L’hypothèse semble excessive. Elle l’est volontairement. Imaginer l’Europe “débranchant le câble” relève du scénario catastrophe, de la fiction géopolitique que l’on préfère tenir à distance. Pourtant, les questions les plus sérieuses commencent souvent par une image dérangeante, une hypothèse qui force à regarder ce que les habitudes institutionnelles masquent. Il ne s’agit pas, bien sûr, de saboter nos propres infrastructures, de défendre une fermeture autoritaire d’Internet, ni de promouvoir une Europe retranchée derrière une frontière numérique permanente. Il s’agit de poser une question plus inconfortable : si une attaque numérique globale, coordonnée et assistée par l’intelligence artificielle, visait simultanément nos infrastructures vitales, l’Europe serait-elle capable de réduire brutalement son exposition au reste du monde sans s’effondrer elle-même ?

Le câble n’est qu’une image. Le vrai sujet est la capacité de l’Europe à choisir son degré d’exposition au monde numérique.

Le modèle cyber Mythos, développé par Anthropic, offre un point d’entrée utile à cette réflexion. Non parce que les États-Unis seraient ici une menace, mais parce que cette affaire révèle une dépendance plus systémique. Mythos n’est pas le problème en soi. Mythos est un symbole. Il montre que certaines capacités numériques, lorsqu’elles atteignent un niveau stratégique, ne sont plus de simples produits technologiques. Elles deviennent des instruments de puissance, des leviers d’anticipation, de défense et d’asymétrie entre nations.

Même si l’Europe obtenait un accès complet à ce type d’outil, la question fondamentale ne disparaîtrait pas. Avoir accès n’équivaut pas à maîtriser. Être associé à un projet ne signifie pas en gouverner les orientations. Pouvoir tester une technologie ne veut pas dire pouvoir en décider les usages. Dans un domaine aussi sensible que la cybersécurité avancée, un accès conditionnel à une capacité développée ailleurs rappelle une évidence souvent oubliée : la souveraineté ne se mesure pas seulement à la disponibilité d’un outil, mais à la capacité d’en comprendre la logique, d’en contrôler les applications, d’en garantir la continuité et, surtout, de ne pas dépendre d’une décision extérieure au moment critique.

Il ne faut donc pas se tromper de cible. L’affaire Mythos ne signifie pas que les États-Unis menacent l’Europe. Elle signifie que l’Europe évolue dans un monde où même ses partenaires les plus proches ont leurs propres priorités, leurs contraintes, leurs arbitrages industriels, militaires, juridiques et politiques. Cela n’a rien d’anormal. C’est la définition même d’un rapport entre puissances souveraines. Un partenaire peut coopérer, soutenir, partager des informations, mais il n’est jamais tenu de confondre ses intérêts avec ceux d’un autre continent. La souveraineté numérique européenne commence précisément lorsque cette évidence cesse d’être vécue comme une trahison ou une injustice, pour devenir un principe de lucidité.

Le problème est donc plus large que Mythos. Demain, le même raisonnement pourrait s’appliquer à un fournisseur cloud, un service d’authentification, une infrastructure de câbles sous-marins, un modèle d’IA dédié à la cyberdéfense, un système de détection d’intrusion, une chaîne de mises à jour logicielles, un composant réseau critique, une solution de chiffrement ou une plateforme de sécurité financière. Dans chaque cas, le pays d’origine de la technologie importe moins que la dépendance qu’elle engendre. La question centrale, celle qui devrait désormais structurer le débat européen, est la suivante : que fait l’Europe lorsque les capacités nécessaires à sa défense numérique, à sa résilience et à sa continuité opérationnelle sont conçues, gouvernées, priorisées ou conditionnées hors de son propre espace de décision ?

Mythos n’est pas une accusation. C’est un révélateur : l’Europe peut dépendre de capacités critiques qu’elle ne maîtrise pas.

Cette question devient d’autant plus urgente que l’intelligence artificielle accélère et complexifie le cyberespace. Une attaque numérique assistée par IA ne ressemble pas nécessairement à une cyberattaque classique simplement plus rapide. Elle peut multiplier les tentatives d’intrusion, tester des milliers de vulnérabilités, automatiser des chaînes d’exploitation sophistiquées, adapter ses stratégies en fonction des réactions des défenseurs, saturer les systèmes de protection et rendre plus difficile la distinction entre le bruit normal du réseau et une offensive coordonnée. Elle peut frapper plusieurs secteurs à la fois : énergie, finance, télécommunications, santé, transports, administrations publiques, ports, aéroports, chaînes logistiques, laboratoires de recherche, fournisseurs critiques. Dans un tel scénario, la vitesse de réaction n’est plus seulement un atout. Elle devient une condition de continuité.

C’est là que la question du “câble” prend tout son sens. Les câbles sous-marins, les points d’atterrissement, les points d’échange Internet, les routes BGP, les serveurs DNS, les plateformes cloud, les API, les dépôts logiciels, les certificats numériques, les services d’authentification et les flux de télémétrie ne sont pas des détails techniques. Ils sont les artères du continent numérique. Si une attaque globale utilise ces flux entrants pour amplifier sa propagation, masquer son origine ou saturer nos défenses, l’Europe doit-elle continuer à tout absorber au nom de l’ouverture et de l’interdépendance ? Ou doit-elle disposer d’un mécanisme de quarantaine numérique, capable de ralentir certains flux, de filtrer les connexions suspectes, d’isoler les segments compromis, de rediriger le trafic critique et, dans les cas les plus extrêmes, de suspendre temporairement certains échanges non essentiels ?

Cette idée doit être maniée avec prudence. La déconnexion, même partielle, n’est pas une solution magique. Elle ne nettoie pas les systèmes déjà compromis. Elle ne supprime pas les implants dormants, les identifiants volés, les vulnérabilités internes, les dépendances mal conçues, les erreurs humaines ou les faiblesses organisationnelles. Elle peut même devenir contre-productive si elle est mal préparée. Un continent qui se déconnecte sans disposer d’une autonomie suffisante ne se protège pas, il se met en panne. La quarantaine numérique, pour être efficace, doit donc s’inscrire dans une doctrine plus large de souveraineté opérationnelle, qui ne se limite pas à la réaction d’urgence, mais anticipe, prépare et structure notre capacité à agir dans l’adversité.

C’est précisément ce que l’Europe doit désormais penser. Non plus seulement la souveraineté comme capacité réglementaire, mais la souveraineté comme capacité d’action concrète en situation de crise extrême. Depuis des années, l’Union européenne a construit une puissance réglementaire réelle, reconnue dans le monde entier. RGPD, DSA, DMA, NIS2, DORA, AI Act, Cyber Resilience Act, Cyber Solidarity Act : l’Europe encadre, responsabilise, oblige, documente, coordonne. Ces textes sont nécessaires. Ils constituent un socle juridique et éthique solide. Mais ils ne suffisent pas à répondre à la question la plus pressante : qui décide, et comment, en quinze secondes ?

La démocratie ne peut pas voter en quinze secondes ; elle doit donc avoir voté avant ce qui pourra être fait en quinze secondes.

Une attaque systémique ne se traite pas à la vitesse ordinaire des institutions européennes. Elle ne laisse pas toujours le temps de qualifier calmement la menace, de consulter longuement les parties prenantes, de comparer les positions nationales, de laisser chaque opérateur décider de manière isolée, puis de tenter de produire une synthèse commune. Le temps démocratique, avec ses débats, ses compromis et ses vérifications, est indispensable en amont. Il doit définir les règles du jeu, les seuils d’alerte, les mandats d’intervention, les contrôles nécessaires, les recours possibles et les limites à ne pas franchir. Mais le temps de crise, lui, doit être préautorisé. La démocratie ne peut pas voter en quinze secondes ; elle doit donc avoir voté avant ce qui pourra être fait en quinze secondes.

C’est ici qu’apparaît l’idée d’une douane numérique européenne, ou d’une agence européenne des frontières numériques. L’expression peut inquiéter, et c’est normal. Elle évoque immédiatement la surveillance de masse, la censure, le contrôle social ou une forme de protectionnisme numérique. Il est donc essentiel de la cadrer avec précision. Une telle agence ne devrait pas être une police des opinions, ni un instrument de filtrage politique, ni un pare-feu idéologique. Sa mission serait strictement technique et opérationnelle : protéger les points de passage vitaux du continent numérique.

En temps normal, elle cartographierait les dépendances critiques, classifierait les flux selon leur importance, organiserait des exercices de simulation, testerait les scénarios de crise, identifierait les routes numériques essentielles et préparerait les mécanismes de bascule nécessaires. En temps d’urgence, elle pourrait recommander, ou activer selon un mandat strictement encadré, des mesures de quarantaine proportionnées, ciblées et temporaires.

Cette agence ne remplacerait pas les États membres, ni les opérateurs privés, ni les CSIRTs nationaux, ni l’ENISA, ni les autres structures existantes. Elle donnerait une cohérence d’ensemble à des briques déjà présentes, mais encore trop dispersées. Car l’Europe dispose déjà de nombreux atouts : mécanismes d’alerte, agences spécialisées, obligations légales en matière de cybersécurité, cadres de coopération opérationnelle, travaux sur la protection des câbles sous-marins, plans de solidarité cyber entre États membres. Mais une crise systémique ne demande pas seulement des briques. Elle exige une architecture, une capacité à agir de manière unifiée et rapide. Elle exige un mur, ou plus exactement un mur coupe-feu : un mur non pas contre le monde ou contre nos partenaires, mais contre la propagation incontrôlée d’une attaque.

Le cœur du sujet réside dans l’interconnectivité européenne elle-même. Une Europe souveraine ne doit pas seulement être bien connectée au monde, elle doit être suffisamment connectée à elle-même. Si deux administrations européennes dépendent d’un cloud non européen pour échanger des informations sensibles, si des hôpitaux perdent l’accès à leurs dossiers médicaux lorsque certains services d’authentification extérieurs deviennent indisponibles, si des banques ne peuvent plus opérer sans recourir à des API situées hors d’Europe, si les mises à jour critiques de nos systèmes ne sont pas disponibles localement, si des routes internes transitent inutilement par des infrastructures extérieures, alors la souveraineté reste fragile. La géographie, à elle seule, ne suffit pas. Un service localisé en Europe peut dépendre d’une chaîne technique, juridique et opérationnelle qui, elle, ne l’est pas.

La capacité de quarantaine numérique suppose donc, avant toute chose, un mode dégradé souverain. Ce mode ne signifie pas autosuffisance totale, repli permanent ou fantasme d’indépendance absolue. Il signifie simplement que, pendant quelques heures ou quelques jours, les fonctions vitales du continent doivent pouvoir continuer à fonctionner avec une exposition extérieure réduite, maîtrisée et choisie. L’énergie, la finance, les systèmes de paiement, la santé, les télécommunications, les administrations publiques, les transports, les ports, les aéroports, la sécurité civile, les communications gouvernementales, les serveurs DNS, les certificats numériques, les dépôts logiciels critiques et les outils de supervision cyber doivent être capables de résister à une réduction brutale mais temporaire de certains flux internationaux.

Pour y parvenir, il ne suffit pas d’adapter les lois. Il faut équiper nos infrastructures, former nos équipes, tester nos systèmes, auditer nos dépendances, simuler les pires scénarios et redonder nos capacités. Il faut des ingénieurs capables de comprendre en profondeur les routes numériques, les protocoles de communication, les dépendances cachées, les flux de données, les infrastructures industrielles, les environnements cloud, les systèmes d’identité et les chaînes logicielles. Il faut des décideurs formés à la gestion de crise cyber, capables de comprendre ce que signifie concrètement isoler un secteur, ralentir un flux, suspendre une dépendance ou reconnecter progressivement un service. Il faut des opérateurs qui savent exécuter des mesures complexes sans improviser. Il faut enfin des entreprises critiques, publiques et privées, qui connaissent leurs dépendances réelles, et non seulement leurs fournisseurs déclarés.

Le bac à sable numérique européen devient alors une proposition centrale. Avant de déclencher un mécanisme de quarantaine en situation réelle, il faut l’avoir testé, répété et perfectionné à froid, dans un environnement contrôlé. Que se passe-t-il si les flux transatlantiques sont soudainement ralentis ? Si un fournisseur cloud majeur devient indisponible ? Si une route BGP est détournée à des fins malveillantes ? Si un point d’échange Internet est saturé ? Si une crise DNS se propage à travers le continent ? Si des mises à jour logicielles extérieures doivent être suspendues en urgence ? Si le secteur financier et le secteur énergétique sont attaqués simultanément ? Si une IA offensive multiplie les tentatives d’intrusion contre nos infrastructures les plus critiques ? L’Europe doit connaître ses points de rupture avant que l’adversaire, ou simplement la crise, ne les découvre à sa place.

Une souveraineté non testée reste largement déclarative.

Une souveraineté non testée reste largement déclarative. Elle peut produire des discours, des rapports et des intentions, mais elle échoue le jour où l’infrastructure doit répondre. C’est pourquoi l’idée d’un bouton de panique numérique ne doit pas être rejetée au motif qu’elle serait trop brutale. Elle doit au contraire être rendue sérieuse, crédible et opérationnelle. Un bouton de panique non encadré serait dangereux. Un bouton de panique improvisé serait irresponsable. Mais un mécanisme d’urgence prévu par le droit, strictement limité dans le temps, techniquement testé, démocratiquement contrôlé et orienté vers la protection exclusive des fonctions vitales peut devenir non pas une arme, mais un outil de résilience.

La doctrine pourrait tenir en une formule simple : agir vite, contrôler vite, reconnecter vite. Agir vite, parce que l’attaque ne respecte pas nos rythmes institutionnels. Contrôler vite, parce que la vitesse, si elle est mal maîtrisée, peut devenir arbitraire. Reconnecter vite, parce que la quarantaine n’est pas un état normal et ne doit jamais le devenir. Elle est un dispositif exceptionnel, temporaire, une parenthèse nécessaire pour se protéger sans se couper durablement du monde.

Cette distinction est essentielle. L’Europe ne doit pas construire une forteresse numérique. Une Europe fermée serait moins innovante, moins libre, moins prospère et probablement moins sûre. L’ouverture, la coopération et l’interdépendance sont des atouts. Mais une Europe incapable de se mettre en quarantaine, ne serait-ce que partiellement et temporairement, serait vulnérable. Elle dépendrait, pour sa survie opérationnelle, de la stabilité du monde extérieur, de la bienveillance de ses partenaires et de l’absence de crise majeure. Or la souveraineté consiste précisément à ne pas fonder sa sécurité, sa résilience et son avenir sur l’hypothèse que l’environnement restera toujours favorable.

L’affaire Mythos doit donc être lue pour ce qu’elle est : non pas l’annonce d’un danger américain, non pas la preuve d’une trahison de nos alliés, mais le signal, parmi d’autres, d’un monde dans lequel les capacités cyber avancées deviennent des instruments stratégiques. Les partenaires resteront indispensables, les alliances resteront essentielles, la coopération internationale restera nécessaire, surtout dans un domaine comme la cybersécurité, où les interdépendances sont profondes. Mais la coopération, aussi étroite soit-elle, n’annule pas la nécessité d’une capacité autonome, d’une marge de manœuvre et d’une liberté de décision. Une Europe souveraine doit pouvoir coopérer parce qu’elle le choisit, et non parce qu’elle ne peut pas faire autrement.

Le vrai débat, au fond, n’est pas de savoir si l’Europe doit se déconnecter du monde. Elle ne le doit pas, elle ne le peut pas entièrement, et elle ne le veut pas. Le débat est de savoir si elle pourrait le faire partiellement, temporairement, légalement et efficacement si la connexion elle-même devenait le vecteur de l’attaque. C’est une question de maturité stratégique. Elle oblige à dépasser le confort des principes abstraits pour entrer dans le concret des câbles, des routes, des clouds, des points d’échange, des dépendances logicielles, des chaînes d’approvisionnement et des procédures de crise.

Une puissance numérique ne se définit donc pas seulement par sa capacité à rester connectée, à préserver la fluidité des échanges et à participer pleinement au monde ouvert. Elle se définit aussi par sa capacité à rester debout lorsque, pendant quelques heures ou quelques jours, elle doit réduire son exposition extérieure pour protéger ses fonctions vitales. Si l’Europe ne peut pas répondre à cette question, sa souveraineté numérique restera incomplète. Elle aura des règles, des ambitions, des valeurs, des partenaires et des alliances, mais pas encore le disjoncteur qui permet de tenir lorsque tout va trop vite.

Une Europe souveraine doit pouvoir coopérer sans dépendre, s’ouvrir sans s’exposer naïvement, se protéger sans se fermer, et se reconnecter sans avoir cessé d’exister numériquement.

Le câble n’est qu’une image. Le vrai sujet est ailleurs : une Europe souveraine doit pouvoir coopérer sans dépendre, s’ouvrir sans s’exposer naïvement, se protéger sans se fermer, et se reconnecter sans avoir cessé d’exister numériquement.

Et vous, qu'en pensez-vous ?
On en discute sur LinkedIn avant de se retrouver ici la semaine prochaine ?
Merci d'avoir lu cette édition jusqu'au bout.
— Fabrice | LinkedIn | Fabrice.Willot.eu

...