La Commission européenne a présenté mardi un nouveau paquet cybersécurité. Symbolisée par la révision du Cybersecurity Act, la démarche doit renforcer la protection des infrastructures critiques de la zone.
Les cyberattaques ne cessent de frapper l'Europe. Avec hôpitaux paralysés, des réseaux électriques menacés et des données bancaires exposées, le quotidien numérique du continent, et on le sait mieux que quiconque en France, ressemble à un jeu du chat et de la souris permanent avec des hackers toujours plus audacieux. Bruxelles réagit donc en dévoilant, ce mardi 20 janvier 2026, une refonte majeure de sa législation cybersécurité, sept ans après la première mouture. Avec des fournisseurs étrangers suspects sous surveillance, des certifications accélérées et une simplification pour les PME, le plan veut colmater les failles béantes.
La cybercriminalité a coûté 9 000 milliards d'euros au monde en 2025
9 000 milliards d'euros perdus en un an. C'est ce qu'a coûté la cybercriminalité mondiale en 2025, selon l'ENISA, l'Agence européenne pour la cybersécurité. Le coupable principal, ce sont les ransomwares, ces logiciels malveillants qui prennent vos fichiers en otage jusqu'au versement d'une rançon (ou pas, d'ailleurs). Leur rythme d'attaque s'emballe, puisque d'ici 2031, le monde subira une attaque toutes les deux secondes. Une cadence infernale, qui paralyse entreprises et administrations.
Les administrations publiques européennes sont les plus visées, devant les transports, le secteur numérique, la finance et l'industrie. Mais le vrai changement, c'est le profil des attaquants. Les hackers solitaires, cela existe encore, mais désormais, des États entiers investissent massivement dans des arsenaux numériques pour affaiblir leurs concurrents. Ces attaques combinent piratage informatique et déstabilisation politique, une stratégie redoutable qui brouille les frontières entre guerre et paix.
Depuis le premier Cybersecurity Act en 2019, le paysage s'est considérablement dégradé. Les chaînes d'approvisionnement technologiques sont devenues un point faible. Un seul équipement défaillant chez un fournisseur peut contaminer tout un système vital comme un réseau électrique ou hospitalier. Pire encore, la sécurité n'est plus qu'une question de robustesse technique. Elle devient un enjeu de souveraineté quand vos infrastructures dépendent d'équipements fabriqués par des pays aux intentions troubles.
Les fournisseurs à haut risque seront bannis des réseaux mobiles européens
Le nouveau règlement introduit une procédure d'évaluation coordonnée des risques à l'échelle européenne. Concrètement, l'UE et ses États membres pourront identifier ensemble les maillons fragiles dans les 18 secteurs jugés critiques, de l'énergie à la santé en passant par l'eau potable. Si un fournisseur présente des risques trop élevés, notamment d'ingérence étrangère, ses équipements pourront être interdits dans les infrastructures vitales. Les opérateurs télécoms devront ainsi obligatoirement retirer les matériels des fournisseurs classés à haut risque de leurs réseaux mobiles. Un peu comme ce qui s'est passé il y a quelques années avec les antennes mobiles Huawei.
Le système de certification européen, jusqu'ici un poil lourd et lent, fait peau neuve. Désormais, les nouveaux schémas de certification, ces référentiels qui permettent d'attester qu'un produit ou service est sécurisé, devront être prêts en douze mois maximum, au lieu de traîner pendant des années. Les entreprises pourront désormais certifier leur « posture cyber » complète. Elles feront valider non seulement leurs logiciels ou équipements, mais l'intégralité de leur organisation sécuritaire, de la formation des salariés aux protocoles d'urgence.
La directive NIS2, votée par l'Europe mais qui dort toujours dans les tiroirs de l'Assemblée nationale, impose des normes de sécurité strictes aux secteurs critiques. La Commission européenne a décidé de la simplifier. Quelque 28 700 entreprises y verront plus clair, notamment 6 200 petites structures qui bataillaient pour comprendre leurs obligations. Bruxelles crée aussi une nouvelle catégorie pour les « petites mid-cap », qui réduira les contraintes et les coûts pour 22 500 sociétés. Autre soulagement, les groupes présents dans plusieurs pays européens échappent enfin au labyrinthe juridique des règles contradictoires entre États membres.
Le budget de l'ENISA bondit de 75% pour orchestrer la cyberdéfense européenne
L'ENISA voit son budget bondir de 75%, un signal fort de son nouveau rôle central. L'agence coordonnera toute la cyberdéfense européenne, de la gestion des certifications au pilotage d'un guichet unique pour déclarer les incidents. Voilà qui mettra fin à l'absurdité qui consiste, pour une entreprise victime d'une attaque, de prévenir séparément la France, l'Allemagne et l'Italie. Chaque pays nommera aussi deux officiers permanents auprès de l'agence pour accélérer la circulation des alertes entre capitales.
En cas d'attaque par ransomware, l'ENISA ouvrira un guichet d'assistance dédié, en collaboration avec Europol et les équipes nationales spécialisées dans la réponse aux incidents informatiques. L'idée est de mutualiser l'expertise pour aider les victimes à récupérer leurs données et à relancer leurs systèmes le plus vite possible. L'agence aura aussi son mot à dire dans l'élaboration des standards techniques internationaux, pour garantir que les normes mondiales de cybersécurité n'entrent pas en contradiction avec les valeurs européennes.
L'ENISA pilotera aussi l'Académie des compétences en cybersécurité, chargée de former les experts dont le marché manque cruellement. Côté calendrier, le règlement s'appliquera dès son vote par le Parlement et le Conseil européen. Les États auront ensuite un an pour intégrer les ajustements de la directive NIS2 dans leur droit national. « Cette réforme doit garantir notre souveraineté technologique européenne et une plus grande sécurité pour tous », a résumé mardi Henna Virkkunen, vice-présidente exécutive de la Commission. L'ambition est en tout cas à la mesure du défi.
