ANALYSE – Cyberespace, sécurité, souveraineté, technologie et rivalités géopolitiques mondiales : Enjeux juridiques, régulation et priorités pour l’Union européenne et pour la France

Par François Souty

Depuis le tournant des années 2020, le cyberespace n’est plus seulement un champ technique de vulnérabilités à corriger. Il constitue désormais un espace stratégique structurant de la puissance internationale, au même titre que les domaines terrestre, maritime, aérien et spatial.^[1] Comme l’affirme Joseph S. Nye : « Le cyber est devenu un domaine où le pouvoir s’exerce moins par la coercition que par la capacité à façonner les environnements, les dépendances et les attentes ».^[2] Cette transformation – très profonde – modifie les logiques classiques de sécurité collective, de dissuasion et de souveraineté.

Dans ce contexte, les États et les organisations régionales ne se contentent plus de renforcer leurs capacités défensives : ils cherchent à institutionnaliser le cyberespace, à en stabiliser les usages et à y projeter leurs préférences normatives, industrielles et stratégiques. Pour l’Union européenne, cette ambition s’est traduite par l’émergence d’un corpus réglementaire sans équivalent mondial — directive NIS2, Cyber Resilience Act, Cyber Solidarity Act — visant à construire ce que Benjamin Farrand qualifie de « la souveraineté réglementaire dans le cyberespace ».^[3]Cette approche repose sur l’idée que la sécurité numérique ne peut être atteinte sans un cadre juridique contraignant, intégré au marché intérieur et fondé sur la responsabilité des acteurs économiques. Ce cadre juridique qui se veut contraignant soulève néanmoins de sérieuses questions opérationnelles et de capacité à faire respecter des normes de droit dans le cyberespace – immatériel par nature – mais aussi d’imposer la volonté de l’UE à des opérateurs et États puissants qui n’entendent pas se soumettre aussi simplement à la volonté normative européenne. Le défi est observable dans d’autres domaines, comme nous venons de l’observer dernièrement en matière de règlement antisubventions étrangères ou de Digital Markets Act.^[4]

Toutefois, cette vision européenne s’inscrit dans un environnement international profondément fragmenté. Les États-Unis, selon Adam Segal, continuent de privilégier une logique de dissuasion fondée sur la capacité, dans laquelle la cybersécurité est indissociable de la supériorité technologique, de la projection militaire et de l’intégration étroite entre secteur privé et appareil sécuritaire.^[5] La Chine, à l’inverse, développe une conception systémique du cyberespace, articulant souveraineté numérique, contrôle informationnel et sécurité nationale, dans ce que Elsa Kania décrit comme « une fusion entre le cyber‑pouvoir, le contrôle politique et la compétition stratégique à long terme ».^[6]

En Asie également mais en se différenciant sensiblement de la Chine, le Japon et la Corée du Sud occupent une position intermédiaire, à la fois exposés aux menaces cyber régionales et intégrés dans l’architecture de sécurité américaine, avec néanmoins un regard attentif sur ce que l’Union européenne tente de développer. Le Japon, longtemps réticent à la militarisation du cyberespace, a progressivement reconnu, selon Motohiro Tsuchiya, que « la cybersécurité n’est plus compatible avec le minimalisme stratégique ».^[7] La Corée du Sud, quant à elle, a développé une approche pragmatique fidèle à ses habitudes dictées par le réalisme géopolitique, à laquelle les Européens seraient inspirés de s’intéresser bien davantage : l’approche sud-coréenne est façonnée par la conflictualité permanente avec la Corée du Nord ; comme l’observe Park Jong‑in, Séoul considère désormais le cyber comme « un domaine de confrontation continue plutôt qu’une crise épisodique ».^[8] Le cas de Taïwan est aussi évoqué car l’ile représente une cible potentielle majeure de cyberattaque pour la Chine tout en étant très occidentalisée socialement et économiquement, comme le Japon et la Corée du Sud.

Ces dynamiques se combinent avec les alertes contemporaines sur la compétitivité et la souveraineté économique de l’Europe. Dans son rapport sur l’avenir de la compétitivité européenne, Mario Draghi que nous avons commenté dernièrement^[9] a mis en garde sur le fait que l’inaction menace non seulement la compétitivité de l’Union, mais aussi sa souveraineté.^[10] À Bruxelles, en septembre 2025, il a insisté : « continuer comme avant serait accepter de se laisser distancer par nos rivaux — nous devons agir ensemble, plus vite et plus intensément ».^[11] Cette mise en garde résonne particulièrement dans le domaine du numérique et de la cybersécurité : il faut souligner que la capacité de l’Europe et de ses États-membres à structurer et protéger leur espace numérique est désormais un enjeu de puissance, un de plus, autant qu’un impératif technique.

Face à ces modèles concurrents et aux défis structurels internes, l’Union européenne et ses Etats-membres se trouvent dans une position singulière : ils disposent d’une capacité normative exceptionnelle, mais d’une capacité stratégique et coercitive limitée. Cette asymétrie soulève une question centrale, encore insuffisamment traitée dans la littérature :

Le modèle européen de cybersécurité et de souveraineté technologique peut‑il donc constituer une forme crédible de puissance dans un environnement marqué par la rivalité géopolitique, l’escalade sous le seuil et la politisation croissante du cyberespace ?

Cet article adopte un point de vue centré sur le système réglementaire européen, incluant la France comme acteur pivot, non pas par réflexe institutionnel, mais parce que l’Union européenne et ses principaux États membres représentent aujourd’hui un laboratoire unique de gouvernance cyber post‑westphalienne, qu’on l’apprécie ou non. Nous nous attachons à analyser, de manière comparative et critique, les dispositifs de cybersécurité de l’Union européenne, des États‑Unis, de la Chine, du Japon et de la Corée du Sud, en articulant trois niveaux d’analyse : tout d’abord, les dispositifs juridiques et institutionnels, ensuite les logiques géopolitiques et doctrinales et, en dernier lieu, les implications pour la stabilité internationale et la dissuasion cyber.

La démonstration se structure en quatre parties. La première examine la construction d’un ordre cyber normatif européen. La deuxième analyse la posture américaine fondée sur la capacité et la dissuasion. La troisième étudie la stratégie chinoise de souveraineté et de projection systémique. La quatrième se concentre sur les modèles japonais et sud‑coréen en tant que puissances cyber intermédiaires. Une comparaison synthétique des modèles est proposée en annexe, afin de préserver la cohérence analytique du raisonnement principal.

I – Cadre institutionnel et normatif européen de la cybersécurité : avancées, déclinaisons nationales et limites stratégiques

L’Union européenne s’est progressivement affirmée comme un acteur normatif central en matière de cybersécurité, en construisant un cadre juridique structuré qui dépasse la seule protection technique pour instituer un modèle contraignant, harmonisé et transnational. 

1. L’architecture de l’Union Européenne

Il s’agit d’un véritable modèle « cybernormatif ». Cette ambition se matérialise principalement à travers la directive NIS2 (Network and Information Security 2), officiellement Directive (UE) 2022/2555, adoptée par le Parlement européen et le Conseil le 14 décembre 2022 et publiée au Journal officiel de l’Union européenne le 27 décembre 2022.^[12] En remplaçant la directive NIS 1 de 2016, la NIS 2 élargit considérablement son champ d’application, renforce les obligations de gestion des risques, de notification des incidents et de supervision, et formalise des mécanismes de coopération transfrontalière entre autorités nationales.^[13]

L’une des avancées les plus structurantes de la directive réside précisément dans l’extension significative des secteurs concernés. Alors que la NIS1 couvrait environ sept secteurs essentiels, la NIS 2 englobe désormais dix-huit secteurs dits « critiques », répartis entre secteurs essentiels et secteurs importants, assortis d’obligations de cybersécurité renforcées.^[14] Ces secteurs incluent notamment l’énergie, les transports, la santé, les services financiers, l’eau, les infrastructures numériques, l’administration publique, la gestion des déchets, la fabrication de produits chimiques, l’agroalimentaire, les services postaux, les produits manufacturés et la recherche, couvrant ainsi un spectre particulièrement large de fonctions vitales pour la société et l’économie européennes². Cette extension traduit une volonté politique forte d’intégrer la cybersécurité au cœur des activités économiques, sociales et institutionnelles de l’Union, tout en révélant l’ampleur des défis liés à la coordination opérationnelle entre États membres.

La NIS2 vise à instaurer un niveau élevé commun de cybersécurité à l’échelle européenne, notamment par l’imposition d’exigences strictes en matière de gouvernance du risque, d’obligations de notification des incidents, de régimes de sanctions en cas de non-conformité et de renforcement des autorités nationales de supervision. Elle introduit également des mécanismes plus systématiques, tels que la règle de taille (« size cap »), permettant de déterminer l’applicabilité des obligations en fonction de la taille et du rôle économique des entités concernées.^[15] Par rapport à son prédécesseur, la directive modernise ainsi en profondeur le cadre normatif européen afin de tenir compte de la sophistication croissante des menaces cyber et de l’interdépendance accrue des infrastructures numériques.

Ce socle normatif est complété par d’autres instruments structurants. Le Cyber Resilience Act (CRA) instaure des exigences de sécurité applicables aux produits numériques mis sur le marché européen, en consacrant le principe de la sécurité dès la conception et tout au long du cycle de vie des produits.^[16] Le Cyber Solidarity Act (CSA), quant à lui, renforce les mécanismes de coopération opérationnelle entre États membres, en facilitant l’échange d’informations, le déclenchement d’alertes européennes et la mobilisation coordonnée de ressources techniques et humaines en cas de cybercrises transnationales.^[17] Pris ensemble, ces textes témoignent de la volonté de l’Union européenne de transformer la cybersécurité en un domaine de gouvernance structuré, participant directement à la souveraineté numérique européenne dans un contexte marqué par la multiplication des cyberattaques organisées, hybrides et étatiques.^[18]

Malgré ces avancées normatives substantielles, plusieurs analyses soulignent que la directive NIS2 ne pourra atteindre pleinement son potentiel sans une mise en œuvre cohérente et concertée à l’échelle de l’Union. Benjamin Farrand souligne ainsi que la NIS2 constitue un jalon essentiel, mais que son efficacité réelle dépendra de l’harmonisation effective des pratiques nationales et de la capacité de l’Union à répondre collectivement aux cybercrises d’envergure.^[19] Cette analyse est corroborée par l’European Cyber Security Organisation, qui alerte sur la fragmentation persistante des autorités nationales et sur l’absence d’un centre opérationnel unique capable de coordonner efficacement les réponses transfrontalières aux incidents majeurs.^[20] Dans une perspective similaire, le think tank Bruegel estime que l’impact des mécanismes juridiques européens serait significativement renforcé par la création d’un Centre d’opérations cyber européen doté de ressources propres et de capacités décisionnelles claires.^[21] De fait, la lutte contre la cybercriminalité à l’échelon européen représente donc une activité qui justifie la création d’une infrastructure administrative européenne importante, d’ordre bureaucratique, pleinement utilisée par la Commission européenne pour étendre son rôle et ses fonctions, dans des conditions qui ne sont peut-être pas mesurées par la totalité des acteurs institutionnels des contrôles démocratiques, tant des Etats membres que des institutions européennes (parlementaires notamment). 

2. Les développements à l’échelon des Etats membres : cas de la France, de l’Allemagne et de l’Italie

À l’échelle nationale, la France illustre une transposition structurée et ambitieuse de cette stratégie normative européenne. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) constitue le pilier central du dispositif français, en assurant la coordination des actions de prévention, de détection et de réponse aux incidents cyber. Dans son Rapport d’activité 2024, l’ANSSI indique que la transposition et la mise en œuvre de la directive NIS2 ont profondément transformé son organisation, ses méthodes de travail et ses interactions avec les acteurs publics et privés.^[22] Le rapport souligne notamment l’augmentation du nombre d’événements de sécurité traités, l’importance croissante accordée à l’anticipation et à la coordination intersectorielle, ainsi que l’engagement spécifique de l’agence dans la sécurisation des Jeux Olympiques et Paralympiques de Paris 2024. L’ANSSI met également en évidence l’articulation entre la NIS2 et d’autres textes européens, tels que le Cyber Resilience Act, dans une logique de chaîne de responsabilité complète.^[23]

Plusieurs analystes français rappellent toutefois que l’efficacité réelle du dispositif dépendra de la capacité à coordonner durablement l’ensemble des acteurs nationaux et européens. Pierre-Yves De Ville souligne à cet égard que la France, par sa tradition institutionnelle et son engagement au sein de l’OTAN, doit se positionner à l’avant-garde d’un modèle européen de cybersécurité combinant normes strictes et capacités réelles de réponse¹². Cette ambition suppose un renforcement de la cohésion intersectorielle, une articulation plus fluide entre administrations centrales et territoriales, ainsi qu’un partenariat renforcé avec le tissu industriel et les opérateurs privés. Mais à début février 2026, la France n’a pas encore transposé la directive NIS 2, compte tenu de son instabilité ministérielle depuis les élections législatives nationales inattendues et mal préparées de juin-juillet 2024, alors que la date limite de transposition était fixée par la directive elle-même au 17 octobre 2024 !

En Allemagne, la transposition de la directive NIS2 est pilotée par le Bundesamt für Sicherheit in der Informationstechnik (BSI). Si la complexité du système fédéral a parfois ralenti la mise en œuvre homogène des obligations dans certains Länder, les autorités allemandes mettent un accent particulier sur les standards techniques et la certification des infrastructures. Selon le German Institute for International and Security Affairs(SWP), l’efficacité des initiatives européennes serait renforcée par le recours à des cadres de certification mutuellement reconnus, permettant de réduire les redondances et les coûts pour les entreprises tout en améliorant la fiabilité globale des mesures de sécurité.^[24] Cette orientation, également portée par le BSI, met en évidence la nécessité de dépasser une logique strictement normative pour garantir un impact opérationnel tangible.^[25]

L’Italie s’est pour sa part distinguée par une transposition rapide de la directive NIS2 via le Legislative Decree No. 138/2024, confirmant une volonté politique affirmée de respecter les échéances européennes.^[26] La mise en œuvre italienne intègre la cybersécurité au cœur de la gouvernance des organisations, en responsabilisant directement les dirigeants au niveau des organes exécutifs. Toutefois, l’efficacité réelle de cette transposition dépendra de la capacité des PME et des administrations locales à appliquer concrètement les standards européens sans dépendre exclusivement de consultants externes.^[27] Ce constat met en lumière une faiblesse partagée par plusieurs États membres : le décalage persistant entre conformité réglementaire formelle et capacité d’exécution opérationnelle au niveau local, auquel s’ajoute dans certains cas des blocages institutionnels internes bloquant le processus de transposition (typiquement le cas de la France cité plus haut).  

Au-delà des trajectoires nationales, plusieurs analyses convergent sur la nécessité de renforcer les capacités collectives européennes. Martina Möller observe que la cybersécurité européenne doit dépasser la seule logique réglementaire pour investir dans des plateformes mutualisées de veille, d’analyse et de réaction aux incidents, afin de réduire la dépendance excessive aux capacités nationales.^[28] Cette approche devrait être complétée par des mécanismes crédibles de dissuasion et de défense opérationnelle, articulant normes européennes, capacités nationales, OTAN et alliances technologiques.^[29]

L’ensemble de ces constats conduit à identifier plusieurs priorités critiques pour l’Union européenne et ses États membres : renforcer la coordination interétatique, développer des standards techniques contraignants et des certifications partagées, investir dans des plateformes mutualisées de cybersurveillance et de réponse aux incidents, et réduire les dépendances technologiques vis-à-vis de fournisseurs extra-européens. Pour des États comme la France, l’Allemagne et l’Italie, qui disposent de bases institutionnelles solides, l’enjeu réside désormais dans la capacité à transformer l’ambition normative européenne en une efficacité opérationnelle collective durable.^[30]

Ainsi, la complexité du cadre institutionnel et réglementaire européen en matière de cybersécurité apparaît d’évidence : des avancées législatives majeures coexistent avec des limites structurelles, institutionnelles et opérationnelles persistantes. Le lien central entre normes juridiques, capacités opérationnelles et efficacité collective, est mis en exergue, pour constituer le socle analytique des recommandations stratégiques développées ultérieurement.

3. La coordination UE-OTAN en cybersécurité méconnue : potentialités et limites

La cybersécurité constitue un domaine où la coopération entre l’Union européenne et l’OTAN est très peu connue. Elle est à la fois stratégique et complexe. Alors que l’UE développe ses propres instruments normatifs et de protection des infrastructures critiques, l’OTAN représente un cadre opérationnel et politique permettant de coordonner les capacités cyber des États membres à l’échelle transatlantique. Cette double architecture vise à assurer une posture de défense intégrée, capable de répondre à des menaces hybrides et à des cyberattaques sophistiquées.

La coordination UE-OTAN se matérialise par plusieurs mécanismes : l’échange d’informations sur les menaces via des plateformes sécurisées, la participation conjointe à des exercices de simulation de cyberincidents, et le développement de standards communs pour la protection des infrastructures critiques et la résilience des réseaux militaires et civils.^[31] Ces initiatives permettent de renforcer la visibilité mutuelle des menaces, d’optimiser la répartition des ressources et d’accroître la rapidité de la réaction face aux incidents transfrontaliers.

Cependant, cette coopération présente des limites structurelles et politiques. La diversité des doctrines nationales, des capacités techniques et des priorités stratégiques entre États membres peut créer des zones d’inefficacité ou de chevauchement.^[32] Certains pays craignent qu’un alignement trop étroit avec l’OTAN réduise leur autonomie décisionnelle dans la gestion des crises cyber, notamment dans le domaine des infrastructures critiques et des données sensibles.^[33] Par ailleurs, la standardisation technique reste partielle : la convergence des systèmes de défense et des procédures de réponse entre États membres et alliés transatlantiques progresse lentement, freinée par des architectures hétérogènes et des niveaux de maturité différents.^[34]

La dimension de la relation des partenariats public-privé constitue un autre défi majeur. La cybersécurité moderne repose largement sur des acteurs industriels et technologiques qui détiennent une part importante des infrastructures critiques. La coopération UE-OTAN implique donc d’intégrer ces acteurs dans des cadres de partage d’informations et de coordination, mais la participation volontaire et les contraintes réglementaires diffèrent selon les secteurs et les pays.^[35] Cette réalité souligne la nécessité de créer des incitations et des protocoles fiables permettant d’assurer la contribution effective du secteur privé à la posture collective.

Enfin, la coordination UE-OTAN doit être évaluée à l’aune des enjeux géopolitiques contemporains, notamment la montée des menaces cyber étatiques et hybrides. L’expérience récente montre que la combinaison de cybercapacités offensives et défensives, alignées sur des standards partagés, constitue un levier stratégique de dissuasion. Mais elle nécessite également un dialogue politique constant, des exercices réguliers et une capacité d’alerte rapide pour éviter que des incidents locaux ne dégénèrent en crises régionales ou globales.^[36] La coopération transatlantique apparaît ainsi comme un élément potentiellement important de la résilience européenne qui implique des choix politiques majeurs jamais débattus à notre connaissance, et encore à condition de surmonter les obstacles techniques, institutionnels et souverainistes déjà évoqués.

En somme, la coordination UE-OTAN en cybersécurité représente une opportunité pour renforcer la défense collective, mais elle demeure conditionnée par la capacité des États membres à concilier souveraineté nationale, efficacité opérationnelle et intégration des acteurs privés et industriels. Les efforts de normalisation, de partage d’informations et de préparation conjointe doivent être poursuivis pour transformer cette coordination en une réelle posture de cyber-dissuasion et de résilience.

En synthèse, la cybersécurité européenne se situe à la croisée des stratégies nationales, régionales et transatlantiques. Les États membres, notamment la France, l’Allemagne et l’Italie, ont développé des capacités techniques et organisationnelles solides, mais leur diversité entrave la pleine interopérabilité et le partage d’informations. D’un point de vue technologique et géopolitique pour le très vaste Cyberespace, une coopération souple et volontaire UE-OTAN devrait en principe et logiquement constituer un instrument-clé pour coordonner standards, réponse aux incidents et posture de dissuasion collective. Toutefois, la posture américaine a évolué, notamment sous l’administration Trump II, vers une approche plus transactionnelle et moins centrée sur l’engagement traditionnel envers l’Alliance, ce qui fragilise très sérieusement la prévisibilité de la coordination transatlantique dans le Cyberespace. Cette évolution met en évidence le risque d’une « cyber-vulnérabilité transatlantique », où l’Europe pourrait être confrontée à des tensions entre dépendance aux infrastructures et outils américains et nécessité d’autonomie stratégique (dans un contexte on l’on va noter que les Etats-Unis possèdent une défense cyber bien plus opérationnelle et avancée que celle de l’UE). La consolidation des capacités nationales, le renforcement de la coopération multilatérale et la mise en place de mécanismes de résilience collective deviennent donc essentiels pour anticiper les menaces hybrides et étatiques. Ces dynamiques soulignent par anticipation l’importance de l’analyse du dispositif américain, ses orientations stratégiques et son impact sur la sécurité cyber européenne dans un contexte où l’Alliance doit s’adapter à des tensions internes et à des adversaires de plus en plus sophistiqués.

II – Les États-Unis : doctrine cyber, cadre institutionnel, capacités opérationnelles et critiques stratégiques

Les États-Unis constituent depuis plus d’une décennie une puissance cyber majeure, combinant des capacités offensives et défensives avancées, une forte institutionnalisation fédérale et une doctrine stratégique en constante évolution. Leur modèle de cybersécurité repose sur l’articulation d’agences spécialisées, une coopération étroite avec le secteur privé et un cadre normatif largement fondé sur des standards volontaires. Toutefois, cette architecture, bien que robuste, demeure historiquement fragmentée et fait l’objet de critiques récurrentes, en particulier sous l’administration Trump II (2025-2029), dont les réformes ont ravivé les débats sur la cohérence stratégique et la crédibilité de la dissuasion cyber.

1. Architecture institutionnelle et doctrine cyber américaine

La doctrine cyber américaine actuelle, formalisée notamment dans la National Cyber Strategy of the United States of America publiée en mars 2023, met l’accent sur la protection des infrastructures critiques, la résilience économique et technologique, ainsi que la dissuasion des acteurs étatiques et non étatiques.^[37] Cette stratégie s’inscrit dans une approche globale combinant prévention, défense active et engagement persistant (persistent engagement).

L’architecture institutionnelle repose principalement sur trois piliers. La Cybersecurity and Infrastructure Security Agency (CISA) est chargée de la protection des infrastructures civiles critiques et de la coordination avec les acteurs privés.^[38] Le US Cyber Command(USCYBERCOM) assure les opérations militaires cyber, tant offensives que défensives, en lien étroit avec la National Security Agency (NSA),acteur central du renseignement cyber et du développement de capacités techniques avancées.^[39] Enfin, le National Institute of Standards and Technology (NIST) élabore des cadres normatifs, tels que le Cybersecurity Framework 2.0, largement adoptés au niveau national et international.^[40]

Ce modèle fédéral, analysé par le service de documentation du Congrès américain, le Congressional Research Service (CRS), offre une grande flexibilité opérationnelle et normative, mais introduit également des risques de redondance et de fragmentation inter-agences.^[41] Plusieurs analystes soulignent que cette fragmentation peut ralentir la réponse face à des attaques complexes et multi-vectorielles. James A. Lewis (CSIS) met en garde contre l’application imparfaite des logiques de dissuasion classique au cyberespace, caractérisé par l’ambiguïté des seuils, la difficulté d’attribution et l’hétérogénéité des acteurs.^[42] Erica D. Lonergan observe que la stratégie américaine repose davantage sur une logique de gestion continue des menaces que sur une dissuasion claire et stabilisatrice.^[43]

Malgré ces limites, les capacités opérationnelles américaines demeurent considérables : le point fort américain – qui fait fait gravement défaut à l’Union européenne – se manifeste tout particulièrement dans l’intégration des approches entre intérêt public et intérêts privés en matière de cyber. L’USCYBERCOM a ainsi démontré sa capacité à conduire des opérations complexes, tandis que la CISA entretient des partenariats étroits avec les entreprises technologiques et les opérateurs d’infrastructures critiques. Toutefois, des faiblesses structurelles persistent, notamment en matière de coordination inter-agences et de ressources humaines, avec des taux de vacance de postes techniques pouvant atteindre 40 % dans certains domaines critiques.^[44]

2. Réformes et priorités sous l’administration Trump II

L’administration Trump II a engagé un réajustement doctrinal et organisationnel significatif. L’Executive Order 14306 du 6 juin 2025 a recentré les efforts fédéraux sur les priorités jugées essentielles, renforcé le chiffrement et encouragé le développement de la cryptographie post-quantique.^[45] Cette orientation s’est accompagnée de la suspension ou de la simplification de plusieurs initiatives héritées des administrations précédentes, notamment en matière de certification logicielle et de sécurité électorale.^[46]

Sur le plan budgétaire et organisationnel, ces réformes se sont traduites par une réduction d’environ 17 % du budget de la CISA et la suppression de près de 1 000 postes. L’objectif affiché était une rationalisation des missions et une concentration sur les fonctions critiques, mais ces décisions ont suscité de vives critiques. Le CRS et la NSA ont alerté sur les risques d’affaiblissement de la capacité nationale de réponse aux cyberattaques sophistiquées et de dégradation du partage d’information avec le secteur privé.^[47]

Parallèlement, l’administration Trump II a mis en avant une stratégie dite Zero Trust 2.0, visant à sécuriser prioritairement les systèmes et fonctions les plus sensibles plutôt qu’à imposer des obligations uniformes à l’ensemble des acteurs.^[48] Selon certains responsables fédéraux, cette approche permettrait d’optimiser des ressources limitées. Néanmoins, plusieurs universitaires estiment qu’elle accentue les disparités de niveau de sécurité entre secteurs et renforce les vulnérabilités systémiques.

3. Critiques académiques, géopolitiques et stratégiques

Les réformes de l’ère Trump II ont ravivé les débats académiques sur la cohérence de la stratégie cyber américaine. James A. Lewis souligne que le recentrage technique ne saurait se substituer à une doctrine stratégique globale, en particulier en matière de dissuasion, d’attribution et de gestion de l’escalade.^[49] Erica D. Lonergan considère également que la focalisation sur le persistent engagement et les mesures techniques est insuffisante pour répondre de manière décisive aux menaces étatiques sophistiquées.^[50]

Plusieurs médias et analystes ont également critiqué la suspension temporaire de certaines opérations cyber offensives, notamment à l’encontre de la Russie, interprétée par certains observateurs comme un signal de faiblesse stratégique.^[51] Dans le même temps, l’usage croissant de l’intelligence artificielle par les acteurs adverses accroît la complexité des menaces et exige une adaptation rapide des capacités de détection et de riposte, dans un contexte paradoxal de réduction des ressources humaines. D’un point de vue comparatif, des chercheurs européens et asiatiques estiment que le modèle américain accorde une place excessive à la technologie et à la régulation volontaire, au détriment d’une culture partagée de cybersécurité et de résilience collective. Christian Kaunert note que cette approche sectorielle complique la coopération internationale et la réponse coordonnée aux attaques globales.^[52]

En synthèse, le dispositif cyber américain se caractérise par une puissance normative, technologique et opérationnelle sans équivalent, mais aussi par des fragilités structurelles persistantes. La réorganisation engagée sous l’administration Trump II illustre la tension entre pragmatisme technique, rationalisation budgétaire et nécessité d’une vision stratégique cohérente. Les critiques académiques et institutionnelles convergent pour souligner un déséquilibre potentiel entre capacités opérationnelles, coordination inter-agences et doctrine de dissuasion, susceptible d’affecter à terme l’efficacité de la protection des infrastructures critiques et la crédibilité stratégique des États-Unis face à des adversaires étatiques et non étatiques de plus en plus sophistiqués.

III – Chine et Russie : doctrines cyber, stratégies géopolitiques et critiques comparatives

Dans le paysage global de la cybersécurité, la Chine et la Russie occupent des positions centrales mais différenciées. Toutes deux sont perçues comme des puissances cyber révisionnistes, cherchant à contester l’ordre technologique, normatif et politique promu par les États occidentaux. Leurs stratégies cyber s’inscrivent dans des trajectoires historiques, doctrinales et institutionnelles distinctes, mais convergent fréquemment dans l’usage du cyberespace comme instrument de projection d’influence, de subversion informationnelle et d’exploitation des vulnérabilités économiques et démocratiques des sociétés ouvertes.

1. La Chine : une cyberpuissance intégrée à la stratégie d’État

La stratégie cyber chinoise s’inscrit dans une vision globale de puissance numérique au service de la souveraineté nationale et de l’ambition géopolitique. Pékin promeut le principe de « cyber-souveraineté », entendu comme le contrôle étatique du cyberespace national, la sécurisation des infrastructures critiques et la maîtrise des flux informationnels.^[53] Selon le Stockholm International Peace Research Institute (SIPRI) suédois, la posture cyber chinoise combine étroitement sécurité de l’information interne, capacités cyber-offensives et volonté d’influencer la gouvernance internationale du cyberespace.^[54]

Depuis l’arrivée au pouvoir du Président Xi Jinping, la cybersécurité est devenue un pilier central de la stratégie du Parti-État. Des travaux européens et français soulignent que le cyber n’est plus envisagé comme un simple domaine technique, mais comme un instrument stratégique pleinement intégré à la politique industrielle, militaire et diplomatique chinoise.^[55] Cette approche vise à réduire la dépendance technologique vis-à-vis de l’Occident, à renforcer l’autonomie nationale et à promouvoir des champions technologiques chinois dans des secteurs clés tels que la 5G, l’intelligence artificielle, les semi-conducteurs ou les technologies de surveillance.

Comme l’explique David Shambaugh, la Chine a progressivement bâti un écosystème cyber complet, allant de la défense nationale à la domination des standards technologiques internationaux, articulant puissance économique et sécurité stratégique.^[56] Cette stratégie de conquête normative est toutefois fortement critiquée. Des universitaires américains et européens dénoncent l’opacité des objectifs chinois et l’absence de distinction claire entre sécurité nationale, contrôle social et ambitions de domination globale du cyberespace.^[57] De nombreux rapports occidentaux attribuent ainsi à la Chine des opérations soutenues d’espionnage économique, de vol de propriété intellectuelle et d’influence informationnelle, souvent difficiles à attribuer formellement mais systématiques dans leur logique.

2. La Russie : cyberconflit asymétrique, guerre hybride et « shadow warfare »

La Russie adopte une posture cyber sensiblement différente, marquée par une logique asymétrique et opportuniste. Selon le Center for European Policy Analysis (CEPA), Moscou conçoit le cyberespace non comme un simple prolongement de ses forces militaires conventionnelles, mais comme un espace autonome d’opérations furtives permettant de déstabiliser ses adversaires sans franchir les seuils d’un conflit armé ouvert.^[58]Cette approche est souvent qualifiée de shadow warfare.

La stratégie russe combine cyberattaques, espionnage, désinformation, sabotage numérique et recours à des réseaux criminels ou paraétatiques, créant une capacité de pression stratégique à bas seuil. Les données récentes font état d’une augmentation significative des cyber-opérations russes contre les États membres de l’OTAN, avec une hausse estimée à environ 25 % des attaques attribuées à la Russie sur une seule année, ciblant gouvernements, institutions académiques et organisations civiles.^[59]

Des analystes renommés comme Thomas Rid soulignent que ces actions ne relèvent pas d’une « cyberguerre totale », mais plutôt de formes sophistiquées de sabotage et de subversion politique, caractérisées par leur ambiguïté juridique et stratégique.^[60] Son collègue James Lewis (CSIS) observe que la Russie a démontré sa capacité à utiliser le cyber comme un levier stratégique modifiant l’équilibre international, tout en restant délibérément en-deçà du seuil déclencheur d’une riposte militaire conventionnelle.^[61]

Le contexte ukrainien a renforcé cette perception. L’OTAN et plusieurs rapports institutionnels – qui parlent de « concurrence stratégique dans le cyberespace » domaine non appréhendé jusqu’ici du point de vue antitrust ou de politique de la concurrence mais plutôt dans le cadre peut-être imparfaitement adapté de la régulation de l’économie digitale – notent l’usage persistant du cyber par la Russie pour perturber réseaux civils et militaires, tester la résilience occidentale et fragmenter la coordination transatlantique.^[62]

3. Convergences et divergences entre les stratégies chinoise et russe

Bien que souvent présentées comme formant un « axe sino-russe », les stratégies cyber de la Chine et de la Russie ne sont ni identiques ni totalement coordonnées. Les chercheurs du SIPRI suédois soulignent que l’idée d’une alliance cyber homogène est réductrice, dans la mesure où leurs objectifs nationaux, doctrines et structures institutionnelles diffèrent sensiblement.^[63]

La Chine privilégie une approche centralisée, planifiée et durable, visant à construire une cyber-puissance intégrée au service de son autonomie stratégique et de sa compétitivité technologique mondiale. La Russie, en revanche, utilise le cyber comme un instrument de contrainte asymétrique, destiné à créer des crises graduelles, à saturer les capacités adverses et à exploiter les failles de gouvernance des démocraties occidentales.^[64]

Néanmoins, de nombreuses analyses occidentales mettent en évidence une convergence fonctionnelle croissante dans l’usage combiné du cyber, de la désinformation et des opérations d’influence. Chris Kremidas-Courtney souligne que Pékin et Moscou partagent un intérêt stratégique commun pour la contestation des normes occidentales de gouvernance du cyberespace et pour l’affaiblissement des modèles démocratiques.^[65]Cette convergence nourrit les inquiétudes des capitales européennes et nord-américaines, qui perçoivent ces pratiques comme une menace coordonnée de long terme.

4. Perspectives critiques et analyses internationales comparées

La littérature académique souligne que les stratégies cyber chinoise et russe remettent en cause les fondements de la dissuasion classique. Ryan C. Maness et Brandon Valeriano montrent que le cyberespace favorise des stratégies de pression continue et de coercition graduelle, particulièrement attractives pour des États souhaitant éviter une confrontation directe tout en relativisant – de manière curieuse – les risques de réelle guerre dans le cyberespace.^[66]

Du point de vue européen, le German Council on Foreign Relations (DGAP) insiste sur le fait que la cyberpuissance ne se limite pas à la capacité d’attaque, mais inclut également des mécanismes de cooptation technologique et de dépendance stratégique, notamment via les chaînes d’approvisionnement numériques et l’exportation de technologies critiques.^[67] Des chercheurs asiatiques, japonais et sud-coréens soulignent quant à eux que la stratégie cyber chinoise est étroitement liée aux ambitions régionales de Pékin, en particulier autour de Taïwan, et qu’elle exerce une pression multidimensionnelle sur les alliés des États-Unis dans l’Indo-Pacifique.^[68]

Enfin, les rapports récents, tels que le Microsoft Digital Threats Report 2025, montrent que la Chine et la Russie exploitent de plus en plus l’intelligence artificielle pour amplifier leurs capacités cyber, qu’il s’agisse de la génération automatisée de contenus, de l’exfiltration de données ou d’attaques contre des infrastructures critiques.^[69] Cette évolution technologique renforce les inquiétudes quant à la capacité des démocraties à maintenir un avantage défensif durable.

5. Les enjeux du modèle sino-russe pour l’Occident et l’Europe

La comparaison entre les modèles chinois et russe met en lumière deux visions complémentaires de l’usage stratégique du cyberespace : l’une centralisée, planifiée et normative, l’autre agile, opportuniste et asymétrique. Cette complémentarité complique les réponses occidentales, en particulier européennes, confrontées à la nécessité de renforcer leurs capacités de dissuasion et de résilience tout en préservant un cadre démocratique et normatif ouvert.

Comme le soulignent plusieurs auteurs européens, la réponse ne peut être exclusivement technique. Elle exige une coordination multilatérale renforcée, des normes partagées, une préparation opérationnelle commune et une coopération accrue avec les partenaires asiatiques stratégiques, notamment le Japon et la Corée du Sud. Dans ce contexte, l’expérience américaine et la comparaison transatlantique offrent des enseignements essentiels, mais ne sauraient constituer un modèle unique face à des adversaires stratégiquement déterminés et technologiquement adaptatifs.  Les cas de pays ou territoires non strictement alignés sur les trois groupes précédemment analysés offrent d’utiles éléments de réflexion géopolitique pour les Européens. 

IV – Asie-Pacifique : Japon, Corée du Sud et Taïwan face aux défis géopolitiques, vulnérabilité et aux dynamiques d’escalade

La région Asie-Pacifique constitue aujourd’hui l’un des principaux théâtres stratégiques de la cybersécurité mondiale. Elle concentre des intérêts technologiques, militaires et économiques majeurs, tout en étant marquée par des rivalités de puissance croissantes. Dans ce contexte, le Japon et la Corée du Sud apparaissent comme des acteurs centraux de la cyberdéfense régionale, tandis que Taïwan représente un cas extrême où la cybersécurité est indissociable de la survie politique et stratégique. L’ensemble de ces dynamiques s’inscrit dans un environnement caractérisé par un risque élevé de cyber-escalade, susceptible à l’évidence d’avoir des répercussions globales.

1. Le Japon : gouvernance normative avancée, résilience sociotechnique et dépendances stratégiques

La stratégie cyber japonaise repose sur une architecture institutionnelle centralisée et hiérarchisée, structurée autour du National Center of Incident Readiness and Strategy for Cybersecurity (NISC) et du Cybersecurity Strategy Headquarters, placés sous l’autorité directe du Cabinet Office. Ce dispositif vise à assurer une coordination transversale entre ministères, collectivités territoriales et acteurs privés, tout en garantissant la cohérence de la politique cyber nationale. La Cybersecurity Strategy 2024 marque une étape importante dans cette évolution, en renforçant la protection des infrastructures critiques, la sécurisation des chaînes d’approvisionnement et l’alignement sur les standards internationaux.^[70]

Le Japon privilégie une approche essentiellement normative et préventive, cohérente avec son cadre constitutionnel et sa culture stratégique. Selon Masahiro Sugiyama, Tokyo a développé l’un des systèmes de gouvernance cyber les plus avancés d’Asie, fondé sur la régulation, la standardisation et la coopération public-privé.^[71] Cette orientation favorise une large implication du secteur privé dans la cybersécurité nationale, mais elle expose également le pays à des vulnérabilités systémiques, notamment dans les secteurs énergétique, manufacturier et logistique, fortement interconnectés.

Les attaques visant les chaînes d’approvisionnement numériques constituent une préoccupation croissante pour les autorités japonaises. Plusieurs incidents recensés entre 2020 et 2023 ont affecté des sous-traitants industriels, révélant la difficulté de sécuriser des écosystèmes technologiques complexes. Hiroshi Okuno souligne que ces attaques exploitent davantage des failles organisationnelles et contractuelles que des vulnérabilités purement techniques.^[72] En réponse, le Japon a multiplié les exercices nationaux de simulation de cyberattaques, impliquant administrations locales, entreprises stratégiques et opérateurs d’infrastructures critiques.

Malgré ces avancées, des fragilités structurelles persistantes demeurent. Okuno, rejoint par James A. Lewis, observe que le Japon reste fortement dépendant des États-Unis pour le renseignement stratégique, l’attribution des attaques et la dissuasion cyber offensive.^[73] Cette dépendance, bien que fonctionnelle dans le cadre de l’alliance bilatérale, limite l’autonomie stratégique japonaise dans un environnement régional marqué par la montée en puissance chinoise et la multiplication des cyberopérations nord-coréennes. Le German Institute for International and Security Affairs (SWP) souligne par ailleurs que la fragmentation administrative et la lenteur décisionnelle peuvent entraver une réaction rapide en cas de cybercrise majeure.^[74]

Enfin, l’intégration croissante de l’intelligence artificielle dans les dispositifs de cybersécurité soulève de nouveaux défis. Satoshi Sekiguchi met en garde contre une dépendance accrue aux technologies étrangères et aux algorithmes propriétaires, susceptibles de créer de nouvelles vulnérabilités structurelles.^[75] Le Japon apparaît ainsi comme un acteur robuste sur le plan normatif, mais confronté à des dilemmes stratégiques profonds liés à l’autonomie, à la vitesse de décision et à l’évolution rapide des menaces.

2. La Corée du Sud : cyberdéfense active, militarisation contrôlée et dilemmes d’autonomie

La Corée du Sud évolue dans un environnement cyber particulièrement contraignant, marqué par des cyberopérations nord-coréennes récurrentes et par la montée en puissance chinoise dans le cyberespace. Cette situation a conduit Séoul à adopter une posture de cyberdéfense active, intégrée à sa stratégie militaire globale. Le Korea Internet & Security Agency (KISA) constitue le pilier civil de la prévention et de la réponse aux incidents, tandis que le Cyber Command des forces armées sud-coréennes joue un rôle central dans la planification et la conduite d’opérations cyber militaires.^[76]

Selon Joon Ho Kim, la stratégie sud-coréenne repose sur une logique de réaction graduelle, combinant protection renforcée des infrastructures critiques, capacités offensives limitées et coopération étroite avec les États-Unis.^[77] Cette approche vise à renforcer la dissuasion régionale sans franchir de seuils susceptibles de provoquer une escalade incontrôlée. Hae-Jin Lee souligne que la coopération technologique avec Washington a permis d’améliorer significativement les capacités de détection et de réponse, tout en renforçant certaines dépendances structurelles.^[78]

La Corée du Sud a été confrontée à plusieurs cyberattaques majeures attribuées à la Corée du Nord, visant des institutions financières, des médias et des infrastructures publiques. Ces attaques ont contribué à structurer une doctrine fondée sur la rapidité de réaction, la coordination civil-militaire et l’anticipation des campagnes hybrides. Toutefois, cette militarisation croissante du cyberespace soulève des interrogations sur la gouvernance démocratique et la transparence des décisions stratégiques.

Des critiques académiques, notamment Eun-Ji Park, mettent en garde contre une dépendance excessive aux technologies étrangères et aux partenariats bilatéraux, susceptible de limiter la capacité de riposte autonome en cas de crise régionale majeure.^[79] L’intégration accélérée de l’intelligence artificielle dans les dispositifs cyber, analysée par Satoshi Sekiguchi déjà cité, accentue ce dilemme entre performance opérationnelle et souveraineté technologique (qui est un dilemme bien connu dans l’UE en particulier).^[80]

La cybersécurité sud-coréenne apparaît ainsi comme l’une des plus avancées d’Asie sur le plan opérationnel, mais elle demeure traversée par des tensions structurelles entre efficacité militaire, autonomie stratégique et contrôle politique.

3. Taïwan : cyber-dissuasion permanente, apprentissage stratégique et vulnérabilité existentielle

Taïwan constitue le cas le plus extrême du cyberespace asiatique. L’île est soumise à des campagnes quasi permanentes de cyberspionnage, de sabotage numérique et de désinformation attribuées à la Chine continentale, faisant de la cybersécurité un pilier central de la survie nationale. Contrairement au Japon et à la Corée du Sud, Taïwan évolue dans une situation de conflit latent permanent, où chaque cyberincident revêt une portée stratégique.

Entre 2019 et 2024, plusieurs vagues d’attaques ont ciblé des institutions gouvernementales, des infrastructures de transport et des entreprises stratégiques, notamment dans le secteur des semi-conducteurs. En 2022, à la suite de la visite de Nancy Pelosi à Taipei, des attaques DDoSmassives ont temporairement paralysé des sites gouvernementaux et des services publics.^[81] Richard A. Bitzinger souligne que ces opérations visaient moins la destruction immédiate que l’érosion de la confiance institutionnelle et la démonstration de capacité coercitive.^[82]

Face à cette pression constante, Taïwan a développé une stratégie fondée sur l’apprentissage par l’attaque. Chaque incident donne lieu à des ajustements techniques, organisationnels et communicationnels. La transparence rapide des autorités, l’implication de la société civile et la coopération étroite avec le secteur privé constituent des éléments centraux de cette résilience. Des analystes américains et japonais considèrent désormais Taïwan comme un laboratoire avancé de la cyber-dissuasion asymétrique, dont les enseignements sont directement transférables aux démocraties exposées à des menaces hybrides, auxquelles devraient travailler spécialement les États-membres de l’UE.^[83]

Cette posture s’accompagne toutefois d’un risque élevé de cyber-escalade, où des incidents techniques apparemment limités peuvent produire des effets stratégiques régionaux, impliquant indirectement les alliés des États-Unis. Taïwan incarne ainsi à la fois un modèle de résilience cyber avancée et un point de fragilité majeur dans l’équilibre sécuritaire de l’Asie-Pacifique.

Ces trajectoires illustrent les risques croissants de cyber-escalade dans la région et confirment que la cybersécurité est désormais un instrument central de dissuasion, de stabilité politique et de résilience démocratique dans un environnement international profondément instable.

4. L’Asie-Pacifique comme laboratoire de la cyber-stabilité mondiale ? Enseignements pour l’UE

La présence directe de l’OTAN en Asie-Pacifique demeure limitée, mais les liens structurels avec les États-Unis, le Japon et la Corée du Sud permettent une projection indirecte de normes, de pratiques et de mécanismes de coordination cyber. Des analystes européens soulignent que la protection des infrastructures critiques asiatiques est devenue un enjeu majeur de stabilité économique mondiale, compte tenu de l’interdépendance des chaînes d’approvisionnement numériques et industrielles.^[84] Dans ce contexte, le renforcement des mécanismes de partage de renseignements, de réponse coordonnée aux incidents et de formation conjointe apparaît comme une priorité stratégique, tant pour les acteurs régionaux que pour leurs partenaires transatlantiques.

Par ailleurs, du point de vue de l’UE, les perspectives géopolitiques à l’horizon 2027-2030 mettent en avant des scénarios d’escalade progressive, dans lesquels les cyberincidents pourraient s’intensifier parallèlement aux tensions militaires et économiques. James Lewis avertit sur le fait que la combinaison de capacités offensives étatiques avancées et d’une interdépendance technologique croissante accroît le risque de conflits cyber involontaires, potentiellement alimentés – au mieux – par des erreurs d’interprétation ou des attaques limitées.^[85]

Pour l’UE, l’enseignement principal réside donc dans la nécessité de dépasser une approche strictement continentale de la cybersécurité. Comme le souligne Sébastien Laurent, la dépendance aux chaînes d’approvisionnement et aux technologies asiatiques impose un dialogue stratégique renforcé et des partenariats durables avec les acteurs clés de l’Asie-Pacifique, tout particulièrement le Japon et la Corée du Sud voire Taïwan, partenaires naturels et volontaires de l’UE.^[86] La cybersécurité apparaît ainsi comme un enjeu global de résilience et de dissuasion, combinant anticipation géopolitique, coordination internationale et préparation technique.

Le Japon, la Corée du Sud et Taïwan illustrent trois modèles complémentaires de cybersécurité en Asie-Pacifique auxquels porter une attention soutenue d’un point de vue géopolitique et peut-être plus largement stratégique. Leur position à proximité du géant chinois mais aussi leur place plutôt située dans l’orbite américaine revêt un intérêt manifeste pour l’expérience européenne (ou tout au moins de certains pays de l’UE, notamment l’Allemagne mais aussi parfois la France): prévention normative et résilience civile, dissuasion régionale active et cyber-dissuasion existentielle. Leur exposition directe aux rivalités de puissance fait de la région un laboratoire de la cyber-stabilité mondiale, dont les enseignements sont essentiels pour les États-Unis, l’Europe et les organisations de sécurité collective. Ces trajectoires des trois « dragons des années 1990 » illustrent les risques croissants de cyber-escalade dans la région et confirment que la cybersécurité est désormais un instrument central de dissuasion, de stabilité politique et de résilience démocratique dans un environnement international profondément instable. La maîtrise des risques de cyber-escalade en Asie-Pacifique constitue, à ce titre, un enjeu central pour la sécurité internationale du XXIᵉ siècle.

Conclusion

L’accumulation récente des dispositifs réglementaires européens et nationaux en matière de cybersécurité révèle moins une montée en puissance stratégique qu’un repli dans le formalisme du droit, largement déconnecté des réalités géopolitiques, opérationnelles et économiques du cyberespace. Tant au niveau de l’Union européenne qu’au sein de ses principaux États membres, en particulier la France et l’Allemagne, la cybersécurité demeure majoritairement appréhendée comme un problème de conformité normative, de gouvernance administrative et de gestion du risque juridique, au détriment d’une compréhension du cyberespace comme champ de confrontation asymétrique, fluide et dominé par des acteurs pragmatiques — États hostiles, groupes criminels et intermédiaires techniques — dont les logiques d’action échappent largement aux cadres réglementaires formels. Cette approche contraste fortement avec l’analyse de Joseph S. Nye, pour qui le cyberespace constitue avant tout un environnement stratégique façonné par les rapports de dépendance, les asymétries de capacités et la capacité à structurer les attentes adverses.^[87]

Cette orientation produit une illusion de maîtrise. En érigeant la conformité réglementaire en indicateur central de sécurité, les dispositifs européens tendent à déplacer l’effort des opérateurs, des entreprises et des administrations vers la production de procédures, d’audits et de mécanismes de reporting, sans amélioration proportionnelle de leurs capacités effectives de détection, de réaction et de résilience. Ce décalage rejoint directement le diagnostic formulé par Mario Draghi dans son rapport de 2024 sur l’avenir de la compétitivité européenne, où il souligne que l’Union européenne a progressivement substitué l’expansion normative à l’investissement stratégique, affaiblissant sa position dans les secteurs critiques à forte intensité technologique.^[88] Appliquée à la cybersécurité, cette dynamique transforme la régulation en substitut de la puissance plutôt qu’en multiplicateur de celle-ci.

Plus fondamentalement, ni l’Union européenne ni ses principaux États membres ne semblent avoir pleinement intégré les implications géopolitiques de leurs choix réglementaires. La mise en œuvre de cadres tels que NIS2 ou le Cyber Resilience Act ne s’inscrit pas dans une réflexion explicite sur la conflictualité cyber internationale, les stratégies offensives adverses ou les dépendances technologiques critiques, mais dans une logique de normalisation interne visant avant tout la cohérence du marché et la sécurité juridique. Cette absence de boussole stratégique fait écho aux analyses d’Adam Segal, qui souligne que la cybersécurité ne peut être dissociée des logiques de dissuasion, de supériorité technologique et de projection de puissance, mais aussi d’une très forte dimension concurrentielle du cyberespace, dimensions largement sous-investies par l’approche européenne.^[89] Elle entre également en tension avec la lecture chinoise du cyberespace décrite par Elsa Kania, où la régulation, la capacité opérationnelle et le contrôle politique forment un ensemble cohérent au service d’une stratégie de long terme.^[90]

Les avertissements formulés par Mario Draghi dans ses discours de 2025 prolongent et radicalisent ce constat. En soulignant que l’Europe « s’est dotée d’outils juridiques sophistiqués sans se doter des leviers économiques, industriels et stratégiques correspondants »,  Mario Draghi met en lumière une vulnérabilité structurelle : l’autonomisation de la norme par rapport à la puissance réelle.^[91] Dans ce contexte, la France et l’Allemagne — pourtant dotées de capacités cyber avancées — contribuent paradoxalement à neutraliser politiquement le cyberespace, en le traitant comme un objet administratif plutôt que comme un instrument de puissance, confirmant ainsi l’asymétrie européenne entre ambition normative et crédibilité stratégique.

Dans un environnement marqué par la permanence de la confrontation cyber, où les acteurs adverses privilégient l’opportunisme, la rapidité et l’exploitation des zones grises, cette dissymétrie entre normativité européenne et pragmatisme opérationnel risque de transformer la cybersécurité réglementée en vulnérabilité stratégique. En définitive, le problème européen n’est pas l’excès de droit en soi, mais son découplage d’une stratégie géopolitique explicite. Tant que la régulation ne sera pas conçue comme un levier subordonné à des capacités opérationnelles, industrielles et coercitives crédibles, l’Union européenne restera enfermée dans un paradoxe durable : produire des normes de référence mondiale pour un cyberespace dont la structuration effective mondiale lui échappe de plus en plus.

---

Annexe 1  

Comparaison géopolitique des modèles

Modèle	Logique dominante	Force principale	Faiblesse majeure
UE	Normative	Harmonisation juridique	Faible coercition
États-Unis	Dissuasion	Capacités offensives	Fragmentation juridique
Chine	Systémique	Intégration État-industrie	Opacité, méfiance internationale
Japon	Défensive-alliée	Coopération US	Retard capacitaire
Corée du Sud	Réactive	Résilience opérationnelle	Forte exposition

---

Annexe 2

Caractéristiques réglementaires et posture géopolitique en cybersécurité

Région / Pays	Principales normes / lois	Approche stratégique	Capacité coercitive / opérationnelle	Orientation géopolitique / industrielle	Commentaire critique
UE	NIS2, Cyber Resilience Act, Cyber Solidarity Act	Régulation contraignante, responsabilisation des acteurs	Limitée (aucune projection offensive autonome)	Normative : cherche à exporter ses standards, souveraineté réglementaire	Très forte sur le plan juridique, mais décalage par rapport aux menaces réelles et aux capacités opérationnelles¹
France	Loi de programmation militaire (LPM), directives ANSSI, obligations OIV	Conformité réglementaire, cybersécurité défensive	Moyenne : certaines capacités de cyberdéfense et de riposte	Alignée UE, coopération OTAN	Forte formalisation juridique, faible flexibilité opérationnelle²
Allemagne	IT-SiG 2.0, BSI-Kritis, obligations opérateurs critiques	Normative, protection des infrastructures critiques	Moyenne, centrée sur résilience interne	Priorité à la stabilité industrielle, exportation limitée	Bureaucratie dense, risque de rigidité face aux acteurs pragmatiques²
États-Unis	NIST Cybersecurity Framework, directives CISA, Executive Orders	Défense et dissuasion combinées à intégration public-privé	Très élevée : capacités offensives et de projection	Influence normative globale, protection des intérêts stratégiques	Approche pragmatique, cohérente avec l’exercice de puissance³
Chine	Cybersecurity Law, Data Security Law, Personal Information Protection Law	Système intégré : contrôle politique + cybersécurité	Très élevée : capacités offensives et contrôle informationnel	Souveraineté numérique, stratégie de puissance globale	Cohérence stratégique totale, combinaison réglementation, contrôle et puissance⁴
Japon	Cybersecurity Basic Act, directives NISC, Act on the Protection of Personal Information	Défensive, intégration progressive à la stratégie nationale	Moyenne, montée en puissance militaire cyber	Alignement États-Unis, sécurité régionale	Transition d’une posture minimale vers la reconnaissance du cyber comme domaine stratégique⁵
Corée du Sud	Framework Act on National Informatization, Information Security Management Act, directives KISA	Pragmatique, confrontation continue	Moyenne à élevée (prévention et riposte contre Corée du Nord)	Sécurité nationale régionale, coopération étroite avec États-Unis	Approche réaliste et opérationnelle, fortement orientée menace régionale⁶
Taïwan	Cyber Security Management Act (2018), National Information and Communication Security Taskforce directives	Cyber-dissuasion permanente, résilience adaptative	Moyenne mais hautement réactive (défensive, asymétrique)	Survie stratégique, intégration indirecte au camp occidental	Modèle de résilience sous contrainte extrême : forte capacité d’apprentissage, mais vulnérabilité structurelle liée à la pression chinoise et à l’absence de garanties de sécurité formelles⁷

---

Sources

1. UE : Joseph S. Nye Jr., The Future of Power, 2011 ; Mario Draghi, Future of European Competitiveness, rapport 2024 ; discours 2025.
2. France / Allemagne : ANSSI, LPM 2019–2025 ; IT-SiG 2.0 (2021) ; BSI-Kritis.
3. États-Unis : Adam Segal, The Hacked World Order, 2016 ; Executive Orders on Improving the Nation’s Cybersecurity, 2021.
4. Chine : Elsa B. Kania, « China’s Cyber Power », Journal of Strategic Studies, 2021.
5. Japon : NISC, Cybersecurity Strategic Headquarters Reports, 2020–2023.
6. Corée du Sud : KISA, South Korean National Cybersecurity Strategy, 2022.
7.  Taïwan : Taiwan Ministry of Digital Affairs, Cybersecurity Policy White Paper, 2023; Richard A. Bitzinger, Taiwan’s Cyber Dilemma: Defense, Deterrence and Geopolitics, ISEAS Publishing, 2024.

^[1] Voir nos deux articles : Souty F, « Digital Markets Act européen, politique de la concurrence et souveraineté : Conséquences géopolitiques et impact stratégique du droit sur l’économie digitale », Le Diplomate Média, 04.02.2026, 67 p. (journal en ligne) et Souty F. Economie digitale, politique de la concurrence et régulation : approches comparées de l’Union européenne, des Etats-Unis et de la Chine », in Arcelin, L. Les régulations européennes du numérique et le droit du marché, Bruxelles, Bruylant, 2024, p. 151-181.

^[2] Nye, Joseph S., The Future of Power, New York, PublicAffairs, 2011, 320 p., p. 175‑176.

^[3] Farrand, Benjamin, « The New Geopolitics of EU Cybersecurity: Security, Economy and Regulatory Sovereignty », International Affairs, vol. 100, n° 6, 2024, p. 2451‑2470.

^[4] Voir Souty F., « Les limites géopolitiques du règlement européen antisubventions étrangères », Le Diplomate Média, 21 janvier 2026, 49 p. ; sur le DMA, op.cit. à note 1, Le Diplomate Média, 4 février 2026.

^[5] Segal, Adam, The Hacked World Order: How Nations Fight, Trade, Maneuver, and Manipulate in the Digital Age, New York, PublicAffairs, 2016, 320 p., p. 101‑102.

^[6] Kania, Elsa B., « China’s Strategic Thinking on Cyber Power », Journal of Strategic Studies, vol. 43, n° 5, 2020, p. 623‑648.

^[7] Tsuchiya, Motohiro, Cybersecurity Policy in Japan, Tokyo, Keio University Press, 2022, 212 p., p. 87.

^[8] Park, Jong‑in, « South Korea’s Cybersecurity Strategy: Continuous Confrontation in the Cyber Domain », Journal of Strategic Studies, vol. 45, n° 4, 2022, p. 521‑545.

^[9] Souty F. « Politique de concurrence et Antitrust en Europe et aux États-Unis : Perspectives transatlantiques et enjeux géopolitiques », Le Diplomate Média, 37 p. (journal en ligne)

^[10] Parlement européen, Report on the institutional aspects of the Report on the future of European Competitiveness (Draghi Report), document A10‑0196/2025, Strasbourg, 17 octobre 2025, p. 12‑18.

^[11] Schickler, Jack, « Draghi appelle à un emprunt commun de l’UE et à la fin des vetos nationaux », Euronews, 9 septembre 2024 (journal en ligne). 

^[12] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union, Journal officiel de l’Union européenne, L 295, 27 décembre 2022, p. 12-35.

^[13] V. notamment Implémentation de NIS2 en France : Quels enjeux pour la France ? IDATE DigiWorld Institute, février 2025 (ce document analyse la directive NIS2 détaillant les 18 secteurs critiques identifiés et compare le périmètre de NIS2 avec celui de la directive NIS 1 originale, notamment dans ses tableaux récapitulatifs de secteurs et de changements apportés par la nouvelle directive. 

^[14] Directive NIS2, Journal officiel de l’Union européenne, L 283/1, 2024, p. 3-15.

^[15] ANSSI, Rapport d’activité 2024 – État de la cybersécurité en France, Paris, avril 2025, p. 10-25.

^[16] European Commission, Cyber Resilience Act – Regulation Overview, Bruxelles, 2024, p. 15-45.

^[17] European Commission, Cyber Solidarity Act – Framework and Guidelines, Bruxelles, 2024, p. 5-22.

^[18] European Commission, Cybersecurity in the EU: Strategy 2024, Bruxelles, 2024, p. 40-55.

^[19] Farrand B, « Toward Regulatory Sovereignty in Cyberspace: The EU’s NIS2 Directive », International Affairs, vol. 100, n° 6, 2024, p. 2451-2470.

^[20] European Cyber Security Organisation (ECSO), European Cybersecurity Architecture: Challenges and Perspectives, Bruxelles, 2025, p. 8-22.

^[21] Bruegel, Cybersecurity in Europe: Bridging Norms and Operations, Policy Contribution, 2024, p. 12-20.

^[22] ANSSI, Rapport d’activité 2024, section « NIS2 et JOP 2024 ».

^[23] De Ville P-Y., La France et l’Europe face aux défis cyber, Institut Montaigne, Paris, 2024, p. 17-31.

^[24] German Institute for International and Security Affairs (SWP), A Reliable Global Cyber Power? Integration of Standards and Practice, Berlin, 2023, p. 25-38.

^[25] Bundesamt für Sicherheit in der Informationstechnik (BSI), Guide de conformité NIS2 et certification technique, Berlin, 2024, p. 12-38.

^[26] Legislative Decree No. 138/2024 on the Implementation of Directive (EU) 2022/2555 in Italy, Rome, 2024, p. 5-30.

^[27] Barana L., « Cybersecurity and SME Challenges in Italy’s NIS2 Transposition », Centro Studi Internazionali, Rome, 2025, p. 9-18.

^[28] Möller M., « Operationalizing European Cybersecurity: Platforms, Standards and Common Capabilities », Journal of European Defence, vol. 15, n° 3, 2025, p. 55-73.

^[29] Cumming S., « Cyber Deterrence and European Security: Bridging Norms and Defence », International Security Review, vol. 48, n° 2, 2024, p. 102-128.

^[30] IDATE DigiWorld Institute, Implémentation de NIS2 en France : quels enjeux pour la France ?, février 2025, p. 8-12.

^[31] NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), EU-NATO Cyber Coordination Report, Tallinn, 2023, p. 12-27.

^[32] Biscop S., European Defence and Cyber Coordination: Challenges and Opportunities, Routledge, Londres, 2022, p. 91-105.

^[33] Fiott, D. « Political and Institutional Limits of EU-NATO Cyber Cooperation », Journal of European Security, vol. 9, n° 2, 2024, p. 47-62.

^[34] European Union Agency for Cybersecurity (ENISA), Standardisation and Resilience in EU-NATO Cooperation, Athènes, 2023, p. 22-37.

^[35] Kaunert Ch. & Leonard S., European Cybersecurity Governance and Public-Private Cooperation, Palgrave Macmillan, Londres, 2023, p. 135-152.

^[36] Lewis J., Cybersecurity and Strategic Deterrence in Europe, CSIS Reports, Washington D.C., 2024, p. 43-55.

^[37] The White House, National Cyber Strategy of the United States of America, Washington D.C., mars 2023, p. 8-20.

^[38] DHS / CISA, CISA Annual Report 2024, Washington D.C., 2024, p. 12-35.

^[39] US Cyber Command, Persistent Engagement and Cyber Operations Doctrine, Fort Meade, 2022, p. 10-28.

^[40] NIST, Cybersecurity Framework Version 2.0, Gaithersburg, 2023, p. 15-50. Aussi, National Security Agency, Annual Cybersecurity Review, Fort Meade, 2025, p. 12-29.

^[41] Congressional Research Service, « U.S. Cybersecurity Policy: Structure and Challenges », CRS Report R47047, 2024, p. 7-21. V. aussi NIST, Cybersecurity Framework Version 2.0, Gaithersburg, 2023, p. 15-50.   

^[42] Lewis, James A., « Deterrence and Cyber Strategy », CSIS, 2023, p. 1-10.

^[43] Lonergan, Erica D., « The Power of Beliefs in US Cyber Strategy, », Journal of Cybersecurity, vol. 9, n° 1, 2023, p. 1-24.

^[44] Washington Post, Trump Budget Plan to Cut Nearly 1000 Jobs at Cyber Agency CISA, 28 novembre 2025.

^[45] Executive Order 14306, Sustaining Select Efforts to Strengthen the Nation’s Cybersecurity, 6 juin 2025.

^[46] AP News, Trump administration halts funding for two cybersecurity efforts, including one for elections, 11 mars 2025.

^[47] Congressional Research Service, « Cybersecurity and U.S. National Security: Challenges and Opportunities, » CRS Report R47455, 2024, p. 10-15.

^[48] Federal News Network, Trump admin focuses on “Zero Trust 2.0”, juillet 2025.

^[49] Op. cit.

^[50] Op. cit.

^[51] AP News, Hegseth orders suspension of Pentagon’s offensive cyberoperations against Russia, 3 mars 2025. V. aussi Washington Post, U.S. digital disarmament gives Russia free rein in cyberspace, 3 mars 2025.

^[52] Kaunert Christian, European Perspectives on U.S. Cybersecurity Policy, Warwick University Press, 2024, p. 88-101.

^[53] United Nations Office for Disarmament Affairs (UNODA), State Practices in Cybersecurity: China and Russia, New York, 2024, p. 12-27.

^[54] Saalman L., Fei Su F., & Saveleva-Dovgal, L., Cyber Posture Trends in China, Russia, the United States and the European Union, SIPRI Research Report, déc. 2022, chap. 2-3.

^[55] Laurent S., & Borchert H., L’Europe face aux cyber-puissances, Presses de Sciences Po, 2024, p. 112-135.

^[56] Shambaugh D., China’s Cyber Power: Strategy, Capability and Governance, Oxford University Press, 2025, p. 45-68.

^[57] ANSSI, Panorama de la Cybermenace 2024, Paris, 2025, 52 p.

^[58] Center for European Policy Analysis (CEPA), Russia’s Shadow Warfare, rapports récents, p. 1-12.

^[59] Russian cyber attacks against NATO states up by 25% in a year, The Guardian, 16 octobre 2025. V. également ANSSI, op.cit.

^[60] Rid Thomas, Cyber War Will Not Take Place, Oxford University Press, 2018, 232 p. Ouvrage majeur plusieurs fois réédité, originellement publié sous l’égide de l’US Army War College en 2011, en réplique à un précédent rapport très précoce de la RAND Corporation (très proche de la CIA) en 1993 sous le titre « Cyber War Is Coming ». Analyses réactualisées.

^[61] Lewis J., Cybersecurity and Geopolitics: The Russian Factor, CSIS Reports, 2024, p. 19-42.

^[62] NATO Review, NATO and Strategic Competition in Cyberspace, juin 2023, p. 1-8.

^[63] Saalman L., Fei Su & Saveleva-Dovgal L., Cyber Posture Trends in China, Russia, the United States and the European Union, SIPRI Research Report, déc. 2022, 39 p. V. en particulier chap. 2-3.

^[64] Center for European Policy Analysis (CEPA), Russia’s Shadow Warfare, rapports récents, p. 1-12. V. aussi ANSSI, op.cit. 2025, 52 p. 

^[65] Kremidas-Courtney, Chris, Hybrid Storm Rising: Russia and China’s Axis against Democracy, European Policy Centre, mai 2025, 13 p. 

^[66] Maness, Ryan C. & Valeriano, Brandon, Cyber War versus Cyber Realities, Oxford, Oxford University Press, 2015, 288 p. V. des mêmes auteurs Cyber Conflicts and Global Politics, Oxford University Press, 2022.

^[67] German Council on Foreign Relations (DGAP), A Reliable Global Cyber Power, Berlin, 2023, p. 25-38.

^[68] Sugiyama, Masahiro & Lee Hae-Jin, Comparative Cybersecurity Cultures: Asia and the West, 2025, p. 45-78.

^[69] Microsoft, Digital Defense Report 2025, Washington D.C., 2025, 85 p.

^[70] Cabinet Office, Government of Japan, Cybersecurity Strategy 2024, Tokyo, 2024, p. 12–25.

^[71] Masahiro Sugiyama, Cyber Strategies in Japan: Norms, Governance and Capabilities, Tokyo University Press, 2025, p. 87–103.

^[72] Okuno, Hiroshi, Japan’s Cybersecurity Doctrine: Defense and Norms in a Digital Era, University of Tokyo Press, 2023, p. 45–67.

^[73] Lewis, James A., Japan’s Cybersecurity Dilemma, CSIS Report, Washington D.C., 2024, p. 10–15.

^[74] German Institute for International and Security Affairs (SWP), Cybersecurity and Autonomy in the Indo-Pacific, Berlin, 2023, p. 18–32.

^[75] Sekiguchi, Satoshi, AI and the Future of Japanese and Korean Cybersecurity, Keio University Press, Tokyo, 2025, p. 55–78.

^[76] Korea Internet & Security Agency (KISA), Annual Report 2024, Seoul, 2024, p. 15–30.

^[77] Kim, Joon Ho, Cyber Deterrence in South Korea: Regional Realities and Strategic Adaptation, Sejong Institute, 2025, p. 25–42.

^[78] Lee, Hae-Jin, « South Korea’s Cybersecurity and U.S. Cooperation », Asia-Pacific Cybersecurity Journal, vol. 6, n° 2, 2025, p. 63–78.

^[79] Park, Eun Ji, « Dependence and Autonomy in South Korea’s Cybersecurity Strategy », Journal of East Asian Security, vol. 12, n° 2, 2024, p. 101–123.

^[80] Sekiguchi, Satoshi, op. cit., p. 70–78.

^[81] Une attaque DDoS (Distributed Denial of Service) consiste à saturer volontairement un service numérique (site web, serveur, infrastructure réseau) par l’envoi massif et coordonné de requêtes provenant d’un grand nombre de machines compromises (botnets), rendant le service indisponible pour les utilisateurs légitimes. Ces attaques ne visent pas prioritairement l’exfiltration de données, mais la perturbation fonctionnelle, l’érosion de la confiance institutionnelle et la démonstration de capacité de nuisance. Peu coûteuses, difficilement attribuables et à fort impact symbolique, les attaques DDoS sont devenues un instrument central des stratégies cyber hybrides, notamment dans les contextes de tension géopolitique et de dissuasion indirecte.

^[82] Bitzinger, Richard A., Taiwan’s Cyber Dilemma: Defense, Deterrence and Geopolitics, ISEAS Publishing, 2024, p. 45–63.

^[83] Ibid., p. 120–145.

^[84]Laurent S. & Borchert H., L’Europe face aux cyber-puissances, Presses de Sciences Po, 2024, p. 158-172.

^[85] Lewis James A, Cybersecurity and Geopolitics, CSIS Reports, 2024, p. 43-55.

^[86] Laurent S., op. cit., p. 174-182.

^[87] Joseph S. Nye Jr., The Future of Power (New York: PublicAffairs, 2011), 113–135, citation p. 123: “Cyber power is exercised less through direct coercion than through the ability to shape the environment in which others operate, including dependencies, expectations, and norms.” Voir également Joseph S. Nye Jr., “Power and Interdependence in the Information Age,” Foreign Affairs 99, no. 6 (2020): 63–75, p. 70–72.

^[88] Mario Draghi, The Future of European Competitiveness: A Strategy for Europe, 2024, 400 p., sections II et III. Voir particulièrement où le Président Draghi est extrêmement explicite2.3 et 3.1 “Europe has increasingly relied on regulation to compensate for insufficient scale, investment and strategic coordination”. “In critical digital sectors, regulatory sophistication has not been matched by industrial or technological leadership.”

^[89] Adam Segal, The Hacked World Order: How Nations Fight, Trade, Maneuver, and Manipulate in the Digital Age (New York: PublicAffairs, 2016), 1–22, 145–176, citation p. 8: “Cybersecurity strategies that focus primarily on defense and norms risk misunderstanding the fundamentally competitive nature of the domain.” Voir également Adam Segal, “When China Rules the Web,” Foreign Affairs 97, no. 5 (2018): 10–18.

^[90] Elsa B. Kania, “Securing China’s Digital Rise,” Survival 61, no. 4 (2019): 25–40, v. p. 30: “China’s approach to cyberspace integrates regulation, political control and operational capabilities into a coherent strategic framework.” Voir également Elsa B. Kania, “Cyber Capabilities and Political Control in China’s Strategic Competition,” Journal of Strategic Studies 44, no. 1 (2021): 1–29, p. 6–10.

^[91] Mario Draghi, Discours sur la souveraineté technologique européenne, Bruxelles, Paris et Berlin, 2025 : “Europe has built a world-class regulatory framework, but it has not built the economic and strategic power needed to shape outcomes.” 

---

#cyberespace, #cybersécurité, #souveraineténumérique, #souverainetétechnologique, #geopolitique, #rivalitésstratégiques, #droitdunumerique, #régulation, #NIS2, #CyberResilienceAct, #CyberSolidarityAct, #ENISA, #ANSSI, #OTAN, #UE, #infrastructurescritiques, #résilience, #dissuasion, #cyberdéfense, #cyberguerre, #menaceshybrides, #renseignement, #protectiondesdonnées, #supplychain, #cloudsouverain, #IA, #postquantique, #zeroTrust, #cybercriminalité, #espionnage, #désinformation, #normes, #conformité, #industrienumérique, #compétitivité, #stratégie, #sécuriténationale, #Europepuissance, #France, #IndoPacifique