Ce que la Commission a vraiment annoncé

Le 7 juillet 2026, la Commission européenne a présenté son plan d action sur la cybersécurité et l intelligence artificielle, et la vice-présidente exécutive Henna Virkkunen l a dit sans détour, que l IA transforme le sens de la cybersécurité et que l Union doit suivre le rythme. Le plus frappant est ce que le plan ne contient pas, aucune loi nouvelle. Il promeut plutôt la mise en oeuvre de textes déjà en vigueur, la directive NIS2, le règlement sur la cyberrésilience et le règlement sur l IA. Trois mouvements concrets y figurent, une capacité d évaluation de l UE pour les capacités et les risques des modèles d IA avancés, un schéma européen et une plateforme de test sécurisée bâtie avec l agence européenne de cybersécurité ENISA afin que les secteurs critiques essaient l IA sans danger, et un EU Grand Challenge qui finance chercheurs et entreprises pour bâtir une défense par l IA. Cela se lit moins comme un recueil de règles que comme une décision sur l endroit où l Europe met elle-même la main.

Pourquoi le plan bâtit sa propre capacité de test

Le centre de gravité est la capacité d évaluation de l UE. Le règlement sur l IA exige déjà d évaluer le risque des modèles avancés avant leur arrivée sur le marché, et le plan dit que l Europe renforcera l évaluation indépendante au lieu d accepter qu un fournisseur corrige sa propre copie. C est autant une affirmation de souveraineté que de sécurité, car la plupart des modèles de pointe sont américains et l Europe ne veut pas dépendre des laboratoires qui les bâtissent pour certifier qu ils sont sûrs. La plateforme de test sécurisée étend la même logique aux opérateurs, en donnant aux banques, hôpitaux et gestionnaires de réseau un lieu contrôlé pour essayer l IA avancée sans exposer les systèmes de production. Et le calendrier pèse, car dès le 2 août 2026 la Commission obtient ses pouvoirs d exécution sur l IA à usage général, y compris le droit d exiger informations et mesures des fournisseurs. Le plan est l échafaudage qui se dresse juste avant cette date.

Ce qu un opérateur en retire

Rien de neuf ne tombe cette semaine sur votre bureau de conformité, et c est justement le point à intérioriser. Vos obligations au titre de NIS2 et du règlement sur la cyberrésilience ne changent pas, mais elles se placent désormais dans un cadre explicite de menace par l IA, car les mêmes modèles qui rédigent vos rapports peuvent aussi automatiser la reconnaissance, écrire du code d attaque et faire monter une intrusion plus vite qu une équipe humaine ne réagit. Si vous exploitez un service de secteur critique, attendez-vous à ce que la plateforme de test sécurisée devienne la voie officielle pour prouver un déploiement d IA avant qu il touche des charges régulées, et attendez-vous à ce que votre autorité nationale, en France l ANSSI, traduise le schéma en lignes directrices sur lesquelles vous serez jugé. L action n est pas de classer du papier, c est le rythme, car une défense réglée sur des attaquants humains affronte désormais des attaquants machine.