CyberEurope

Paysage fragmenté aux niveaux de protection très inégaux entre États membres, manque de préparation opérationnelle pour des infrastructures critiques, et forte augmentation d’attaques de type rançongiciel ou phishing, l’Europe est encore très mal équipée pour répondre aux aspects cyber de la guerre hybride que lui mènent plusieurs puissances extérieures – comme la Russie depuis au moins 8 ans… Ainsi, la European Union Agency for Cybersecurity (ENISA) constate que le phishing représente 60 % des intrusions détectées.

Le 20 septembre 2025, une attaque par rançongiciel sur le fournisseur logiciel Collins Aerospace a paralysé les systèmes d’enregistrement de plusieurs grands aéroports européens (dont Brussels Airport, London Heathrow Airport et Berlin Brandenburg Airport). Une attaque revendiquée par un groupe russe.

Cet épisode souligne les vulnérabilités de chaînes critiques externalisées et de liaisons logicielles transnationales. Sans parler des pratiques de surveillance des téléphones de compagnie, comme le rappelle cet article.

Depuis septembre 2025, l’Union européenne s’est mobilisée pour franchir plusieurs étapes majeures en matière de législation sur la cybersécurité. Le Cyber Resilience Act fixe des exigences communes pour les produits numériques, imposant des principes de sécurité dès la conception et une obligation de notification des incidents. Sa mise en œuvre supposera des normes de cybersécurité sont en cours d’élaboration et un « observatoire européenne de gouvernance de la sécurité numérique »  précise le site MLex. Il est complété par le Cyber Solidarity Act, entré en vigueur en février 2025, crée un mécanisme d’urgence cyber européen, un réseau d’alerte et des centres régionaux.

La directive NIS2 élargit fortement le champ d’application aux entreprises de nombreux secteurs, instaure des obligations renforcées (gestion des risques, notification rapide des incidents, sécurité des chaînes d’approvisionnement) et prévoit des sanctions sévères en cas de non-conformité. Dans une analyse au fond, le site solutions.numériques souligne les impacts aux champs aux secteurs critiques (santé, énergie, télécoms, chimie, dispositifs médicaux). Cette directive introduit une distinction entre entités « essentielles » et « importantes ». Elle impose une gestion plus rigoureuse des risques (notamment des chaînes d’approvisionnement) et fixe la notification d’incidents à 24h, puis 72h pour l’évaluation. Des sanctions lourdes sont prévues : jusqu’à 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles, dirigeants compris. Solutions Numeriques & Cybersécurité.

Le Cyber Blueprint, adopté en juin 2025, établit un cadre de gestion de crise à l’échelle de l’UE en précisant les rôles & mécanismes pour gérer une cyber‑crise à grande échelle : préparation, détection, réponse, récupération, et coordination civil‑militaire (avec OTAN). Enfin, le régime de sanctions contre les cyberattaques a été prolongé jusqu’en 2028.  

Ces avancées renforcent la résilience européenne, mais leur efficacité dépend encore d’une mise en œuvre homogène et d’une meilleure coordination entre États membres, comme le soulignent par exemple les transpositions nationales très inégales de la directive NIS2. 

Mais l’Europe en fait-elle assez pour une cybersécurité en conformité avec son Etat de droit? Dans un post, la députée Aura Salla (FI-PPE) souligne que l’Europe manque encore de souveraineté technologique dans trois domaines clés : les données, le marché et le capital.

L’UE a trop réglementé sans créer de valeur, n’a pas de véritable marché unique et reste incapable d’unifier ses marchés financiers. Les règles européennes, censées limiter les géants américains, freinent surtout les entreprises locales. La députée appelle à soutenir les acteurs européens via la commande publique, à adapter les lois numériques, à valoriser les données européennes et à bâtir enfin une union des marchés de capitaux. L’Europe doit favoriser les fusions, la mobilité et une identité d’entreprise européenne.  

En matière d’Etat de droit, la législation européenne récente en cybersécurité pose encore plusieurs problèmes juridiques majeurs. D’abord, se pose le problème de la complexité et de l’empilement normatifs. Comme les souligne une note du cabinet Deloitte, la NIS2 Directive, le Cyber Resilience Act (CRA), le Cyber Solidarity Act, etc., créent un environnement où les chevauchements d’obligations entrainent des incertitudes pour les entreprises. Ainsi, le CRA impose notamment une obligation de divulgation dans les 24 h d’une vulnérabilité exploitée, ce qui suscite des critiques quant à sa faisabilité et aux risques. Par exemple, une publication hâtive pourrait exposer « des failles non corrigées à des acteurs malveillants ».  

L’autre problème est celui de l’hétérogénéité dans les transpositions nationales en particulier de la NIS2 comme déjà observé. Plusieurs États membres n’ont toujours pas procédé à la mise en œuvre à la date-butoir du 17 octobre 2024. Ceci engendre une incertitude juridique et un terrain non uniforme pour les entreprises opérant dans plusieurs pays. 

De plus, les obligations renforcées en matière de notification d’incidents et de gestion des vulnérabilités peuvent engendrer de lourdes responsabilités civiles et pénales pour les dirigeants d’entités « essentielles ou importantes » – comme pour la directive NIS2. Ce qui illustre les problèmes d’inégalités pour les acteurs de PME ou de l’open-source. L’obligation de conformité (mises à jour, absence de vulnérabilités, traçabilité des composants logiciels) pourrait leur être plus coûteuse et désavantager les petits acteurs. La mise en œuvre juridique de la cybersécurité européenne pose des défis à son régime d’Etat de droit.

Encore un domaine où la transformation du modèle européen pour répondre aux nouveaux enjeux géopolitiques se fait sous la contrainte et sans certitudes.