La Commission européenne vient de publier son plan d’action sur la cybersécurité et l’intelligence artificielle. Un texte important, car il acte une bascule : l’IA n’est plus seulement un sujet d’innovation, de productivité ou de compétitivité. Elle devient aussi un sujet de sécurité, de souveraineté et de résilience.
Le constat européen est clair : les modèles d’IA les plus avancés peuvent aider les organisations à mieux détecter les menaces, renforcer leur préparation et accélérer la réponse aux incidents. Mais ces mêmes capacités peuvent aussi être utilisées pour automatiser, industrialiser et complexifier des opérations cyber offensives.
Autrement dit, l’IA change les règles du jeu cyber. Elle peut renforcer les défenseurs, mais aussi donner plus de vitesse, d’échelle et d’efficacité aux attaquants.
Ce que l’Europe veut organiser
Le plan européen repose sur une idée simple : l’IA appliquée à la cybersécurité ne peut pas se développer sans cadre de confiance.
L’Union européenne veut donc avancer sur plusieurs fronts : évaluer les modèles les plus avancés, faciliter l’accès sécurisé à certaines capacités IA pour les acteurs européens, organiser des environnements de test, renforcer la gestion des vulnérabilités, soutenir les solutions IA cyber européennes et développer les compétences.
L’un des points les plus concrets concerne la création d’une plateforme européenne de test sécurisée, portée par l’ENISA et le Joint Research Centre. L’objectif est de tester des capacités IA dans des conditions cyber réalistes, sans exposer les infrastructures réelles.
C’est un signal important car en cybersécurité, la confiance ne se décrète pas mais se teste, se documente, se supervise et se prouve.
Avec l’IA, cette exigence devient encore plus forte. Il ne suffit pas qu’un modèle soit performant. Il faut comprendre ce qu’il peut faire, quelles données il manipule, quels droits il possède, quelles erreurs il peut produire, et comment reprendre la main si nécessaire.
Le vrai sujet : quelle IA pour quel usage ?
Le plan européen parle beaucoup de modèles avancés. C’est logique : ces modèles concentrent une partie des capacités les plus puissantes, donc des opportunités comme des risques.
Mais pour les entreprises, tous les besoins IA ne nécessitent pas un modèle frontière.
Certains usages relèvent d’un assistant généraliste. D’autres d’un RAG connecté à une base documentaire. D’autres encore d’un petit modèle spécialisé, d’un modèle local, d’un machine learning classique ou simplement d’un processus métier mieux structuré.
C’est probablement l’un des points les plus importants pour les dirigeants : ne pas partir du modèle, mais du besoin.
Un usage de reformulation interne ne pose pas les mêmes questions qu’un assistant intégré dans un logiciel métier. Un chatbot support ne pose pas les mêmes risques qu’un agent IA capable d’appeler une API. Une IA de contrôle qualité dans un environnement industriel ne relève pas du même niveau de criticité qu’un outil de veille.
La performance n’a donc de sens que rapportée à un usage. Le meilleur modèle n’est pas toujours le plus grand, le plus coûteux ou le plus visible. C’est celui qui répond au bon besoin, avec le bon niveau de maîtrise.
Souveraineté : où perd-on vraiment la main ?
Le plan européen met aussi en avant un enjeu de souveraineté. Les capacités IA les plus avancées restent encore largement concentrées hors d’Europe, avec des conditions d’accès parfois dépendantes de décisions privées ou extra-européennes, les cas de Mythos et Fable sont là pour nous le rappeler.
Mais la souveraineté ne se limite pas à choisir un modèle européen ou un hébergement local.
Elle se joue à plusieurs niveaux : données, modèle, cloud, inférence, GPU, API, coûts, licences, contrats, cybersécurité, réversibilité. Une entreprise peut très bien utiliser une solution hébergée en France, tout en restant dépendante d’un modèle, d’une API, d’un fournisseur cloud, d’une couche d’orchestration ou d’un coût du token qu’elle ne maîtrise pas.
La bonne question n’est donc pas seulement : “cette IA est-elle souveraine ?”mais “où sont mes dépendances, lesquelles sont acceptables, lesquelles sont critiques, et lesquelles dois-je pouvoir réduire ou contourner ?”
Certaines dépendances peuvent être acceptées si elles sont documentées, maîtrisées et réversibles. D’autres doivent être limitées, encadrées ou refusées lorsqu’elles touchent des données sensibles, des processus critiques ou des choix stratégiques.
C’est là que le sujet devient très opérationnel : une stratégie IA sérieuse doit intégrer la capacité à changer de modèle, de fournisseur ou d’architecture sans devoir tout reconstruire.
Un sujet déjà travaillé par Digital League
Ces questions ne sont pas nouvelles pour Digital League.
En mai 2026, le Club Experts Cybersécurité a consacré une session complète à un thème très proche : “Sécuriser une feuille de route IA”. L’objectif était d’aider les experts cyber à accompagner les entreprises dans la sécurisation de leurs usages IA, sans freiner l’innovation, mais sans laisser apparaître de nouvelles zones de perte de maîtrise.
Un enseignement fort en est ressorti : l’enjeu n’est plus seulement d’adopter l’IA, mais de l’intégrer de manière maîtrisée. Les entreprises qui réussiront ne seront pas forcément celles qui utilisent le modèle le plus performant ou l’outil le plus visible, mais celles qui sauront préserver la maîtrise de leurs données, de leurs responsabilités, de leurs savoir-faire et de leurs capacités de décision.
Le compte rendu de cette session insistait aussi sur un point décisif : la maîtrise doit pouvoir être démontrée. Registre des usages, classification des données, logs, tests, validations, documentation, contrats, procédures incident, critères go/no-go, capacité de désactivation… un cadre qui ne produit pas de preuves reste fragile.
C’est exactement le type de passage à l’action dont les entreprises ont besoin aujourd’hui.
Performance, souveraineté, budget : apprendre à arbitrer
La prochaine étape sera justement au cœur de l’Inter-Clubs Digital League du vendredi 10 juillet, consacré au thème : “IA : comment concilier performance et souveraineté ?”…sujet qui tombe donc à point nommé.
L’enjeu ne sera pas d’opposer les deux. Performance et souveraineté ne sont pas toujours contradictoires mais obligent surtout à arbitrer.
Quand faut-il recourir à un modèle frontière ? Quand privilégier un petit modèle spécialisé ? Quand un RAG suffit-il ? Quand le machine learning classique reste-t-il plus fiable, plus rapide ou plus sobre ? Quand accepter une dépendance ? Quand la réduire ? Quand la documenter ? Quand la refuser ?
Ces questions sont très concrètes pour les entreprises. Elles conditionnent les coûts, la sécurité, les délais, la conformité, la résilience et la capacité à passer à l’échelle.
Elles rappellent aussi une chose : l’IA ne doit pas être pensée comme un bloc unique. Elle doit être conçue comme une architecture, parfois hybride, parfois agnostique, parfois locale, parfois appuyée sur des modèles plus puissants, mais toujours construite en fonction du niveau de risque, de performance attendue et de criticité métier.
De la stratégie européenne à la réalité des entreprises
Le plan européen pose une direction claire : l’IA doit devenir un levier de cybersécurité, sans devenir une nouvelle source de vulnérabilité incontrôlée.
Mais cette ambition ne se réalisera pas seulement dans les textes. Elle se construira dans les choix d’architecture, les plateformes de test, les politiques de données, les contrats, les formations, les exercices de crise, les capacités de réversibilité et les arbitrages quotidiens des entreprises.
La cybersécurité augmentée par l’IA ne sera pas seulement une affaire de modèles mais sera une affaire de confiance, de compétences, de gouvernance, de preuves et de coopération.
L’Europe fixe le cap. Aux écosystèmes comme Digital League, aux experts et aux entreprises de transformer ce cap en usages utiles, maîtrisés et réellement soutenables. Fort heureusement, le Club Experts Cybersécurité de Digital League est déjà en ordre de marche 😉
Sources :
✅️Plan d’action de l’UE en matière de cybersécurité et d’intelligence artificielle: https://digital-strategy.ec.europa.eu/fr/library/eu-action-plan-cybersecurity-and-artificial-intelligence
✅️Communiqué de presse de la Commission : https://digital-strategy.ec.europa.eu/fr/news/commission-presents-eu-action-plan-cybersecurity-and-artificial-intelligence