Glossaire · Cybersécurité européenne Cyber Solidarity Act (Règlement européen sur la cyber-solidarité (Règlement 2024/2691))
Règlement de l'UE adopté fin 2024 qui instaure un mécanisme coordonné entre États membres pour détecter, anticiper et répondre aux incidents de cybersécurité d'ampleur. Il finance le Bouclier européen de cybersécurité, un Mécanisme d'urgence cyber et un Mécanisme d'examen des incidents de cybersécurité.
## Ce qu'est réellement le Cyber Solidarity Act
Le Cyber Solidarity Act (Règlement UE 2024/2691) est la réponse de l'Union au constat suivant : les capacités de cybersécurité restent fragmentées entre les États membres, alors que la menace cyber, elle, ne connaît pas de frontières. Le règlement a fait l'objet d'un accord politique début 2024 dans le cadre du Paquet européen de cybersécurité, aux côtés d'amendements au Cybersecurity Act et d'un règlement sur les services managés.
Là où [NIS2](/fr/glossary/nis2/) impose des obligations aux entités individuelles et où le [Cyber Resilience Act](/fr/glossary/cyber-resilience-act/) encadre la sécurité des produits, le Cyber Solidarity Act traite de la *capacité de réponse collective à l'échelle de l'UE* — la couche de coordination qui se superpose aux autorités nationales de cybersécurité.
## Les trois piliers
Le règlement crée trois mécanismes opérationnels, chacun doté de sa propre ligne budgétaire.
### 1. Bouclier européen de cybersécurité
Un réseau fédéré de Centres opérationnels de sécurité (SOC) nationaux et transfrontaliers. Le Bouclier combine :
- **SOC nationaux** — chaque État membre désigne un ou plusieurs SOC nationaux bénéficiant d'un cofinancement européen
- **SOC transfrontaliers** — regroupements d'au moins trois États membres exploitant une plateforme SOC partagée
- **Partage du renseignement sur la menace** — flux d'informations en temps réel à travers le Bouclier, appuyé par des analyses fondées sur l'IA
- **Interface public-privé** — accès contrôlé du secteur privé aux données du Bouclier pour des entités de confiance
L'objectif affiché du Bouclier : détecter les cybermenaces plus tôt, partager le renseignement plus rapidement entre frontières et bâtir une conscience situationnelle à l'échelle de l'UE comparable à celle dont disposent à l'échelle nationale les grands pays.
### 2. Mécanisme d'urgence cyber
La partie la plus novatrice du règlement sur le plan opérationnel. Le Mécanisme finance :
- **Actions de préparation** — tests des entités essentielles dans les secteurs critiques (énergie, santé, transports, infrastructures numériques) face aux menaces connues
- **Une nouvelle Réserve européenne de cybersécurité** — prestataires privés de confiance en alerte pour répondre aux incidents significatifs ou d'ampleur
- **Assistance mutuelle** — réponse coordonnée entre États membres lorsque les ressources d'un pays sont saturées
- **Aide financière** aux États membres en phase de relèvement
La Réserve fonctionne, sur le plan opérationnel, comme les listes d'urgence de protection civile, mais appliquées aux entreprises de cybersécurité dont les compétences ont été validées par l'UE.
### 3. Mécanisme d'examen des incidents de cybersécurité
Pour les incidents majeurs, l'[ENISA](/fr/glossary/enisa/) est désormais habilitée à conduire des examens structurés post-incident et à publier des rapports de retours d'expérience. Conceptuellement, c'est proche du modèle aéronautique d'examen des incidents de sécurité — l'apprentissage institutionnel devient une fonction réglementaire.
## Pourquoi il s'agit d'un basculement structurel
Trois raisons font que le Cyber Solidarity Act compte au-delà de ses dispositions précises.
### La cybersécurité devient une compétence européenne « fédérale »
Avant 2024, la politique européenne de cybersécurité visait surtout à harmoniser des obligations nationales. Le Cyber Solidarity Act crée une *capacité opérationnelle directement européenne* — financée sur le budget de l'UE, coordonnée par l'ENISA, exécutée via les SOC et la Réserve. On se rapproche de la manière dont l'UE agit en matière monétaire ou de concurrence, plutôt que de son mode d'action historique en matière de sécurité.
### Les acteurs privés de confiance de la cybersécurité gagnent un statut réglementaire
La Réserve de cybersécurité crée une liste validée de prestataires privés. Y figurer confère un avantage commercial significatif — c'est, de fait, un label de compétence reconnu par l'UE. Les critères de sélection portent sur l'implantation de l'entreprise, la transparence de l'actionnariat et (point important) l'absence d'exposition juridique extra-européenne.
### La solidarité devient obligatoire, et non plus volontaire
La « solidarité » du titre n'a rien d'incantatoire. Le règlement crée des devoirs juridiques d'assistance mutuelle lors des incidents significatifs. Les États membres ne peuvent pas se contenter de refuser leur aide — même si les mécanismes de partage des coûts et de commandement opérationnel restent à préciser par voie d'actes d'exécution.
## Financement
Le Cyber Solidarity Act est budgété au titre du Programme pour une Europe numérique :
- **~1,1 milliard d'euros** pour la période de mise en œuvre 2024-2027
- Environ **400 millions d'euros pour le Bouclier**, avec cofinancement des SOC nationaux
- **Plus de 300 millions d'euros pour le Mécanisme d'urgence cyber**
- Le reste pour l'examen des incidents, la formation et les actions de soutien
D'ici 2027, ces montants seront réévalués, avec une attente largement partagée d'une hausse significative si les premiers retours opérationnels la justifient.
## Calendrier de mise en œuvre
- **T4 2024** : adoption du règlement, entrée en vigueur
- **T1-T2 2025** : actes d'exécution de l'ENISA (exigences pour les SOC, critères de la Réserve, protocoles de partage du renseignement)
- **2025** : désignation et cofinancement des premiers SOC nationaux
- **2025-2026** : annonce des premiers consortiums de SOC transfrontaliers
- **2026** : signature des premiers contrats-cadres de la Réserve de cybersécurité
- **2026-2027** : premiers exercices opérationnels complets
À l'horizon 2026, le Bouclier est partiellement opérationnel. Plusieurs consortiums de SOC transfrontaliers sont actifs — dont un associant France-Allemagne-Belgique et le cluster Nordique-Baltique.
## Ce que cela change concrètement
### Pour les entreprises européennes
La plupart des entreprises n'auront pas d'interaction directe avec le Cyber Solidarity Act. Les bénéfices passeront par le renseignement amélioré du Bouclier, redistribué par les CSIRT nationaux. Indirectement, la Réserve crée un vivier privé de haut niveau que les autorités des États membres peuvent mobiliser rapidement lors d'incidents majeurs.
Pour les éditeurs de cybersécurité, la Réserve constitue une opportunité stratégique. Figurer sur la liste a une valeur significative. Ce sera un pilier de différenciation concurrentielle pour les entreprises européennes du secteur.
### Pour les industries régulées
Les secteurs couverts par NIS2 (entités essentielles et importantes) verront un renseignement sur la menace enrichi circuler via les CSIRT nationaux. Le Bouclier est pensé pour avancer la détection des cyber-incidents sectoriels et accélérer la coordination entre États membres.
### Pour les entreprises de cybersécurité dont le siège est aux États-Unis
La Réserve impose des exigences juridictionnelles européennes explicites. Les entreprises au siège américain ne peuvent généralement pas participer directement, même si elles peuvent intervenir en sous-traitance pour des contractants principaux validés par l'UE. C'est cohérent avec la logique plus large posée par [SecNumCloud](/fr/glossary/secnumcloud/) et les critères de souveraineté contestés de l'[EUCS](/fr/glossary/eucs/).
### Pour les acheteurs publics
Les achats publics de capacités de cybersécurité auront de plus en plus tendance à privilégier — voire à exiger — la participation à la Réserve comme critère qualifiant. Plusieurs États membres rédigent déjà des lignes directrices nationales de passation des marchés qui élèvent l'appartenance à la Réserve au rang d'exigence obligatoire ou quasi obligatoire.
## Cyber Solidarity Act vs NIS2 vs CRA
| Axe | Cyber Solidarity Act | NIS2 | Cyber Resilience Act |
|--------|----------------------|------|----------------------|
| Objet | Réponse à l'échelle de l'UE | Obligations des entités | Exigences au niveau du produit |
| Action européenne financée ? | Oui (1,1 Md€) | Non | Non |
| Mécanisme transfrontalier ? | Au cœur du texte | Coordination seule | Mécanisme de marché unique |
| Liste validée du secteur privé ? | Oui (Réserve) | Non | Non |
| Renforce l'opérationnel de l'ENISA ? | Significativement | Modérément | Modérément |
| Applicabilité | À partir de 2024 | 2024 (transposition nationale) | 2027 (applicabilité complète) |
Ensemble, les trois règlements forment l'architecture de cybersécurité européenne post-2024 : produits (CRA), entités (NIS2), réponse collective (Cyber Solidarity Act).
## Implications pratiques
- **Pour la plupart des entreprises européennes** : règlement d'arrière-plan qui améliore le renseignement sur la menace mis à disposition par votre CSIRT national
- **Pour les éditeurs européens de cybersécurité** : appartenir à la Réserve est une opportunité stratégique à viser avec détermination
- **Pour les entreprises de cybersécurité dont le siège est aux États-Unis** : barrière structurelle à l'accès direct au secteur public européen, atténuée seulement par des montages en coentreprise avec un acteur européen
- **Pour les acheteurs publics** : l'appartenance à la Réserve devient un signal d'achat de plus en plus pertinent
Cela vous a-t-il été utile ?
Merci pour votre retour !