Politiques de cybersécurité

La Commission européenne et la haute représentante de l’Union pour les affaires étrangères et la politique de sécurité ont présenté une nouvelle stratégie de cybersécurité de l’UE à la fin de 2020.

La stratégie couvre la sécurité des services essentiels tels que les hôpitaux, les réseaux énergétiques et les chemins de fer. Il couvre également la sécurité du nombre toujours croissant d'objets connectés dans nos maisons, bureaux et usines.

La stratégie se concentre sur le renforcement des capacités collectives pour répondre aux cyberattaques majeures et sur la collaboration avec des partenaires du monde entier pour assurer la sécurité et la stabilité internationales dans le cyberespace.

Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2)

Les menaces en matière de cybersécurité sont presque toujours transfrontières, et une cyberattaque contre les installations critiques d’un pays peut affecter l’UE dans son ensemble. Les pays de l’UE doivent disposer d’organismes gouvernementaux solides qui supervisent la cybersécurité dans leur pays et qui collaborent avec leurs homologues d’autres États membres en partageant des informations. Cela est particulièrement important pour les secteurs qui sont essentiels pour nos sociétés.

La première directive sur la sécurité des réseaux et des systèmes d'information(directive SRI)garantit la création et la coopération de ces organismes gouvernementaux. Cette directive a été réexaminée à la fin de 2020, ce qui a conduit à la proposition et à l’adoption de la directive SRI 2. Les États membres avaient jusqu’au 18 octobre 2024 pour transposer et mettre en œuvre intégralement la SRI 2.

ENISA – l’agence de l’UE pour la cybersécurité

L’ENISA est l’Agence de l’Union européenne pour la cybersécurité, créée en 2005. Le mandat a été révisé en 2019 et, depuis lors, l’Agence dispose d’un mandat permanent. 

Les principaux objectifs et tâches de l’ENISA sont définis dans l’acte de base, à savoir le règlement sur la cybersécurité. L’ENISA apporte un soutien aux États membres, aux institutions de l’UE et aux entreprises dans des domaines clés, notamment la mise en œuvre de la directive SRI, de la législation sur la cyberrésilience et de la législation sur la cybersolidarité. L’Agence soutient également le processus de certification de cybersécurité des produits TIC, des services TIC et des processus TIC, tel qu’établi au titre III de l’ASC. 

Le règlement sur la cybersécurité

Le règlement sur la cybersécurité a été adopté en 2019 et a renforcé le rôle de l’Agence de l’Union européenne pour la cybersécurité (ENISA). Il a conféré à l'agence un mandat permanent et lui a donné les moyens de contribuer au renforcement de la coopération opérationnelle et de la gestion des crises dans l'ensemble de l'UE. Il dispose également de plus de ressources financières et humaines qu'auparavant.

Le règlement sur la cybersécurité a également établi le cadre européen de certification de cybersécurité (ECCF), qui prévoit des exigences communes en matière de cybersécurité et des critères d’évaluation pour la certification des produits TIC, des services TIC et des processus TIC. Pour de plus amples informations, veuillez consulter le site web de l’ENISA.

Une modification ciblée du règlement sur la cybersécurité, adoptée le 15 janvier 2025, a étendu le champ d’application de la certification aux services de sécurité gérés.

Le 11 avril 2025, la Commission a lancé une consultation publique en vue d’une contribution à l’évaluation et à la révision du règlement sur la cybersécurité.
 

Le règlement sur la cyberrésilience

Le règlement sur la cybersolidarité

Le règlement sur la cybersolidarité est entré en vigueur le 4 février 2025, dans le but d’améliorer la préparation, la détection et la réaction aux incidents de cybersécurité dans l’ensemble de l’UE.

Le plan d'action en matière de cybersécurité

Le 24 février 2025, un projet de recommandation du Conseil sur le plan directeur de l’UE pour la gestion des crises de cybersécurité (plan directeur cyber) a été publié. L’objectif de la présente recommandation est de présenter de manière claire, simple et accessible le cadre de l’UE pour la gestion des cybercrises. Le plan proposé met à jour le cadre global de l’UE pour la gestion des crises de cybersécurité et cartographie les acteurs concernés de l’UE, en décrivant leurs rôles tout au long du cycle de vie de la crise. Il s’agit notamment de la préparation et de la connaissance commune de la situation pour anticiper les cyberincidents, ainsi que des capacités de détection nécessaires pour les identifier, y compris les outils de réaction et de rétablissement nécessaires pour atténuer, décourager et contenir ces incidents.

Plan de redressement

La cybersécurité est l’une des priorités de la Commission dans sa réponse à la crise du coronavirus, étant donné que les cyberattaques ont augmenté pendant le confinement. Le plan de relance pour l’Europe prévoit des investissements supplémentaires dans la cybersécurité.

Soutien à la recherche et à l'innovation: Horizon 2020 et cPPP; Horizon Europe

La recherche sur la sécurité numérique est essentielle pour construire des solutions innovantes qui peuvent nous protéger contre les cybermenaces les plus récentes et les plus avancées. C’est pourquoi la cybersécurité est un élément important d’Horizon 2020 et d’Horizon Europe qui lui succédera. 

Dans Horizon Europe, pour la période 2021-2027, la cybersécurité fait partie du pôle «Sécurité civile pour la société». 

Dans le cadre d’Horizon 2020, la Commission a cofinancé des travaux de recherche et d’innovation sur des sujets tels que la préparation à la cybersécurité au moyen de cybergammes et de simulations, la cybersécurité pour les petites et moyennes entreprises, la cybersécurité dans le système électrique et énergétique, ainsi que la cybersécurité et la protection des données dans les secteurs critiques. Ces thèmes relèvent du pôle «Sociétés sûres — Protéger la liberté et la sécurité de l’Europe et de ses citoyens».

En 2016, le partenariat public-privé contractuel Horizon 2020 sur la cybersécurité a été établi entre la Commission européenne et l'Organisation européenne pour la cybersécurité (ECSO), une association composée de membres de l'industrie du cyberespace, du monde universitaire, des administrations publiques et plus encore.

Soutien aux cybercapacités et au déploiement

Nos infrastructures physiques et numériques sont étroitement liées. Par conséquent, la Commission a également investi dans la cybersécurité dans le cadre de son programme de financement des investissements dans les infrastructures, le mécanisme pour l’interconnexion en Europe (MIE), pour la période 2014-2020.

Le soutien du MIE a été apporté aux équipes d’intervention en cas d’incident de sécurité informatique, aux opérateurs de services essentiels (OES), aux fournisseurs de services numériques (DSP), aux points de contact uniques (SPOC) et aux autorités nationales compétentes (ANC). Cela renforce les capacités en matière de cybersécurité et la collaboration transfrontière au sein de l’UE, en soutenant la mise en œuvre de la stratégie de cybersécurité de l’UE.

Le programme pour une Europe numérique, pour la période 2021-2027, est un programme ambitieux qui prévoit d’investir 1,9 milliard d’euros dans la capacité de cybersécurité et le déploiement à grande échelle d’infrastructures et d’outils de cybersécurité dans l’ensemble de l’UE pour les administrations publiques, les entreprises et les particuliers.

La cybersécurité fait également partie d’InvestEU,  un programme général qui rassemble de nombreux instruments financiers et utilise les investissements publics pour obtenir de nouveaux investissements du secteur privé. Sa facilité d’investissement stratégique soutiendra les chaînes de valeur clés dans le domaine de la cybersécurité. Il s’agit d’un élément important du plan de relance en réponse à la crise du coronavirus.

Atlas de cybersécurité

Le centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité mettra en commun son expertise et alignera le développement et le déploiement européens des technologies de cybersécurité. Elle collaborera avec l’industrie, la communauté universitaire et d’autres acteurs pour élaborer un programme commun d’investissements dans la cybersécurité et décider des priorités de financement pour la recherche, le développement et le déploiement de solutions de cybersécurité dans le cadre des programmes Horizon Europe et pour une Europe numérique.

Actuellement, quatre projets pilotes sont en cours pour jeter les bases du Centre et du Réseau de compétences. Ils impliquent plus de 170 partenaires.

Pour avoir une meilleure vue d’ensemble de l’expertise et des capacités en matière de cybersécurité dans l’ensemble de l’UE, la Commission a mis au point une plateforme complète appelée «Atlas de la cybersécurité».

Déploiement sécurisé de la 5G dans l’UE

Les réseaux 5G représentent une infrastructure numérique clé, car ils constituent l'épine dorsale de nombreux services critiques. Il est essentiel de garantir la cybersécurité et la résilience de cette infrastructure critique. Sur la base d’une évaluation coordonnée des risques, les États membres du groupe de coopération SRI, en collaboration avec la Commission et l’ENISA, ont élaboré la boîte à outils de l’UE sur la cybersécurité de la 5G, qui définit des mesures visant à renforcer les exigences de sécurité pour les réseaux 5G, à appliquer des restrictions pertinentes aux fournisseurs à haut risque et à assurer la diversification des fournisseurs.

L’état d’avancement de la mise en œuvre de la boîte à outils pour la 5G par les États membres est décrit dans le deuxième rapport d’avancement de juin 2023 du groupe de coopération SRI. La Commission a également procédé à sa propre évaluation des fournisseurs de 5G, qui est disponible dans la communication de juin 2023. 

Sécuriser le processus électoral

Nos démocraties européennes sont devenues de plus en plus numériques: les campagnes politiques se déroulent en ligne et les élections elles-mêmes se déroulent par vote électronique dans de nombreux pays. 

La Commission a émis des recommandations pour la cybersécurité des élections au Parlement européen, dans le cadre d’un ensemble plus large de recommandations visant à soutenir des élections européennes libres et équitables. Un mois avant les élections européennes de 2019, le Parlement européen, les pays de l’UE, la Commission et l’ENISA ont procédé à un test en direct de leur préparation.

Cybersécurité des hôpitaux et des prestataires de soins de santé

La numérisation révolutionne les soins de santé, permettant de meilleurs services aux patients. Cependant, les cyberattaques peuvent perturber ces services vitaux. Le 15 janvier 2025, la Commission a présenté un plan d’action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé, qui constitue l’une des initiatives prioritaires énoncées dans les orientations politiques pour la Commission 2024/29.

Le plan d’action propose, entre autres, à l’ENISA, l’agence de l’UE pour la cybersécurité, de créer un centre paneuropéen de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé, en leur fournissant des orientations, des outils, des services et des formations adaptés. L’initiative s’appuie sur le cadre plus large de l’UE pour renforcer la cybersécurité dans les infrastructures critiques.

Le 7 avril 2025, la Commission a lancé une consultation ciblée sur le plan d’action pour la cybersécurité des hôpitaux et des prestataires de soins de santé, invitant les parties prenantes à faire part de leur point de vue. Les résultats de la consultation seront pris en compte pour d'autres recommandations que la Commission a l'intention de présenter d'ici la fin de l'année.

Compétences pour la main-d'œuvre

Nous ne pouvons assurer la sécurité numérique que si nous avons des experts possédant les bonnes connaissances et compétences, et il n'y en a actuellement pas assez. C’est pourquoi la Commission prend des mesures pour stimuler le développement des compétences en matière de cybersécurité et accroître la main-d’œuvre de l’Union européenne.

Les compétences en matière de cybersécurité, qui relèvent de la stratégie générale de la Commission en matière de compétences numériques, resteront au premier rang des priorités politiques de la Commission, l’Union des compétences étant prévue dans les orientations politiques de la Commission pour 2024-2029. Les projets continueront d’être financés au titre de divers programmes, notamment le programme pour une Europe numérique et Erasmus+, afin de combler l’écart de main-d’œuvre dans l’Union européenne. La Commission continuera à utiliser les instruments d’action existants tels que le programme d’action pour la décennie numérique à l’horizon 2030 et la possibilité qu’elle offre de mettre en place des projets plurinationaux portant sur les compétences en matière de cybersécurité, comme le prévoit la communication de la Commission intitulée «Remédier au déficit de talents en matière de cybersécurité afin de stimuler la compétitivité, la croissance et la résilience de l’UE» (l’«Académie des compétences en matière de cybersécurité»).

L'Académie des compétences en cybersécurité

La Cybersecurity Skills Academy, lancée dans le cadre de l’Année européenne des compétences 2023, regroupe des initiatives privées et publiques aux niveaux européen et national afin de combler le déficit croissant de main-d’œuvre dans le domaine de la cybersécurité. L’Académie, hébergée en ligne sur la plateforme de la Commission pour les emplois et les compétences numériques, bénéficie du soutien de toutes les parties prenantes, notamment de l’industrie au moyen d’un mécanisme d’engagements, et du monde universitaire, avec une initiative phare s’appuyant sur le succès de l’Académie: le réseau industrie-université.

Communication sur l’Académie européenne des compétences en matière de cybersécurité

Fiche d’information de l’Académie européenne des cybercompétences

Sensibilisation

Le facteur humain est souvent le maillon faible de la cybersécurité: quelqu'un qui clique sur un lien de phishing peut avoir d'énormes conséquences. Par conséquent, la Commission sensibilise le grand public à la cybersécurité et promeut les bonnes pratiques. Par exemple, une fois par an, elle organise le Mois européen de la cybersécurité en collaboration avec l’ENISA.

ENISA – l’agence de l’UE pour la cybersécurité

L’ENISA est l’agence de l’UE chargée de la cybersécurité. Il apporte un soutien aux États membres, aux institutions de l’UE et aux entreprises dans des domaines clés, y compris la mise en œuvre de la directive SRI.

ISAC

Les centres de partage et d’analyse de l’information (ISAC) favorisent la collaboration entre la communauté de la cybersécurité dans différents secteurs de l’économie. Poursuivre le développement des ISAC tant au niveau de l'UE qu'au niveau national est une priorité pour la Commission. En collaboration avec l’ENISA, la Commission encourage également la mise en place de nouveaux ISAC dans des secteurs qui ne sont pas couverts. Le «consortium des ISAC de l’UE qui donne les moyens d’agir», supervisé par la Commission, fournit un soutien juridique, technique et organisationnel aux ISAC.

CCR

Le Centre commun de recherche (JRC) de la Commission contribue activement à la cybersécurité dans l’UE. Par exemple, le JRC a élaboré une taxinomie de la cybersécurité. Cela aligne la terminologie utilisée en matière de cybersécurité afin que nous puissions avoir une vue d’ensemble plus claire des capacités de cybersécurité dans l’UE.

Le JRC a également récemment publié un rapport qui donne un aperçu du paysage actuel de la cybersécurité dans l’UE et de son histoire, intitulé «Lacybersécurité – notre point d’ancrage numérique».

CSIRT/CERT

En vertu de la directive SRI 2, les États membres de l’UE sont tenus de veiller à disposer d’équipes d’intervention en cas d’incident de sécurité informatique (CSIRT) qui fonctionnent bien, également appelées équipes d’intervention en cas d’urgence informatique (CERT). Ces équipes s'occupent des incidents et des risques de cybersécurité dans la pratique. Ils coopèrent entre eux au niveau de l'UE et collaborent également avec le secteur privé.

Tous les types d’opérateurs de services essentiels et de fournisseurs de services numériques doivent être couverts par des CSIRT désignés.

Les principales tâches des CSIRT sont les suivantes:

• surveiller les incidents au niveau national;
• la fourniture d’alertes précoces, d’alertes, d’annonces et d’autres informations sur les risques et les incidents aux parties prenantes concernées;
• réagir aux incidents;
• fournir une analyse dynamique des risques et des incidents et une connaissance de la situation;
• participer au réseau des CSIRT.

ECSO

L’Organisation européenne pour la cybersécurité (ECSO) a été créée en 2016 afin d’agir en tant que contrepartie de la Commission dans le cadre d’un partenariat public-privé contractuel couvrant Horizon 2020 au cours des années 2016 à 2020. La majorité des 250 membres de l’ECSO appartiennent soit au secteur de la cybersécurité, soit à des établissements de recherche et universitaires dans ce domaine. Dans une moindre mesure, les membres de l’ECSO comprennent également des acteurs du secteur public et des industries axées sur la demande.

En plus de formuler des recommandations sur Horizon 2020, l'ECSO mène diverses activités visant au renforcement des communautés et au développement industriel au niveau européen.

Women4Cyber

Il est important de souligner le rôle des femmes dans la communauté de la cybersécurité, qui sont sous-représentées. C’est pourquoi la Commission a mis en place le registre Women4Cyber, en coopération avec l’initiative Women4Cyber de l’ECSO. Cela permet aux médias, aux organisateurs d'événements et à d'autres de trouver plus facilement les nombreuses femmes talentueuses travaillant dans le domaine de la cybersécurité, de sorte que ces femmes deviennent plus visibles et plus visibles dans la cyber-communauté et le débat public.

L’UE collabore avec ses partenaires pour faire progresser les intérêts communs en matière de politique de cybersécurité. Le 9e dialogue UE-États-Unis sur le cyberespace s’est tenu à Bruxelles en décembre 2023. L’UE et les États-Unis ont développé leur coopération dans des domaines tels que la cyberdiplomatie, la gestion des crises, le renforcement des capacités, la cybersécurité des infrastructures critiques (y comprislanotification des incidents),la cybersécurité des produits matériels et logiciels (y compris leplan d’action conjoint sur lesproduits cybersûres) et les aspects liés à la cybersécurité des technologies émergentes telles que l’IA. 

Depuis 2021, l’UE et l’Ukraine ont organisé trois dialogues sur le cyberespace. En 2023, l’Agence de l’Union européenne pour la cybersécurité (ENISA) a officialisé un accord de travail avec ses homologues ukrainiens afin de favoriser le renforcement des capacités, l’échange de bonnes pratiques et la connaissance de la situation. L'UE a également entamé des dialogues sur le cyberespace avec l'Inde, le Japon, la République de Corée et le Brésil. Le premier dialogue UE-Royaume-Uni sur le cyberespace s’est tenu à Bruxelles en décembre 2023,le deuxième un an plus tard, le 6 décembre 2024.

La cybersécurité est également examinée dans le cadre des partenariats numériques et des dialogues numériques bilatéraux, ainsi que de l’alliance numérique UE-ALC, du dialogue réglementaire UE-Balkans occidentaux, du dialogue structuré UE-OTAN sur la résilience et du dialogue structuré UE-OTAN sur la cybersécurité et la défense. En 2023, le groupe de travail UE-OTAN sur la résilience des infrastructures critiques a publié un rapport qui a cartographié d’importants secteurs transversaux. 

Le 11 novembre 2024, l’UE et le Japon ont tenu leur sixième dialogue sur le cyberespace à Tokyo, au cours duquel ils ont échangé sur le paysage des menaces et la réaction aux cyberactivités malveillantes, et ont fourni des mises à jour sur leurs dernières évolutions politiques et législatives en matière de cybersécurité ainsi que dans les domaines des technologies émergentes, de la gestion des cybercrises et de la cyberdéfense.

Le 20 mars 2025, l’UE et l’Inde ont tenu leur huitième dialogue sur le cyberespace à New Delhi, au cours duquel elles ont échangé sur le paysage des cybermenaces et ont fourni des informations actualisées sur l’évolution récente de la politique et de la législation en matière de cybersécurité. Ils ont également abordé la sécurité de la chaîne d'approvisionnement, la cybersécurité des produits et les technologies émergentes.

Le 20 mai 2025, l’UE et la République de Corée ont tenu leur septième dialogue sur le cyberespace à Séoul, au cours duquel ils ont échangé sur l’évolution de la politique en matière de cyberespace et discuté du paysage des cybermenaces et des cadres respectifs visant à prévenir les cybermenaces, à les décourager et à y réagir. Ils ont également abordé la cybersécurité et la résilience.

Cybercriminalité

Les criminels ordinaires ont recours à des cyberattaques qui menacent les Européens. Le département «Migration et affaires intérieures» de la Commission assure le suivi et la mise à jour de la législation de l’UE sur la cybercriminalité et soutient les capacités répressives. La Commission collabore également avec le Centre européen de lutte contre la cybercriminalité au sein d’Europol.

Cyberdiplomatie

L’UE s’efforce de se protéger contre les cybermenaces provenant de l’extérieur de ses frontières. Dans ce cadre, la Commission collabore avec le Service européen pour l’action extérieure et les États membres à la mise en œuvre d’une réponse diplomatique commune aux actes de cybermalveillance (la «boîte à outils cyberdiplomatique»). Cette réponse comprend la coopération et le dialogue diplomatiques, des mesures préventives contre les cyberattaques et des sanctions à l’encontre des personnes impliquées dans des cyberattaques menaçant l’UE.

La Commission contribue à la prise de décision en matière de réaction aux cybermenaces externes chaque fois que cela est nécessaire. Il finance également directement l’initiative de soutien à la cyberdiplomatie en cours de l’UE.

Cyberdéfense

Le 10 novembre 2022, la Commission et la haute représentante ont présenté une communication conjointe sur une politique de cyberdéfense de l’UE afin de faire face à la détérioration de l’environnement de sécurité à la suite de l’agression de la Russie contre l’Ukraine et de renforcer la capacité de l’UE à protéger ses citoyens et ses infrastructures.  

La politique de l’UE en matière de cyberdéfense s’articule autour de quatre piliers qui couvrent un large éventail d’initiatives qui aideront l’UE et les États membres à être mieux en mesure de détecter, de décourager et de se défendre contre les cyberattaques:

1. Agir ensemble pour renforcer la cyberdéfense de l’UE

2. Sécuriser l'écosystème de défense

3. Investir dans les capacités de cyberdéfense

4. Partenaire pour relever les défis communs

La nouvelle politique prévoit des investissements dans descapacités de cyberdéfense à spectre complet et renforcera la coordination et la coopération entre les cybercommunautés militaires et civiles de l’UE. Il renforcera la coopération avec le secteur privé et la gestion efficace des cybercrises au sein de l'Union. La nouvelle politique contribuera également à réduire nos dépendances stratégiques en matière de cybertechnologies critiques et à renforcer la base industrielle technologique de défense européenne (BITDE). Il stimulera la formation, attirera et fidélisera les cyber talents.

L’UE coopère dans le domaine de la défense dans le cyberespace par l’intermédiaire des activités de la Commission européenne, du Service européen pour l’action extérieure (SEAE),de l’Agence européenne de défense, ainsi que de l’ENISA et de l’Agence de l’Union européenne pour la coopération des services répressifs (Europol).

Renforcement des cybercapacités dans les pays tiers

L’UE coopère avec d’autres pays pour les aider à renforcer leur capacité à se défendre contre les menaces en matière de cybersécurité. La Commission soutient divers programmes de cybersécurité dans les pays visés par l’élargissement, ainsi que dans d’autres pays du monde entier, par l’intermédiaire de son service «Coopération internationale et développement».