Elle s’appuie principalement sur l’ENISA, l’Agence européenne de cybersécurité, chargée de coordonner la prévention et la réponse aux incidents. Fondée en 2004, l’ENISA a pour mission d’assurer un niveau commun élevé de cybersécurité dans toute l’Europe. Dans son rapport Threat Landscape 2025, l’agence européenne de cybersécurité dresse un état des lieux des menaces cyber en Europe au cours de l’année 2024.
Les logiciels malveillants (malwares), qui visent à infiltrer, altérer ou endommager un système informatique sans autorisation, constituent la base technique de nombreuses attaques en Europe. Les rançongiciels (ransomwares) en représentent la forme la plus répandue : ces attaques chiffrent les données d’une victime afin d’exiger une rançon pour leur restitution. En 2024, les souches (c’est-à-dire des variantes spécifiques de malwares) Akira et SafePay ont été parmi les plus utilisées, provoquant parfois des interruptions de service importantes.
L’ingénierie sociale occupe également une place centrale parmi les menaces. Elle repose sur la manipulation psychologique des individus, notamment par l’hameçonnage (phishing) ou de fausses identités. En 2024, 60 % des accès initiaux lors d’attaques provenaient de campagnes de phishing.
Les attaques par déni de service (DDoS), qui consistent à saturer un site web de requêtes pour le rendre inaccessible, sont fréquemment utilisées par des groupes hacktivistes, mais leur portée reste souvent limitée. Des botnets sont également de plus en plus utilisés pour diffuser en masse de fausses informations, et ainsi mener des campagnes de désinformation afin d’influencer l’opinion publique ou déstabiliser des institutions.
Selon le rapport de l’ENISA, le secteur privé demeure le plus touché au sein de l’Union européenne (UE), tandis que les administrations publiques constituent 38,5 % des victimes.
Face à cette situation, l’ENISA a élaboré plusieurs cadres normatifs destinés à renforcer la protection des entreprises face aux nouvelles menaces. Elle a d’abord introduit en 2016 la directive NIS 1, remplacée par NIS 2 en 2023. Cette directive vise à « renforcer la cybersécurité à l’échelle de l’Union européenne » en imposant des obligations en matière de gestion des risques, de notification d’incidents et d’organisation de la réponse à la crise. Les États membres disposaient jusqu’au 17 octobre 2024 afin de pouvoir la transposer dans leur droit national. Cette nouvelle directive élargit le champ des entités concernées, en distinguant les entités essentielles et importantes selon leur taille, leur chiffre d’affaires et leur secteur d’activité. Elle touche désormais plusieurs milliers d’organisations issues de 18 secteurs critiques, incluant des entreprises de taille moyenne et grande jusque-là moins concernées par NIS 1. En France, cette directive s’applique à environ 15 000 entreprises.
Parallèlement, l’ENISA accompagne la mise en œuvre du règlement DORA (Digital Operational Resilience Act), adopté le 14 décembre 2022 et applicable à partir du 17 janvier 2025. Elle vise à renforcer la résilience opérationnelle et la cybersécurité du secteur financier face à la montée des risques numériques. En 2024, l’agence a observé une hausse de 100 % des attaques visant les institutions financières dans l’UE (4,5 % en 2023 contre 9 % en 2024).
Selon la Commission européenne, plus de 22 000 entités financières seront concernées par le dispositif. Le règlement repose sur cinq piliers : la gestion des risques liés aux technologies de l’information et de la communication (ICT), la détection et la notification d’incidents majeurs, les tests de résilience opérationnelle, la surveillance des prestataires tiers et le partage d’informations sur les cybermenaces.
La coopération européenne en matière de cybersécurité progresse avec notamment le rôle déterminant d’Europol, l’agence européenne de police criminelle. En son sein, le Centre européen de lutte contre la cybercriminalité (EC3) coordonne les opérations de lutte contre la cybercriminalité à l’échelle européenne. Par exemple, l’opération DisrupTor (2020) a conduit à l’arrestation de 179 vendeurs sur le dark web. En mai 2023, une opération similaire a permis d’arrêter 288 vendeurs illégaux.
Sur le plan de la gestion de crise, l’édition 2025 de Blue OLEx (Blueprint Operational Level Exercise) s’est tenue le 4 novembre 2025 à Chypre, sous l’égide de l’ENISA et de la Commission européenne. Cet exercice a rassemblé des hauts responsables européens de cybersécurité afin de tester les capacités de coordination en cas de crise majeure via le réseau EU-CyCLONe (European Cyber Crisis Liaison Organisation Network).
De même, la série d’exercices paneuropéens Cyber Europe, organisée par l’ENISA depuis 2010, mobilise tous les deux ans plusieurs dizaines de pays, d’experts et d’acteurs du secteur privé pour simuler des crises cyber de grande ampleur et renforcer la préparation collective. L’édition 2026 se concentrera sur les infrastructures de transport et en particulier sur les sous-secteurs ferroviaire et maritime. Selon les données de l’ENISA, les transports étaient le deuxième secteur le plus ciblé en 2024, représentant 15 % du nombre total de cyberincidents dans l’UE.
Dans le prolongement, l’UE souhaite une coopération tournée vers l’international, car les enjeux sont transfrontaliers. En 2001, sous l’égide du Conseil de l’Europe, a été adoptée la Convention de Budapest sur la cybercriminalité pour favoriser la coopération entre États. Plus de 70 pays y adhèrent aujourd’hui, dont plusieurs non européens, tels que les États-Unis, le Japon ou le Brésil. Pour sa mise en œuvre, la conférence Octopus est organisée tous les 12 à 18 mois par le Conseil de l’Europe pour maintenir un lieu d’échange entre les États. L’édition 2025, tenue du 4 au 6 juin à Strasbourg, a réuni des experts venus de plus de 100 pays.
