Aller au contenu
NNextHop
← Retour au blog
CloudCybersécuritéEuropeSouveraineté

L’Europe numérique manque moins de champions que de doctrine

L’Europe aborde la résilience numérique comme un problème de souveraineté industrielle alors que son déficit principal est ailleurs. Les capacités techniques de fallback existent déjà en grande partie ; les acteurs industriels aussi. Le point critique est institutionnel : personne n’est clairement chargé de déclencher, coordonner et entraîner un mode dégradé européen en cas de crise.

Par Sylvain Rutten19 mai 2026

Synthèse exécutive

L'article 1 a posé un diagnostic et l'a refermé sur une thèse : Souverainetés numériques comparées : modèles américain, chinois, russe, indien et choix européen. Cet article 2 en tire la conséquence.

Le déficit européen décisif n'est ni technologique ni industriel. Les briques techniques d'une dégradation graduelle existent, et elles sont peu coûteuses. Une partie des acteurs industriels existe déjà. L'un des plus stratégiques, le câblier Alcatel Submarine Networks, est repassé sous contrôle de l'État français en 2025. Ce qui manque est ailleurs : un propriétaire opérationnel désigné, une doctrine d'emploi du mode dégradé, un régime d'exercices, un déclencheur juridique. La variable critique n'est pas l'autonomie. C'est le pré-positionnement et l'entraînement organisés avant la crise. Cette reformulation est le pari de la rédaction.

L'article suit le même fil. Il établit d'abord le principe directeur, la dégradation graduelle opposée à la rupture brutale, décliné couche par couche et confronté aux trois hypothèses prospectives de l'article 1. Il parcourt ensuite trois roadmaps. La technique, où le retard est un retard d'adoption et non d'innovation. L'industrielle, où la carte des acteurs est moins vide que mal orientée. La politique, où la pièce manquante est un déclencheur et une doctrine, non un texte de plus. Les deux objections les plus solides, maximaliste et minimaliste, sont traitées dans le corps et tranchées.

Note méthodologique : quatre registres épistémiques et mise à jour factuelle

Cet article reconduit le système épistémique de l'article 1. Fait établi : donnée vérifiable et publiquement attestée, source citée. Lecture analytique : interprétation argumentée d'une donnée établie. Inférence raisonnée : projection de comportements probables, l'incertitude résiduelle étant nommée. Pari éditorial : jugement sur le caractère désirable ou réalisable d'une trajectoire. L'apparat repart à la note [1] et renvoie à l'article 1 lorsque nécessaire.

Deux formulations de l'article 1 doivent être corrigées, au titre de l'autodiagnostic.

L'article 1 mentionnait un « Internet Resilience Act ». Aucun instrument de ce nom n'a été déposé. Le corpus réel est triple : le Cyber Resilience Act, en vigueur depuis le 10 décembre 2024, dont les obligations principales s'appliquent au 11 décembre 2027 et la notification d'incidents au 11 septembre 2026 [1] ; le paquet cybersécurité du 20 janvier 2026, qui comprend un Cybersecurity Act révisé, COM(2026) 11, et des amendements à NIS2 [2] ; le Digital Networks Act, proposé le 21 janvier 2026 [3]. Dans la suite, « Internet Resilience Act » désigne une substance manquante, pas un texte existant.

L'article 1 datait par ailleurs le Digital Networks Act de mars 2026 et le qualifiait de consultation. C'est inexact. Il s'agit d'une proposition législative formelle, publiée le 21 janvier 2026. Sa sortie, prévue en décembre 2025, avait été reportée après l'opposition d'un groupe d'États membres fin novembre 2025.

Partie I. Le principe directeur : dégradation graduelle contre rupture brutale

I.1 Définir le fallback couche par couche

L'article 1 a décomposé Internet en quatre couches : physique, interconnexion, logique, applicative. Cette grille n'était pas descriptive. Elle est l'ossature de toute architecture de fallback, parce qu'une dégradation se conçoit couche par couche. Chaque couche a son mode de défaillance, son délai de bascule et son levier propre.

Sur la couche physique, la défaillance est une coupure de câble ou une perte de capacité. Le levier n'est pas la propriété intégrale de l'infrastructure, hors de portée à court terme, mais la réparation rapide et la redondance des routes. Sur la couche d'interconnexion, la défaillance est une fuite de routage ou la perte d'un transitaire. Le levier est le durcissement des politiques de routage et l'existence de chemins de repli intra-européens. Sur la couche logique, la défaillance est une indisponibilité de la résolution de noms. Le levier est la souveraineté des résolveurs et la distribution locale de la racine. Sur la couche applicative, la défaillance est une suspension de service, technique ou juridique. Le levier est l'existence d'alternatives en mode dégradé pour les fonctions critiques, et non la parité grand public.

I.2 Le critère décisif n'est pas l'autonomie

La discussion publique européenne confond souveraineté et résilience. Ce sont deux objets distincts. La souveraineté est une propriété de l'infrastructure : qui la possède, sous quel droit. La résilience est une propriété du système sous stress : conserve-t-il une fonction utile quand une dépendance est coupée.

Les deux ne varient pas ensemble. Un système entièrement souverain mais non entraîné peut s'effondrer à la première défaillance interne, comme l'ont montré les échecs partiels des tests russes de 2021 et 2022. Un système partiellement dépendant mais correctement pré-positionné peut absorber un choc en se dégradant sans rompre.

Le critère décisif n'est donc pas le degré d'autonomie atteint. C'est l'existence, avant la crise, de trois éléments : un mode dégradé techniquement défini pour chaque couche, un acteur ayant l'autorité de le déclencher, un régime d'exercices garantissant qu'il fonctionnera le jour venu. C'est le principe de toute doctrine de continuité : ce qui n'a pas été répété ne fonctionne pas sous contrainte.

I.3 Confrontation aux trois hypothèses

Les trois hypothèses de l'article 1 ne dégradent ni les mêmes couches ni dans le même ordre. L'hypothèse A, durcissement extraterritorial américain, frappe la couche applicative par voie juridique, avec une cinétique lente. L'hypothèse B, crise de Taïwan, frappe lentement le hardware par l'amont semi-conducteur et, vite, une partie de la capacité transpacifique, dont l'effet sur l'Europe est indirect mais réel. L'hypothèse C, escalade OTAN-Russie, frappe vite et de façon répétée la couche physique baltique et l'interconnexion, par cisaillements et fuites de routage, sans nécessairement franchir le seuil de la rupture totale.

L'architecture de fallback doit donc être différenciée. Ce qui protège contre A, des fonctions critiques relocalisables et un cadre juridique de résistance, ne protège pas contre C, qui exige de la redondance physique et de la réparation rapide. Une politique de résilience qui traiterait les trois hypothèses par un instrument unique se tromperait d'objet.

Hypothèses, couches dégradées et leviers de fallbackInférence raisonnée. Classification éditoriale construite à partir des architectures techniques et juridiques documentées dans l'article 1 et dans les notes du présent article

Partie II. Roadmap technique : l'écart d'adoption

II.1 Sécuriser le routage : RPKI, ROV, MANRS

L'article 1 a documenté la fragilité de BGP par la fuite Rostelecom d'avril 2020. La parade existe. La Resource Public Key Infrastructure permet à un détenteur d'adresses de déclarer, par une Route Origin Authorization, quel système autonome est autorisé à annoncer ses préfixes. La Route Origin Validation permet aux routeurs de rejeter les annonces non conformes. Le point dur n'est pas la technologie, normalisée et déployée. C'est son inégale application.

Fait établi : la création de ROA a franchi en mai 2024 le seuil de la majorité des routes IPv4, IPv6 plus tôt, selon le moniteur RPKI du NIST [4]. Mais la couverture n'est pas la protection. La mesure académique RoVista, présentée à l'Internet Measurement Conference 2023, couvre plus de 28 000 systèmes autonomes. Elle établit que 63,8 % des AS tirent un bénéfice partiel de la validation. La part des AS pleinement protégés reste de l'ordre de 12,3 % [5]. Une mesure de Cloudflare donne une couverture effective basse, de l'ordre de 6,5 % des AS mesurés.

L'enjeu européen tient en une phrase : non pas inventer la sécurité du routage, mais la rendre opposable.

RPKI : la couverture déclarative n'est pas la protection effectiveFait établi. Sources : NIST RPKI Monitor (couverture ROA IPv4, mai 2024) ; RoVista, ACM IMC 2023 (bénéfice et protection ROV) ; mesure Cloudflare (couverture effective). Valeurs en pourcentage

L'instrument de cette opposabilité existe déjà. Les Mutually Agreed Norms for Routing Security définissent un socle d'actions opérationnelles. Plusieurs grands points d'échange européens ont basculé leurs serveurs de routes vers un filtrage RPKI par défaut : AMS-IX dès octobre 2017, en passant d'un modèle d'adhésion à un modèle de retrait. Généraliser ce modèle à l'ensemble des IXP européens et l'inscrire comme condition d'autorisation relève d'une décision réglementaire, pas d'un programme de recherche. Le levier est connu ; il n'est pas activé.

II.2 La souveraineté de la résolution de noms

L'article 1 a rappelé que dix des douze opérateurs de serveurs racine du DNS sont américains, que deux sont européens, et que le système distribue plus de deux mille instances anycast, dont une part significative sur sol européen. La résilience de la couche logique ne consiste pas à dupliquer la racine. Elle consiste à en rapprocher la desserte.

La technique est standardisée. Un résolveur peut héberger localement une copie de la zone racine et la servir depuis la machine même. La résolution devient résiliente à une coupure de l'accès aux serveurs racine externes, sans modifier la gouvernance du DNS. S'y ajoutent la promotion de résolveurs publics sous droit européen, la consolidation des registres de domaines nationaux, déjà robustes, et l'indépendance du RIPE NCC, que l'article 1 a documentée. Des quatre couches, la couche logique est celle où le rapport entre l'effort requis et la résilience obtenue est le plus favorable.

II.3 L'interconnexion : durcir ce qui est déjà fort

L'article 1 a établi un point souvent négligé. La couche d'interconnexion intra-européenne est largement européenne : DE-CIX, AMS-IX, LINX, et le système autonome AS1299 d'Arelion, classé premier réseau mondial selon Kentik. Le club des transitaires de premier rang est mixte. Une coupure unilatérale des transits américains augmenterait la latence vers certaines destinations sans provoquer de partition européenne.

La roadmap sur cette couche ne consiste donc pas à construire mais à durcir : filtrage RPKI généralisé aux serveurs de routes, accords de peering de repli pré-négociés entre opérateurs et entre IXP, inventaire des dépendances de transit américaines critiques afin d'en préparer le contournement. Coût faible, effet immédiat.

II.4 La connectivité de dernier ressort : ne pas confondre les calendriers

Une confusion fréquente doit être levée. IRIS², la constellation souveraine de l'Union, est régulièrement présentée comme le filet de sécurité de la connectivité européenne. Ce n'en est pas un à court terme.

Le contrat de concession de douze ans avec le consortium SpaceRISE, soit SES, Eutelsat et Hispasat, a été signé le 16 décembre 2024. La constellation comptera environ 290 satellites, en orbites basse et moyenne, pour un coût estimé à 10,6 milliards d'euros dont 6,5 milliards publics. L'appel d'offres pour les satellites en orbite basse a été lancé fin décembre 2025. Le premier lancement est visé en 2029, les services gouvernementaux initiaux en 2030, la pleine capacité vers 2031 [6].

Le pont opérationnel réel, à l'horizon de cet article, n'est pas IRIS² mais GOVSATCOM, déclaré opérationnel le 27 janvier 2026, et utilisé par Chypre dès mars 2026 [7]. Une roadmap qui s'appuierait sur IRIS² comme moyen de bascule avant 2030 reposerait sur un calendrier qui n'existe pas. La capacité de dernier ressort disponible aujourd'hui est modeste ; la capacité souveraine ambitieuse est pour la décennie suivante. Confondre les deux transforme l'argument de résilience en argument de communication.

Une réserve s'impose ici. Le durcissement du routage et du DNS, aussi peu coûteux soit-il, ne protège pas la couche applicative, qui est la plus dépendante. C'est exact, et c'est pourquoi la roadmap technique ne suffit pas. Elle répond aux hypothèses B et C ; elle ne répond pas à l'hypothèse A, qui est juridique. Sa vertu est précisément d'être circonscrite et bon marché ; lui prêter davantage serait surévaluer sa portée.

Partie III. Roadmap industrielle : la carte mal orientée

III.1 Là où l'Europe est forte, et la mesure de ce qui lui échappe

Le diagnostic d'une Europe industriellement absente est faux. Alcatel Submarine Networks, leader mondial de la pose et de la fabrication de câbles sous-marins, est repassé sous contrôle de l'État français en 2025, après la cession par Nokia [8]. Orange Marine modernise sa flotte câblière. Le tissu d'interconnexion, l'article 1 l'a montré, est européen.

L'amont industriel existe donc précisément là où l'Europe était déjà forte, sur l'interconnexion, et il est faible là où elle l'était déjà, sur la couche physique transatlantique et sur l'applicatif. L'ampleur de ce qui échappe peut être chiffrée. Selon le groupe d'experts de la Commission, les opérateurs européens traditionnels ne détiennent plus qu'environ 2 % de la capacité transatlantique [9]. Capacité de fabrication n'est pas propriété opérationnelle : l'Europe sait construire et poser des câbles que d'autres possèdent et exploitent.

III.2 Le vrai goulot d'étranglement : la réparation, pas le champion

Le point de levier industriel le plus négligé n'est pas la construction d'un hyperscaler européen. C'est la capacité de réparation rapide.

Les faits sont documentés. La flotte mondiale de réparation est privée et priorise l'activité plus lucrative de pose. Peu de navires sont aptes aux câbles électriques lourds. Le délai médian de réparation d'un câble de données est de l'ordre de 40 jours. L'incident Estlink 2, fin décembre 2024, a montré qu'il a fallu des mois pour seulement trouver un navire et un équipage adéquats [10]. Avec 150 à 200 ruptures annuelles dans le monde, principalement accidentelles, la flotte est à peine dimensionnée pour le régime ordinaire. Elle ne l'est nullement pour un scénario de cisaillements concertés tel que le décrit l'hypothèse C.

La Commission a partiellement saisi ce point. Après les priorités énoncées par la présidente von der Leyen à Vilnius le 9 février 2025, la Joint Communication du 21 février 2025 a structuré une approche en cycle complet : prévention, détection, réponse, réparation, dissuasion [11]. Le groupe d'experts a publié une évaluation des risques en octobre 2025. Le 5 février 2026, la Commission a annoncé 347 millions d'euros et une Cable Security Toolbox, dont un pilote de réparation rapide de 20 millions d'euros pour la Baltique, fondé sur le pré-positionnement d'équipements modulaires, et treize zones de Cable Projects of European Interest échelonnées jusqu'en 2040 [12]. Sur le plan dissuasif, la mission OTAN Baltic Sentry est active depuis le 14 janvier 2025 [13].

Ces mesures vont dans le bon sens mais restent en deçà du goulot. Un pilote de 20 millions d'euros ne crée pas de navires, et l'équipement modulaire stocké à terre requiert toujours un navire spécialisé pour être déployé. L'arraisonnement du cargo Fitburg par les forces finlandaises le 31 décembre 2025 confirme que les incidents n'ont pas cessé malgré la dissuasion navale. Le levier décisif est la commande publique ou contractualisée de navires de pose et de réparation supplémentaires, en priorité pour le bassin baltique et nord-atlantique. Le plan câbles l'évoque à moyen terme mais ne l'engage pas. C'est là, et non dans un champion cloud, que la dépense marginale a le meilleur rendement de résilience.

III.3 Le piège du champion : le cloud souverain et le mur juridique

L'objection la plus sérieuse est ici politique. Un champion cloud européen est désirable en soi. Gaia-X a échoué à le produire. Les offres dites souveraines des hyperscalers seraient désormais suffisantes pour les besoins critiques. Il faut exposer cette position dans sa force avant de la discuter.

Ces offres existent et ont mûri. AWS a annoncé la disponibilité générale de son European Sovereign Cloud le 15 janvier 2026 : première région en Allemagne, investissement annoncé supérieur à 7,8 milliards d'euros, gouvernance par des entités de droit allemand, directions confiées à des dirigeants résidents de l'Union [14]. Microsoft propose une EU Data Boundary déployée en février 2025, un Sovereign Cloud, et des clouds partenaires nationaux : Bleu, coentreprise Orange-Capgemini visant la qualification SecNumCloud, et Delos pour l'administration allemande [15]. Du côté strictement européen, 3DS Outscale, qualifié SecNumCloud, OVHcloud et Scaleway constituent une offre native.

La discussion se ramène à une seule question, celle que pose le triptyque documenté par l'article 1, soit le CLOUD Act, la Section 702 du FISA et l'Executive Order 12333. L'architecture de gouvernance d'une offre dite souveraine a-t-elle le pouvoir juridique de résister à une injonction d'une juridiction américaine adressée à la société mère ?

Ce pouvoir n'est pas démontrable publiquement. Le conseil de gouvernance européen annoncé par Microsoft en avril 2025, présenté comme opérationnel depuis novembre 2025, n'a, début 2026, ni composition, ni charte, ni statut juridique, ni périmètre de pouvoir publiés relativement à la gouvernance mondiale de la société. Tant que ces éléments ne sont pas publiés et testés, l'engagement reste un engagement, pas une garantie opposable. La norme française SecNumCloud tranche dans l'autre sens : elle exige une propriété majoritairement européenne et une immunité aux droits extraterritoriaux, et exclut de fait les services des hyperscalers standards. L'autorité française de qualification ne considère donc pas la question comme réglée par la seule architecture contractuelle.

La conséquence n'est pas qu'il faut un AWS européen, objet coûteux, lent, au rendement de résilience incertain au regard des trois hypothèses. C'est qu'un service infonuagique souverain doit être restreint aux fonctions critiques de l'État et des opérateurs essentiels, là où l'exigence d'immunité juridique n'est pas négociable. L'étendre à une parité grand public n'ajoute pas de résilience, et le marché européen ne le financera pas. L'open source et le label souverain ne sont pas, en eux-mêmes, des garanties de résistance juridique.

Carte industrielle européenne par couche et par effet de levierLecture analytique. Classification éditoriale fondée sur les positions industrielles documentées dans les notes du présent article et dans l'article 1

Partie IV. Roadmap politique : le déclencheur manquant

IV.1 L'inventaire réglementaire réel et ses trous

L'Union ne manque pas d'instruments. Le Cyber Resilience Act fixe des obligations de sécurité et de notification pour les produits numériques [1]. Le paquet du 20 janvier 2026 renforce l'agence ENISA et instaure un cadre harmonisé de sécurité de la chaîne d'approvisionnement [2]. Le Digital Networks Act fusionne quatre textes sectoriels, abandonne la clause de contribution financière des grandes plateformes, instaure un régime d'autorisation unique pour le satellite, et impose à la Commission un plan de résilience sectoriel [3]. Le plan d'action sur la sécurité des câbles couvre la couche physique [11][12]. La directive NIS2 couvre les entités essentielles.

L'inventaire est dense, mais structuré autour de la sécurité des produits, des marchés et des entités. Ce qui n'y figure pas est l'essentiel pour une architecture de fallback. Quatre manques, qui forment un tout : pas de doctrine d'emploi du mode dégradé, c'est-à-dire personne ne décide selon quels critères d'activer quelle bascule ; pas de propriétaire opérationnel unique, distinct d'un régulateur de marché ou d'une agence de certification ; pas de régime d'exercices obligatoires inter-États et inter-opérateurs ; pas de caractère opposable du filtrage de routage et des normes MANRS, qui restent recommandés. À cela s'ajoute un trou de droit international que les textes européens ne comblent pas seuls. La Convention des Nations unies sur le droit de la mer réserve la compétence pénale, pour un dommage intentionnel au-delà des eaux territoriales, à l'État du pavillon. La Convention de 1884, dont l'article X autorise l'arraisonnement, n'est pas ratifiée par plusieurs États baltes [16].

IV.2 Nommer le pari : l'« Internet Resilience Act »

L'instrument manquant n'est pas un texte de structure de marché de plus. C'est un texte de doctrine opérationnelle. La rédaction le désigne, pour les besoins de l'analyse, sous le nom d'« Internet Resilience Act », en rappelant qu'aucun texte de ce nom n'existe.

Sa substance utile découle directement des manques recensés ci-dessus : un propriétaire opérationnel, des modes dégradés définis par couche, des exercices périodiques, un filtrage de routage rendu opposable, un mécanisme d'attribution et de réponse aux incidents de câbles et de routage. Inutile de réénoncer la liste ; il s'agit de la doter d'un porteur.

La voie de moindre résistance n'est pas un nouvel acte autonome, dont l'adoption prendrait, comme le Digital Networks Act, environ deux ans. C'est l'insertion de cette substance dans le plan de résilience sectoriel que le Digital Networks Act impose déjà à la Commission. Le pari ne porte pas sur la forme juridique, secondaire. Il porte sur la nécessité de la fonction.

IV.3 Le propriétaire et la doctrine : le problème institutionnel

C'est le point le plus inconfortable, et donc le plus important. Le réflexe de l'Union, devant un problème de résilience, est de produire un acte de structure de marché et de l'appeler résilience. Le Digital Networks Act l'illustre : c'est un texte de marché intérieur et de spectre, dont la résilience est un thème, pas l'architecture.

Une doctrine d'emploi suppose un acteur qui décide et engage. L'Union n'a pas de tradition d'assumer cette fonction en propre dans le numérique civil, où elle est partagée entre la Commission, ENISA, les régulateurs nationaux et les États membres. Le Cybersecurity Act révisé renforce ENISA, ce qui rapproche d'un candidat. Mais renforcer une agence de certification et de coordination n'est pas la doter d'une autorité de déclenchement. La question est simple : l'Union est-elle prête à désigner un acteur capable d'ordonner une bascule en mode dégradé, ou préférera-t-elle multiplier les textes de structure en laissant cette fonction non attribuée ? La trajectoire observée incline vers la seconde branche. La résilience exige la première.

Deux objections de fond doivent être tranchées. La première, minimaliste : l'hypothèse A serait surévaluée, l'interdépendance transatlantique rendant un durcissement massif coûteux pour les États-Unis eux-mêmes, de sorte que surinvestir le fallback serait un gaspillage. Cette objection vaut sur l'ampleur, pas sur l'existence. L'article 1 a documenté que la Section 702 du FISA n'a fait l'objet, en avril 2026, que d'extensions courtes, faute d'accord pluriannuel : l'instabilité juridique est maintenue, pas résolue. Une architecture de fallback bon marché est une assurance proportionnée à un risque dont la probabilité est incertaine mais non nulle, et dont la cinétique lente laisse le temps d'activer un mode dégradé s'il a été préparé. La seconde objection, maximaliste : un mode dégradé sur une infrastructure que l'on ne possède pas serait une illusion, l'opérateur sous juridiction américaine restant contraignable. Elle est juste pour la couche applicative, et fonde la restriction du cloud souverain aux fonctions critiques en propriété européenne. Elle est fausse pour l'interconnexion et la couche logique, où l'Europe dispose déjà des actifs. Elle est partiellement fausse pour la couche physique, où le levier est la réparation, pas la propriété.

La résilience ne suppose donc pas la souveraineté intégrale ; elle suppose la souveraineté ciblée là où elle est juridiquement non substituable, et l'entraînement partout ailleurs.

La séquence institutionnelle manquantePari éditorial. Séquence proposée par la rédaction, présentée comme position et non comme prédiction

Conclusion

La résilience numérique européenne est d'abord un problème d'intendance. Les trois roadmaps convergent. La technique montre que le retard est un retard d'adoption, et que les leviers les plus efficaces, le durcissement du routage et la souveraineté de la résolution de noms, sont les moins coûteux. L'industrielle montre que la carte des acteurs est mal orientée, que le point de levier est la réparation et non un champion cloud, et que les offres dites souveraines se jugent sur leur résistance juridique démontrable, pas sur leur communication. La politique montre que l'Union ne manque pas d'instruments mais d'un déclencheur, d'un propriétaire et d'une doctrine.

Reformuler la résilience comme un projet de préparation opérationnelle plutôt que comme un projet industriel de souveraineté n'abaisse pas l'ambition. Cela déplace la dépense vers la partie portante. Un projet de champion est visible, coûteux, lent et partiellement futile au regard des trois hypothèses. Un projet de fallback est peu coûteux, rapide, et institutionnellement inconfortable parce qu'il exige d'attribuer une fonction de commandement que l'Union évite de créer. Le risque européen n'est pas de manquer de moyens. C'est de les engager sur ce qui se voit plutôt que sur ce qui porte.

Cet article applique le système épistémique à quatre registres explicité dans la note méthodologique et corrige, au titre de l'autodiagnostic, deux formulations de l'article 1. Les estimations chiffrées présentées comme telles ne sont pas des mesures certifiées et appellent un recoupement avec les sources primaires et académiques citées en notes principales.

Notes principales

[1] Règlement (UE) 2024/2847 du 23 octobre 2024 (Cyber Resilience Act), entré en vigueur le 10 décembre 2024 ; obligations principales applicables au 11 décembre 2027, obligations de notification au 11 septembre 2026. Commission européenne, Cyber Resilience Act, pages « Shaping Europe's digital future » et page d'implémentation, consultées en 2026.

[2] Commission européenne, paquet cybersécurité du 20 janvier 2026 : proposition de règlement pour un Cybersecurity Act révisé, COM(2026) 11, et proposition de directive d'amendements à NIS2. Communiqué « Commission strengthens EU cybersecurity resilience and capabilities », 20 janvier 2026.

[3] Commission européenne, proposition de Digital Networks Act, publiée le 21 janvier 2026 ; report depuis décembre 2025 à la suite de l'opposition d'un groupe d'États membres fin novembre 2025 ; fusion du Code des communications électroniques européen de 2018, du règlement BEREC, du programme de politique du spectre et du cœur du règlement Internet ouvert ; abandon de la clause de contribution financière ; régime d'autorisation unique pour le satellite ; plan de résilience sectoriel confié à la Commission.

[4] NIST RPKI Monitor, https://rpki-monitor.antd.nist.gov/ ; franchissement par les routes IPv4 du seuil de la majorité de couverture ROA en mai 2024, IPv6 antérieurement. Voir également MANRS, RPKI ROV Deployment Reaches Major Milestone, 1er mai 2024.

[5] RoVista, Measuring and Analyzing the Route Origin Validation (ROV) in RPKI, Proceedings of the ACM Internet Measurement Conference 2023 : couverture de plus de 28 000 AS, 63,8 % bénéficiant de ROV, 12,3 % pleinement protégés. Mesure de couverture effective basse rapportée par Cloudflare.

[6] Commission européenne et Agence spatiale européenne, contrats IRIS² signés le 16 décembre 2024 avec le consortium SpaceRISE (SES, Eutelsat, Hispasat) ; budget 10,6 milliards d'euros dont 6,5 milliards publics ; appel d'offres satellites LEO lancé fin décembre 2025 ; premier lancement visé en 2029, services gouvernementaux initiaux en 2030. ESA, ESA confirms kick-start of IRIS² ; Copernicus/EUSPA, OBSERVER: What is IRIS²?, 2026.

[7] GOVSATCOM déclaré opérationnel le 27 janvier 2026, intégrant huit satellites de cinq États membres ; première utilisation opérationnelle par Chypre en mars 2026 ; adhésions Norvège et Islande à GOVSATCOM et IRIS² le 26 mars 2026.

[8] Nokia, communiqué Nokia completes its sale of leading submarine networks business, ASN (Alcatel Submarine Networks), to the French State, 2025. ASN, leader mondial de la fabrication et de la pose de câbles sous-marins.

[9] Groupe d'experts de la Commission sur les infrastructures de câbles sous-marins, évaluation citée : part des opérateurs européens traditionnels dans la capacité transatlantique de l'ordre de 2 %. Voir Commission européenne, Security and Resilience of EU Submarine Cable Infrastructures, 2025.

[10] Lawfare, Europe's Undersea Opportunity, 20 avril 2025, et Atlas Institute, The Silent Front: Cable Crisis in the Baltic Sea, 2026 : flotte de réparation privée priorisant la pose, faible nombre de navires aptes aux câbles lourds, délai médian de réparation d'environ 40 jours, difficulté de mobilisation d'un navire pour Estlink 2, fréquence mondiale de 150 à 200 ruptures annuelles.

[11] Communication conjointe de la Commission et du Haut Représentant, EU Action Plan on Cable Security, JOIN(2025) 9 final, 21 février 2025 ; priorités énoncées par la présidente von der Leyen à Vilnius le 9 février 2025 ; fondée sur la Recommandation (UE) 2024/779 ; évaluation des risques du groupe d'experts publiée en octobre 2025. EUR-Lex, CELEX 52025JC0009.

[12] Commission européenne, communiqué du 5 février 2026, Commission increases submarine cable security with €347 million investment and new toolbox ; Cable Security Toolbox ; projet pilote de réparation rapide de 20 millions d'euros pour la Baltique ; treize zones de Cable Projects of European Interest échelonnées par tranches quinquennales jusqu'en 2040 ; financement complémentaire via Connecting Europe Facility Digital.

[13] OTAN, mission Baltic Sentry, lancée le 14 janvier 2025 sous conduite du Allied Joint Force Command Brunssum, avec MARCOM et le NATO Maritime Centre for Security of Critical Underwater Infrastructure ; arraisonnement du cargo Fitburg par les forces finlandaises le 31 décembre 2025.

[14] AWS, communiqué AWS Launches AWS European Sovereign Cloud, 15 janvier 2026 ; disponibilité générale, première région en Allemagne, investissement annoncé supérieur à 7,8 milliards d'euros, gouvernance par entités de droit allemand, directions désignées en octobre 2025 et janvier 2026.

[15] Microsoft, EU Data Boundary déployée en février 2025, Sovereign Cloud, clouds partenaires Bleu (Orange-Capgemini, visant SecNumCloud) et Delos (administration allemande) ; analyse critique du périmètre juridique du conseil de gouvernance européen, non publié début 2026, in J. Simon, Two Sovereign Clouds, One Legal Wall, février 2026. Sur SecNumCloud et l'offre européenne native : 3DS Outscale, OVHcloud, Scaleway.

[16] Convention des Nations unies sur le droit de la mer (CNUDM), compétence pénale réservée à l'État du pavillon pour les dommages intentionnels au-delà des eaux territoriales ; Convention pour la protection des câbles sous-marins de 1884, article X, non ratifiée par plusieurs États baltes. Voir Lawfare, Europe's Undersea Opportunity, 20 avril 2025.

Sources indicatives complémentaires

Suivi sectoriel et opérationnel : Submarine Telecoms Forum, Submarine Networks, ECDPM Briefing Note 208 Troubled waters (2026), European Policy Centre Beyond the Action Plan (2025), NetBlocks. Mesure du routage et du DNS : NIST RPKI Monitor, MANRS, RIPE Labs, APNIC Labs, RoVista. Cloud et souveraineté : EUCloudCost, pages de conformité des opérateurs, Next, analyses sectorielles 2026. Spatial : SpaceNews, Advanced Television, Via Satellite, EUSPA, ESA Connectivity and Secure Communications. Analyses de think tanks : CSIS, Atlantic Council, Carnegie Endowment, Bruegel, Institut Montaigne, DGAP, Chatham House. Cadre juridique européen : EUR-Lex, pages « Shaping Europe's digital future » de la Commission. Ces sources sont utilisées en recoupement et n'ont pas vocation à servir d'autorité unique sur les faits qu'elles documentent.

Glossaire

Baltic Sentry : mission de surveillance et de dissuasion de l'OTAN en mer Baltique, active depuis le 14 janvier 2025.

Cable Project of European Interest (CPEI) : zone de projet de câble priorisée pour un financement européen dans le cadre du plan de sécurité des câbles.

Cyber Resilience Act (CRA) : règlement (UE) 2024/2847 sur la sécurité des produits comportant des éléments numériques.

Digital Networks Act (DNA) : proposition de règlement de la Commission du 21 janvier 2026 fusionnant plusieurs textes sectoriels des communications électroniques.

GOVSATCOM : programme européen de communications gouvernementales par satellite, pont opérationnel vers IRIS², déclaré opérationnel le 27 janvier 2026.

IRIS² : Infrastructure for Resilience, Interconnectivity and Security by Satellite, constellation souveraine européenne, services gouvernementaux initiaux attendus en 2030.

MANRS : Mutually Agreed Norms for Routing Security, socle d'actions opérationnelles de sécurisation du routage.

Mode dégradé : état de fonctionnement réduit mais utile d'un système après perte d'une dépendance, opposé à la rupture totale.

ROA / ROV : Route Origin Authorization, déclaration cryptographique liant un préfixe à son AS d'origine ; Route Origin Validation, rejet par les routeurs des annonces non conformes.

RPKI : Resource Public Key Infrastructure, infrastructure de clés publiques sécurisant l'origine des annonces de routage.

SecNumCloud : qualification française de l'ANSSI exigeant propriété majoritairement européenne et immunité aux droits extraterritoriaux.

Sigles

ANSSI : Agence nationale de la sécurité des systèmes d'information AS : Autonomous System ASN : Alcatel Submarine Networks BEREC : Body of European Regulators for Electronic Communications BGP : Border Gateway Protocol CEF : Connecting Europe Facility CNUDM : Convention des Nations unies sur le droit de la mer CPEI : Cable Project of European Interest CRA : Cyber Resilience Act CSA2 : Cybersecurity Act révisé, COM(2026) 11 DNA : Digital Networks Act DNS : Domain Name System ENISA : Agence de l'Union européenne pour la cybersécurité EO : Executive Order ESA : Agence spatiale européenne EUSPA : Agence de l'Union européenne pour le programme spatial FISA : Foreign Intelligence Surveillance Act IRIS² : Infrastructure for Resilience, Interconnectivity and Security by Satellite IXP : Internet Exchange Point LEO : Low Earth Orbit MANRS : Mutually Agreed Norms for Routing Security MEO : Medium Earth Orbit NIS2 : directive (UE) 2022/2555 sur la cybersécurité RIPE NCC : Réseaux IP Européens Network Coordination Centre ROA : Route Origin Authorization ROV : Route Origin Validation RPKI : Resource Public Key Infrastructure

Partager :