La littérature institutionnelle ou académique abonde sur les enjeux de souveraineté de la France et de l’Union européenne (UE) dans l’espace numérique, sur l’ensemble des couches de ce cyberespace : l’exercice de la souveraineté de la puissance publique est remis en cause par des entreprises monopolistiques à dimension mondiale, telles que les GAMAM (Google, Apple, Meta, Amazon, Microsoft) ou BATX (Baidu, Alibaba, Tencent, Xiaomi) ; l’UE est aujourd’hui fortement dépendante d’une industrie numérique qu’elle ne maîtrise que trop faiblement (cloud, câbles sous-marins, etc.) ou des approvisionnements stratégiques extra-européens en terres rares. Toutefois, l’ambition de souveraineté numérique européenne demeure un sujet de clivages entre les vingt-sept, et la France, fer de lance de ce mouvement, apparaît en décalage avec certains de ses partenaires pour lesquels souveraineté numérique vaut protectionnisme ou isolationnisme à l’égard des États-Unis. Malgré cette littérature sur les enjeux de souveraineté dans le cyberespace, les liens plus spécifiques entre cybersécurité ⁽¹⁾ et souveraineté, de la France et de l’UE, sont peu documentés. Si la résilience de nos sociétés face à la menace cyber est une des conditions de la souveraineté numérique de la France et de l’UE, le sujet va au-delà, notamment en matière de réassurance cyber dans un monde numérique vassalisé ; à cet égard, plusieurs points d’inflexion apparaissent au niveau européen, pour renforcer la souveraineté de l’UE en matière de cybersécurité, complémentaire de la souveraineté nationale.

De grandes avancées, à l’échelon national comme au niveau européen, pour concrétiser l’ambition de résilience cyber, pilier de la souveraineté numérique européenne

Renforcer la cybersécurité en France, ou au sein de l’UE, est un objectif aujourd’hui partagé, par les leaders politiques nationaux et européens, par les entreprises elles-mêmes, et par les citoyens. De nombreuses avancées ont ainsi permis à la France et à l’UE d’avoir une place de leader, à l’échelon mondial, en matière de sécurité du numérique.

La France fait office de précurseur en matière de cybersécurité avec, dès 2013, l’adoption de la loi de programmation militaire qui a permis d’encadrer, par un acte législatif, la cybersécurité des opérateurs les plus critiques pour la Nation : les opérateurs d’importance vitale (OIV) ⁽²⁾. Cette approche par la régulation était en claire opposition avec celle des partenaires anglo-saxons, davantage libéraux que la France, y compris en matière cyber, et pour lesquels l’équilibre du marché était vecteur, par lui-même, de cybersécurité. À l’appui de l’approche française, la Commission européenne (CE) a cherché à encadrer la cybersécurité des opérateurs économiques au sein de l’UE, en proposant la directive NIS (Network and Information Security) ⁽³⁾, adoptée par les co-législateurs en 2016.