Cybersécurité et IA, le plan de l’UE entre mise en œuvre et souveraineté numérique
Le plan d’action de l’Union sur la cybersécurité et l’intelligence artificielle, présenté par la Commission européenne le 7 juillet, arrive sans une nouvelle loi. Pour les entreprises, c’est l’actualité qui compte le plus, le centre de gravité se déplace d’une énième norme à mettre en œuvre vers l’utilisation de celles qui existent déjà. Il a été signé par Henna Virkkunen, vice-présidente exécutive au nom explicite, souveraineté technologique, sécurité et démocratie, qui a résumé les enjeux en une phrase : L’IA change le sens même de la cybersécurité et l’Europe doit suivre le rythme.
Derrière cette annonce se cache un fait très concret. Un modèle pionnier, Anthropic’s Mythos, a montré sa capacité à découvrir des vulnérabilités cachées dans les logiciels, et un gouvernement étranger a décidé d’en limiter l’accès aux citoyens non américains. Les capacités nécessaires à la défense des réseaux se trouvent pour la plupart en dehors de l’Union, et leur disponibilité dépend de décisions prises ailleurs. Le document tout entier bouge sur ce nerf exposé.
Pas de nouvelle loi, mais le recours à celle qui existe déjà
Virkkunen a mis la ligne noir sur blanc le même jour, le plan ne sera pas accompagné de nouvelles lois. Le cadre s’appuie sur le cadre que l’Union a construit ces dernières années, l’AI Act pour les modèles, le Cyber Resilience Act pour la sécurité des produits numériques, la directive NIS2 pour les secteurs critiques, le DORA pour la finance et le Cyber Solidarity Act pour répondre aux attaques à grande échelle. Le message adressé aux entreprises est que les obligations n’augmentent pas, la manière dont elles sont appliquées change.
Il y a un morceau de la loi sur l’IA qui touche de près au sujet. Les modèles les plus avancés doivent être évalués et les mesures d’atténuation pesées avant d’arriver sur le marché européen, et à partir du 2 août les règles de transparence sur les modèles à usage général entrent en vigueur. La Commission affirme que son bureau d’IA travaillera avec des évaluateurs spécialisés pour examiner les risques des modèles frontières, notamment du point de vue de la cybersécurité.
Tout le monde ne considère pas cette décision comme un progrès. Dans la presse européenne, le plan a été décrit comme une mosaïque d’instruments existants réunis par une nouvelle initiative, avec des critiques récurrentes selon lesquelles l’Union produit des documents plutôt que des solutions. Pour ceux qui dirigent la sécurité dans une organisation, l’essentiel réside cependant dans les quelques mesures opérationnelles que le plan introduit, et c’est là qu’il convient de regarder.
Accès à des modèles décidés ailleurs
Le point le plus délicat concerne l’accès aux capacités frontalières. La Commission travaillera avec l’ENISA, l’agence de cybersécurité de l’Union, sur un modèle européen d’accès structuré aux modèles de défense avancés, afin que les opérateurs publics et privés puissent les obtenir sans dépendre de procédures opaques. Aujourd’hui, le nombre d’organisations admises à l’essai initial est limité et les critères selon lesquels l’accès est accordé ne sont souvent pas transparents.
Ici, l’initiative met en évidence une faiblesse. Bruxelles négocie avec les États-Unis, d’où proviennent la plupart des innovations, pour accéder rapidement à des modèles comme le Mythos. Lors du débat en plénière, l’eurodéputée Aura Salla a posé le problème : la dépendance européenne ne concerne pas tant les modèles que les infrastructures sur lesquelles ils reposent, et il y a trop peu d’entreprises qui opèrent réellement aux frontières.
Pour une entreprise, cela se traduit par un risque lié à la chaîne d’approvisionnement qui mérite d’être nommé pour ce qu’il est. Lorsque la capacité qui protège les systèmes provient d’un seul fournisseur étranger, l’autorisation de l’utiliser peut être révoquée par une décision ailleurs, du jour au lendemain, et la sécurité de ces processus devient un emprunt. La résilience, dans ce cas, commence par ne pas s’appuyer sur un seul point que quelqu’un d’autre pourrait désactiver.
La plateforme de tests et les modèles ouverts comme défense
La partie la plus utile du plan, pour ceux qui travaillent sur les systèmes, est le concret. L’ENISA et le Centre commun de recherche de la Commission construiront d’ici fin 2026 une plateforme européenne sécurisée pour tester l’IA appliquée à la sécurité, y compris dans des environnements simulés, apportant ainsi leur expertise sur l’utilisation sûre de ces outils aux opérateurs de secteurs critiques, de la finance aux soins de santé, de l’énergie aux transports en passant par l’administration publique.
En même temps, le plan nous demande de ne pas attendre. Les capacités d’IA déjà disponibles, y compris les modèles ouverts, devraient être utilisées dès maintenant pour détecter et corriger les vulnérabilités plus rapidement et pour réagir lorsqu’une attaque est en cours. D’ici la fin de l’année, l’ENISA publiera des lignes directrices et des bonnes pratiques et lancera un projet pilote sur la résilience des logiciels libres critiques, conçu pour accélérer la correction des failles avec l’aide de l’IA.
Le code ouvert, dans cette conception, a une valeur qui va au-delà des préférences techniques. Il reste la seule fonctionnalité qu’une organisation peut inspecter ligne par ligne et exécuter sur ses propres machines, sans demander la permission à quiconque et sans que personne ne la désactive à distance. Le même défaut qu’un modèle frontière étranger pourrait trouver au nom d’une entreprise, un outil ouvert et contrôlé au niveau national contribue à la fermer.
Hygiène et sécurité de base dans la conception
Le plan en filigrane indique également ce qu’il faut faire sans attendre ni l’agence 2027 ni les initiatives de fin d’année. Il y a çasécurité hygiène à renforcer, à actualiser la gestion des risques et à intégrer la protection dès la conception des produits, exactement comme l’exigent déjà les règles européennes en matière de cybersécurité. Ce sont des pratiques bien connues, et le plan les remet au centre car l’arrivée de l’IA fait monter les enjeux.
La manière de lire la conformité change également. Dans les mêmes semaines où elle présente le plan, l’Union ralentit son code, le 29 juin le Conseil a donné son feu vert définitif à la simplification de la loi sur l’IA, qui avance plus loin les obligations sur les systèmes à haut risque, à décembre 2027 pour les systèmes autonomes et à août 2028 pour ceux intégrés dans les produits. Restreindre la règle et construire une défense en même temps n’est qu’une seule direction, le poids se déplace de ce qui était interdit auparavant vers ce que l’on sait faire maintenant, de la conformité à la capacité opérationnelle.
Un marché s’ouvre autour des capacités souveraines
Pour ceux qui, en Europe, construisent la sécurité et l’IA au même endroit, l’opportunité prend une forme lisible. Bruxelles lancera d’ici fin 2026 un défi européen dédié aux solutions de cybersécurité basées sur l’IA et étudie avec la Banque européenne d’investissement un instrument public qui financerait des projets stratégiques, notamment à la frontière de l’IA. La demande se développe autour de capacités qui peuvent être inspectées et évaluées dans le pays, et avec elle un espace de marché pour les fournisseurs européens.
Le signe que quelque chose bouge à la frontière est déjà là. La Commission a choisi EUROPA, un consortium dirigé par l’Italien Domyn, comme vainqueur de son défi frontière en matière d’IA, preuve qu’une capacité européenne de haut niveau n’est pas qu’un souhait. L’écart à combler reste important et le plan tente de le réduire avec les outils dont il dispose, plutôt qu’en attendant de nouveaux.
Cependant, une question demeure que les tables rondes des entreprises connaissent bien : pouvons-nous vraiment dire que nous sommes souverains sur une capacité qui n’a pas été construite et dont nous ne pouvons pas voir le bout. En attendant la réponse, la sécurité bâtie sur l’IA est un poste à surveiller au quotidien, et mieux vaut s’équiper à temps pour ne pas se faire découvrir.
