projet

Article de blog critique pour publication (Brouillon)

Blog (FR) pending

« Forteresse Europe » numérique – et la facture, ce sont les autres qui la paient

Bruxelles a annoncé le 20 janvier 2026 une étape importante : l'EU Cybersecurity Act doit être révisé, les chaînes d'approvisionnement TIC critiques doivent devenir « dignes de confiance » – et les équipementiers considérés comme « à haut risque » doivent disparaître des secteurs critiques. C'est géopolitiquement compréhensible. Mais qui regarde de plus près voit : entre gain de sécurité, politique industrielle et politique symbolique, la ligne est mince. (Digitale Strategie Europa)

D'abord le gros titre, ensuite les petits caractères

Le débat vise visiblement Huawei et ZTE – même si l'UE ne nomme officiellement aucune entreprise ou pays. Reuters décrit un délai de 36 mois pour les opérateurs de téléphonie mobile après publication d'une liste à haut risque et souligne les évaluations de risques ainsi que les analyses d'impact. Ce n'est pas « tout dehors dès demain », mais un processus qui sera politiquement chargé, juridiquement complexe et économiquement risqué. (Reuters)

Le récit public (« Forteresse Europe ») vend de la détermination. On peut aimer ça. Mais il ne faut pas négliger : moins les critères et les listes sont concrets au début, plus se crée dans la pratique un climat de suspicion généralisée. Et c'est exactement là que commence le problème.

Quand l'origine signifie « risque », la sécurité devient vite du protectionnisme

Huawei critique cette approche comme une discrimination basée sur l'origine plutôt que sur des preuves techniques et fait référence à des principes comme la non-discrimination et la proportionnalité. Il n'est pas nécessaire de croire Huawei – mais l'argument touche un point sensible : dès que « juridiction » devient un critère central, c'est finalement la politique qui décide sur la technique. (Reuters)

Cela peut être légitime. Mais alors l'UE devrait être honnête : ce n'est pas seulement de la cybersécurité, c'est aussi de la politique étrangère et industrielle. Et pour cela, il faut des critères transparents, des preuves fiables et des recours juridiques – sinon cela reste une expérience de gouvernance aux dépens des opérateurs et des fournisseurs.

Certification en 12 mois : progrès – ou sprint réglementaire vers le chaos ?

L'UE veut accélérer la certification ; dans les rapports, il est question de « 12 mois par défaut ». Cela sonne moderne (« Security by Design », plus rapide que le marché). Mais la certification n'est rarement un cadeau pour les PME. La certification est un instrument d'accès au marché – et qui n'a pas les ressources reste dehors ou paie de manière disproportionnée. (Innovation News Network)

Des schémas plus rapides n'aident que s'ils sont clairs, testables, financièrement supportables et compatibles internationalement. Sinon, le sprint produit exactement ce qu'on prétend vouloir empêcher : fragmentation, incertitude et phases de transition coûteuses.

Et qu'est-ce que cela signifie pour les petites entreprises IT suisses ?

La Suisse n'est pas dans l'UE – mais les PME IT suisses dépendent du marché européen : par les clients, les filiales, la revente, les services gérés, les intégrations OT.

Trois conséquences très concrètes sont prévisibles :

  1. Les questionnaires de chaîne d'approvisionnement deviendront standard. Les clients européens dans des environnements critiques répercuteront leurs risques vers le bas : Quels fabricants se cachent dans le pare-feu, le commutateur, la caméra, la passerelle IoT ? Quelles mises à jour ? Quels accès distants ? Qui a les clés admin ? (Reuters)

  2. Certaines marques deviendront un risque commercial. Même si le droit est formulé « basé sur le risque » : l'approvisionnement en fait souvent « liste noire par défaut ». Les petites maisons système qui gagnent par le prix perdent par l'origine. (Reuters)

  3. Les obligations de signalement et d'incident seront doublement ressenties. En Suisse s'applique depuis le 1er avril 2025 une obligation de signalement de 24 heures pour les cyberattaques contre les infrastructures critiques ; les sanctions s'appliquent depuis le 1er octobre 2025. Qui exploite des clients européens critiques doit organiser la réponse aux incidents de manière à pouvoir servir plusieurs régimes – rapidement, proprement, documenté. (ncsc.admin.ch)

C'est faisable. Mais c'est du travail. Et c'est du travail que les petites entreprises ne peuvent pas faire en passant, tout en gérant simultanément la pénurie de main-d'œuvre qualifiée et la pression sur les prix.

Ce qu'il faut faire maintenant (sans RP de Bruxelles)

Si tu es une PME IT suisse avec des liens européens, tu n'as pas besoin de rhétorique de « forteresse », mais d'une liste de tâches pragmatique :

  • Transparence SBOM/actifs : Quels composants, fabricants, firmware, dépendances ?
  • Classification des fournisseurs : Où as-tu potentiellement une exposition « à haut risque » (matériel, cloud, outils gérés) ?
  • Clauses contractuelles et plans de sortie : Interchangeabilité, délais de livraison, clauses d'ajustement des prix – avant que le client n'escalade en cas d'incident.
  • Manuels d'incident : Logique de signalement 24h (CH) plus processus européens ; plan de communication, conservation des preuves, responsabilités. (ncsc.admin.ch)

Conclusion : oui à la sécurité – mais pas comme écran de fumée politique

L'UE a tout le droit de rendre ses systèmes critiques plus résilients. Mais les questions décisives restent ouvertes : Quelle est la transparence des critères ? Quelle est l'équité des transitions ? Quels sont les coûts de suivi ? Qui est responsable si le « derisking » mène à des goulots d'étranglement et au chaos de remplacement ?

Tant que cela n'est pas clarifié, on devrait prendre les mots-clés (« Cybersecurity Act 2 », « Forteresse Europe ») avec prudence. Et on devrait arrêter de faire comme si les coûts touchaient principalement « les grands ». Dans la pratique, la complexité réglementaire frappe d'abord ceux qui ont le moins de marge : les petits opérateurs, les petits intégrateurs, les petits prestataires IT – aussi en Suisse.

Si tu veux, je peux aussi adapter l'article de blog dans un ton Clarus.News plus incisif (plus court, plus de punchlines) ou le réécrire comme version LinkedIn (max. ~1.300–1.800 caractères).

Zurück zur Übersicht