{"id":78,"date":"2026-06-12T08:30:31","date_gmt":"2026-06-12T08:30:31","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/12\/cyberattaque-infrastructures-critiques-2026\/"},"modified":"2026-06-12T08:31:51","modified_gmt":"2026-06-12T08:31:51","slug":"cyberattaque-infrastructures-critiques-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/12\/cyberattaque-infrastructures-critiques-2026\/","title":{"rendered":"Cyberattaque infrastructures critiques : 5 a\u00e9roports [2026]"},"content":{"rendered":"\n

En un seul week-end de septembre 2025, cinq des plus grands a\u00e9roports d’Europe ont bascul\u00e9 du num\u00e9rique au papier. Le 19 septembre, un ran\u00e7ongiciel frappe Collins Aerospace<\/strong>, filiale du g\u00e9ant am\u00e9ricain RTX, et paralyse son logiciel d’enregistrement et d’embarquement vMUSE<\/strong>. \u00c0 Londres-Heathrow, Bruxelles-Zaventem, Berlin-Brandebourg, Dublin et Cork, les agents ressortent les stylos et les listes imprim\u00e9es. La panne dure jusqu’au 22 septembre. Cet \u00e9pisode, devenu le cas d’\u00e9cole de la cyberattaque d’infrastructures critiques<\/strong> en Europe, n’est pas un accident isol\u00e9. Il marque l’entr\u00e9e dans une ann\u00e9e 2026 o\u00f9 l’\u00e9nergie, l’eau, les transports et les institutions publiques sont devenus la cible num\u00e9ro un des cybercriminels et des acteurs \u00e9tatiques.<\/p>\n\n\n\n

Le 12 juin 2026, le constat est sans appel. La menace contre les infrastructures essentielles n’est plus th\u00e9orique, elle est op\u00e9rationnelle, coordonn\u00e9e et co\u00fbteuse. Cette analyse d\u00e9cortique l’attaque des a\u00e9roports, le profil des assaillants, le co\u00fbt \u00e9conomique r\u00e9el, l’arsenal r\u00e9glementaire europ\u00e9en (NIS2, CER, DORA) et les pr\u00e9visions des experts pour les douze prochains mois.<\/p>\n\n\n\n

Septembre 2025 : cinq a\u00e9roports europ\u00e9ens \u00e0 l’arr\u00eat en un week-end<\/h2>\n\n\n\n

Tout commence dans la nuit du 19 septembre 2025. Le syst\u00e8me vMUSE, utilis\u00e9 par des dizaines de compagnies a\u00e9riennes pour g\u00e9rer les bornes d’enregistrement partag\u00e9es, cesse de r\u00e9pondre. \u00c0 Bruxelles-Zaventem, la direction de l’a\u00e9roport demande aux compagnies d’annuler environ la moiti\u00e9 des vols<\/strong> programm\u00e9s, soit pr\u00e8s de 60 annulations sur une seule journ\u00e9e, et de r\u00e9duire la capacit\u00e9 de 50 % le temps de revenir \u00e0 un traitement manuel des passagers.<\/p>\n\n\n\n

La perturbation se propage tout le week-end des 20 et 21 septembre. Heathrow signale des retards en cascade, Berlin-Brandebourg ralentit, Dublin et Cork enregistrent des files d’attente exceptionnelles. Selon des estimations m\u00e9diatiques recoup\u00e9es, pr\u00e8s de 629 vols ont \u00e9t\u00e9 affect\u00e9s sur l’ensemble de la vague, entre annulations et retards lourds. La singularit\u00e9 de l’incident tient \u00e0 sa m\u00e9canique : aucune compagnie ni aucun a\u00e9roport n’a \u00e9t\u00e9 pirat\u00e9 directement. Un seul fournisseur tiers, commun \u00e0 tous, a suffi \u00e0 transformer une panne logicielle en crise continentale.<\/p>\n\n\n\n

L’Agence de l’Union europ\u00e9enne pour la cybers\u00e9curit\u00e9 (ENISA) a confirm\u00e9 qu’il s’agissait d’un ran\u00e7ongiciel d’origine tierce<\/strong>, c’est-\u00e0-dire une attaque par la cha\u00eene d’approvisionnement. Les a\u00e9roports ont tenu gr\u00e2ce \u00e0 des proc\u00e9dures d\u00e9grad\u00e9es : enregistrement manuel, \u00e9tiquetage des bagages \u00e0 la main, embarquement sur listes papier. La le\u00e7on est brutale. La num\u00e9risation concentre le risque op\u00e9rationnel sur un nombre r\u00e9duit de prestataires, et la d\u00e9faillance de l’un d’eux se diffuse instantan\u00e9ment \u00e0 toute une fili\u00e8re.<\/p>\n\n\n\n

vMUSE et Collins Aerospace : l’anatomie d’une attaque par la cha\u00eene d’approvisionnement<\/h2>\n\n\n\n

Le logiciel MUSE (Multi-User System Environment) et sa version virtualis\u00e9e vMUSE permettent \u00e0 plusieurs compagnies de partager les m\u00eames comptoirs et bornes libre-service. C’est un standard du secteur, d\u00e9ploy\u00e9 dans des centaines d’a\u00e9roports. Sa force, la mutualisation, est aussi sa faiblesse : un point unique de d\u00e9faillance pour l’ensemble de l’\u00e9cosyst\u00e8me a\u00e9roportuaire.<\/p>\n\n\n\n

RTX, maison m\u00e8re de Collins Aerospace, a confirm\u00e9 que l’incident relevait d’un ran\u00e7ongiciel ayant chiffr\u00e9 les syst\u00e8mes de traitement des passagers. L’entreprise a isol\u00e9 les machines touch\u00e9es et restaur\u00e9 le service progressivement \u00e0 partir de sauvegardes, ce qui explique le retour \u00e0 la normale \u00e9tal\u00e9 sur plusieurs jours plut\u00f4t qu’instantan\u00e9. Le sch\u00e9ma rejoint celui d’autres incidents europ\u00e9ens r\u00e9cents, o\u00f9 la faille n’est pas dans l’organisation vis\u00e9e mais chez l’un de ses fournisseurs.<\/p>\n\n\n\n

Pour le Dr Junade Ali, expert en cybers\u00e9curit\u00e9 de l’Institution of Engineering and Technology (IET), la nature de l’\u00e9v\u00e9nement \u00e9tait claire d\u00e8s le d\u00e9part. \u00ab Il s’agit d’une attaque de la cha\u00eene d’approvisionnement visant le logiciel MUSE \u00bb, a-t-il d\u00e9clar\u00e9, soulignant que le vecteur exact et l’attribution restaient inconnus dans les heures qui ont suivi. Cette d\u00e9pendance \u00e0 un maillon unique, d\u00e9j\u00e0 observ\u00e9e lors de la faille Ivanti qui a frapp\u00e9 l’Union europ\u00e9enne<\/a>, est devenue le talon d’Achille des infrastructures critiques europ\u00e9ennes.<\/p>\n\n\n\n

Everest, le groupe de ran\u00e7ongiciel qui a revendiqu\u00e9 l’attaque<\/h2>\n\n\n\n

Le 20 octobre 2025, le groupe de ran\u00e7ongiciel Everest<\/strong> revendique l’attaque li\u00e9e \u00e0 Collins Aerospace et au logiciel MUSE. Everest op\u00e8re selon le mod\u00e8le classique de la double extorsion : chiffrement des syst\u00e8mes, vol de donn\u00e9es et menace de publication sur un site de fuite si la ran\u00e7on n’est pas vers\u00e9e. Dans les premi\u00e8res heures, plusieurs sources avaient \u00e9voqu\u00e9 d’autres familles de ran\u00e7ongiciel, mais aucune attribution n’avait \u00e9t\u00e9 confirm\u00e9e publiquement avant la revendication d’Everest.<\/p>\n\n\n\n

Une arrestation au Royaume-Uni, puis une remise en libert\u00e9<\/h3>\n\n\n\n

La National Crime Agency (NCA) britannique a annonc\u00e9 l’arrestation d’un homme d’une quarantaine d’ann\u00e9es dans le West Sussex<\/strong>, soup\u00e7onn\u00e9 d’infractions au titre du Computer Misuse Act. Il a ensuite \u00e9t\u00e9 remis en libert\u00e9 sous caution conditionnelle, l’enqu\u00eate se poursuivant. Cette interpellation rapide illustre la coop\u00e9ration transfrontali\u00e8re qui s’organise autour des attaques d’infrastructures, mais aussi la difficult\u00e9 \u00e0 remonter jusqu’aux commanditaires r\u00e9els lorsqu’un fournisseur tiers sert de point d’entr\u00e9e.<\/p>\n\n\n\n

Le tableau ci-dessous reconstitue la chronologie de la crise a\u00e9roportuaire, l’un des incidents d’infrastructure critique les plus document\u00e9s de la p\u00e9riode 2025-2026.<\/p>\n\n\n\n

Date<\/th>\u00c9v\u00e9nement<\/th>Impact mesur\u00e9<\/th><\/tr><\/thead>
19 sept. 2025<\/td>Compromission du syst\u00e8me vMUSE de Collins Aerospace<\/td>Enregistrement automatis\u00e9 hors service<\/td><\/tr>
20 sept. 2025<\/td>Propagation \u00e0 Heathrow, Bruxelles, Berlin, Dublin, Cork<\/td>Retour au traitement manuel des passagers<\/td><\/tr>
20-21 sept. 2025<\/td>Bruxelles demande l’annulation de ~50 % des vols<\/td>~60 vols annul\u00e9s sur une journ\u00e9e<\/td><\/tr>
22 sept. 2025<\/td>Restauration progressive des syst\u00e8mes<\/td>Retards r\u00e9siduels, ~629 vols affect\u00e9s au total<\/td><\/tr>
20 oct. 2025<\/td>Le groupe Everest revendique l’attaque<\/td>Mod\u00e8le de double extorsion confirm\u00e9<\/td><\/tr>
Automne 2025<\/td>Arrestation d’un suspect par la NCA (West Sussex)<\/td>Remise en libert\u00e9 sous caution conditionnelle<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

2026 : l’ann\u00e9e o\u00f9 les infrastructures critiques deviennent la cible n\u00b01<\/h2>\n\n\n\n

L’attaque des a\u00e9roports n’a \u00e9t\u00e9 qu’un signal avant-coureur. En 2026, la pression sur les infrastructures essentielles s’intensifie. Selon la commission de la s\u00e9curit\u00e9 int\u00e9rieure de la Chambre des repr\u00e9sentants am\u00e9ricaine, environ 70 % de l’ensemble des cyberattaques recens\u00e9es en 2024<\/strong> visaient d\u00e9j\u00e0 des infrastructures critiques, une tendance qui s’est confirm\u00e9e en 2025 et 2026 des deux c\u00f4t\u00e9s de l’Atlantique.<\/p>\n\n\n\n

L’Europe n’est pas \u00e9pargn\u00e9e. En mars 2026, la Commission europ\u00e9enne a \u00e9t\u00e9 vis\u00e9e par une cyberattaque touchant son infrastructure cloud h\u00e9bergeant la plateforme Europa. D\u00e9but avril 2026, le CERT-EU a confirm\u00e9 qu’une intrusion avait expos\u00e9 des donn\u00e9es li\u00e9es \u00e0 une trentaine d’entit\u00e9s de l’Union. Quelques semaines plus t\u00f4t, en f\u00e9vrier 2026, la France d\u00e9couvrait le piratage du registre FICOBA, exposant environ 1,2 million de comptes bancaires<\/a>. Ces incidents partagent un d\u00e9nominateur commun : ils ne ciblent plus de simples donn\u00e9es commerciales, mais le socle num\u00e9rique sur lequel reposent l’\u00c9tat, les services publics et l’\u00e9conomie r\u00e9elle.<\/p>\n\n\n\n

Le Forum \u00e9conomique mondial, dans son Global Cybersecurity Outlook 2026, chiffre l’inqui\u00e9tude : 64 % des organisations<\/strong> int\u00e8grent d\u00e9sormais le risque de cyberattaque \u00e0 motivation g\u00e9opolitique (sabotage d’infrastructures critiques, espionnage) dans leur strat\u00e9gie. Plus frappant encore, 93 % des experts en cybers\u00e9curit\u00e9 et 86 % des dirigeants estiment qu’un \u00e9v\u00e9nement cyber catastrophique de grande ampleur est probable dans les deux prochaines ann\u00e9es.<\/p>\n\n\n\n

Chronologie : les grandes cyberattaques d’infrastructures critiques en Europe<\/h2>\n\n\n\n

Pour saisir l’ampleur du ph\u00e9nom\u00e8ne, il faut replacer l’attaque des a\u00e9roports dans une s\u00e9rie d’incidents qui, en moins d’un an, ont vis\u00e9 les fondations num\u00e9riques de l’Europe. Chaque ligne du tableau correspond \u00e0 un secteur essentiel diff\u00e9rent, ce qui confirme le caract\u00e8re syst\u00e9mique de la menace plut\u00f4t qu’une vuln\u00e9rabilit\u00e9 isol\u00e9e.<\/p>\n\n\n\n

Incident<\/th>Date<\/th>Secteur<\/th>Impact principal<\/th><\/tr><\/thead>
A\u00e9roports europ\u00e9ens (Collins Aerospace)<\/td>Sept. 2025<\/td>Transport a\u00e9rien<\/td>5 hubs paralys\u00e9s, ~629 vols affect\u00e9s<\/td><\/tr>
Faille Ivanti EPMM (zero-day)<\/td>F\u00e9v. 2026<\/td>Institutions UE<\/td>Compromission via failles critiques<\/td><\/tr>
Registre FICOBA<\/td>F\u00e9v. 2026<\/td>Finances publiques (France)<\/td>~1,2 million de comptes expos\u00e9s<\/td><\/tr>
Commission europ\u00e9enne (plateforme Europa)<\/td>Mars 2026<\/td>Institutions UE<\/td>Infrastructure cloud touch\u00e9e<\/td><\/tr>
CERT-EU, intrusion multi-entit\u00e9s<\/td>Avr. 2026<\/td>Institutions UE<\/td>Donn\u00e9es de ~30 entit\u00e9s expos\u00e9es<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Cette accumulation explique pourquoi Bruxelles a fait de la r\u00e9silience cyber une priorit\u00e9 politique. L’attaque ne se mesure plus seulement en donn\u00e9es vol\u00e9es, mais en services interrompus, en vols clou\u00e9s au sol et en confiance publique entam\u00e9e.<\/p>\n\n\n\n

\u00c9nergie, eau, transport : la convergence IT\/OT change la donne<\/h2>\n\n\n\n

La sp\u00e9cificit\u00e9 des infrastructures critiques tient \u00e0 la fusion de deux mondes longtemps s\u00e9par\u00e9s : l’informatique de gestion (IT) et les syst\u00e8mes de commande industriels (OT, pour Operational Technology). Pendant des d\u00e9cennies, les automates qui pilotent une centrale \u00e9lectrique, une station de pompage ou un r\u00e9seau ferroviaire vivaient isol\u00e9s. La transformation num\u00e9rique les a connect\u00e9s, ouvrant une surface d’attaque in\u00e9dite.<\/p>\n\n\n\n

SCADA et automates : des syst\u00e8mes con\u00e7us pour durer, pas pour r\u00e9sister<\/h3>\n\n\n\n

Les syst\u00e8mes SCADA (supervision, contr\u00f4le et acquisition de donn\u00e9es) qui orchestrent les r\u00e9seaux d’\u00e9nergie et d’eau ont \u00e9t\u00e9 con\u00e7us pour une dur\u00e9e de vie de vingt \u00e0 trente ans, avec un imp\u00e9ratif de disponibilit\u00e9 et non de s\u00e9curit\u00e9. Beaucoup tournent encore sur des logiciels anciens, difficiles \u00e0 corriger sans interrompre un service vital. R\u00e9sultat : une vuln\u00e9rabilit\u00e9 dans un automate peut rester non corrig\u00e9e pendant des mois, faute de fen\u00eatre de maintenance.<\/p>\n\n\n\n

Les analystes sp\u00e9cialis\u00e9s en menaces cyber-physiques alertent depuis le d\u00e9but 2026 sur la mont\u00e9e des ran\u00e7ongiciels visant directement l’OT. L\u00e0 o\u00f9 une attaque IT vole des donn\u00e9es, une attaque OT r\u00e9ussie peut couper l’\u00e9lectricit\u00e9, contaminer un r\u00e9seau d’eau ou stopper un train. Le co\u00fbt moyen mondial d’une violation de donn\u00e9es atteignait d\u00e9j\u00e0 4,88 millions de dollars en 2024 selon le rapport IBM Cost of a Data Breach, et ce chiffre grimpe nettement pour les infrastructures critiques, o\u00f9 chaque heure d’interruption se compte en millions.<\/p>\n\n\n\n

Le co\u00fbt \u00e9conomique r\u00e9el des attaques d’infrastructures<\/h2>\n\n\n\n

Le co\u00fbt d’une cyberattaque d’infrastructure critique se mesure sur trois plans. D’abord les pertes directes : rem\u00e9diation, restauration des syst\u00e8mes, recours \u00e0 des prestataires d’urgence. Ensuite les pertes indirectes : production interrompue, vols annul\u00e9s, clients indemnis\u00e9s, contrats perdus. Enfin le co\u00fbt r\u00e9putationnel et r\u00e9glementaire, d\u00e9sormais aggrav\u00e9 par les sanctions pr\u00e9vues par le droit europ\u00e9en.<\/p>\n\n\n\n

L’attaque des a\u00e9roports illustre l’effet domino. Une seule d\u00e9faillance logicielle chez un fournisseur s’est traduite par des centaines de vols perturb\u00e9s, des milliers de passagers bloqu\u00e9s et des compagnies a\u00e9riennes contraintes d’indemniser leurs clients au titre du r\u00e8glement europ\u00e9en sur les droits des passagers. Le pr\u00e9judice ne reste pas chez la victime initiale : il se diffuse \u00e0 toute la fili\u00e8re, des compagnies aux h\u00f4tels en passant par les loueurs et les commerces a\u00e9roportuaires.<\/p>\n\n\n\n

Pour les op\u00e9rateurs d’\u00e9nergie et d’eau, l’addition serait bien plus lourde encore. Une coupure prolong\u00e9e affecte la sant\u00e9 publique, l’industrie et la s\u00e9curit\u00e9 nationale. C’est pr\u00e9cis\u00e9ment cette logique de cascade qui a pouss\u00e9 l’Union europ\u00e9enne \u00e0 durcir radicalement son cadre r\u00e9glementaire, en passant d’une logique de recommandation \u00e0 une logique de sanction.<\/p>\n\n\n\n

NIS2, CER, DORA : l’arsenal r\u00e9glementaire europ\u00e9en face \u00e0 la menace<\/h2>\n\n\n\n

L’Europe a b\u00e2ti en quelques ann\u00e9es un triptyque r\u00e9glementaire pour prot\u00e9ger ses infrastructures critiques. La directive NIS2<\/a> couvre la cybers\u00e9curit\u00e9 de 18 secteurs essentiels et importants. La directive CER (r\u00e9silience des entit\u00e9s critiques) traite la r\u00e9silience physique et organisationnelle. Le r\u00e8glement DORA, applicable depuis le 17 janvier 2025, cible sp\u00e9cifiquement le secteur financier. Ensemble, ils forment un filet de protection sans \u00e9quivalent mondial, mais dont l’efficacit\u00e9 d\u00e9pend de la transposition nationale.<\/p>\n\n\n\n

NIS2 impose un calendrier de notification strict : alerte pr\u00e9coce sous 24 heures<\/strong>, notification d’incident sous 72 heures<\/strong> et rapport final sous un mois. Elle introduit surtout la responsabilit\u00e9 personnelle des dirigeants, qui peuvent \u00eatre tenus pour responsables et, en cas de manquements r\u00e9p\u00e9t\u00e9s, faire l’objet d’une interdiction temporaire d’exercer. Les sanctions financi\u00e8res sont dissuasives, comme le d\u00e9taille le tableau suivant.<\/p>\n\n\n\n

Texte<\/th>P\u00e9rim\u00e8tre<\/th>Sanction maximale<\/th>\u00c9ch\u00e9ance cl\u00e9<\/th><\/tr><\/thead>
NIS2 (entit\u00e9s essentielles)<\/td>18 secteurs critiques<\/td>10 M\u20ac ou 2 % du CA mondial<\/td>Transposition due le 17 oct. 2024<\/td><\/tr>
NIS2 (entit\u00e9s importantes)<\/td>Secteurs \u00e9tendus<\/td>7 M\u20ac ou 1,4 % du CA mondial<\/td>Notification : 24 h \/ 72 h \/ 1 mois<\/td><\/tr>
Directive CER<\/td>R\u00e9silience physique des entit\u00e9s critiques<\/td>Fix\u00e9e par chaque \u00c9tat membre<\/td>Transposition due le 17 oct. 2024<\/td><\/tr>
DORA<\/td>Secteur financier<\/td>Sanctions sectorielles d\u00e9di\u00e9es<\/td>Applicable depuis le 17 janv. 2025<\/td><\/tr>
Cyber Resilience Act<\/td>Produits num\u00e9riques<\/td>Jusqu’\u00e0 15 M\u20ac ou 2,5 % du CA<\/td>Obligations \u00e9chelonn\u00e9es jusqu’en 2027<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le maillon faible n’est pas le texte, mais sa mise en \u0153uvre. La directive NIS2 devait \u00eatre transpos\u00e9e par chaque \u00c9tat membre au plus tard le 17 octobre 2024. \u00c0 la mi-2026, selon le suivi de l’ECSO, 23 des 27 \u00c9tats membres avaient achev\u00e9 leur transposition. Les retardataires s’exposent d\u00e9sormais \u00e0 des poursuites, comme le montre le cas fran\u00e7ais. Pour une lecture compl\u00e8te des amendes, voir notre dossier sur le Cyber Resilience Act et ses 15 M\u20ac d’amende<\/a>.<\/p>\n\n\n\n

La France et l’ANSSI en premi\u00e8re ligne<\/h2>\n\n\n\n

En France, NIS2 fera passer le nombre d’entit\u00e9s r\u00e9gul\u00e9es d’environ 500 sous l’ancienne directive \u00e0 pr\u00e8s de 15 000 entit\u00e9s<\/strong>, r\u00e9parties dans 18 secteurs. L’Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (ANSSI) en est l’autorit\u00e9 de tutelle. Le saut d’\u00e9chelle est consid\u00e9rable : des collectivit\u00e9s, des h\u00f4pitaux, des PME industrielles et des fournisseurs jusqu’ici hors radar entrent dans le champ des obligations de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

Mais la France a pris du retard. Le projet de loi relatif \u00e0 la r\u00e9silience des infrastructures critiques et au renforcement de la cybers\u00e9curit\u00e9 a \u00e9t\u00e9 adopt\u00e9 par le S\u00e9nat en mars 2025, puis transmis \u00e0 l’Assembl\u00e9e nationale, sans transposition pleinement achev\u00e9e \u00e0 la date pr\u00e9vue. Cons\u00e9quence directe : le 9 juin 2026, la Commission europ\u00e9enne a saisi la Cour de justice de l’Union europ\u00e9enne (CJUE) contre la France et l’Espagne pour transposition tardive de NIS2, plus d’un an apr\u00e8s l’\u00e9ch\u00e9ance. Cette proc\u00e9dure, d\u00e9taill\u00e9e dans notre article sur la saisine de la CJUE<\/a>, place Paris dans une position d\u00e9licate au moment m\u00eame o\u00f9 ses infrastructures sont vis\u00e9es.<\/p>\n\n\n\n

La r\u00e9ponse fran\u00e7aise ne se limite pas \u00e0 la transposition. Elle s’inscrit dans une strat\u00e9gie nationale de cybers\u00e9curit\u00e9 dot\u00e9e d’un milliard d’euros<\/a>, qui vise \u00e0 faire \u00e9merger des capacit\u00e9s industrielles europ\u00e9ennes et \u00e0 rendre op\u00e9rationnelle la r\u00e9serve cyber de l’Union d’ici 2026.<\/p>\n\n\n\n

Ce qu’en disent les experts et les responsables europ\u00e9ens<\/h2>\n\n\n\n

Au sommet de l’ex\u00e9cutif europ\u00e9en, le message est celui de l’urgence. Henna Virkkunen, vice-pr\u00e9sidente ex\u00e9cutive de la Commission europ\u00e9enne charg\u00e9e de la souverainet\u00e9 technologique, de la s\u00e9curit\u00e9 et de la d\u00e9mocratie, r\u00e9sume la nouvelle donne : \u00ab Les menaces auxquelles nous faisons face aujourd’hui sont plus complexes, plus coordonn\u00e9es et plus lourdes de cons\u00e9quences que jamais, avec des cyberattaques souvent dirig\u00e9es contre nos infrastructures critiques, nos cha\u00eenes d’approvisionnement et nos institutions d\u00e9mocratiques. \u00bb<\/p>\n\n\n\n

Du c\u00f4t\u00e9 de l’agence europ\u00e9enne, Juhan Lepassaar, directeur ex\u00e9cutif de l’ENISA, insiste sur la dimension collective de la d\u00e9fense : \u00ab La cybers\u00e9curit\u00e9 est une condition pr\u00e9alable \u00e0 la r\u00e9silience de notre soci\u00e9t\u00e9 num\u00e9ris\u00e9e. Nous devons renforcer notre capacit\u00e9 collective \u00e0 prot\u00e9ger les infrastructures critiques et les cha\u00eenes d’approvisionnement contre des attaques de plus en plus sophistiqu\u00e9es. \u00bb L’ENISA a d’ailleurs fait de l’exercice paneurop\u00e9en Cyber Europe 2026 un test grandeur nature de la r\u00e9ponse coordonn\u00e9e du continent.<\/p>\n\n\n\n

Sur le terrain technique, l’analyse du Dr Junade Ali (IET) sur l’attaque des a\u00e9roports reste la grille de lecture la plus cit\u00e9e : un compromis de fournisseur tiers suffit \u00e0 faire tomber des services critiques en cha\u00eene. Trois voix, un m\u00eame diagnostic. La s\u00e9curit\u00e9 d’une infrastructure ne vaut que celle de son maillon le plus faible, souvent un sous-traitant invisible.<\/p>\n\n\n\n

Comparaison : l’Europe face aux \u00c9tats-Unis sur la cyber-r\u00e9silience<\/h2>\n\n\n\n

L’Europe et les \u00c9tats-Unis abordent la protection des infrastructures critiques avec des philosophies diff\u00e9rentes. Washington privil\u00e9gie une approche sectorielle et largement volontaire, coordonn\u00e9e par la CISA, avec des obligations contraignantes concentr\u00e9es sur certains op\u00e9rateurs. L’Union europ\u00e9enne, elle, a choisi une approche horizontale et contraignante par le droit, o\u00f9 NIS2 impose un socle commun \u00e0 18 secteurs avec des sanctions harmonis\u00e9es.<\/p>\n\n\n\n

Les deux mod\u00e8les ont leurs faiblesses. Le mod\u00e8le am\u00e9ricain souffre de fragmentation et de d\u00e9pendance au volontariat. Le mod\u00e8le europ\u00e9en, plus ambitieux sur le papier, se heurte \u00e0 la lenteur de transposition nationale, comme l’illustre la saisine de la CJUE contre la France et l’Espagne. Sur le fond, les deux continents convergent vers un m\u00eame constat : la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement est devenue le champ de bataille d\u00e9cisif, et aucun acteur ne peut se prot\u00e9ger seul.<\/p>\n\n\n\n

Cinq pr\u00e9visions pour 2026-2027<\/h2>\n\n\n\n

\u00c0 partir des tendances observ\u00e9es et des donn\u00e9es disponibles, cinq \u00e9volutions se dessinent pour les douze \u00e0 dix-huit prochains mois.<\/p>\n\n\n\n

  1. Les attaques par fournisseur tiers vont s’intensifier.<\/strong> Le succ\u00e8s du sch\u00e9ma vMUSE va inspirer les groupes criminels, qui cibleront en priorit\u00e9 les prestataires mutualis\u00e9s \u00e0 fort effet de levier.<\/li>
  2. Les premi\u00e8res amendes lourdes NIS2 tomberont.<\/strong> Avec 23 \u00c9tats membres ayant transpos\u00e9 la directive, 2026-2027 verra les premi\u00e8res sanctions financi\u00e8res significatives contre des entit\u00e9s non conformes.<\/li>
  3. Le ran\u00e7ongiciel OT deviendra une menace de premier plan.<\/strong> La convergence IT\/OT exposera davantage les syst\u00e8mes industriels d’\u00e9nergie, d’eau et de transport \u00e0 des attaques aux cons\u00e9quences physiques.<\/li>
  4. L’IA offensive acc\u00e9l\u00e9rera la cadence.<\/strong> Reconnaissance automatis\u00e9e, hame\u00e7onnage personnalis\u00e9 et exploitation acc\u00e9l\u00e9r\u00e9e des failles raccourciront le d\u00e9lai entre la d\u00e9couverte d’une vuln\u00e9rabilit\u00e9 et son exploitation.<\/li>
  5. La g\u00e9opolitique restera le moteur du risque.<\/strong> Avec 64 % des organisations int\u00e9grant d\u00e9j\u00e0 le risque g\u00e9opolitique, les infrastructures \u00e9nerg\u00e9tiques et hydrauliques resteront des cibles de choix pour les acteurs \u00e9tatiques et hacktivistes.<\/li><\/ol>\n\n\n\n

    Comment les organisations peuvent r\u00e9duire leur exposition<\/h2>\n\n\n\n

    La d\u00e9fense des infrastructures critiques ne se r\u00e9sume pas \u00e0 acheter des outils. Elle repose sur une discipline de gestion du risque, en particulier sur la cha\u00eene d’approvisionnement, l\u00e0 o\u00f9 se concentrent d\u00e9sormais les attaques les plus d\u00e9vastatrices.<\/p>\n\n\n\n

    Les priorit\u00e9s concr\u00e8tes pour 2026<\/h3>\n\n\n\n