L’UE dévoile un plan cybersécurité-IA qui reste tributaire des modèles américains

Illustration croisant intelligence artificielle et cybersécurité lors d'un symposium technologique

La Commission européenne a présenté lundi 7 juillet un plan d’action commun sur la cybersécurité et l’intelligence artificielle, censé sécuriser les infrastructures critiques du continent tout en donnant aux organisations européennes un accès aux modèles d’IA les plus avancés, aujourd’hui conçus outre-Atlantique.

Le texte, préparé par la direction générale des Réseaux de communication, du contenu et des technologies (DG CNECT), ne crée aucune obligation légale. Il assemble des outils réglementaires existants et de nouvelles initiatives autour d’une constatation gênante pour Bruxelles : l’Europe ne dispose d’aucune entreprise capable de rivaliser sur les modèles dits de frontière, et doit négocier avec des fournisseurs américains l’accès aux systèmes qui font désormais la différence en matière de défense informatique.

Trois objectifs et un pilote confié à l’ENISA

Le plan s’organise autour de trois axes affichés par la Commission : rendre l’IA de pointe sûre et disponible pour la cyberdéfense, renforcer la résilience des infrastructures critiques de l’Union et développer une capacité européenne propre en IA appliquée à la sécurité. L’Agence de l’Union européenne pour la cybersécurité (ENISA) hérite de deux chantiers structurants.

Le premier est un « Blueprint » européen destiné à organiser un accès structuré à l’IA avancée, attendu au quatrième trimestre 2026. Le second est une plateforme de test sécurisée, développée avec le Centre commun de recherche, où les opérateurs de la finance, de l’énergie, de la santé, des transports et de l’administration publique pourront éprouver des systèmes d’IA avant leur mise en service. La Commission prévoit par ailleurs de lancer, fin 2026, un « Grand Défi de l’UE » réunissant entreprises et chercheurs autour de la détection de menaces et de la réponse aux incidents.

Une capacité d’évaluation opérationnelle en 2027

Bruxelles annonce le lancement d’un appel visant à doter l’Union d’une capacité européenne d’évaluation des modèles d’IA, qui devrait être opérationnelle en 2027 et couvrir les risques de cybersécurité avant toute mise sur le marché. Cette évaluation s’appuierait sur le cadre déjà posé par le règlement européen sur l’intelligence artificielle (AI Act) et son AI Office.

« L’intelligence artificielle transforme la cybersécurité. Nous devons évoluer au même rythme », a déclaré Henna Virkkunen, vice-présidente exécutive de la Commission chargée de la souveraineté technologique, en présentant le plan. Le calendrier réglementaire connexe reste chargé : le code de bonnes pratiques pour l’IA à usage général doit s’appliquer à partir du 2 août 2026, tandis que le règlement sur la cyber-résilience (Cyber Resilience Act) entrera pleinement en vigueur fin 2027.

La dépendance aux fournisseurs américains en toile de fond

Le plan intervient dans un contexte qui illustre l’avance prise par les acteurs américains. L’entreprise Anthropic aurait, selon Euronews, identifié en quelques heures des vulnérabilités dans des systèmes gouvernementaux américains classifiés, un épisode qui avait conduit Washington à imposer puis à lever des contrôles à l’exportation sur cette technologie. Faute d’équivalent européen, la Commission doit composer avec des fournisseurs tiers pour donner à ses administrations l’accès à ces capacités.

Ce point cristallise les critiques. Le processus d’octroi d’un accès de test aux organisations « manque souvent de transparence », relève Euronews, ce que le futur Blueprint est précisément censé clarifier. L’eurodéputée Aura Salla a pour sa part pointé une faiblesse structurelle : « L’Europe a une recherche solide en IA, mais trop peu d’entreprises opérant à cette frontière », a-t-elle souligné, renvoyant le débat vers les manques d’infrastructures et de talents davantage que vers la seule rareté des modèles.

Un cadre incitatif sans levier contraignant

La portée du plan reste limitée par sa nature. Dépourvu de valeur juridique, il repose sur des recommandations et sur un accès négocié aux modèles étrangers, sans mécanisme permettant de contraindre les fournisseurs à suivre les orientations européennes. L’ENISA se voit également confier un rôle d’animation, en facilitant les partenariats entre autorités, entreprises et communautés open source, et en accompagnant la sécurisation des logiciels libres critiques.

La Commission européenne devrait préciser le contenu du Blueprint et les modalités de la plateforme de test au quatrième trimestre 2026, avant le lancement de la capacité d’évaluation des modèles prévue l’année suivante.

S'abonner à la newsletter