{"id":598,"date":"2025-11-10T09:54:21","date_gmt":"2025-11-10T08:54:21","guid":{"rendered":"https:\/\/heraclite.eu\/?p=598"},"modified":"2026-01-11T18:34:33","modified_gmt":"2026-01-11T17:34:33","slug":"cybereurope","status":"publish","type":"post","link":"https:\/\/heraclite.eu\/index.php\/2025\/11\/10\/cybereurope\/","title":{"rendered":"CyberEurope"},"content":{"rendered":"\n

Paysage fragment\u00e9 aux niveaux de protection tr\u00e8s in\u00e9gaux entre \u00c9tats membres, manque de pr\u00e9paration op\u00e9rationnelle pour des infrastructures critiques, et forte augmentation d\u2019attaques de type ran\u00e7ongiciel ou phishing, l\u2019Europe est encore tr\u00e8s mal \u00e9quip\u00e9e pour r\u00e9pondre aux aspects cyber de la guerre hybride<\/a> que lui m\u00e8nent plusieurs puissances ext\u00e9rieures<\/a> – comme la Russie depuis au moins 8 ans<\/a>… Ainsi, la European Union Agency for Cybersecurity<\/em> (ENISA) constate que le phishing repr\u00e9sente 60 % des intrusions d\u00e9tect\u00e9es<\/a>.<\/p>\n\n\n\n

Le 20 septembre 2025, une attaque par ran\u00e7ongiciel <\/em>sur le fournisseur logiciel Collins Aerospace<\/a> a paralys\u00e9 les syst\u00e8mes d\u2019enregistrement de plusieurs grands a\u00e9roports<\/a> europ\u00e9ens (dont Brussels Airport, London Heathrow Airport et Berlin Brandenburg Airport). Une attaque revendiqu\u00e9e par un groupe russe<\/a>.<\/p>\n\n\n\n

Cet \u00e9pisode souligne les vuln\u00e9rabilit\u00e9s de cha\u00eenes critiques externalis\u00e9es et de liaisons logicielles transnationales. Sans parler des pratiques de surveillance des t\u00e9l\u00e9phones de compagnie, comme le rappelle cet article.<\/a><\/p>\n\n\n\n

Depuis septembre 2025, l\u2019Union europ\u00e9enne s\u2019est mobilis\u00e9e pour franchir plusieurs \u00e9tapes majeures en mati\u00e8re de l\u00e9gislation sur la cybers\u00e9curit\u00e9. Le Cyber Resilience Act<\/strong><\/a> fixe des exigences communes pour les produits num\u00e9riques, imposant des principes de s\u00e9curit\u00e9 d\u00e8s la conception et une obligation de notification des incidents. Sa mise en \u0153uvre supposera des normes de cybers\u00e9curit\u00e9 sont en cours d\u2019\u00e9laboration et un \u00ab observatoire europ\u00e9enne de gouvernance de la s\u00e9curit\u00e9 num\u00e9rique \u00bb  pr\u00e9cise le site MLex<\/a>. Il est compl\u00e9t\u00e9 par le Cyber Solidarity Act<\/strong><\/a>, entr\u00e9 en vigueur en f\u00e9vrier 2025, cr\u00e9e un m\u00e9canisme d\u2019urgence cyber europ\u00e9en, un r\u00e9seau d\u2019alerte et des centres r\u00e9gionaux.<\/p>\n\n\n\n

La directive NIS2<\/strong><\/a> \u00e9largit fortement le champ d\u2019application aux entreprises de nombreux secteurs, instaure des obligations renforc\u00e9es (gestion des risques, notification rapide des incidents, s\u00e9curit\u00e9 des cha\u00eenes d\u2019approvisionnement) et pr\u00e9voit des sanctions s\u00e9v\u00e8res en cas de non-conformit\u00e9. Dans une analyse au fond, le site solutions.num\u00e9riques<\/a> souligne les impacts aux champs aux secteurs critiques (sant\u00e9, \u00e9nergie, t\u00e9l\u00e9coms, chimie, dispositifs m\u00e9dicaux). Cette directive introduit une distinction entre entit\u00e9s \u00ab essentielles \u00bb et \u00ab importantes \u00bb. Elle impose une gestion plus rigoureuse des risques (notamment des cha\u00eenes d\u2019approvisionnement) et fixe la notification d\u2019incidents \u00e0 24h, puis 72h pour l\u2019\u00e9valuation. Des sanctions lourdes sont pr\u00e9vues : jusqu\u2019\u00e0 10 millions d\u2019euros ou 2 % du CA mondial pour les entit\u00e9s essentielles, dirigeants compris. Solutions Numeriques & Cybers\u00e9curit\u00e9<\/a>.<\/p>\n\n\n\n

Le Cyber Blueprint<\/strong><\/a>, adopt\u00e9 en juin 2025, \u00e9tablit un cadre de gestion de crise \u00e0 l\u2019\u00e9chelle de l\u2019UE en pr\u00e9cisant les r\u00f4les & m\u00e9canismes pour g\u00e9rer une cyber\u2011crise \u00e0 grande \u00e9chelle : pr\u00e9paration, d\u00e9tection, r\u00e9ponse, r\u00e9cup\u00e9ration, et coordination civil\u2011militaire (avec OTAN). Enfin, le r\u00e9gime de sanctions contre les cyberattaques<\/strong><\/a> a \u00e9t\u00e9 prolong\u00e9 jusqu\u2019en 2028.  <\/p>\n\n\n\n

Ces avanc\u00e9es renforcent la r\u00e9silience europ\u00e9enne, mais leur efficacit\u00e9 d\u00e9pend encore d\u2019une mise en \u0153uvre homog\u00e8ne et d\u2019une meilleure coordination entre \u00c9tats membres, comme le soulignent par exemple les transpositions nationales tr\u00e8s in\u00e9gales de la directive NIS2<\/a>. <\/p>\n\n\n\n

Mais l\u2019Europe en fait-elle assez pour une cybers\u00e9curit\u00e9 en conformit\u00e9 avec son Etat de droit? Dans un post,<\/a> la d\u00e9put\u00e9e Aura Salla (FI-PPE) souligne que l\u2019Europe manque encore de souverainet\u00e9 technologique dans trois domaines cl\u00e9s : les donn\u00e9es, le march\u00e9 et le capital.<\/p>\n\n\n\n

L\u2019UE a trop r\u00e9glement\u00e9 sans cr\u00e9er de valeur, n\u2019a pas de v\u00e9ritable march\u00e9 unique et reste incapable d\u2019unifier ses march\u00e9s financiers. Les r\u00e8gles europ\u00e9ennes, cens\u00e9es limiter les g\u00e9ants am\u00e9ricains, freinent surtout les entreprises locales. La d\u00e9put\u00e9e appelle \u00e0 soutenir les acteurs europ\u00e9ens via la commande publique, \u00e0 adapter les lois num\u00e9riques, \u00e0 valoriser les donn\u00e9es europ\u00e9ennes et \u00e0 b\u00e2tir enfin une union des march\u00e9s de capitaux. L\u2019Europe doit favoriser les fusions, la mobilit\u00e9 et une identit\u00e9 d\u2019entreprise europ\u00e9enne.  <\/p>\n\n\n\n

En mati\u00e8re d\u2019Etat de droit, la l\u00e9gislation europ\u00e9enne r\u00e9cente en cybers\u00e9curit\u00e9 pose encore plusieurs probl\u00e8mes juridiques majeurs. D\u2019abord, se pose le probl\u00e8me de la complexit\u00e9 et de l’empilement normatifs. Comme les souligne une note du cabinet Deloitte,<\/a> la NIS2 Directive, le Cyber Resilience Act (CRA), le Cyber Solidarity Act, etc., cr\u00e9ent un environnement o\u00f9 les chevauchements<\/a> d\u2019obligations entrainent des incertitudes pour les entreprises. Ainsi, le CRA impose notamment une obligation de divulgation dans les 24 h d\u2019une vuln\u00e9rabilit\u00e9 exploit\u00e9e, ce qui suscite des critiques quant \u00e0 sa faisabilit\u00e9 et aux risques. Par exemple, une publication h\u00e2tive pourrait exposer \u00ab des failles non corrig\u00e9es \u00e0 des acteurs malveillants \u00bb.  <\/p>\n\n\n\n

L\u2019autre probl\u00e8me est celui de l\u2019h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 dans les transpositions nationales<\/strong> en particulier de la NIS2 comme d\u00e9j\u00e0 observ\u00e9. Plusieurs \u00c9tats membres<\/a> n’ont toujours pas proc\u00e9d\u00e9 \u00e0 la mise en \u0153uvre \u00e0 la date-butoir du 17 octobre 2024. Ceci engendre une incertitude juridique et un terrain non uniforme pour les entreprises op\u00e9rant dans plusieurs pays. <\/p>\n\n\n\n

De plus, les obligations renforc\u00e9es en mati\u00e8re de notification d\u2019incidents et de gestion des vuln\u00e9rabilit\u00e9s peuvent engendrer de lourdes responsabilit\u00e9s civiles et p\u00e9nales<\/strong><\/a> pour les dirigeants d\u2019entit\u00e9s \u00ab essentielles ou importantes \u00bb – comme pour la directive NIS2. Ce qui illustre les probl\u00e8mes d\u2019in\u00e9galit\u00e9s pour les acteurs de PME ou de l\u2019open-source<\/a>. L\u2019obligation de conformit\u00e9 (mises \u00e0 jour, absence de vuln\u00e9rabilit\u00e9s, tra\u00e7abilit\u00e9 des composants logiciels) pourrait leur \u00eatre plus co\u00fbteuse et d\u00e9savantager les petits acteurs. La mise en \u0153uvre juridique de la cybers\u00e9curit\u00e9 europ\u00e9enne pose des d\u00e9fis \u00e0 son r\u00e9gime d\u2019Etat de droit.<\/p>\n\n\n\n

Encore un domaine o\u00f9 la transformation du mod\u00e8le europ\u00e9en pour r\u00e9pondre aux nouveaux enjeux g\u00e9opolitiques se fait sous la contrainte et sans certitudes. <\/p>\n","protected":false},"excerpt":{"rendered":"

Paysage fragment\u00e9 aux niveaux de protection tr\u00e8s in\u00e9gaux entre \u00c9tats membres, manque de pr\u00e9paration op\u00e9rationnelle pour des infrastructures critiques, et… Continue Reading<\/a><\/p>\n","protected":false},"author":1,"featured_media":599,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[76,53,5,62],"tags":[],"class_list":["post-598","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-democratie","category-geopolitique","category-politique-europeenne","category-62"],"_links":{"self":[{"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/posts\/598"}],"collection":[{"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/comments?post=598"}],"version-history":[{"count":1,"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/posts\/598\/revisions"}],"predecessor-version":[{"id":600,"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/posts\/598\/revisions\/600"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/media\/599"}],"wp:attachment":[{"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/media?parent=598"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/categories?post=598"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/heraclite.eu\/index.php\/wp-json\/wp\/v2\/tags?post=598"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}