- Secuserve, 22 ans d’expertise -

« Face à l’industrialisation des cyberattaques, aux tensions géopolitiques et à la numérisation accélérée des activités, l’Union européenne a franchi un cap. Avec des cadres comme NIS2 et DORA, la cybersécurité n’est plus un simple sujet technique ou réglementaire. Entrée en application progressive depuis 2024, la directive NIS2 élargit considérablement le périmètre de NIS1, passant de quelques centaines d’entités à plusieurs milliers d’organisations concernées en France, tout en renforçant les exigences de gouvernance et de gestion des risques. Elle devient un enjeu stratégique, porté au niveau des directions générales et des États. Ce mouvement traduit le passage d’une logique de conformité à une logique de résilience, dans laquelle la sécurité participe directement à la continuité d’activité et à la souveraineté des organisations. Cette ambition est réelle, mais elle se heurte encore à des réalités industrielles et technologiques qui en limitent la portée.

La question du cloud cristallise aujourd’hui ces tensions. La France défend une approche exigeante avec SecNumCloud, fondée notamment sur la protection contre les lois extraterritoriales comme le Cloud Act américain. Cette doctrine a largement influencé les discussions à l’échelle européenne. Dans les faits, l’Europe reste dépendante des grands fournisseurs internationaux. L’émergence d’acteurs comme BLEU ou S3NS illustre cette situation. Présentées comme des solutions de confiance, ces initiatives sont souvent perçues comme des ‘faux nez’, dans la mesure où elles reposent en grande partie sur des technologies américaines.

Cette réalité soulève une question structurante : peut-on réellement parler de souveraineté sans maîtrise des briques technologiques critiques. Le débat autour du schéma de certification EUCS prolonge cette interrogation et met en lumière les divergences entre États membres sur le niveau d’exigence à adopter.

Face à une menace en constante progression, la France a récemment renforcé sa posture. Lors d’une prise de parole fin avril, Sébastien Lecornu a alerté sur l’intensification des attaques visant les systèmes publics, avec plusieurs vols de données par jour depuis le début de l’année 2026. En réponse, l’État a engagé des mesures structurantes, avec la création d’une autorité numérique issue de la fusion de la DINUM et de la DITP, placée directement auprès du Premier ministre afin de piloter la standardisation et la sécurisation des infrastructures publiques.

Un plan d’investissement de 200 millions d’euros a également été annoncé pour renforcer les capacités de détection, soutenir la cryptographie post-quantique et accélérer l’intégration de l’intelligence artificielle dans les dispositifs de défense. L’objectif d’allouer 5 % des budgets numériques des ministères à la cybersécurité à horizon 2027 confirme ce changement d’échelle. La cybersécurité devient ainsi un levier central de souveraineté et de pilotage de l’action publique.

Malgré ces avancées, un décalage subsiste entre les dispositifs déployés et leur appropriation réelle. L’adoption de mesures pourtant simples, comme l’authentification multi-facteurs, reste insuffisante, en particulier côté grand public, y compris dans des environnements soumis à des obligations réglementaires fortes. Ce constat rappelle que la cybersécurité ne peut pas reposer uniquement sur des outils ou des obligations. Elle suppose un effort continu de sensibilisation et d’accompagnement. Sur le terrain, cette réalité limite encore l’efficacité des stratégies mises en place, même au sein d’organisations techniquement équipées.

La souveraineté numérique européenne ne dépend pas uniquement de sa capacité à produire des normes ou à arbitrer des choix industriels. Elle se construit dans la mise en œuvre concrète de ces orientations, au sein des organisations comme des administrations. Les cadres européens posent des bases solides, mais leur efficacité dépendra de leur appropriation réelle. La cybersécurité s’impose ainsi comme un pilier stratégique, dont la solidité repose autant sur les décisions politiques que sur leur traduction opérationnelle.

Dans ce contexte, la Journée de l’Europe rappelle que la souveraineté numérique n’est pas seulement une ambition institutionnelle. Elle est le résultat d’un effort collectif, qui se joue au quotidien dans les choix technologiques, les usages et la capacité des acteurs à transformer la contrainte en levier durable. »

Stéphane Bouché