Cybersécurité : le programme 2025-2027 de l'Union européenne

Quelle place auront les fournisseurs non européens dans les dispositifs qu'établit le Cyber Solidarity Act ?

Le règlement est entré en vigueur le 4 février 2025. Il ouvre notamment la voie à un "système européen d'alerte" et à une "réserve de cybersécurité". Le premier consiste en un réseau de SOC nationaux et transfrontières appelés "cyberpôles". La seconde doit donner accès à des services de sécurité managés qui accompagneront la réponse aux incidents "importants" ou "majeurs" (tels que définis dans la NIS2) touchant des entités de secteurs critiques.

L'un et l'autre sont financés au titre du programme pour une Europe numérique (DEP, Digital Europe Programme). Ils s'inscrivent effectivement dans son objectif spécifique n^o 3, "Cybersécurité et confiance".

À son instauration en 2021, le DEP permettait d'exclure les entités non européennes - y compris celles établies dans l'UE mais contrôlées à partir de pays tiers - des actions menées dans le cadre de cet objectif spécifique, pour des "raisons de sécurité dûment justifiées".
C'est toujours le cas, mais avec des exceptions introduites par le Cyber Solidarity Act. Elles permettent la participation d'entités établies dans l'Union mais contrôlées à partir de pays tiers dans le cas où deux conditions seraient remplies. Dans les grandes lignes, d'une part, l'insuffisance de l'offre européenne pour atteindre les objectifs recherchés. De l'autre, la proportionnalité entre les avantages des solutions non européennes et les risques qu'elles supposent.

Un travail préalable de cartographie

Ces exceptions valent à la fois pour le système européen d'alerte et pour la réserve de cybersécurité. Elles ne seront toutefois mises en pratique que lorsque l'offre aura été cartographiée. Sur le premier volet, cette tâche revient à l'ECCC (Centre de compétences européen pour l'industrie, les technologies et la recherche en matière de cybersécurité). Sur le second, à l'ENISA (agence européenne pour la sécurité de l'information). Des travaux ont démarré au quatrième trimestre 2024.

De cet exercice de mapping dépendra l'exécution du premier programme de travail cyber que l'ECCC a adopté dans le cadre du DEP. Il couvre la période 2025-2027. Les précédents (2021-2022 et 2023-2024) avaient été développés sous la direction de la Commission européenne.

Le budget indicatif total est d'environ 390 M€.

Près de 50 M€ pour la transition post-quantique...

Une enveloppe d'environ 50 M€ est prévue pour la transition post-quantique. Il s'agira de :

• Déployer une infra européenne de test (25 M€ en programmes d'achat sur 4 ans)
• Favoriser la transition des infrastructures à clés publiques (15 M€ en subventions sur 3 ans)
• Accompagner la transition des cyberpôles (7 M€ en subventions sur 3 ans, à partir de 2027)

... comme pour la cybersécurité des PME

Les solutions cyber à base d'IA bénéficient d'une enveloppe similaire : 45 M€ en subventions, réparties en trois tranches annuelles de 15 M€ sur 2025-2027.

S'y ajouteront 50 M€ pour stimuler le renforcement des capacités cyber des PME et leur adoption de "solutions innovantes". Parmi elles, sont envisagés un toolkit SaaS de gestion des risques et une hot-line "non commerciale" pour l'aide à la réponse aux incidents.

121 M€ pour le Cyber Solidarity Act, dont 75 M€ pour les SOC

Les cyberpôles nationaux se voient réserver 35 M€. Une enveloppe qui doit permettre l'achat d'infrastructures, d'outils et de services en association avec les États membres qui les hébergent. S'y ajouteront d'éventuelles subventions pour accompagner les activités préparatoires à leur mise en oeuvre.
Les cyberpôles transfrontières auront quant à eux 40 M€, afin d'accompagner la deuxième phase de leur développement.

Le programme de l'ECCC prévoit aussi 40 M€ pour accompagner, en vertu du Cyber Solidarity Act, la préparation coordonnée des entités de secteurs critiques. Pour le dispositif d'assistance mutuelle entre autorités compétentes et CSIRT lors d'incidents de nature transfrontalière, ce sera 4 M€, à partir de 2026.

Une action dédiée aux établissements de santé

46 M€ iront aux centres nationaux de coordination. Chargés d'assurer le dialogue avec l'industrie, le secteur public, les milieux académiques et de la recherche et les citoyens, ils constituent, dans les dans les États membres, le "bras armé" de l'ECCC. Qui, pour rappel, est chargé de :

• Développer les moyens et les capacités académiques, sociétaux, technologiques, industriels et de recherche de l'UE en matière de cybersécurité
• Soutenir les moyens, capacités et compétences technologiques de l'UE en ce qui concerne la résilience et la fiabilité des infrastructures des réseaux et des SI
• Accroître la compétitivité du secteur de la cybersécurité dans l'UE

Le financement des centres nationaux de coordination tient compte de démarches associées. Comme la mise en place d'incubateurs et d'accélérateurs dans les États membres, l'animation des relations avec la communauté infosec ou la création d'une place de marché européenne pour exposer l'offre des PME.

L'action 2.13 (32 M€), destinée à "renforcer les capacités cyber de l'UE [...] en conformité avec la législation", mêle de nombreux objectifs. Dont :

• Aider les fournisseurs de solutions TIC à évaluer la robustesse de ce qu'ils y intègrent
• S'aligner sur le plan d'action européen en matière d'éducation numérique
• Soutenir l'activité des autorités de certification et d'évaluation de conformité
• Composer des équipes paneuropéennes pour participer à des compétitions cyber

Hôpitaux et établissements de santé ont leur action dédiée (30 M€). Elle doit faire émerger des projets pilotes qui seront ensuite répliqués à l'échelle.

Une enveloppe de 10 M€ est par ailleurs prévue pour le développement de technologies pour la cybersécurité à l'intersection du militaire et du civil. Principaux axes : cryptographie post-quantique, zero trust, jumeaux numériques et SOAR.

Illustration générée par IA