Modèles d’IA : l’Europe renforce leur évaluation
La Commission européenne a présenté, le 7 juillet à Strasbourg, un plan d’action sur la cybersécurité et les modèles d’IA. Ce texte fixe le cap jusqu’en 2027. Il organise la réponse de l’Union face à l’essor rapide des modèles d’IA dits frontière. Ces systèmes bouleversent déjà la cyberdéfense mondiale. Ils accélèrent la découverte de failles autant qu’ils renforcent la détection des attaques. La Commission veut désormais encadrer cette double dynamique avec des outils concrets et un calendrier précis.

Un plan sans obligation, mais structurant
Le document a la forme d’une communication adressée au Parlement, au Conseil et aux comités consultatifs. Cette nature non contraignante signifie qu’aucune obligation nouvelle n’est créée. La Commission mandate plutôt l’ENISA et les États membres pour agir dans le cadre existant. L’Union s’appuie sur l’AI Act, le règlement sur la cyberrésilience, la directive NIS2 et le règlement DORA. Ces textes forment déjà un socle applicable aux secteurs critiques. Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, résume l’enjeu : l’IA transforme le sens même de la cybersécurité, et l’Union doit suivre le rythme.
Évaluer les modèles avant tout déploiement
Le premier pilier du plan concerne l’évaluation des modèles d’IA, leur accès et leur test pour un usage cyber. À partir du 2 août 2026, la Commission exercera les pouvoirs de supervision prévus par l’AI Act. Ces pouvoirs viseront les modèles à usage général présentant des risques systémiques, cyber inclus. Les amendes pourront atteindre 3 % du chiffre d’affaires mondial des entreprises concernées. C’est un montant dissuasif. La plupart des évaluateurs indépendants siègent aujourd’hui hors de l’Union. La Commission lancera donc un appel pour établir une capacité européenne d’évaluation, attendue en 2027.
Un cadre d’accès structuré aux capacités d’IA de pointe verra également le jour au quatrième trimestre 2026. Il fixera les critères d’accès pour les institutions, les autorités nationales et les opérateurs critiques. Des mesures de repli sont prévues si un fournisseur restreint l’accès à un modèle. La coupure mondiale de Claude Fable 5, imposée dix-huit jours en juin par des contrôles américains à l’exportation, a montré la réalité de ce risque. Une plateforme de test sécurisée, opérée par l’ENISA et le Centre commun de recherche, complétera ce dispositif à la même échéance.
Des fondamentaux à appliquer sans délai

Le deuxième pilier revient aux fondamentaux de sécurité, jugés urgents face à l’accélération de la menace. La Commission appelle les États membres à transposer NIS2 et DORA sans attendre. Les opérateurs doivent revoir leur gestion des risques. Ils doivent anticiper des cyberattaques plus fréquentes et plus rapides. L’hygiène numérique reste la base de toute défense solide. Le durcissement des systèmes, les approches zero trust et la réduction du délai d’application des correctifs figurent parmi les priorités. S’y ajoutent des risques propres à l’IA : l’empoisonnement des données et des modèles, ou l’injection d’instructions malveillantes.
Ce sujet touche directement au domaine plus large de l’IA cybersécurité, où les menaces évoluent aussi vite que les défenses. Des ressources spécialisées comme IA cybersécurité suivent d’ailleurs de près ces actualités, entre détournements d’outils d’IA par des groupes malveillants et innovations défensives. Ce suivi régulier aide les professionnels à décrypter un paysage qui change chaque semaine. Il complète utilement les annonces institutionnelles, souvent plus lentes à se concrétiser.
L’open source critique sous surveillance
Le plan aborde ensuite la question de l’open source critique, présent dans la quasi-totalité des bases de code. Il porte, dans les infrastructures sensibles, de nombreuses vulnérabilités à haut risque. Le rapport 2026 de Black Duck le confirme sans ambiguïté. L’ENISA lancera au quatrième trimestre 2026 un premier pilote de résilience open source. Ce mécanisme reposera sur un mécénat volontaire reliant projets et organisations. Des recommandations sur les menaces amplifiées par l’IA seront publiées dès le troisième trimestre. Les pratiques de gestion des vulnérabilités évolueront en parallèle, avec les États membres et l’industrie.
Une ambition de souveraineté aux moyens incertains

Le troisième pilier vise le passage à l’échelle de l’écosystème européen d’IA. La Commission rappelle les 200 millions d’euros déjà engagés via Horizon Europe et Digital Europe. Le fonds du Conseil européen de l’innovation investira 100 millions d’euros d’ici fin 2026. Ces sommes financeront des technologies de défense stratégiques. Un grand défi européen sur la remédiation des vulnérabilités assistée par IA sera lancé avec l’ENISA. Les usines à IA et les futures gigafactories doivent servir d’infrastructure souveraine de calcul.
La Commission reconnaît toutefois un obstacle de taille. Des capacités souveraines de pointe exigent des investissements en centaines de milliards d’euros. Ce montant dépasse largement les seules finances publiques. Elle appelle donc à mobiliser d’urgence des capitaux privés. Le texte est sans détour : sans calcul, modèles ni infrastructure de données, l’Europe restera un utilisateur vulnérable de systèmes conçus ailleurs. Ces systèmes, écrit-elle, pourraient être éteints du jour au lendemain par des décisions étrangères.
Ce que retiendront les DSI et RSSI
Pour un responsable informatique, l’utile ne réside pas dans les annonces d’investissement. Il tient au calendrier concret qui se dessine désormais. La capacité d’évaluation et le cadre d’accès fourniront des critères exigibles auprès des fournisseurs de modèles. La plateforme de test offrira un lieu d’expérimentation avant tout déploiement en production. Les mesures de repli répondront enfin au risque de coupure d’accès. L’épisode Fable 5 et Mythos 5 en a livré un précédent concret cette année.
Reste une question que le plan pose lui-même sans y répondre entièrement. C’est celle des moyens que l’Union saura réellement réunir. Sans financement massif, l’Europe pourrait demeurer dépendante des modèles d’IA développés hors de ses frontières. La feuille de route trace une direction claire. Sa mise en œuvre effective dépendra désormais des choix budgétaires des prochains mois.
