Cybersec Europe 2026 : Bruxelles face au défi de l’IA Mythos
Tandis que les eurodéputés débattent à Strasbourg cette semaine des capacités de résilience cyber de l’Union européenne, la communauté européenne de la cybersécurité se réunit à Bruxelles pour Cybersec Europe 2026, le salon professionnel phare du continent qui se tient les 20 et 21 mai. Cette concomitance est délibérée : les deux événements saisissent ensemble le moment présent de la politique européenne de cybersécurité, où l’architecture réglementaire construite au cours des cinq dernières années se trouve désormais confrontée à une génération de systèmes d’intelligence artificielle avancés que les cadres initiaux n’avaient pas anticipés.
Pourquoi Mythos a changé la donne
Au centre de cette urgence renouvelée se trouve Mythos, le système d’IA avancé dont l’émergence ces derniers mois a redéfini la réflexion européenne sur les risques cyber liés à l’IA. Mythos et les systèmes comparables ont démontré des capacités qui dépassent les hypothèses intégrées dans la législation européenne existante en matière de cybersécurité – la directive sur la sécurité des réseaux et de l’information 2 (NIS2), la loi sur la cyber-résilience (CRA) et la loi sur la cybersécurité établissant l’ENISA.
Renew Europe est le groupe politique qui a demandé ce débat en plénière, arguant que l’UE a besoin d’une stratégie de cybersécurité dédiée à l’IA avancée, d’une mise en œuvre complète de NIS2 et d’une réduction de la dépendance vis-à-vis des fournisseurs non européens d’infrastructures cloud, de capacités d’IA et de semi-conducteurs. Ce cadrage a trouvé un écho dans tout l’éventail politique.
Le paquet Souveraineté technologique le 27 mai
Le calendrier politique est calibré. Le 27 mai, la Commission européenne doit présenter son paquet Souveraineté technologique, comprenant la loi sur le cloud et le développement de l’IA et le Chips Act 2. Ce paquet est conçu pour donner à l’Union à la fois les outils réglementaires et les leviers de politique industrielle nécessaires pour rivaliser dans un paysage technologique dominé par les fournisseurs américains et chinois.
La loi sur le cloud et le développement de l’IA s’attaque à ce qui est apparu comme l’une des faiblesses structurelles de la compétitivité européenne : la dépendance vis-à-vis d’un petit nombre d’hyperscalers non européens pour les infrastructures cloud, et l’absence de capacité européenne à grande échelle pour l’entraînement de modèles d’IA de pointe. Le Chips Act 2 s’appuie sur le Chips Act de 2023, avec un accent renforcé sur la fabrication de nœuds avancés et sur la chaîne d’approvisionnement des accélérateurs d’IA.
Application de NIS2 : toujours un chantier inachevé
Cybersec Europe 2026 revient régulièrement sur l’application de NIS2, qui demeure inégale entre les États membres malgré l’échéance de transposition passée. Les autorités nationales compétentes se trouvent à des stades très différents de préparation opérationnelle, et la réalité pratique est que de nombreuses entités soumises à NIS2 – notamment les entreprises de taille moyenne dans les secteurs couverts – construisent encore la posture de sécurité qu’exige la directive.
La loi sur la cyber-résilience ajoute une couche supplémentaire. Les obligations de notification au titre de l’article 14 entrent en vigueur le 11 septembre 2026, avec une applicabilité complète des exigences du CRA à partir du 11 décembre 2027. Pour les fabricants, importateurs et distributeurs de produits comportant des éléments numériques, il ne s’agit plus d’un projet de conformité théorique : le matériel en rayon en 2028 devra déjà intégrer les exigences de sécurité dès la conception du règlement.
La géographie de la menace
Le programme de la conférence de Bruxelles reflète cette nouvelle géographie de la menace. Les campagnes parrainées par les États russe, chinois, nord-coréen et iranien continuent de cibler les infrastructures critiques européennes. Les opérateurs criminels de rançongiciels, de plus en plus équipés d’outils augmentés par l’IA, visent tant les entreprises privées que les services publics. Et l’essor des systèmes d’IA avancés crée des surfaces de risque entièrement nouvelles – de la reconnaissance et l’exploitation autonomes à l’ingénierie sociale à grande échelle par deepfake.
Ce que surveillent les entreprises
Pour les entreprises européennes, la question pratique est de savoir comment opérationnaliser un empilement réglementaire de plus en plus dense tout en se protégeant contre une menace en évolution. NIS2, le CRA, la loi sur l’IA, la loi sur la résilience opérationnelle numérique (DORA) pour les entités financières, et les exigences sectorielles spécifiques en matière de cybersécurité interagissent toutes. Le défi de la conformité est égalé par le défi des capacités : de nombreuses organisations peinent encore à recruter et retenir des spécialistes de la cybersécurité.
Le débat de Strasbourg et la conférence de Bruxelles, ensemble, plantent le décor pour le paquet Souveraineté technologique de la semaine prochaine. Les décisions prises à Bruxelles d’ici à la fin du printemps façonneront l’environnement européen de la cybersécurité pour le reste de la décennie.
