Skip to content

Cybersécurité de l'UE: stratégie et politiques clés

La numérisation offre des possibilités, mais s'accompagne aussi des cybermenaces. Pour répondre à ces dernières, l'UE a développé une stratégie en matière de cybersécurité et a lancé des initiatives pour renforcer la sécurité et la résilience.

Stratégie de cybersécurité de l'UE

En octobre 2020, les dirigeants de l'UE ont invité les États membres:

  • à protéger l'UE contre les menaces informatiques
  • à mettre en place un environnement de communication sécurisé, y compris grâce au chiffrement quantique
  • à garantir l'accès aux données à des fins judiciaires et répressives

En effet, une réponse plus ferme en matière de cybersécurité, afin de mettre en place un cyberespace ouvert et sécurisé, peut accroître la confiance des citoyens dans les outils et services numériques. La cybersécurité protège les réseaux et les systèmes d'information ainsi que les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces.

En décembre 2020, la Commission européenne et le Service européen pour l'action extérieure (SEAE) ont présenté une nouvelle stratégie de cybersécurité de l'UE. Le but est de renforcer la résilience de l'Europe face aux cybermenaces et de faire en sorte que tous les citoyens et toutes les entreprises bénéficient pleinement de services et d'outils numériques fiables et dignes de confiance.

Le 22 mars 2021, le Conseil a adopté des conclusions sur la stratégie de cybersécurité, soulignant que la cybersécurité était essentielle à l'édification d'une Europe résiliente, verte et numérique. Les ministres de l'UE ont fixé l'objectif clé consistant à parvenir à une autonomie stratégique tout en préservant une économie ouverte. Il s'agit notamment d'accroître la capacité à opérer des choix autonomes dans le domaine de la cybersécurité, tout en renforçant le leadership numérique et les capacités stratégiques de l'UE.

Politiques clés de l'UE en matière de cybersécurité

Schéma directeur en matière de cybersécurité

Le Conseil a adopté un schéma directeur de l'UE pour la gestion des crises de cybersécurité le 6 juin 2025.

Le schéma directeur fournit un cadre complet et détaillé pour la gestion des crises de cybersécurité au niveau de l'UE, en s'appuyant sur le plan d'action de 2017 en matière de cybersécurité.

Le schéma directeur en matière de cybersécurité vise:

  • à garantir une réponse efficace et efficiente aux incidents de cybersécurité majeurs
  • à favoriser une coopération plus structurée entre acteurs civils et militaires
  • à expliquer ce qu'est une crise de cybersécurité et ce qui déclenche un mécanisme de crise de cybersécurité

règlement de l'UE sur la cybersolidarité

Le 2 décembre 2024, le Conseil a adopté le règlement sur la cybersolidarité. Ce règlement établit les capacités de l'UE pour rendre l'Europe plus résiliente et plus réactive face aux cybermenaces, tout en renforçant les mécanismes de coopération.

Les nouvelles règles:

  • établissent un système d'alerte en matière de cybersécurité, qui est une infrastructure paneuropéenne composée de cyberpôles nationaux et transfrontières chargés de soutenir la détection des menaces et incidents de cybersécurité
  • prévoient la création d'un mécanisme d'urgence dans le domaine de la cybersécurité afin de renforcer la préparation et de protéger les entités critiques et les services essentiels, tels que les hôpitaux et les services publics
  • renforcent la solidarité au niveau de l'UE ainsi que la gestion concertée des crises et les capacités de réaction dans l'ensemble des États membres
  • contribuent à garantir un environnement numérique sûr et sécurisé pour les citoyens et les entreprises

Le règlement sur la cybersolidarité est entré en vigueur le 4 février 2025.

Règlement de l'UE sur la cybersécurité

Le règlement de l'UE sur la cybersécurité a été adopté par le Conseil en avril 2019 et a introduit:

  • un schéma de certification à l'échelle de l'UE
  • un mandat permanent et renforcé en ce qui concerne l'Agence de l'Union européenne pour la cybersécurité (ENISA)

Schémas européens de certification

Auparavant, les pays de l'UE utilisaient différents systèmes de certification en matière de cybersécurité pour les produits des technologies de l'information et de la communication (TIC), ce qui entraînait une fragmentation du marché et des obstacles réglementaires. Avec son règlement sur la cybersécurité, l'UE a mis en place un cadre de certification unique à l'échelle de l'UE qui vise:

  • à créer un climat de confiance
  • à accroître la croissance du marché de la cybersécurité
  • à faciliter le commerce dans l'ensemble de l'UE

Ce cadre fournit un ensemble complet de règles, d'exigences techniques, de normes et de procédures.

En décembre 2024, l'UE a adopté une modification ciblée du règlement sur la cybersécurité visant à permettre la mise en place de schémas de certification pour des "services de sécurité gérés", tels que la gestion des incidents, des tests de pénétration, des audits de sécurité et des conseils liés à l'assistance technique.

Agence de l'Union européenne pour la cybersécurité

L'Agence de l'Union européenne pour la cybersécurité (ENISA), basée à Athènes, en Grèce, s'efforce d'atteindre un niveau élevé commun de cybersécurité dans l'ensemble de l'Union. Elle aide les États membres, les institutions de l'UE et d'autres parties prenantes à renforcer la cybersécurité et à lutter contre les cyberattaques.

L'ENISA a été créée en 2004 et a été renforcée par le règlement de l'UE sur la cybersécurité, qui lui a donné un mandat permanent, davantage de ressources et un rôle élargi.

En décembre 2024, le Conseil a approuvé des conclusions contenant une série de recommandations et de suggestions pour une Agence de l'Union européenne pour la cybersécurité plus forte.

Règlement de l'UE sur la cyberrésilience

Adopté par le Conseil le 10 octobre 2024, le règlement sur la cyberrésilience fixe des exigences en matière de cybersécurité pour les produits comportant des éléments numériques connectés à internet ou à d'autres dispositifs. Cela garantit que les produits tels que des produits tels que les caméras domotiques, les réfrigérateurs, les téléviseurs et les jouets connectés sont sûrs avant d'être mis sur le marché et tout au long de leur cycle de vie.

La législation améliore également la transparence pour les consommateurs, en permettant aux particuliers d'accéder aux informations sur la cybersécurité des produits qu'ils achètent et utilisent.

Directive sur la sécurité des réseaux et des systèmes d'information

La directive sur la sécurité des réseaux et des systèmes d'information (SRI) a été la toute première législation à l'échelle de l'UE visant à renforcer la coopération entre les États membres en matière de cybersécurité. Introduite en 2016, elle a établi des obligations en matière de sécurité pour les opérateurs fournissant des services essentiels (dans des secteurs critiques tels que l'énergie, les transports, la santé et la finance) et pour les fournisseurs de services numériques (marchés en ligne, moteurs de recherche et services en nuage).

En 2022, l'UE a adopté une directive SRI révisée (SRI 2) pour remplacer la directive de 2016. Les nouvelles règles garantissent un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, en répondant à l'évolution du paysage des menaces et en tenant compte de la transformation numérique, qui a été accélérée par la pandémie de COVID-19.

La directive SRI 2:

  • fixe les nouvelles règles minimales d'un cadre réglementaire
  • définit les mécanismes d'une coopération efficace entre les autorités compétentes de chaque État membre
  • met à jour la liste des secteurs et des activités soumis à des obligations en termes de cybersécurité
  • gère les incidents de cybersécurité (lien vers le RGPD)

Les États membres avaient jusqu'en octobre 2024 pour transposer et mettre en œuvre intégralement la directive SRI 2.

Boîte à outils de l'UE pour la sécurité des réseaux 5G

Les réseaux 5G sont essentiels non seulement pour les communications numériques, mais aussi pour des secteurs critiques tels que l'énergie, les transports, l'activité bancaire et la santé.

La 5G constitue également un atout essentiel pour la compétitivité européenne sur le marché mondial, et la cybersécurité en la matière est cruciale pour assurer l'autonomie stratégique de l'Union.

En janvier 2020, l'UE a adopté une boîte à outils afin de définir un éventuel ensemble commun de mesures pour atténuer les principaux risques en matière de cybersécurité liés aux réseaux 5G et fournir des orientations.

Financement et recherche

L'UE agit sur plusieurs fronts pour renforcer la cyberrésilience, protéger les communications et les données, et sécuriser notre société et notre économie en ligne. Cela comprend le soutien à la recherche et l'augmentation du financement de l'innovation en matière de cybersécurité.

Europe numérique

Dans le cadre du programme pour une Europe numérique pour la période 2021-2027, l'UE s'est engagée à investir 1,6 milliard d'euros dans la capacité de réaction en matière de cybersécurité et le déploiement à grande échelle d'infrastructures et d'outils de cybersécurité dans l'ensemble de l'UE, pour les administrations publiques, les entreprises et les particuliers.

Horizon Europe

Il est essentiel de trouver des solutions innovantes qui peuvent nous protéger contre les cybermenaces les plus récentes et les plus avancées. C'est la raison pour laquelle la cybersécurité constitue un élément important des programmes-cadres de l'UE pour le financement de la recherche et de l'innovation, Horizon 2020 et son successeur Horizon Europe. En mai 2020, l'UE a engagé 49 millions d'euros pour stimuler l'innovation dans le domaine de la cybersécurité et des systèmes de protection de la vie privée.

Programme d'action pour la décennie numérique

La sécurité numérique repose sur la présence d'un nombre suffisant d'experts possédant les bonnes compétences. On en manque cruellement à l'heure actuelle, de sorte que l'UE investit activement dans le développement des compétences en matière de cybersécurité.

Le programme d'action pour la décennie numérique soutient les investissements dans des domaines clés tels que le calcul à haute performance, les infrastructures et services de données communs, les chaînes de blocs, les processeurs de faible puissance, le déploiement paneuropéen de corridors 5G, les partenariats en matière de haute technologie pour les compétences numériques, les infrastructures quantiques sécurisées, un réseau des centres de cybersécurité, l'administration publique numérique, les installations d'essai et les pôles d'innovation numérique.

Centre de compétences en matière de cybersécurité

En avril 2021, le Conseil a adopté le règlement établissant le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité à Bucarest, en Roumanie, soutenu par un réseau de centres nationaux de coordination.

Le centre poursuit les objectifs suivants:

  • renforcer encore la cyberrésilience
  • contribuer au déploiement de la technologie la plus récente en matière de cybersécurité
  • soutenir les jeunes entreprises et les PME du secteur de la cybersécurité
  • renforcer la recherche et l'innovation en matière de cybersécurité
  • contribuer à combler le déficit de compétences en matière de cybersécurité
Cybersécurité

Cybersécurité

Comment l'UE lutte contre la cybercriminalité

Comment l'UE lutte contre la cybercriminalité

Quelles sont les principales cybermenaces dans l'UE?

Quelles sont les principales cybermenaces dans l'UE?