 2026 par la Ministre chargée de l’Intelligence artificielle et du Numérique, Anne Le Hénanff, et le Haut-commissaire à la Stratégie et au Plan, Clément Beaune. Confié au Haut-commissariat à la Stratégie et au Plan, l’Observatoire a pour objectif de mesurer les dépendances numériques de la France afin de mieux les réduire.
A l’occasion de son lancement, Clément Beaune a souligné sa triple mission : dresser un diagnostic partagé des dépendances critiques ; fournir des outils d’aide à la décision pour les acheteurs publics et privés ; contribuer à l’orientation des politiques publiques en matière de souveraineté numérique.
L’Observatoire constitue un levier collectif pour renforcer l’autonomie technologique, la résilience et la compétitivité de la France et de l’Europe.
Et maintenant ?
Le règlement sur la cybersécurité sera applicable dès son adoption par le Parlement européen et le Conseil, tandis que les États membres disposeront d’un an pour transposer les modifications de la directive. Le calendrier est posé. Mais l’urgence l’est encore plus.
La question demeure : ces nouvelles règles permettront-elles réellement à l’Europe de passer d’une posture défensive à une stratégie proactive ? Ou ne sont-elles qu’une étape supplémentaire dans une course sans fin contre des adversaires toujours plus inventifs ?
Une chose est sûre : à l’ère numérique, la sécurité n’est plus une option. Elle est devenue une condition de la souveraineté. Et l’Europe semble décidée à ne plus laisser ses frontières virtuelles ouvertes.
Ces réformes ne constituent sans doute pas une solution miracle. Aucun règlement, aussi ambitieux soit-il, ne peut à lui seul neutraliser des menaces mouvantes, portées par des acteurs étatiques et criminels toujours plus inventifs. Mais elles marquent un changement d’échelle décisif : l’Europe ne se contente plus de réagir aux crises, elle tente d’anticiper, de structurer et d’affirmer sa souveraineté numérique.
À ce titre, ce train de mesures apparaît comme le cadre le plus ambitieux jamais conçu par l’Union en matière de cybersécurité. Les fondations d’une véritable stratégie commune se dessinent. Dans un contexte où l’inaction coûterait bien plus cher que la régulation, ne rien faire ne serait plus une option crédible.
Reste toutefois l’épreuve du réel. Car la bataille ne se gagnera pas seulement dans les textes, mais dans leur application concrète : investissements, coordination entre États membres, montée en compétences, rapidité de réaction face aux crises. Sans cette mobilisation collective, ces avancées risqueraient de demeurer un bouclier administratif face à des attaques bien tangibles.
Alors, ces réformes seront-elles à la hauteur des menaces ? Elles en créent les conditions. Mais leur efficacité dépendra moins de leur ambition affichée que de la volonté politique et opérationnelle de les faire vivre, jour après jour, sur le terrain.
(Source : CP Commission européenne, 20 janvier 2026)
Pour aller plus loin :
- « La cybersécurité« de Nicolas Arpagian (ouvrage francophone) – Editions Que sais-je ?, mai 2022
- « Cybersécurité et Géopolitique » par Alain Melka & Quentin Meullemiedre – 2MG éditions, octobre 2022
- « Géopolitique de l’ingérence russe » de Christine Dugoin-Clément – Editions La Procure, mars 2025
