AdmisConcours
Recrutements Bibliothèque Concours
← Décryptages thématiques
Numérique et stratégie digitale 29/03/2026

Le piratage de l'infrastructure cloud AWS de la Commission européenne : cybersécurité des institutions publiques, souveraineté numérique et cadre juridique européen de protection des systèmes d'information

Le 24 mars 2026, la Commission européenne a découvert une cyberattaque ciblant son infrastructure cloud hébergée sur Amazon Web Services (AWS), utilisée pour gérer la présence en ligne de plusieurs institutions européennes via la plateforme Europa.eu. Un acteur malveillant a revendiqué l'exfiltration de plus de 350 gigaoctets de données, incluant des bases de données et des fichiers internes, et a fourni des captures d'écran attestant d'un accès à un serveur de messagerie utilisé par les agents de la Commission. L'attaque n'a pas eu recours à un rançongiciel classique mais relève d'un modèle d'extorsion par vol de données, tendance en forte croissance depuis 2025. La Commission a confirmé l'incident le 27 mars 2026, précisant que ses systèmes internes n'avaient pas été affectés et que des mesures de confinement avaient été déployées immédiatement. AWS a de son côté indiqué que ses propres services n'avaient subi aucune faille de sécurité, le problème résidant dans la compromission des identifiants du compte client. Il s'agit du second incident de cybersécurité touchant la Commission en 2026, après une brèche détectée en janvier sur sa plateforme de gestion des appareils mobiles, liée à des vulnérabilités dans un logiciel tiers.

Le cadre juridique européen de la cybersécurité : la directive NIS 2 et le règlement sur la cybersécurité

La cyberattaque contre la Commission européenne intervient dans un contexte de renforcement significatif du cadre normatif européen en matière de cybersécurité. La directive (UE) 2022/2555, dite NIS 2, adoptée le 14 décembre 2022, a remplacé la première directive NIS de 2016 en élargissant considérablement le champ des entités assujetties à des obligations de sécurité des systèmes d'information. Sont désormais concernés 18 secteurs critiques, dont les infrastructures numériques et les administrations publiques au niveau central et régional. La directive impose aux entités essentielles et importantes des mesures de gestion du risque cybersécurité, des obligations de notification des incidents significatifs et une responsabilité accrue des organes de direction. Les États membres devaient la transposer au plus tard le 17 octobre 2024, mais de nombreux États, dont la France, accusent un retard. En France, le projet de loi Résilience constitue le véhicule de transposition, et l'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), listant les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2. Le 20 janvier 2026, la Commission européenne a par ailleurs proposé des amendements ciblés à la directive NIS 2 pour simplifier les règles de conformité et intégrer une dimension de souveraineté dans le règlement sur la cybersécurité (Cybersecurity Act de 2019), notamment par l'élimination progressive des fournisseurs à « haut risque » des infrastructures critiques.

Le modèle de responsabilité partagée dans le cloud et ses implications juridiques

L'incident met en lumière le principe fondamental de la « responsabilité partagée » (shared responsibility model) qui structure la relation contractuelle entre un fournisseur de cloud et son client. Le fournisseur (en l'occurrence AWS) garantit la sécurité de l'infrastructure physique et logique du cloud, tandis que le client est responsable de la sécurité des données, de la gestion des accès et de la configuration des services qu'il utilise. La compromission des identifiants du compte de la Commission relève ainsi de la responsabilité du client, non du fournisseur. Ce modèle contractuel soulève des questions juridiques importantes en droit de l'Union européenne. Le règlement général sur la protection des données (RGPD, règlement (UE) 2016/679) impose au responsable du traitement (ici la Commission) des obligations de sécurité proportionnées au risque (article 32 RGPD), incluant la capacité d'assurer la confidentialité, l'intégrité et la disponibilité des données. En cas de violation de données à caractère personnel, l'article 33 du RGPD impose une notification à l'autorité de contrôle dans un délai de 72 heures. Pour les institutions et organes de l'Union, c'est le règlement (UE) 2018/1725 relatif à la protection des données par les institutions européennes qui s'applique, avec des obligations analogues et le Contrôleur européen de la protection des données (CEPD) comme autorité de supervision. La question de la dépendance des institutions européennes à des fournisseurs de cloud américains se pose avec acuité, dans un contexte où le Cloud Act américain de 2018 permet aux autorités américaines de requérir l'accès à des données stockées par des entreprises américaines, y compris à l'étranger.

Souveraineté numérique et dépendance aux infrastructures extra-européennes

Le recours de la Commission européenne à AWS pour héberger une partie de ses plateformes numériques illustre le paradoxe d'une Union qui légifère en faveur de la souveraineté numérique tout en dépendant massivement d'opérateurs américains pour ses propres infrastructures. Le Data Act (règlement (UE) 2023/2854), entré en application en septembre 2025, vise à faciliter le changement de fournisseur cloud et à réduire les situations de verrouillage (vendor lock-in). Le schéma européen de certification de cybersécurité pour les services cloud (EUCS), en cours d'élaboration par l'ENISA (Agence de l'Union européenne pour la cybersécurité), devrait à terme introduire des niveaux de certification incluant des critères de souveraineté. En France, le référentiel SecNumCloud de l'ANSSI impose des exigences renforcées, dont la localisation des données sur le territoire européen et l'immunité aux législations extraterritoriales. L'initiative GAIA-X, lancée en 2020 par la France et l'Allemagne, vise quant à elle à créer un écosystème de cloud fédéré européen, mais sa mise en oeuvre opérationnelle demeure progressive. La cyberattaque du 24 mars 2026 renforce les arguments en faveur d'un hébergement souverain des données sensibles des institutions européennes, et pourrait accélérer les discussions sur l'adoption de critères de souveraineté dans les marchés publics numériques de l'Union.

La protection des données institutionnelles et la coopération en matière de réponse aux incidents

La réponse à l'incident s'appuie sur l'architecture institutionnelle européenne de cybersécurité. Le CERT-EU (Computer Emergency Response Team des institutions européennes), créé en 2012 et dont le rôle a été renforcé par le règlement (UE) 2023/2841 du 13 décembre 2023 relatif à la cybersécurité des institutions de l'Union, assure la coordination de la réponse aux incidents affectant les organes européens. Ce règlement impose aux institutions de l'Union des mesures de gestion des risques de cybersécurité et des obligations de notification des incidents au CERT-EU. L'ENISA joue un rôle de coordination au niveau européen, notamment à travers le réseau des CSIRT (Computer Security Incident Response Teams) nationaux. Le « paquet cyber » du 20 janvier 2026 prévoit un renforcement du budget de l'ENISA de 75 % pour assurer le suivi de l'application des textes de cybersécurité. L'incident souligne également la nécessité d'une coopération renforcée avec les acteurs privés du cloud dans la gestion des crises cyber, selon une logique de partenariat public-privé encore insuffisamment formalisée au niveau européen.

Enjeux pour les concours

Le candidat doit maîtriser le cadre normatif européen de la cybersécurité articulé autour de la directive NIS 2 (directive (UE) 2022/2555), du règlement sur la cybersécurité (règlement (UE) 2019/881, dit Cybersecurity Act) et du règlement (UE) 2023/2841 relatif à la cybersécurité des institutions de l'Union. Il doit connaître le principe de responsabilité partagée dans le cloud et ses conséquences en droit des marchés publics et en droit de la protection des données (RGPD, articles 32 et 33, et règlement (UE) 2018/1725 pour les institutions). La question de la souveraineté numérique doit être analysée en lien avec le Data Act (règlement (UE) 2023/2854), le projet de schéma de certification EUCS, le référentiel SecNumCloud et les enjeux liés au Cloud Act américain. Le candidat retiendra que cet incident illustre la tension entre la logique d'externalisation des systèmes d'information vers des opérateurs privés extra-européens et les impératifs de protection des données institutionnelles, tension qui traverse l'ensemble de la politique numérique de l'Union européenne. En droit interne, la transposition de NIS 2 par le projet de loi Résilience et la publication du ReCyF par l'ANSSI en mars 2026 constituent des références essentielles.

Partager

Autres brèves — Numérique et stratégie digitale

L'hébergement des données de santé en France : entre certification SecNumCloud, souveraineté numérique et exigences du RGPD
Cyberattaques contre les datacenters AWS au Bahreïn : souveraineté numérique, hébergement des données publiques et vulnérabilité des infrastructures cloud dans un contexte de conflit au Moyen-Orient
Souveraineté numérique européenne : format ouvert obligatoire en Allemagne, euro numérique sur cloud souverain et régulation des plateformes
L'euro numérique et la souveraineté monétaire européenne : entre innovation technologique, encadrement juridique et redéfinition du rôle de la monnaie publique à l'ère du numérique
La cybersécurité des établissements de santé : 764 incidents en 2025, directive NIS 2 et transformation numérique du service public hospitalier