L'ENISA et la « pénurie de compétences » en matière de cybersécurité

(Pour Alessandro Rugolo)
09/05/24

Selon ce qui a été rapporté dans les médias occidentaux, la société numérique traverse une période de forte croissance et en même temps une crise en matière de sécurité, mais il ne s'agit pas d'un nouveau malware mais du "pénurie de compétences".

Selon le récent rapport de l'ENISA, « Foresight Cybersecurity Threats for 2030 », immédiatement après les attaques contre Chaîne d'approvisionnement la menace Le numéro deux de la société de 2030 est en effet posé par pénurie de compétences.

Jetons un coup d'œil ensemble au top dix:

1) Compromission des dépendances logicielles dans la chaîne d’approvisionnement
2) Pénurie de compétences
3) Erreur humaine et systèmes hérités exploités au sein des écosystèmes cyber-physiques
4) Exploitation de systèmes non corrigés et obsolètes au sein d’un écosystème technologique intersectoriel débordé
5) Montée de l’autoritarisme de la surveillance numérique/perte de vie privée
6) Les fournisseurs de services TIC transfrontaliers comme point de défaillance unique
7) Campagnes avancées de désinformation/opérations d’influence (IO)
8) Montée des menaces hybrides avancées
9) Abus de l’IA
10) Impact physique des perturbations naturelles/environnementales sur les infrastructures numériques critiques

La situation n’est pas rose et ce qui est rapporté dans le rapport le confirme pénurie de compétences c'est juste un autre cri de douleur que l'on peut entendre à chaque conférence. Le problème est: Que fait-on pour le résoudre ?

Les facteurs contributifs sont nombreux et il n’est pas possible de les aborder en quelques lignes. Le fait est qu’il y a des pays où cette problématique est plus largement ressentie et d’autres où elle ne semble pas encore être comprise. L’Italie fait probablement partie de ces derniers. Il doit y avoir une raison pour laquelle de nombreux Italiens travaillent à l’étranger pour des multinationales de logiciels. Nous devrions soigneusement enquêter sur les raisons et essayer de faire revenir ceux qui sont dehors, ce n'est certainement pas la solution au problème mais cela représenterait un pas en avant pour notre nation.

La lecture de la liste m'amène à certaines de mes considérations :

- il pénurie de compétences est un une menace jusqu'à présent sous-estimée. À mon avis, il mérite certainement l'une des premières places du classement. Il ne sera pas facile de rattraper son retard, car les systèmes deviennent de plus en plus complexes et les développeurs subissent la pression des besoins du marché. Les écoles ne parviennent pas à s’adapter à leur époque et sont souvent trop théoriques et peu pratiques.

- L'IA et les risques qui y sont associés occupent la neuvième place. Si l’on pense aux développements récents et à la diffusion d’outils utilisant l’IA, je ne peux que NE PAS être d’accord. À mon avis, l’abus de l’IA sera la menace numéro un en 2030!

- Je regrouperais les points 5 et 7 et, encore une fois, à mon avis, ils devraient occuper la position numéro deux, étant donné qu'à l'heure actuelle, il n'existe pratiquement aucune activité dans laquelle il n'y a aucune forme de surveillance. Quant à la désinformation, je laisse chacun avec ses propres considérations.

- immédiatement après, j'insérerais plutôt leaugmentation des mauvaises programmations et l'inattention toujours croissante à la sécurité de la part des éditeurs de logiciels. La recherche frénétique de nouveauté au détriment de la stabilité des produits conduit avant tout à toujours en créer de nouveaux. bug avec des conséquences conséquentes sur la sécurité.

Je m'arrêterai ici en vous recommandant de lire l'étude de l'ENISA, un document bien fait et certainement intéressant, même si je ne suis pas d'accord sur certains aspects.

Pour en savoir plus:

- https://www.enisa.europa.eu/news/skills-shortage-and-unpatched-systems-s...

- https://www.weforum.org/agenda/2024/04/cybersecurity-industry-talent-sho...