Politiques de cybersécurité

La Commission européenne et le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité ont présenté une nouvelle stratégie de cybersécurité de l’UE à la fin de 2020.

La stratégie couvre la sécurité des services essentiels tels que les hôpitaux, les réseaux énergétiques et les chemins de fer. Il couvre également la sécurité du nombre toujours croissant d'objets connectés dans nos maisons, nos bureaux et nos usines.

La stratégie met l'accent sur le renforcement des capacités collectives pour répondre aux cyberattaques majeures et sur la collaboration avec des partenaires du monde entier pour assurer la sécurité et la stabilité internationales dans le cyberespace.

Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2)

Les menaces en matière de cybersécurité sont presque toujours transfrontières, et une cyberattaque contre les installations critiques d’un pays peut affecter l’UE dans son ensemble. Les pays de l’UE doivent disposer d’organes gouvernementaux solides qui supervisent la cybersécurité dans leur pays et qui collaborent avec leurs homologues d’autres États membres en partageant des informations. Cela est particulièrement important pour les secteurs qui sont critiques pour nos sociétés.

La première directive sur la sécurité des réseaux et des systèmes d'information (directiveSRI)garantit la création et la coopération de ces organismes gouvernementaux. Cette directive a été réexaminée à la fin de 2020, ce qui a conduit à la proposition et à l’adoption de la directive SRI 2. Les États membres avaient jusqu’au 18 octobre 2024 pour transposer et mettre en œuvre intégralement la directive SRI2.

ENISA – l’agence de l’UE pour la cybersécurité

L’ENISA est l’Agence de l’Union européenne pour la cybersécurité, créée en 2005. Le mandat a été révisé en 2019 et, depuis lors, l’Agence dispose d’un mandat permanent. 

Les principaux objectifs et tâches de l’ENISA sont définis dans l’acte de base, à savoir le règlement sur la cybersécurité (CSA). L’ENISA apporte un soutien aux États membres, aux institutions de l’UE et aux entreprises dans des domaines clés, notamment la mise en œuvre de la directive SRI, de la législation sur la cyberrésilience et de la législation sur la cybersolidarité. L’Agence soutient également le processus de certification de cybersécurité des produits TIC, des services TIC et des processus TIC, tel qu’établi au titre III de l’ASC. 

Le règlement sur la cybersécurité

Le règlement sur la cybersécurité a été adopté en 2019 et a renforcé le rôle de l’Agence de l’Union européenne pour la cybersécurité (ENISA). Il a conféré à l'agence un mandat permanent et lui a donné les moyens de contribuer au renforcement de la coopération opérationnelle et de la gestion des crises dans l'ensemble de l'UE. Il dispose également de plus de ressources financières et humaines qu'auparavant.

Le règlement sur la cybersécurité a également établi le cadre européen de certification de cybersécurité (ECCF), qui définit des exigences communes en matière de cybersécurité et des critères d’évaluation pour la certification des produits TIC, des services TIC et des processus TIC. Vous trouverez de plus amples informations sur le site web spécifique de l’ENISA .

Une modification ciblée du règlement sur la cybersécurité, adoptée le 15 janvier 2025, a étendu le champ d’application de la certification aux services de sécurité gérés.

Législation sur la cyberrésilience

Le règlement sur la cybersolidarité

Le règlement sur la cybersolidarité est entré en vigueur le 4 février 2025, dans le but d’améliorer la préparation, la détection et la réaction aux incidents de cybersécurité dans l’ensemble de l’UE.

Le plan cybernétique

Le 24 février 2025, un projet de recommandation du Conseil relative au schéma directeur de l'UE pour la gestion des crises de cybersécurité (plan directeur cyber) a été publié. L’objectif de la présente recommandation est de présenter de manière claire, simple et accessible le cadre de l’UE pour la gestion des crises informatiques. Le projet proposé met à jour le cadre global de l’UE pour la gestion des crises de cybersécurité et cartographie les acteurs concernés de l’UE, en décrivant leurs rôles tout au long du cycle de vie de la crise. Cela comprend la préparation et la connaissance partagée de la situation pour anticiper les cyberincidents, ainsi que les capacités de détection nécessaires pour les identifier, y compris les outils d’intervention et de rétablissement nécessaires pour atténuer, dissuader et contenir ces incidents.

Plan de redressement

La cybersécurité est l’une des priorités de la Commission dans sa réponse à la crise du coronavirus, étant donné qu’il y a eu une augmentation des cyberattaques pendant le confinement. Le plan de relance pour l’Europe prévoit des investissements supplémentaires dans la cybersécurité.

Soutien à la recherche et à l'innovation: Horizon 2020 et cPPP; Horizon Europe

La recherche sur la sécurité numérique est essentielle à la création de solutions innovantes capables de nous protéger contre les cybermenaces les plus récentes et les plus avancées. C'est pourquoi la cybersécurité est un élément important d'Horizon 2020 et de son successeur, Horizon Europe. 

Dans Horizon Europe, pour la période 2021-2027, la cybersécurité fait partie du pôle «Sécurité civile pour la société». 

Dans le cadre d'Horizon 2020, la Commission a cofinancé la recherche et l'innovation dans des domaines tels que la préparation à la cybersécurité au moyen de gammes et de simulations cybernétiques, la cybersécurité pour les petites et moyennes entreprises, la cybersécurité dans le système électrique et énergétique, ainsi que la cybersécurité et la protection des données dans les secteurs critiques. Ces thèmes relèvent du pôle «Sociétés sûres — Protéger la liberté et la sécurité de l’Europe et de ses citoyens».

En 2016, le partenariat public-privé contractuel (PPPc) Horizon 2020 sur la cybersécurité a été établi entre la Commission européenne et l'Organisation européenne pour la cybersécurité (ECSO), une association composée de membres de l'industrie du cyberespace, du monde universitaire, des administrations publiques et plus encore.

Soutien aux cybercapacités et au déploiement

Nos infrastructures physiques et numériques sont étroitement liées. Par conséquent, la Commission a également investi dans la cybersécurité dans le cadre de son programme de financement des investissements dans les infrastructures, le mécanisme pour l’interconnexion en Europe (MIE), pour la période 2014-2020.

Le soutien du MIE est allé aux équipes de réponse aux incidents de sécurité informatique, aux opérateurs de services essentiels (OES), aux fournisseurs de services numériques (DSP), aux points de contact uniques (SPOC) et aux autorités nationales compétentes (ANC). Cela renforce les capacités en matière de cybersécurité et la collaboration transfrontière au sein de l’UE, en soutenant la mise en œuvre de la stratégie de cybersécurité de l’UE.

Le programme pour une Europe numérique, pour la période 2021-2027, est un programme ambitieux qui prévoit d’investir 1,9 milliard d’euros dans la capacité de cybersécurité et le déploiement à grande échelle d’infrastructures et d’outils de cybersécurité dans l’ensemble de l’UE pour les administrations publiques, les entreprises et les particuliers.

La cybersécurité fait également partie d’InvestEU,  un programme général qui rassemble de nombreux instruments financiers et utilise les investissements publics pour obtenir de nouveaux investissements du secteur privé. Sa facilité d’investissement stratégique soutiendra les chaînes de valeur clés dans le domaine de la cybersécurité. Il s’agit d’un volet important du plan de relance en réponse à la crise du coronavirus.

Atlas de cybersécurité

Le centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité mettra en commun son expertise et alignera le développement et le déploiement européens des technologies de cybersécurité. Elle collaborera avec l’industrie, la communauté universitaire et d’autres acteurs pour élaborer un programme commun d’investissements dans la cybersécurité et décidera des priorités de financement pour la recherche, le développement et le déploiement de solutions de cybersécurité dans le cadre des programmes Horizon Europe et pour une Europe numérique.

Actuellement, quatre projets pilotes sont en cours pour jeter les bases du Centre et du Réseau de compétences. Ils impliquent plus de 170 partenaires.

Pour une meilleure vue d’ensemble de l’expertise et des capacités en matière de cybersécurité dans l’ensemble de l’UE, la Commission a mis au point une plateforme complète appelée «Atlas de cybersécurité».

Déploiement sécurisé de la 5G dans l’UE

Les réseaux 5G représentent une infrastructure numérique clé, car ils constituent l'épine dorsale de nombreux services critiques. Il est essentiel de garantir la cybersécurité et la résilience de ces infrastructures critiques. Sur la base d’une évaluation coordonnée des risques, les États membres du groupe de coopération SRI, en collaboration avec la Commission et l’ENISA, ont élaboré la boîte à outils de l’UE sur la cybersécurité 5G, qui définit des mesures visant à renforcer les exigences de sécurité pour les réseaux 5G, à appliquer des restrictions pertinentes aux fournisseurs à haut risque et à assurer la diversification des fournisseurs.

L’état d’avancement de la mise en œuvre de la boîte à outils 5G par les États membres est décrit dans le deuxième rapport d’avancement de juin 2023 du groupe de coopération SRI. La Commission a également procédé à sa propre évaluation des fournisseurs de services 5G, qui est disponible dans la communication de juin 2023. 

Sécurisation du processus électoral

Nos démocraties européennes sont devenues de plus en plus numériques: les campagnes politiques se déroulent en ligne et les élections elles-mêmes se déroulent par vote électronique dans de nombreux pays. 

La Commission a émis des recommandations pour la cybersécurité des élections au Parlement européen, dans le cadre d’un ensemble plus large de recommandations visant à soutenir des élections européennes libres et équitables. Un mois avant les élections européennes de 2019, le Parlement européen, les pays de l’UE, la Commission et l’ENISA ont procédé à un test en direct de leur état de préparation.

Cybersécurité des hôpitaux et des prestataires de soins de santé

La numérisation révolutionne les soins de santé et permet d’offrir de meilleurs services aux patients. Cependant, les cyberattaques peuvent perturber ces services vitaux. Le 15 janvier 2025, la Commission a présenté un plan d’action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé, qui constitue l’une des initiatives prioritaires énoncées dans les orientations politiques pour la Commission 2024/29.

Le plan d’action propose, entre autres, à l’ENISA, l’agence de l’UE pour la cybersécurité, de créer un centre paneuropéen de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé, en leur fournissant des orientations, des outils, des services et des formations sur mesure. L’initiative s’appuie sur le cadre plus large de l’UE pour renforcer la cybersécurité dans l’ensemble des infrastructures critiques.

Compétences pour la main-d’œuvre

Nous ne pouvons assurer la sécurité numérique que si nous disposons d'experts possédant les connaissances et les compétences adéquates, et il n'y en a pas assez à l'heure actuelle. C’est pourquoi la Commission prend des mesures pour stimuler le développement des compétences en matière de cybersécurité et accroître la main-d’œuvre de l’Union européenne.

Les compétences en matière de cybersécurité, qui relèvent de l’agenda général de la Commission en matière de compétences numériques, resteront une priorité de l’agenda politique de la Commission, l’Union des compétences étant prévue dans les orientations politiques de la Commission pour 2024-2029. Les projets continueront d’être financés au titre de divers programmes, notamment le programme pour une Europe numérique et Erasmus+, afin de combler le déficit de main-d’œuvre dans l’Union européenne. La Commission continuera à utiliser les instruments d’action existants, tels que le programme d’action pour la décennie numérique à l’horizon 2030 et la possibilité qu’elle offre de mettre en place des projets plurinationaux portant sur les compétences en matière de cybersécurité, comme le prévoit la communication de la Commission intitulée «Réduire le déficit de talents en matière de cybersécurité afin de stimuler la compétitivité, la croissance et la résilience de l’UE» (ci-après l’«Académie des compétences en matière de cybersécurité»).

L' Académie Compétences Cybersécurité

L’Académie des compétences en matière de cybersécurité, lancée dans le cadre de l’Année européenne des compétences 2023, regroupe des initiatives privées et publiques aux niveaux européen et national afin de combler le déficit croissant de main-d’œuvre dans le domaine de la cybersécurité. L’Académie, hébergée en ligne sur la plateforme de la Commission sur les emplois et les compétences numériques, bénéficie du soutien de toutes les parties prenantes, notamment de l’industrie au moyen d’un mécanisme d’engagements, et du monde universitaire, avec une initiative phare s’appuyant sur le succès de l’Académie: le réseau industrie-université.

Communication sur l’Académie européenne des compétences en matière de cybersécurité

Fiche d’information de l’Académie européenne des compétences en matière de cybersécurité

Sensibilisation

Le facteur humain est souvent le maillon faible de la cybersécurité: un clic sur un lien de phishing peut avoir d'énormes conséquences. Par conséquent, la Commission sensibilise à la cybersécurité et promeut les bonnes pratiques auprès du grand public. Par exemple, une fois par an, elle organise le Mois européen de la cybersécurité en collaboration avec l’ENISA.

ENISA – l’agence de l’UE pour la cybersécurité

L’ENISA est l’agence de l’UE chargée de la cybersécurité. Il apporte un soutien aux États membres, aux institutions de l’UE et aux entreprises dans des domaines clés, y compris la mise en œuvre de la directive SRI.

ISAC

Les centres d'échange et d'analyse d'informations (ISAC) favorisent la collaboration entre la communauté de la cybersécurité dans différents secteurs de l'économie. Poursuivre le développement des ISAC tant au niveau de l'UE qu'au niveau national est une priorité pour la Commission. En collaboration avec l’ENISA, la Commission encourage également la mise en place de nouvelles ISAC dans les secteurs qui ne sont pas couverts. Le consortium «Autonomiser les ISAC de l’UE», supervisé par la Commission, fournit un soutien juridique, technique et organisationnel aux ISAC.

CCR

Le Centre commun de recherche (JRC) de la Commission contribue activement à la cybersécurité dans l’UE. Par exemple, le JRC a élaboré une taxinomie de la cybersécurité. Cela aligne la terminologie utilisée en matière de cybersécurité afin que nous puissions avoir une vue d’ensemble plus claire des capacités de cybersécurité dans l’UE.

Le JRC a également publié récemment un rapport qui donne un aperçu du paysage actuel de la cybersécurité dans l’UE et de son histoire, intitulé «Cybersécurité– notre ancre numérique».

CSIRT/CERT

En vertu de la directive SRI 2, les États membres de l’UE sont tenus de veiller au bon fonctionnement des équipes d’intervention en cas d’incident de sécurité informatique (CSIRT), également appelées «équipes d’intervention en cas d’urgence informatique» (CERT). Ces équipes s'occupent des incidents et des risques liés à la cybersécurité dans la pratique. Ils coopèrent les uns avec les autres au niveau de l'UE et collaborent également avec le secteur privé.

Tous les types d’opérateurs de services essentiels et de fournisseurs de services numériques doivent être couverts par des CSIRT désignés.

Les principales tâches des CSIRT sont les suivantes:

• le suivi des incidents au niveau national;
• la fourniture d’alertes précoces, d’alertes, d’annonces et d’autres informations sur les risques et les incidents aux parties prenantes concernées;
• réagir aux incidents;
• fournir une analyse dynamique des risques et des incidents et une connaissance de la situation;
• la participation au réseau des CSIRT.

ECSO

L’Organisation européenne pour la cybersécurité (ECSO) a été créée en 2016 afin d’agir en tant que contrepartie de la Commission dans le cadre d’un partenariat public-privé contractuel couvrant Horizon 2020 pour les années 2016 à 2020. La majorité des 250 membres de l’ECSO appartiennent soit au secteur de la cybersécurité, soit à des instituts de recherche et universitaires dans ce domaine. Dans une moindre mesure, les membres de l’ECSO comprennent également des acteurs du secteur public et des industries axées sur la demande.

En plus de formuler des recommandations sur Horizon 2020, l'ECSO mène diverses activités visant à renforcer les communautés et à développer l'industrie au niveau européen.

Femmes4Cyber

Il est important de souligner le rôle des femmes dans la communauté de la cybersécurité, qui sont sous-représentées. C’est pourquoi la Commission a créé le registre Women4Cyber, en coopération avec l’initiative Women4Cyber de l’ECSO. Il est plus facile pour les médias, les organisateurs d'événements et d'autres personnes de trouver les nombreuses femmes talentueuses travaillant dans le domaine de la cybersécurité, de sorte que ces femmes deviennent plus visibles et plus importantes dans la communauté cybernétique et le débat public.

L’UE travaille avec ses partenaires pour faire progresser les intérêts communs en matière de politique de cybersécurité. Le 9e dialogue UE-États-Unis sur le cyberespace s’est tenu à Bruxelles en décembre 2023. L’UE et les États-Unis ont renforcé leur coopération dans des domaines tels que la cyberdiplomatie, la gestion des crises, le renforcement des capacités, la cybersécurité des infrastructures critiques (y compris le signalementdes incidents), la cybersécurité des produits matériels et logiciels (y compris leplan d’action conjoint sur lesproduits cybersûrs)et les aspects liés à la cybersécurité des technologies émergentes telles que l’IA. 

Depuis 2021, l’UE et l’Ukraine ont organisé trois cyberdialogues. En 2023, l’Agence de l’UE pour la cybersécurité (ENISA) a officialisé un accord de travail avec ses homologues ukrainiens afin de favoriser le renforcement des capacités, l’échange de bonnes pratiques et la connaissance de la situation. L'UE a également entamé des cyberdialogues avec l'Inde, le Japon, la République de Corée et le Brésil. Le premier dialogue UE-Royaume-Uni sur le cyberespace a eu lieu à Bruxelles en décembre 2023,le deuxième un an plus tard, le 6 décembre 2024.

La cybersécurité est également abordée dans le cadre des partenariats numériques bilatéraux et des dialogues numériques, ainsi que de l’alliance numérique UE-ALC, du dialogue réglementaire UE-Balkans occidentaux, du dialogue structuré UE-OTAN sur la résilience et du dialogue structuré UE-OTAN sur la cybersécurité et la défense. En 2023, la task-force UE-OTAN sur la résilience des infrastructures critiques a publié un rapport qui a cartographié d’importants secteurs transversaux. 

Le 11 novembre 2024, l’UE et le Japon ont tenu leursixième dialogue sur lecyberespace à Tokyo, au cours duquel ils ont échangé sur le paysage des menaces et la réaction aux activités de cybermalveillance, et ont fait le point sur leurs dernières évolutions politiques et législatives en matière de cybersécurité ainsi que dans les domaines des technologies émergentes, de la gestion des crises informatiques et de la cyberdéfense.

Cybercriminalité

Les criminels ordinaires recourent à des cyberattaques qui menacent les Européens. Le département «Migration et affaires intérieures» de la Commission assure le suivi et la mise à jour de la législation de l’UE sur la cybercriminalité et soutient les capacités répressives. La Commission collabore également avec le Centre européen de lutte contre la cybercriminalité d'Europol.

Cyberdiplomatie

L'UE s'efforce de se protéger contre les cybermenaces provenant de l'extérieur de ses frontières. Dans ce cadre, la Commission collabore avec le Service européen pour l’action extérieure et les États membres à la mise en œuvre d’une réponse diplomatique commune aux actes de cybermalveillance (la «boîte à outils cyberdiplomatique»). Cette réponse comprend une coopération et un dialogue diplomatiques, des mesures préventives contre les cyberattaques et des sanctions à l’encontre des personnes impliquées dans des cyberattaques menaçant l’UE.

La Commission aide à la prise de décision en matière de réaction aux cybermenaces externes chaque fois que cela est nécessaire. Il finance également directement l’initiative de soutien à la cyberdiplomatie de l’UE en cours.

Cyberdéfense

Le 10 novembre 2022, la Commission et le haut représentant ont présenté une communication conjointe sur une politique de cyberdéfense de l’UE afin de faire face à la détérioration de l’environnement de sécurité à la suite de l’agression de la Russie contre l’Ukraine et de renforcer la capacité de l’UE à protéger ses citoyens et ses infrastructures.  

La politique de cyberdéfense de l’UE s’articule autour de quatre piliers qui couvrent un large éventail d’initiatives qui aideront l’UE et les États membres à être mieux en mesure de détecter, de dissuader et de se défendre contre les cyberattaques:

1. Agir ensemble pour renforcer la cyberdéfense de l’UE

2. Sécuriser l'écosystème de la défense

3. Investir dans les capacités de cyberdéfense

4. S'associer pour relever des défis communs

La nouvelle politique appelle à investir dans descapacités de cyberdéfense à spectre complet et renforcera la coordination et la coopération entre les cybercommunautés militaires et civiles de l’UE. Elle renforcera la coopération avec le secteur privé et la gestion efficace des crises informatiques au sein de l’Union. La nouvelle politique contribuera également à réduire nos dépendances stratégiques en matière de cybertechnologies critiques et à renforcer la base industrielle technologique de défense européenne (BITDE). Il stimulera la formation, l'attraction et la rétention des cyber talents.

L’UE coopère en matière de défense dans le cyberespace dans le cadre des activités de la Commission européenne, du Service européen pour l’actionextérieure (SEAE),de l’Agence européenne de défense, ainsi que de l’ENISA et de l’Agence de l’Union européenne pour la coopération des services répressifs (Europol).

Renforcement des cybercapacités dans les pays tiers

L’UE coopère avec d’autres pays pour les aider à renforcer leurs capacités de défense contre les menaces en matière de cybersécurité. La Commission soutient divers programmes de cybersécurité dans les pays visés par l’élargissement, ainsi que dans d’autres pays du monde, par l’intermédiaire de son département «Coopération internationale et développement».