L'UE dévoile son plan d'action sur la cybersécurité et l'IA : ce que cela signifie pour les équipes risque et conformité IA
By Jean-Hugues Migeon
Le 7 juillet 2026, la Commission européenne a présenté son Plan d'action sur la cybersécurité et l'intelligence artificielle, une réponse structurée aux risques (et aux opportunités) que les modèles d'IA avancés représentent pour la cybersécurité. En présentant cette initiative au Parlement européen, la commissaire européenne au numérique Henna Virkkunen a averti que « ces modèles d'IA avancés peuvent désormais construire des exploits informatiques en quelques minutes ou quelques heures, à une fraction du coût de la découverte de vulnérabilités par des experts humains », et qu'une fois exploitées, ces vulnérabilités « mettent en danger la sécurité de nos infrastructures et de notre société ».
Pour les professionnels du risque et de la conformité en matière d'IA, il s'agit de bien plus qu'une nouvelle communication européenne. C'est une étape concrète vers la construction de l'infrastructure d'application de l'AI Act, et un signal clair que Bruxelles souhaite que les modèles d'IA soient évalués sous supervision européenne, plutôt que de s'appuyer uniquement sur l'auto-évaluation des fournisseurs.
Ce que prévoit le plan d'action
S'appuyant sur le cadre juridique existant de l'UE en matière d'IA et de cybersécurité, le plan réunit les États membres, l'industrie et les organismes européens autour de plusieurs axes de travail concrets :
- Un cadre européen pour un accès structuré. La Commission et l'ENISA (l'Agence de l'Union européenne pour la cybersécurité) définiront un cadre précisant comment les autorités publiques et les entreprises privées peuvent obtenir un accès structuré et transparent aux modèles d'IA avancés à des fins de cybersécurité – un accès aujourd'hui souvent réservé à un nombre limité d'organisations, avec peu de visibilité sur le processus.
- Une évaluation des modèles avant leur mise sur le marché. Le Bureau de l'IA de l'UE travaillera avec des évaluateurs de modèles spécialisés pour évaluer et atténuer les risques posés par les modèles d'IA les plus avancés avant qu'ils n'atteignent le marché européen, dans le cadre de l'AI Act.
- Des orientations défensives pour les organisations. Le plan propose des lignes directrices pour aider les entreprises à se défendre contre les cybermenaces alimentées par l'IA et à accélérer la correction des vulnérabilités exploitables.
- Une évaluation de la préparation des infrastructures critiques. La Commission évaluera le degré de préparation des opérateurs d'infrastructures critiques face aux cyberattaques accélérées par l'IA.
- Un « Grand Défi » européen sur l'IA pour la cybersécurité. Une initiative dédiée réunissant entreprises, chercheurs et organismes publics pour développer des outils de défense basés sur l'IA.
Pourquoi cela compte pour la gouvernance de l'IA
Ce plan intervient dans un contexte révélateur. Selon les informations relayées lors de l'annonce, l'un des modèles les plus avancés d'Anthropic aurait été capable d'identifier des vulnérabilités exploitables dans des systèmes gouvernementaux américains hautement sensibles en quelques heures – ce qui a conduit les autorités américaines à imposer (puis à lever) des contrôles à l'exportation – tandis que les autorités européennes et l'ENISA n'ont obtenu qu'un accès de test restreint à ce modèle, via un programme d'accès négocié. C'est précisément cette dépendance que le nouveau cadre d'accès structuré vise à corriger, même si plusieurs eurodéputés ont souligné que le véritable problème de l'Europe réside dans le manque d'infrastructures et d'entreprises d'IA de pointe qui lui sont propres, plus que dans le simple accès aux modèles.
Le point le plus déterminant pour les équipes de conformité concerne le volet « évaluation avant mise sur le marché ». La question de savoir si l'AI Act doit exiger une évaluation indépendante avant le lancement d'un modèle dans l'UE – plutôt que de s'appuyer sur les propres tests du développeur, ou sur des organismes non réglementaires comme l'UK AI Security Institute, privilégiés jusqu'à présent par les grands laboratoires – reste débattue au sein de l'industrie. La tendance de fond, cependant, est sans équivoque : des obligations fondées sur les risques de l'AI Act (voir notre article associé sur l'AI Act et le RGPD) à cette nouvelle capacité d'évaluation spécifique à la cybersécurité, l'UE construit méthodiquement les moyens de tester et de vérifier elle-même les systèmes d'IA, plutôt que de se contenter des garanties fournies.
Le défi pratique : démontrer que vos systèmes d'IA résistent à cet examen
Un régime d'évaluation n'a de portée réelle que si les organisations peuvent produire des preuves crédibles et rapides lorsqu'on le leur demande – pas seulement les développeurs de modèles de pointe, mais toute organisation qui déploie des systèmes d'IA exposés, même partiellement, à un risque de cybersécurité, des chatbots destinés aux clients aux copilotes internes. Comme nous le soulignions en évoquant la récente émergence des LLM en tant que nouvelle surface d'attaque, la plupart des organisations manquent encore d'une vision continue et fondée sur des preuves des systèmes d'IA qu'elles utilisent, des risques que chacun comporte, et de la manière dont ces risques se rattachent aux cadres réglementaires applicables. Des outils comme ExplAIn offrent un premier diagnostic rapide pour savoir si les outils d'IA que vous utilisez déjà résisteraient à ce type d'examen.
C'est précisément le modèle opérationnel sur lequel repose la plateforme insAIght d'Anove : elle aide les équipes risque, conformité et audit à maintenir une vue continuellement actualisée et prête pour l'audit de leur paysage d'IA, au regard de cadres tels que l'AI Act européen, l'ISO/IEC 42001 et le NIST AI RMF – afin que, à mesure que l'UE développe ses exigences d'évaluation des modèles et de préparation à la cybersécurité, les preuves nécessaires soient déjà disponibles.
Ce qu'il faut retenir
Bruxelles est passé du simple constat que l'IA avancée transforme le paysage des cybermenaces à la construction d'une capacité institutionnelle pour l'évaluer et y répondre directement. Pour les équipes en charge du risque et de la conformité IA, le message rejoint ce que l'on observe partout, de l'Illinois à Bruxelles : l'assurance auto-déclarée perd du terrain face à des preuves vérifiées de manière indépendante et maintenues en continu. Les organisations qui anticipent dès maintenant ce changement seront bien mieux placées lorsque les exigences européennes d'évaluation et de préparation deviendront des obligations concrètes.
En savoir plus
- insAIght – la plateforme de gouvernance et de gestion des risques IA d'Anove, pour une conformité continue et prête pour l'audit.
- ExplAIn – vérifiez si les outils d'IA que vous utilisez sont conformes.
- Illinois Enacts First-in-Nation AI Safety Audit Law: What It Means for GRC Teams – à lire également sur le passage de l'auto-évaluation à l'audit indépendant.
- LLMs as a New Attack Surface: what does it mean for AI governance? – à lire également sur les risques de cybersécurité liés à l'IA.
Réservez une démo pour découvrir comment insAIght maintient votre gouvernance de l'IA prête pour l'audit, face à l'AI Act européen, à son plan d'action sur la cybersécurité, et à tous les autres cadres réglementaires qui vous concernent.