Lorsque nous parlons de technologies nouvelles et émergentes, nous avons tendance à les compléter ensemble. L’intelligence artificielle (IA), l’internet des objets (IoT), l’apprentissage automatique, la robotique sont toutes mélangées à une grande cacophonie numérique de termes que peu d’entre nous comprennent — que cela soit dû à la difficulté ou à la nouveauté des technologies elles-mêmes. Si la cybersécurité relève souvent de ce cadre, elle est loin d’être nouvelle (ou émergente) et très différente par sa nature et sa fonction.
En fait, nous pouvons penser que la cybersécurité est une technologie générique : l’une qui permet des avancées dans d’autres disciplines telles que l’IA, l’IdO et la robotique dans un espace en ligne sûr et sécurisé. Et à mesure que ces technologies numériques évoluent et sont de plus en plus adoptées dans tous les secteurs, la cybersécurité prend de l’importance, de même que la nécessité de disposer d’experts qualifiés en cybersécurité disposant de connaissances plus spécialisées dans les technologies de l’information et de l’informatique (TIC), qui savent comment préserver la sécurité des personnes, des systèmes et des entreprises.
Avec l’augmentation de la fréquence et de la sophistication des attaques malignes et des cyberescroqueries, les compétences d’un professionnel de la cybersécurité évoluent également et évoluent rapidement. Cela complique encore le processus d’éducation et de formation des professionnels de la cybersécurité; et attire l’attention sur les objectifs visant à rendre la prochaine décennie numérique et européenne. Les systèmes éducatifs ont tardé à répondre aux réalités du marché du travail, et la pénurie d’experts en cybersécurité, tant en Europe que dans le monde, est de plus en plus marquée chaque année prochaine. En Europe seulement, la pénurie de professionnels de la cybersécurité est de près de 1 millions de personnes (environ 883,000), tandis que le nombre d’experts en cybersécurité nécessaires dans le monde atteindra bientôt 4 millions. L’écart entre les hommes et les femmes dans le domaine de la cybersécurité est un autre aspect qui nécessite une attention urgente : comme le suggèrent les données les plus récentes et comme nous le verrons ci-dessous, les femmes ne représentent même pas un quart des professionnels de la cybersécurité en Europe; et elles sont également dépassées en ce qui concerne l’inscription aux TIC et à la cybersécurité dans l’enseignement supérieur.
Introduction :
La cybersécurité est un domaine de plus en plus important : il ne s’agit plus d’un mot buzz, mais plutôt d’une nécessité tant pour les citoyens que pour les entreprises. Plus de 90 % des ménages (Eurostat, 2023) en Europe ont accès à l’internet souvent pour diverses raisons, qu’il s’agisse de la banque en ligne ou d’autres achats, de l’utilisation de services publics en ligne ou de la réservation de vacances en ligne. Étant donné que cela implique le partage d’informations sensibles, le stockage et le traitement sûrs et sécurisés de ses données constituent une priorité pour tous — et à moins que des protocoles de bonnes pratiques en matière de cybersécurité ne soient suivis, les entreprises, les pouvoirs publics et les personnes risquent des fuites importantes d’informations de nature et d’intention diverses, allant d’atteintes financières et à la réputation, de vols d’identité et d’utilisation abusive de données à caractère personnel. La transition numérique implique davantage de données, d’informations et de dispositifs connectés : et les principaux processus publics, sociaux et d’entreprises en dépendent aujourd’hui. Cela les rend probablement la cible de cyberattaques — qui, ces dernières années, ont augmenté en fréquence et sont susceptibles de causer des dommages si importants que le Forum économique mondial a qualifié la cybercriminalité de «risque mondial important» dans son rapport de 2021 sur les risques mondiaux. Et ce n’est pas tout. Les cyberattaques d’aujourd’hui sont plus sophistiquées et plus difficiles à détecter, car elles ont dû évoluer parallèlement à la transition numérique. L’adoption accélérée de technologies à fort potentiel de transformation et d’impact, telles que l’intelligence artificielle (IA) ou l’internet des objets (IdO) dans tous les secteurs et les pays, permet aux professionnels de la cybersécurité de fonctionner de manière harmonieuse et sûre. En Europe, la demande de compétences en matière de cybersécurité a augmenté de 22 % en moyenne pour la seule année 2021, certains États membres de l’UE, comme l’Allemagne, la Pologne ou la Roumanie, enregistrant une hausse de plus de 30 %.
La situation est la même dans le monde entier. Le nombremondial de professionnels du cyberespace a atteint un niveau record, avec près de 5 millions d’experts en TIC spécialisés dans ce domaine qui occupent actuellement un emploi. Malgré ces progrès, on constate toujours une pénurie de 3,4 millions de cybertravailleurs au niveau mondial (ISC2, 2022). La demande de professionnels de la cybersécurité affiche une forte augmentation, en particulier au cours de la période postérieure à la pandémie de COVID-19, comme le souligne l’OCDE 2023: dans une étude, le nombre d’annonces d’emploi en ligne à la recherche de professionnels de la cybersécurité au cours du premier semestre de 2022 était 5 fois plus élevé qu’au début de 2012, et deux fois plus important qu’à la fin de 2019. Selon certaines estimations en Europe (EIT Digital 2021), les entreprises de l’UE recherchent des centaines de milliers d’experts en cybersécurité, ce qui va plus loin que l’offre de l’actuelle base de données des talents disposant de compétences en matière de cybersécurité. Des recherches le confirment — plus de la moitié des entreprises de l’UE ont signalé des difficultés à pourvoir les postes vacants dans le domaine des TIC selon l’édition 2022 du DESI, l’indice relatif à l’économie et à la société numériques de l’UE — un indice annuel qui suit les progrès numériques des États membres de l’UE dans des domaines clés, y compris les compétences.
Faire le point sur le fossé en matière de cybersécurité : défis à venir
Une pénurie imminente d’experts en cybersécurité : en Europe et au-delà
L’Europe manque toujours de professionnels qualifiés dans le domaine de la cybersécurité dans plus d’un ou deux domaines d’expertise. Le fossé en matière de cybersécuritése compose de plusieurs dimensions, chacune représentant un défi spécifique. Consultez l’infographie ci-dessous pour voir quelques-uns des principaux aspects.
En 2022, la pénurie de professionnels de la cybersécurité dans l’UE variait entre 260,000 et 500,000, tandis que les besoins en main-d’œuvre de l’UE dans le domaine de la cybersécurité étaient estimés à 883,000. Il existe également un déséquilibre marqué entre les hommes et les femmes dans le réservoir existant de professionnels de la cybersécurité: en 2022, les femmes ne représentaient que 20 % des diplômés en cybersécurité et moins de 20 % de l’ensemble des spécialistes des technologies de l’information et de la communication (TIC) étaient des femmes. De même, les femmes sont sous-représentées dans les domaines des sciences, de la technologie, de l’ingénierie et des mathématiques (STIM) au sein de l’enseignement supérieur, ce qui représente un peu plus de 30 % de l’ensemble des diplômés dans ce domaine (Suivide l’éducation et de la formation 2022). Les universités européennes ont réalisé de bons progrès pour attirer l’attention des étudiants sur la sécurité des TIC : le nombre de programmes et d’étudiants étudiant la cybersécurité dans l’enseignement supérieur augmente. Selon l’ ENISA (2021), cela signifie que nous pourrions espérer que le nombre de diplômés en cybersécurité doublera au cours des prochaines années. Les
experts ont bon espoir de l’impact de cette tendance sur la main-d’œuvre. Un domaine crucial dans lequel la cybersécurité reste sous-développée en Europe concerne les compétences présentes dans la main-d’œuvre, ce qui est devenu, au fil des ans, un «problème bien documenté» (ENISA 2021). À l’échelle mondiale, l’image présente une similitude. Plus de 3,12 millions d’emplois dans le domaine de la cybersécurité n’ayant pas été pourvus en 2021, la pénurie de talents dans le monde est une question transversale qui touche les personnes, la main-d’œuvre, l’éducation et les experts numériques. En ce qui concerne l’enseignement supérieur, des efforts supplémentaires sont nécessaires pour attirer les personnes vers des études dans le domaine des TIC en général et de la cybersécurité en particulier. Les données d’Eurostat montrent que seuls 3,8 % des diplômés de l’UE en 2018 ont obtenu un diplôme en TIC (Eurostat, 2020).
Encore moins de femmes que d’hommes dans le cyberespace
L’équilibre femmes-hommes reste également un problème, avec seulement 20 % des étudiantes en Europe inscrites à des programmes de cybersécurité à l’université (ENISA, 2021). Malgré ces moyennes, certains États membres de l’UE ont accompli des progrès significatifs dans la réduction de l’écart numérique entre les hommes et les femmes. C’est le cas de la Grèce, où la proportion de femmes diplômées dans le domaine des TIC a presque doublé entre 2019 et 2021, passant de 8,6 % à 15,8 % (Forum économique mondial, 2022. Rapport mondial sur l’écart entre les hommes et les femmes). Il est essentiel de sensibiliser davantage les femmes à l’éducation et à la carrière en matière de cybersécurité si nous voulons y remédier, et le manque de diversité dans le secteur est palpable. Les données de LinkedIn montrent que, sur 12 pays de l’UE, les femmes représentent à peine 17 % de la main-d’œuvre du cyberespace (ce ratio est le plus élevé en Pologne — 13 %, et le plus faible en Italie, où les femmes représentent 25 %). Les femmes représentent moins d’un quart (24 %) de la main-d’œuvre mondiale dans le domaine de la cybersécurité (ISC2, 2022), et ce ratio varie en fonction de l’âge : ils représentent 30 % des professionnels du cyberespace de moins de 30 ans, mais seulement 14 % des cybertravailleurs âgés de plus de 60 ans. Il sera difficile d’atteindre l’objectif de 20 millions de spécialistes des TIC fixé par l’UE d’ici à 2030 sans améliorer l’inclusion. Sur la base des tendances actuelles, moins de 25 % des spécialistes des TIC seront des femmes en 2030, contre 19 % en 2021. Dans de nombreux pays, cette part est en réalité en baisse (Sekmokas & Vitaitė, 2021 : 8). Et alors que certains États membres de l’UE se rapprochent d’un ratio plus équilibré (les femmes spécialistes des TIC en Allemagne ont dépassé les 2 millions, et ceux de la France sont supérieurs à 1,5 millions), d’autres pays accusent un retard en ce qui concerne la diversification des TIC. Des études mettent en évidence des tendances inquiétantes d’un écart croissant entre les hommes et les femmes en matière de TIC dans des pays tels que la Bulgarie, l’Estonie, l’Irlande, Chypre ou la Tchéquie (Sekmokas & ampVitairte, 2021 : 15).
Mission impossible ? Formation d’experts en cybersécurité
La formation des professionnels de la cybersécurité prend également du temps et des efforts : tous deux ont trait à l’enseignement supérieur, mais aussi à la formation sur le lieu de travail, ce qui est important tant pour le perfectionnement professionnel que pour la reconversion professionnelle. C’est également le cas de la formation sur le lieu de travail : veiller à ce que les employés soient formés aux dernières approches en matière de cybersécurité et de respect de la vie privée, ou recruter du personnel qualifié en matière de cybersécurité peut prendre une entreprise de 6 mois à un an (Symantec, 2019). Et si nous parlons de croissance personnelle et professionnelle, le tableau devient encore plus complexe. Il peut prendre des années pour devenir un professionnel qualifié de la cybersécurité et un expert dans le domaine, disposant d’une connaissance et d’une expérience des tendances et évolutions les plus récentes. Dans une récente enquête ciblant les professionnels de la cybersécurité dans le monde entier (ESG/ISSA, 2020), la majorité des répondants ont estimé qu’il fallait entre 3 et 5 ans pour développer une véritable compétence en matière de cybersécurité; d’autres ont souligné une courbe d’apprentissage plus large de 5 ans et plus.
La technologie continue de changer, de sorte qu’il est difficile pour le personnel de l’industrie de se maintenir, et elle nécessite souvent des connaissances spécialisées qui prennent du temps à se développer. Selon l’Agence de l’Union européenne pour la cybersécurité (ENISA, 2019),les fabricants et les autres organisations qui utilisent les solutions de l’industrie 4.0 et de l’internet des objets n’ont souvent pas le temps de former le personnel de manière adéquate avant que les choses ne changent à nouveau, se laissant ainsi exposés à des risques potentiels. Qui plus est, la formation disponible est inadéquate et/ou coûteuse, ce qui la rend encore moins réalisable pour les PME.
La cybersécurité (avec l’internet des objets) est également un domaine de l’enseignement supérieur, dans lequel les universités ont fait preuve de lenteur dans l’adaptation des programmes d’études ou la mise à jour des contenus, de sorte qu’elle reflète les dernières évolutions technologiques, selon un rapport de 2021 d’EIT Digital qui enquête sur l’offre éducative en matière de cybersécurité en Europe. Dans un autre rapport d’EIT Digital, qui utilise les données de CyberHEAD, la plus grande base de données en ligne pour l’enseignement supérieur dans le domaine des TIC et de la cybersécurité, seuls 34 % des programmes de licence et de master dans l’UE nécessitent un stage — un aspect qui signifie que de nombreux étudiants diplômés quittent l’enseignement avec peu ou pas d’expérience pratique, souvent nécessaire pour obtenir un premier emploi dans le secteur.
Des recherches montrent que l’éducation à la cybersécurité en Europe se développe, mais pas de manière uniforme, et que des lacunes affectant sa qualité subsistent (mauvaise interaction avec l’industrie, manque d’éducateurs en cybersécurité, manque d’alignement sur les réalités du marché du travail, etc.) (Vishik & Heisel, 2015). Si l’on évalue les données de CyberHEAD, seuls 34 % des programmes de l’UE prévoient un stage obligatoire pour les étudiants. Si les stages peuvent être difficiles à mettre en place, le manque de possibilités de stage peut avoir une incidence négative sur les compétences des diplômés et rendre plus difficile l’obtention d’un emploi de sécurité en raison d’un manque d’expérience professionnelle.
Combler le déficit de compétences en matière de cybersécurité
Mise en place de cadres de cybersécurité et évaluation des certifications
Plusieurs cadres, ressources et outils ont été mis en place et communément acceptés pour renforcer la compétitivité de l’UE en matière de cybersécurité et permettre aux experts en cybersécurité d’acquérir les compétences nécessaires à l’excellence dans un monde numérique en mutation rapide. Par exemple, le cadre européen pour les compétences en matière de cybersécurité (ECFS), un outil pratique qui contribue à recenser les tâches, les compétences, les aptitudes et les connaissances associées au travail quotidien des professionnels de la cybersécurité en Europe, en comblant le fossé entre les lieux de travail professionnels et les environnements d’apprentissage. Le principal objectif du cadre de l’ECFS est de créer une compréhension commune entre tous les acteurs de l’écosystème de cybersécurité (particuliers, employeurs et prestataires de formation) dans les États membres de l’UE. Il soutient également la conception de programmes de formation liés à la cybersécurité et facilite la reconnaissance des compétences en matière de cybersécurité. L’ECFS répartit les rôles en matière de cybersécurité en 12 profils, chacun étant évalué individuellement selon des paramètres prédéfinis (compétences, responsabilités, tâches, interdépendances, etc.). D’autres cadres qui catégorisent et recensent les compétences en matière de TIC et de numérique en général peuvent également être utiles et inclure des domaines de compétence en matière de protection de la vie privée et de sécurité. Par exemple, le cadre européen des compétences numériques (DigComp), qui figure désormais dans son édition 2.2, inclut la connaissance des aspects liés à la cybersécurité, tels que le respect de la vie privée ou le partage d’informations ou de données à caractère personnel. Le cadre européen des compétences électroniques (e-CF) fournit un langage commun pour les niveaux de compétences, d’aptitudes et de compétences dans toute l’Europe. Les compétences dans le cadre du e-CF sont organisées en fonction de 5 domaines d’activité TIC et liées au cadre européen des certifications (CEC). Grâce au règlement européen sur la cybersécurité, l’Europe peut désormais également bénéficier d’un cadre de certification de cybersécurité pour les produits et services et d’un mandat renforcé de l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, créée pour la première fois en 2004.
Réduire le déficit de compétences en matière de cybersécurité en Europe : une étape à la fois
Principales initiatives et actions de l’UE visant à combler le déficit de compétences en matière de cybersécurité
En collaboration avec la Commission européenne, l’ENISA coordonne la campagne du mois européen de la cybersécurité (ECSM): une campagne de sensibilisation qui promeut la cybersécurité par l’éducation, le partage de bonnes pratiques et des concours. Le défi européen en matière de cybersécurité (CECA) est un autre concours annuel qui réunit de jeunes talents en cybersécurité de toute l’Europe pour tester leurs compétences en matière de sécurité des données.
Le financement au titre du programme DigITAL Europe pour la période 2023-2024 comprend un programme de travail spécifique axé sur la cybersécurité, doté d’un budget de 375 millions d’euros pour la période 2023-2024, afin de renforcer la résilience collective de l’UE face aux cybermenaces. Le rôle des pôles d’innovation numérique de l’UE dans la rationalisation du financement au titre de DigITAL en faveur du domaine de la cybersécurité favorisera la poursuite de l’innovation pour les PME et le secteur public. Alors que l’année 2023 a été proclamée «Année des compétences» par la présidente de la Commission européenne, Ursula von der Leyen, la campagne de l’année à l’échelle de l’UE vise à remédier aux pénuries de compétences et à stimuler les investissements dans la formation. Ces objectifs sont également des priorités essentielles inscrites dans le plan d’action en matière d’éducation numérique (2021-2027), dont la vision pour l’avenir de l’éducation en Europe est au cœur des compétences numériques.
Soutenir les entreprises et les PME
Il existe une série de mécanismes pour aider les entreprises, et en particulier les petites et moyennes entreprises (PME), à tirer le meilleur parti de la cybersécurité et à faire en sorte que leur personnel puisse traiter les risques en ligne de manière compétente et informée. Comptant 25 millions (soit 90 % des entreprises de l’UE), les PME constituent l’épine dorsale de l’économie européenne. Avec moins de ressources, de personnel et de connaissances, les PME sont moins susceptibles d’investir dans la sécurité de leurs activités et de leurs activités, ainsi que de former leur personnel. Plusieurs facteurs influencent le manque d’adoption de la cybersécurité par les PME et ont une incidence négative sur la formation des salariés. La faible sensibilisation du personnel à la cybersécurité et le manque de professionnels de la cybersécurité dans le domaine des TIC pour suivre et guider les tâches difficiles constituent un défi majeur pour les PME. Il en va de même pour le manque de budget pour recruter de nouveaux salariés et former les employés existants, ainsi que pour un soutien insuffisant à la gestion. Cela signifie que les informations commerciales sensibles et essentielles ne sont pas protégées dans de nombreuses PME. Les PME sont également susceptibles de rencontrer des problèmes échappant à leur contrôle et sont plus volatiles face aux changements et aux pénuries sur le marché du travail (ENISA, 2019). Les organisations pensent également souvent qu’elles sont plus sûres qu’elles ne le sont effectivement, les cybermenaces étant sous-estimées tant au niveau des employés qu’au niveau de la direction. En 2023, l’ENISA a lancé un nouvel outil pour aider les petites et moyennes entreprises (PME) à diagnostiquer, comparer et améliorer leur niveau de maturité en matière de cybersécurité et, de cette manière, à définir et à combattre les cyberrisques auxquels elles sont confrontées.
Combler l’écart entre les hommes et les femmes dans le cyberespace
Toute une série d’initiatives liées au cyberespace visent également à réduire la fracture entre les hommes et les femmes dans le domaine du cyberespace. Women4Cyber est une plateforme de l’UE qui offre des possibilités de mise en réseau, des programmes de mentorat et toute une série de ressources visant à aider les femmes à lancer (ou à suivre) une carrière dans le domaine de la cybersécurité. La campagne annuelle «Les filles à l’occasion de la Journée internationale des TIC» vise à sensibiliser les femmes et les filles aux carrières dans le secteur des TIC, y compris dans le domaine de la cybersécurité depuis son lancement en 2013. La lutte contre l’écart numérique entre les hommes et les femmes est également un des principaux objectifs de ManagiDITH, le master en gestion de la transformation numérique dans le secteur de la santé (ManagiDiTH). Lancé en janvier 2023, ManagiDITH souhaite atteindre au moins 50 % des étudiantes certifiées à la fin des deux cycles du master. Le projet Cyberwiser Light (Cyber Mentoring and Training for Women in Cybersecurity) met l’accent sur l’augmentation de la participation des femmes dans le domaine de la cybersécurité par des activités de formation, de mentorat et de renforcement des capacités.
Parmi les mesures qui peuvent être prises pour lutter contre les disparités entre les hommes et les femmes dans le paysage européen de la cybersécurité, les stratégies couronnées de succès consistent notamment à mettre en lumière les femmes à des postes clés et importants dans le domaine du cyberespace et à interroger les femmes diplômées dans le domaine de la cybersécurité et des TIC à des fins de témoignages et de citations inspirantes. Offrir des possibilités de bourses et de mentorat aux femmes et aux filles est une autre approche gagnante, qui a une incidence avérée sur le renforcement de l’inscription des femmes dans l’éducation à la cybersécurité et dans le monde du travail. Plusieurs initiatives en Europe tentent de le faire exactement. MolenGeek, incubateur technologique innovant et acteur de renforcement des compétences, fonde ses activités dans une région bruxelloise marquée par un taux de chômage élevé et peuplé de personnes issues de milieux socio-économiques défavorisés. Le projet doit briser une sorte de double stigmatisation : les préjugés liés aux femmes travaillant dans les TIC, puis les préjugés à l’encontre des réfugiés et de leur intégration. En partenariat avec Microsoft, MolenGeek propose des programmes de formation en matière de cybersécurité ainsi que des certifications sectorielles reconnues, ce qui stimule l’emploi pour les groupes marginalisés et les personnes laissées pour compte par la transformation numérique. De même, l’Institut Kosciuszko en Pologne propose un programme de formation à la cybersécurité pour les femmes polonaises et les femmes réfugiées ukrainiennes. L’École ReDI d’intégration numérique dote les femmes réfugiées et défavorisées de compétences en matière de cybersécurité et de TIC.
La perspective d’un avenir à l’épreuve du cyberespace
Grâce à de nouvelles synergies entre les différentes initiatives à différents niveaux, les compétences en matière de cybersécurité sont reliées chaque jour. Dans le même temps, des pénuries imminentes indiquent qu’il est urgent que davantage de professionnels de la cybersécurité disposent des compétences nécessaires pour soutenir la transformation numérique de l’économie et de la société européennes. Les efforts accrus visant à encourager un plus grand nombre de personnes à entrer dans le cyberespace et les TIC en général se sont avérés fructueux, mais il reste nécessaire d’agir davantage au niveau local, régional, national et de l’UE. L’Europe manque environ 1 million d’experts en cybersécurité, et la pénurie mondiale semble tout aussi alarmante. La disparité entre les hommes et les femmes dans le domaine des TIC en général, et dans celui de la cybersécurité en particulier, reste également un problème qui doit être résolu si l’Europe veut atteindre les objectifs de la décennie numérique européenne, à savoir atteindre 20 millions d’experts en TIC, avec une conversion entre les hommes et les femmes dans tous les domaines technologiques. Les entreprises, et en particulier les PME, ont besoin d’un soutien et de ressources supplémentaires pour former leur personnel, étant donné qu’elles sont moins susceptibles de s’engager dans des programmes de formation, et toute une série d’initiatives au niveau de l’UE visent à apporter ce soutien aux PME, que ce soit sous la forme de REL (Open Educational Resources), de la création de logiciels libres ou de l’aide par le biais d’un mentorat et d’une orientation.