🏛️ Contexte

Publié en mai 2026 par l’Agence de l’Union européenne pour la cybersécurité (ENISA), le rapport NIS360 2026 constitue la troisième édition annuelle d’évaluation de la maturité cybersécurité et de la criticité des secteurs de haute criticité identifiés à l’Annexe I de la directive NIS2. L’évaluation couvre l’ensemble de l’écosystème sectoriel (entités, autorités nationales, organismes UE, cadres législatifs) à partir d’enquêtes menées auprès d’environ 300 entreprises de 25 États membres et 100 autorités nationales entre juin et octobre 2025.

📊 Résultats globaux

La maturité cybersécurité progresse de manière régulière mais inégale à travers les secteurs critiques de l’UE :

  • Secteurs à haute maturité et haute criticité : banque, électricité, télécommunications (stables), rejoints cette année par les services de confiance, les infrastructures de marchés financiers (FMIs) et l’aviation
  • Secteurs à haute criticité et maturité modérée haute : sous-secteurs numériques par défaut (internet de base, centres de données, cloud)
  • Zone de risque (maturité inférieure à la moyenne, criticité supérieure à la maturité) : santé, ferroviaire, maritime, gestion de services TIC, espace, administrations publiques, eau potable et eaux usées
  • Autres secteurs : hydrogène, chauffage urbain, pétrole, gaz, route — le gaz commence à sortir de la zone de risque

⚠️ Facteurs d’amélioration identifiés

  • Développements législatifs (NIS2, DORA, CRA) agissant comme levier d’investissement : 70% des organisations citent la conformité réglementaire comme principal moteur d’investissement
  • Attention politique accrue (plan d’action santé, stratégie ports UE, mobilité militaire ferroviaire/maritime)
  • Progrès dans le partage d’information (ISACs) et la préparation opérationnelle (détection plus rapide, meilleure réponse aux incidents)

🔍 Observations sectorielles clés

Énergie : L’électricité reste le sous-secteur le plus mature, renforcé par le Network Code on Cybersecurity (NCCS). Le gaz progresse grâce à une meilleure collaboration. Le pétrole reste plus fragmenté. Les systèmes OT/ICS legacy constituent un défi transversal.

Infrastructure numérique : Télécommunications et services de confiance en haute maturité. Cloud et centres de données à maturité modérée haute. Défis persistants : gestion des vulnérabilités, segmentation réseau, sécurité des données.

Transport : L’aviation atteint la haute maturité. Ferroviaire et maritime restent en zone de risque. La route progresse grâce à l’industrie automobile (UN R155, ISO/SAE 21434). Défis communs : systèmes OT legacy, gestion des accès, supply chain.

Finance : Banque en haute maturité, FMIs rejoignent cette bande grâce à DORA. Défis résiduels : gouvernance et expertise cyber au niveau du management des FMIs.

Santé : Reste en zone de risque. Progrès portés par les fabricants pharmaceutiques. Les hôpitaux et prestataires de soins restent en difficulté : legacy, IoMT, contraintes budgétaires, hygiène cyber insuffisante.

Administrations publiques : Secteur le plus ciblé, maturité faible-modérée. Défis : implication managériale limitée, patching lent (>3 mois), partage d’information insuffisant, grande hétérogénéité.

Eau potable et eaux usées : Secteurs les moins matures. Approches réactives et ad hoc, systèmes legacy, contraintes budgétaires, absence de mécanismes EU de collaboration dédiés.

🌐 Contexte émergent

Trois dynamiques structurantes influencent l’ensemble des secteurs :

  1. Intelligence artificielle : bénéfices matérialisés plus rapidement pour les attaquants (deepfakes, social engineering, exploitation de vulnérabilités) que pour les défenseurs
  2. Risques supply chain et tiers : compromission d’un maillon de confiance pouvant se propager à l’ensemble d’un écosystème sectoriel
  3. Volatilité géopolitique : exposition accrue aux attaques motivées géopolitiquement, efforts de souveraineté numérique

📋 Type et finalité

Il s’agit d’un rapport institutionnel annuel de l’ENISA destiné à fournir une base de priorisation informée au niveau UE pour les secteurs critiques, alimenter les plans d’action sectoriels, les exercices Cyber Europe et les appels à projets de préparation sous le programme Europe Numérique.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566 — Phishing (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1498 — Network Denial of Service (Impact)
  • T1195 — Supply Chain Compromise (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1110 — Brute Force (Credential Access)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)

Malware / Outils

  • BPFdoor (backdoor)
  • DragonForce (ransomware)
  • Perseus (rat)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ enisa.europa.eu — source reconnue (liste interne) (20pts)
  • ✅ 232554 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Salt Typhoon (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.enisa.europa.eu/enisa-nis360-2026?utm_source=substack&utm_medium=email#contentList