Cybersécurité : les failles inquiétantes des institutions européennes

L’Europe est-elle prête à résister à une cyberattaque de grande ampleur ? Rien n’est moins sûr, si l’on en croit une étude publiée par le Business Digital Index (BDI). Cette plateforme lituanienne de cybersécurité a été créée par Cybernews, un média composé de journalistes et chercheurs dans le domaine. Pour la première fois, une analyse d’envergure a été menée par l’entreprise sur la sécurité numérique des grandes institutions de l’Union européenne. Le constat est accablant : 67 % des institutions étudiées obtiennent un score D ou F, soit les deux pires notes possibles en matière de protection numérique, et aucune ne répond aujourd’hui aux standards internationaux de cybersécurité. Aucune d’entre elles, non plus, n’a obtenu un score A ou B, qui correspond aux standards de cybersécurité les plus exigeants. Leur score moyen est de 71 sur 100, une note qui, selon la méthodologie de l’indice, place un organisme dans la catégorie à haut risque. "L’absence de toute note A ou B est un sérieux signal d’alerte. Aucune organisation ne répond aux normes reconnues pour une cybersécurité robuste", a commenté l’équipe de chercheurs du Business Digital Index auprès de L’Express.

Pour établir ce constat, les experts ont passé au crible la sécurité des sites en s’appuyant sur les données publiques, les bases de données IP et l’historique des cyberattaques connues. 75 organes et agences européennes, dont la Commission européenne et le Parlement européen, ont été étudiés selon sept critères allant des mises à jour logicielles à la configuration des certificats SSL/TLS (qui permettent une connexion chiffrée d’un site Internet), en passant par la sécurité des applications web et la réputation des systèmes.

Des failles liées à un manque de formation des employés

Ce mauvais classement n’est pas seulement théorique. Les chiffres détaillés dressent le portrait d’une administration européenne criblée de failles. 96 % des institutions notées F et 92 % de celles notées D ont déjà subi au moins une violation de données. Pire encore, 46 % des institutions F ont été victimes d’une violation récente, contre 17 % seulement parmi celles notées D et aucune pour celles notées C.

L’une des causes les plus préoccupantes : la réutilisation de mots de passe piratés. 85 % des employés des institutions les plus mal notées continuent d’utiliser des identifiants déjà compromis, contre 71 % dans les institutions notées D et 8 % seulement dans les mieux classées. Pour les experts de Cybernews, cette faille est directement liée à un manque de formation et d’outils adaptés : "Beaucoup de membres du personnel ne sont pas conscients des risques, et l’adoption de gestionnaires de mots de passe sécurisés reste minimale."

Les autres failles techniques ne sont pas moins inquiétantes. Tous les organismes notés F présentent des problèmes de configuration SSL/TLS, ouvrant la porte à des attaques de type man-in-the-middle, où des pirates interceptent les communications. 92 % des institutions F et D utilisent des environnements d’hébergement non sécurisés, et la quasi-totalité est exposée au spoofing d’e-mails, qui permet à des hackers de se faire passer pour des interlocuteurs officiels. Les identifiants professionnels de 96 % des institutions F circulent déjà sur des bases de données illégales.

Ces failles ne sont pas sans conséquences. En 2024, une brèche sur la plateforme de recrutement du Parlement européen ("PEOPLE") a exposé les données personnelles de plus de 8 000 employés et anciens employés : cartes d’identité, titres de séjour et certificats de mariage se sont retrouvés entre les mains de pirates pendant plusieurs mois, facilitant des scénarios de chantage ou de vol d’identité.

Les Etats-Unis mieux armés

L’étude de Cybernews ne se limite pas à l’Europe. Elle compare ces résultats à ceux des 500 institutions américaines étudiées dans le même laps de temps. Et la différence est frappante. Aux États-Unis, 53,7 % des agences obtiennent un score D ou pire, contre 67 % en Europe, et 22 % atteignent un score A. Enfin, 10,2 % sont notées B. Sur le Vieux Continent, aucune institution ne dépasse le niveau C.

La réutilisation des mots de passe illustre parfaitement cet écart. Seuls 27 % des employés des agences américaines utilisent encore des identifiants déjà compromis, contre 85 % dans les institutions européennes les plus mal notées. Pour les experts de Cybernews, cette différence s’explique par des raisons structurelles : "Les agences fédérales américaines bénéficient de financements plus conséquents et spécifiquement dédiés à la cybersécurité. L’UE souffre de multiples couches de décision qui retardent l’adoption des meilleures pratiques. De plus, de nombreux systèmes européens sont anciens et la cybersécurité n’est devenue une priorité que récemment."

Une menace pour la sécurité européenne

Ces failles ne constituent pas seulement un risque de fuites massives de données. Elles représentent une menace pour la sécurité nationale des États membres et pour les alliances militaires. "Se connecter aux comptes des employés des organisations de l’UE peut entraîner des fuites d’informations classifiées. L’usurpation d’e-mails peut permettre des campagnes de désinformation semblant provenir d’organisations officielles. Ces lacunes créent de multiples opportunités pour l’espionnage et peuvent permettre un accès à des communications internes et des discussions politiques sensibles", insistent les chercheurs de Cybernews.

Consciente du danger, l’Union européenne a adopté en 2025 le Cyber Solidarity Act. Ce texte prévoit la création de pôles cyber transfrontaliers, d’un système d’alerte paneuropéen et l’instauration de normes de certification plus strictes pour les prestataires de cybersécurité. Mais leur efficacité reste à prouver. "Le cadre est solide, mais le succès nécessitera un suivi rigoureux", préviennent les experts.

En attendant, les chercheurs insistent sur trois mesures à mettre en œuvre sans délai : "surveiller en permanence les ressources numériques des institutions", "former systématiquement les employés aux risques de phishing et de réutilisation des mots de passe", et "corriger rapidement les failles logicielles détectées". Faute de quoi, l’Europe pourrait bien devenir le terrain de jeu privilégié des cybercriminels.