Paysage fragmenté aux niveaux de protection très inégaux entre États membres, manque de préparation opérationnelle pour des infrastructures critiques, et forte augmentation d’attaques de type rançongiciel ou phishing, l’Europe est encore très mal équipée pour répondre aux aspects cyber de la guerre hybride que lui mènent plusieurs puissances extérieures – comme la Russie depuis au moins 8 ans… Ainsi, la European Union Agency for Cybersecurity (ENISA) constate que le phishing représente 60 % des intrusions détectées.
- Le 20 septembre 2025, une attaque par rançongiciel sur le fournisseur logiciel Collins Aerospace a paralysé les systèmes d’enregistrement de plusieurs grands aéroports européens (dont Brussels Airport, London Heathrow Airport et Berlin Brandenburg Airport).
- Une attaque revendiquée par un groupe russe.
- Cet épisode souligne les vulnérabilités de chaînes critiques externalisées et de liaisons logicielles transnationales.
- Sans parler des pratiques de surveillance des téléphones de compagnie, comme le rappelle cet article.
- Depuis septembre 2025, l’Union européenne s’est mobilisée pour franchir plusieurs étapes majeures en matière de législation sur la cybersécurité.
- Le Cyber Resilience Act fixe des exigences communes pour les produits numériques, imposant des principes de sécurité dès la conception et une obligation de notification des incidents .
- Sa mise en œuvre supposera des normes de cybersécurité sont en cours d’élaboration et un « observatoire européenne de gouvernance de la sécurité numérique » précise le site MLex.
- Il est complété par le Cyber Solidarity Act, entré en vigueur en février 2025, crée un mécanisme d’urgence cyber européen, un réseau d’alerte et des centres régionaux.
- La directive NIS2 élargit fortement le champ d’application aux entreprises de nombreux secteurs, instaure des obligations renforcées (gestion des risques, notification rapide des incidents, sécurité des chaînes d’approvisionnement) et prévoit des sanctions sévères en cas de non-conformité.
- Dans une analyse au fond, le site solutions.numériques souligne les impacts aux champs aux secteurs critiques (santé, énergie, télécoms, chimie, dispositifs médicaux).
- Cette directive introduit une distinction entre entités « essentielles » et « importantes ».
- Elle impose une gestion plus rigoureuse des risques (notamment des chaînes d’approvisionnement) et fixe la notification d’incidents à 24h, puis 72h pour l’évaluation.
- Des sanctions lourdes sont prévues : jusqu’à 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles, dirigeants compris. Solutions Numeriques & Cybersécurité
- Le Cyber Blueprint, adopté en juin 2025, établit un cadre de gestion de crise à l’échelle de l’UE en précisant les rôles & mécanismes pour gérer une cyber‑crise à grande échelle :
- préparation, détection, réponse, récupération, et coordination civil‑militaire (avec OTAN).
- Enfin, le régime de sanctions contre les cyberattaques a été prolongé jusqu’en 2028.
Ces avancées renforcent la résilience européenne, mais leur efficacité dépend encore d’une mise en œuvre homogène et d’une meilleure coordination entre États membres, comme le soulignent par exemple les transpositions nationales très inégales de la directive NIS2.