Secu
L’Europe, géant réglementaire aux pieds d’argile
Par Aude Leroy, publié le 22 décembre 2025
Officiellement, la cybersécurité européenne existe depuis la création en 2004 de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). Depuis, d’autres initiatives ont vu le jour comme le Centre européen de lutte contre la cybercriminalité (EC3), le réseau CyCLONe ou encore des normes de cybersécurité de l’Union européenne, sans oublier le règlement européen sur la cyberrésilience de 2024. Mais sur le terrain, la réalité est plus floue.
L’ Europe dispose d’une large palette de textes en matière de cybersécurité. Cette année encore, la Commission européenne a lancé de nouvelles initiatives pour promouvoir notamment la cyberrésilience, avec la première législation de l’UE traduite en exigences de protection.
Le 4 février a aussi marqué l’entrée en vigueur de la loi européenne sur la cybersolidarité (Cyber Solidarity Act). Le bouclier européen se construit donc, au moins réglementairement.
Pourtant, « l’Europe est la seule à croire au libéralisme appliqué à la lettre. Elle est un peu la “naïve du village libéral”, elle est plus royaliste que le roi », affirme Thomas Kerjean, PDG de Mailinblack. Après avoir vécu en Chine et aux États-Unis, il observe que ces pays n’hésitent pas à adopter des stratégies protectionnistes et souveraines pour leurs industries.
Cette différence d’état d’esprit se remarque particulièrement en France, selon le député Philippe Latombe, auteur d’un rapport sur la souveraineté numérique en 2021 : « Nous avons un problème de mentalité et de culture. Les fournisseurs ne collaborent pas suffisamment, contrairement au modèle allemand du “chasser en meute”. Il rappelle aussi que le marché des capitaux mobilisables à l’échelle européenne est très étroit : cela rend les introductions en bourse difficiles et entraîne un manque de liquidité, donc moins d’investissements, contrairement à Israël ».
Malgré tout, le député croit en l’émergence d’une cybersécurité européenne, qu’il juge presque inexistante aujourd’hui (voir ci-après).
Il propose la création d’une « BITC, une base industrielle et technologique de cybersécurité, sur le modèle de la BITD dans la défense. Nous en avons un embryon en France, mais pas en Europe. À part la réglementation NIS 2, il n’y a pas grand-chose d’autre. Or il faut une structure de ce genre pour donner un élan suffisant et participer à la souveraineté numérique. »
Cette initiative doit selon lui se faire à l’échelle européenne.
Plaidoyer pour un BTIC
En attendant, le constat est sans appel : la cybersécurité européenne est très fragmentée. « Les règlements comme le RGPD ou NIS 2 existent, mais il n’y a pas d’intention unifiée », insiste Thomas Kerjean.
« Ces normes créent un cadre commun, mais l’écosystème ne vit pas à l’échelle de l’Union, chaque pays agissant dans son propre intérêt », ajoute Benoît Grünemwald, directeur des affaires publiques chez ESET. Pour lui, la cybersécurité européenne est toutefois en construction : « Elle s’appuie sur des habitudes d’échanges et de coopération entre pays et s’élabore sur un marché jeune, ce qui facilite sa mise en oeuvre. »
Le numérique favorise l’interopérabilité plus que les secteurs traditionnels, grâce à des outils souvent standardisés, facilitant les ajustements techniques. Et l’Europe légifère activement sur ces normes et plateformes communes.
La sophistication croissante des menaces pousse aussi à une approche collaborative des acteurs, intégrant leurs solutions pour protéger efficacement les clients. « Si l’antivirus était la panacée au début, aujourd’hui ce n’est qu’une brique parmi d’autres. Pour être efficaces, toutes ces briques doivent communiquer et se reconnaître », explique Benoît Grünemwald. « Reste à vérifier si les entreprises européennes privilégieront la coopération ou la concurrence pure », poursuit-il.
Sur le volet commercial justement, la complexité des marchés publics, leurs processus fastidieux, limitent l’expansion transfrontalière des sociétés. Leur diffusion européenne reste incertaine. D’autant qu’elles doivent faire face à la concurrence venue d’autres continents, notamment d’acteurs israéliens performants et américains, alimentant le débat sur la souveraineté numérique. « 70 % du marché est détenu par des sociétés américaines, notamment pour la sauvegarde et les outils », note Tibaud Estienne, expert en régulations chez SPAC Alliance (Smart Physical Access Control Alliance, organisation européenne rassemblant les acteurs de la sécurité physique et logique). Il reste néanmoins optimiste : « On va petit à petit avoir un cadre européen efficace, adapté et durable ».
Il espère voir la cybersécurité européenne évoluer favorablement d’ici 2028- 2029, le temps que les grandes régulations structurantes produisent leurs effets.
Cet optimisme s’appuie aussi sur une philosophie européenne de la cybersécurité, moins brutale que l’approche américaine illustrée par le Cloud Act. « Techniquement, la France et l’Europe ont les solutions pour supporter cette approche », affirme Tibaud Estienne, évoquant aussi le « Digital Decade Policy Program 2030 », qui vise à créer un écosystème complet incluant IA et prémices de l’ère quantique, avec une capacité autonome de protection, redémarrage et innovation. Une vraie chance de rebattre les cartes dans l’avenir.
3 QUESTIONS À Philippe Latombe, député de Vendée (85)
Pourquoi la France est-t-elle si forte en cybersécurité ?
La France dispose d’écoles d’ingénieurs de très bon niveau et a rapidement identifié la cybersécurité comme un enjeu stratégique. Des entreprises s’y sont impliquées très tôt, et l’ANSSI joue depuis plusieurs années un rôle clé dans la structuration de l’écosystème, notamment via d’anciens membres ayant fondé des start-up désormais bien établies.
Elle pèse cependant peu au niveau international, pourquoi ?
Notre écosystème reste principalement constitué de sociétés en phase d’amorçage. Il manque des entreprises ayant atteint une taille critique. Plusieurs cas l’illustrent : Wallix, introduite en bourse en 2015, peine encore à se développer ; Vade, mal préparée à son expansion aux États-Unis, a été laminée par Proofpoint, puis contrainte de s’associer à l’allemand Hornetsecurity… lui-même racheté par Proofpoint en mai dernier.
Les acteurs américains disposent d’une capacité de levée de fonds qui leur permet des acquisitions prédatrices, alors qu’en France, peu d’entreprises ont atteint un niveau de maturité suffisant pour devenir elles-mêmes acquéreuses.
Résultat : nous avons de grosses PME, mais pas d’acteurs de stature internationale.
Il existe sans doute un problème d’éducation et de management : en France, on observe une tendance aux sorties de capital (« exits ») sans réinvestissement systématique, contrairement à la culture israélienne où un exit génère immédiatement la création de nouvelles start-up.
Autre difficulté : le manque de coopération entre acteurs. Faute de confiance, même lorsque 90 à 95 % des activités ne sont pas concurrentes, les entreprises hésitent à s’associer, notamment pour répondre à des appels d’offres. Cette méfiance freine les synergies et la dynamique collective.
Quelles seraient les solutions d’émergence d’une cybersécurité européenne ?
D’abord, il faut un véritable marché des capitaux à l’échelle européenne, pour disposer de liquidités et permettre aux entreprises de passer à l’échelle, investir massivement et se développer à l’international – un processus coûteux nécessitant des fonds mobilisables.
Ensuite, il est essentiel que la commande publique, et même privée, privilégie les entreprises européennes. Ce point progresse actuellement, notamment face à l’hégémonie croissante des acteurs américains (par exemple sur les systèmes d’exploitation), qui finit par soulèver des enjeux de souveraineté.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
