Faire face aux cyberattaques n’est pas seulement une affaire de stratégie de gestion de risques et de déploiement d’instruments techniques visant à favoriser la résilience. C’est aussi une affaire d’hommes. Or, force est de constater le manque de ressources qualifiées.
- A lire sur securiteinterieure.fr : Politique européenne de cyberdéfense: l'UE veut utiliser les dernières technologies d'intelligence artificielle pour se prémunir contre les cyberattaques
Une communication est donc présentée destinée à réduire le déficit de compétences en matière de cybersécurité et à doter l'UE et ses États membres de la main-d'œuvre nécessaire pour leur permettre de répondre à l'évolution constante du paysage des menaces.
- A lire sur securiteinterieure.fr : Cyberattaques contre les infrastructures essentielles, cyberespionnage et guerres hybrides, l'UE veut renforcer sa stratégie de cyberdéfense
Concrètement, une Cybersecurity Skills Academy est présentée visant avant tout à favoriser la coordination entre les formations existantes.
De même, dans le domaine de la lutte contre la cybercriminalité, des liens étroits sont recherchés avec Europol et le Collège européen de police (CEPOL). Ainsi, la Cybersecurity Skills Academy est amenée à collaborer avec l'Académie anticybercriminalité du CEPOL pour favoriser les synergies dans la conception et la mise en œuvre des programmes de formation.
Quel est le problème ? Un déficit patent de compétences en cybersécurité
L' UE a un besoin urgent de professionnels dotés des aptitudes et des compétences nécessaires pour prévenir, détecter, dissuader et défendre l'UE contre les cyberattaques .
En effet, la sécurité et la compétitivité de l'UE dépendent de la disponibilité d'une main-d'œuvre professionnelle qualifiée dans le domaine de la cybersécurité. Or, l'UE est confrontée à une pénurie très importante de professionnels qualifiés en cybersécurité. En 2022, la pénurie de professionnels de la cybersécurité dans l'Union européenne variait entre 260 000 et 500 000, tandis que les besoins de main-d'œuvre de l'UE en cybersécurité étaient estimés à 883 000 professionnels.
- A lire sur securiteinterieure.fr : Cybersécurité: l'Europe densifie son architecture institutionnelle pour se doter d'un "cyberbouclier"
Il y a donc un décalage entre les compétences disponibles et celles requises par le marché du travail. La main-d'œuvre en cybersécurité souffre en outre de l'idée fausse associée à son image technique et avec une féminisation limitée : les femmes représentent 20 % des diplômés en cybersécurité 17 et 19 % des spécialistes des technologies de l'information et de la communication (TIC).
Un autre problème ? Des action entreprises foisonnantes
Les parties prenantes ont tenté de résoudre le problème complexe et multiforme de la pénurie de compétences en cybersécurité :
- l' Agence de l'UE pour la cybersécurité (ENISA) a développé des instruments liés aux profils de poste ou à l'enseignement supérieur,
- le Centre européen de compétences en cybersécurité (ECCC) aborde les compétences en cybersécurité dans un groupe de travail dédié,
- le Collège européen de sécurité et de défense (ESDC) travaille sur les compétences en cybersécurité des personnels civils et militaires dans le cadre de la politique de sécurité et de défense commune.
En outre, des organisations privées tentent de s'attaquer au problème, l'industrie de la certification de la cybersécurité élabore une feuille de route et des formations ciblant le déficit de compétences.
Les États membres tentent également de résoudre le problème par le biais de diverses initiatives, allant de la réglementation à la mise en place d'académies des compétences en cybersécurité 35 ou de cybercampus, de centres d'excellence sur la cybercriminalité, ou par le biais de partenariats public-privé. Cependant, le travail de toutes ces parties prenantes manque souvent de de synergies.
Le cœur de la question: un manque d'action coordonnée entre parties prenantes
Des initiatives aux niveaux européen et national sont déjà menées pour répondre aux pénuries de main-d'œuvre dans le domaine de la cybersécurité fleurissent. Cependant, elles sont dispersés et n'ont pas encore atteint une masse critique pour faire une réelle différence.
Pour commencer, il existe actuellement une compréhension commune limitée de la composition de la main-d'œuvre de l'UE dans le domaine de la cybersécurité.
De nombreuses initiatives d'investissement publiques et privées dans les compétences en cybersécurité existent déjà, l' UE finançant largement des projets au titre de différents instruments.
Cependant, la pénurie persistante de compétences dans l'UE soulève des questions quant à leur visibilité et leur impact et suggère qu'elles ne correspondent pas systématiquement aux besoins du marché.
De plus, plusieurs sources de financement conduisent à des doubles emplois, ratant ainsi l'opportunité de passer à l'échelle et d'avoir un impact réel. De plus, ceux qui ont besoin de l'investissement ne peuvent pas toujours identifier les sources les plus appropriées à leurs besoins.
Enfin, les compétences techniques les plus demandées peuvent être liées à la cybersécurité, telles que le développement de logiciels ou le cloud computing, mais les compétences transversales sont encore injustement ignorés.
La Cybersecurity Skills Academy comme réponse à cette absence de coordination
La Cybersecurity Skills Academy entend créer un point d'entrée unique et des synergies pour les offres d'éducation et de formation en cybersécurité. L'Académie vise à :
- travailler sur un cadre commun pour les profils de poste en cybersécurité, améliorer l'offre européenne d'éducation et de formation pour répondre aux besoins, construire des parcours professionnel;
- fournir une meilleure visibilité et plus clarté sur les formations et sur les certifications en cybersécurité ;
- assurer une meilleure canalisation et une meilleure visibilité sur les opportunités de financement disponibles.
En complément, des indicateurs seront définis pour suivre l'évolution du marché et pour être en mesure d'évaluer l'efficacité de leurs actions.
La gouvernance de l'Académie
L'Académie pourrait prendre la forme d'un Consortium européen pour l'infrastructure numérique. Cet instrument permettrait aux États membres de travailler conjointement en liaison avec la Commission, l'ENISA et le Centre européen de compétences en matière de cybersécurité (CECC),
Les États membres intéressés sont encouragés à se faire connaître d’ici le 30 mai 2023, à la suite de quoi, la Commission publiera une décision établissant ce Consortium et aidera ensuite à coordonner sa mise en œuvre.
L'ENISA contribuera à la mise en œuvre de l'Académie conformément aux objectifs de l'agence notamment en ce qui concerne l'assistance à la formation à la cybersécurité.
Quant à l' ECCC, il travaillera conformément à son programme stratégique pour soutenir la mise en œuvre de l'Académie des compétences en cybersécurité.
L’ENISA comme cheville ouvrière de la Cybersecurity Skills Academy
La mission principale de la Cybersecurity Skills Academy, est d'augmenter le nombre de personnes ayant des compétences en cybersécurité dans l'UE. Il s’agit de mieux cibler les formations sur les besoins du marché et d'offrir une visibilité sur les cheminements de carrière.
A cette fin, l'ENISA a déjà effectué des travaux en vue de définir des profils de rôles pour les professionnels de la cybersécurité dans le cadre du cadre européen des compétences en matière de cybersécurité (ECSF).
L'ENISA réexaminera donc l'ECSF et identifiera l'évolution des besoins en compétences et les lacunes de la main-d'œuvre en cybersécurité, notamment au moyen d'outils avancés (par exemple, l'intelligence artificielle, les mégadonnées, l'exploration de données ).
Dans le domaine de la lutte contre la cybercriminalité, l'ENISA tiendra compte des activités menées par l'Agence de l'UE pour la formation des services répressifs (CEPOL) et Europol dans l'établissement d'une analyse opérationnelle des besoins de formation sur les cyberattaques.
L'ECSF sera régulièrement complétée et révisée dans le cadre de l'Académie tout au long d'un cycle de deux ans. Ce réexamen s’opèrera avec le soutien d'agences et d'organismes de l'UE, tels que le CESD, Europol et le CEPOL. Ces agences renforceront leur offre de formation en cybersécurité.
Quant à l'ENISA, elle renforcera son offre de formation en cybersécurité en alignant son catalogue de cours sur les profils ECSF.
Elle élabora des modules de formation par profil, ce qui pourra enrichir les offres de formation des États membres.
L'ENISA étendra également son programme de « formation des formateurs », ciblant les besoins professionnels des institutions & agences de l'U, des autorités publiques des États membres et des opérateurs critiques publics et privés dans le champ d'application de la directive NIS2.
- A lire sur securiteinterieure.fr : Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber
Cyber Campus et système européen d'attestation des compétences
La mise en place de cybercampus dans les États membres est prévue afin de faciliter la coopération au niveau national entre les universités et les prestataires de formations aux compétences en cybersécurité avec les employeurs des secteurs privé et public.
Ces Cyber Campus viseraient à fournir des pôles d'excellence au niveau national pour la communauté de la cybersécurité et l'Académie aiderait à leur mise en réseau et à la coordination de leurs activités.
Par ailleurs, l’Académie fournira un point d'entrée unique pour ceux qui s'intéressent à une carrière dans la cybersécurité. Une section spécifique aux métiers de la cybersécurité, fera le lien avec les outils existants, des programmes d'enseignement supérieur aux opportunités de formation.
Seront inclus les cours menant à des micro-diplômes et les programmes d'enseignement et de formation professionnels, aux offres d'emploi.
Ceci sera réalisé en se référant aux initiatives en cours, tels que ceux de l'ENISA, qui, en collaboration avec le milieu universitaire a mis en place une cartographie des établissements d'enseignement dispensant des programmes de cybersécurité.
Il est également nécessaire de garantir aux professionnels que les formations qu'ils suivent sont de la qualité requise.
À cet égard, l'ENISA développera un projet pilote, explorant la mise en place d'un système européen d'attestation des compétences en cybersécurité.
Dans le même ordre d’idées, une modification ciblée de la directive NIS2 est prévue pour garantir que le personnel concerné concernant la protection des infrastructures rentrant dans le champ d’application du texte possède un très haut niveau de connaissances et de compétences techniques.
Cyber-réserves : un réservoir à accroître
Les États membres devraient adopter, dans le cadre de leurs stratégies nationales de cybersécurité, des mesures spécifiques en vue d'atténuer la pénurie de compétences en matière de cybersécurité et d'assurer une bonne mise en œuvre de leurs obligations au titre de la directive NIS2.
Certains États membres exploitent les synergies entre les initiatives civiles, de défense et de maintien de l'ordre.
Par exemple, ils développe une main-d'œuvre utilisant leur service militaire national obligatoire, ou faisant appel à des cyberréservistes, qui sont des citoyens formés militairement occupant des postes de cybersécurité dans les forces armées.
Il en va de même dans le domaine de la lutte contre la cybercriminalité, car de nombreuses similitudes existent entre les efforts généraux de cybersécurité et les activités des services répressifs dans la réponse aux incidents de cybersécurité.
La Commission encourage les discussions entre les États membres sur de telles initiatives. Elle les invite à évaluer comment une main-d'œuvre qualifiée peut servir au mieux les communautés de la défense et de la cybersécurité civile.
traduction et synthèse du texte par Pierre Berthelet alias securiteinterieure.fr
A lire sur securiteinterieure.fr :
- Politique européenne de cyberdéfense: l'UE veut utiliser les dernières technologies d'intelligence artificielle pour se prémunir contre les cyberattaques
- Cyberattaques contre les infrastructures essentielles, cyberespionnage et guerres hybrides, l'UE veut renforcer sa stratégie de cyberdéfense (1ère partie)
- Politique européenne de cyberdéfense: l'UE veut utiliser les dernières technologies d'intelligence artificielle pour se prémunir contre les cyberattaques (2e partie)
- Guerre en Ukraine : suite à l’attaque des pipelines, déployer des "équipes d'intervention européennes" pour protéger les infrastructures essentielles de grande dimension?
- Intelligence artificielle : l’Union européenne entend renforcer sa diplomatie numérique
- Désinformation, cyberattaques et guerres hybrides : dans une résolution sur l'IA, le Parlement européen réclame plus de fermeté face aux Etats qui parrainent les cybercrimes
- L'impulsion politique est donnée pour des schémas de certification de cybersécurité, une capacité de cyber-renseignement et des centres de surveillance des cybermenaces
- Cybersécurité: l'Europe densifie son architecture institutionnelle pour se doter d'un "cyberbouclier"
- La
stratégie de cybersécurité de l’UE déplore un retard de l'Europe à
l'heure des tensions géopolitiques croissantes et au moment où la
criminalité numérique est galopante
- Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes
- Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber
- Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes
- Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité
Aucun commentaire:
Enregistrer un commentaire
remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.