Première radiographie socio-économique du secteur belge de la cybersécurité

Article
Par · 18/11/2022

A quel point le marché belge, dans ses diverses composantes – acteurs économiques et industriels, organismes publics, est-il en mesure de faire face efficacement aux cyber-menaces en augmentation constante? Dans quelle mesure les compétences existant chez nous sont-elles à la hauteur ou en pénurie? Quel est le visage et quelles sont les caractéristiques, potentiels, faiblesses, du sous-secteur économique de la cyber-sécurité (fournisseurs, opérateurs, concepteurs, prestataires)?

Autant de questions qu’Agoria, la fédération des industries technologiques, a voulu objectiver au travers d’une étude socio-économique du secteur, réalisée en collaboration avec la Défense (qui a récemment lancé un Cyber Command) et le Centre pour la cybersécurité en Belgique.

Menaces croissantes, manque de ressources

En Belgique, le secteur de la cyber-sécurité emploie quelque 6.405 personnes (voir plus de chiffres dans l’encadré en fin d’article). Mais les postes à pourvoir sont nombreux – trop nombreux. Si on limite la perspective au seul secteur de la cybersécurité, le nombre de postes vacants s’établit à 1.205.

Ce qui est déjà considérable puisque cela représente environ un-cinquième (16%) des effectifs en place. C’est aussi nettement plus que le pourcentage que représentent les postes vacants dans d’autres secteurs (9,1% par exemple pour le secteur informatique) ou à l’échelle de l’économie belge dans son ensemble (5%).

Mais les besoins sont encore nettement plus grands si l’on inclut les postes à pourvoir, à finalité cybersécuritaire, du côté des entreprises et organismes publics. Le chiffre dépasse alors les 4.000 unités.

Des risques et menaces indéniables

Voici quelques chiffres et statistiques tirés de l’étude d’Agoria qui sont pour le moins éloquents:
En 2021:
– 37.982 incidents répertoriés
– en augmentation de 37% par rapport à 2019

En 2020:
– augmentation de 19% des attaques d’hameçonnage (phishing)
– 42% de PME victimes d’au moins un incident
– 38% des entreprises touchées ont alors subi une interruption de leurs activités

Autre constat légèrement inquiétant pour l’avenir: il faudrait rajeunir les cadres ou en tout cas amener un afflux de jeunes talents pour compenser tout un pan d’emploi qui se dirige tout doucement vers la retraite. Agoria signale en effet que “plus de la moitié des personnes employées actuellement dans le secteur ont entre 30 et 55 ans”.

Voici la répartition par tranche d’âge:
– 18-29 ans: 35% du total ;
– 30-50 ans: 55% ;
– plus de 50 ans: 10%.

Raison pour laquelle l’une des premières priorités, souligne Agoria, sera d’attirer et de former davantage de profils sécurité. Pour cela, il s’agit notamment de procéder à des campagnes de sensibilisation et à intégrer de nouveaux cours dans les cursus – si possible dès le secondaire inférieur.

Plusieurs projets et initiatives sont en chantier ou ont été entamés. La ministre Ludivine Dedonder, qui prenait la parole lors de la présentation de l’étude d’Agoria, citait notamment en exemple la création en Fédération Wallonie-Bruxelles (à l’image de ce qui se fait en Flandre depuis un an) d’une filière ouvrant des perspectives d’emploi et de carrière au sein de la défense.

La Défense, par ailleurs, compte multiplier les partenariats avec divers secteurs industriels (construction, logistique, transports…) – les grands employeurs de ce secteur seront sollicités.

“On dénombre en Belgique quelque 300.000 jeunes sans emploi, sans diplôme, sans perspective [Ndlr: qu’on désigne souvent par l’acronyme NEETS] qu’il serait intéressant de ramener vers le marché de l’emploi, en les attirant notamment vers des métiers et compétences en cybersécurité. C’est là une piste dans laquelle nous nous engageons en y investissant un encadrement par la Défense”, déclarait notamment Ludivine Dedonder.

Ludivine Dedonder (ministre de la Défense): “Il faut sensibiliser la société en général et les entreprises en particulier. Mais la sensibilisation est un concept bien plus large et devrait pouvoir se faire le plus tôt possible dans les parcours scolaires. Le thème du cyber-harcèlement, au sens large, peut à cet égard, servir de point d’entrée. Il faut inculquer une culture de la sécurité et on peut commencer par la sensibilisation aux bonnes pratiques sur les réseaux sociaux…”

Déséquilibre régional

La répartition géographique des quelque 441 sociétés répertoriées comme constituant l’écosystème belge de la cybersécurité suit, dans les grandes lignes, la logique et la réalité économiques du pays. Rien d’étonnant à ce que la majorité de ces entreprises se situent en Flandre. Toutefois, les différences se font plus importantes – et interpellantes – lorsqu’on s’arrête sur les chiffres de l’emploi et les chiffres d’affaires. Là, le fossé se creuse.

Flandre: 4.210 ETP et un chiffre d’affaires cumulé de 1,33 milliard d’euros (pour un total de 233 sociétés)

Wallonie: 455 ETP et un chiffre d’affaires cumulé de 700 millions d’euros (pour un total de 106 sociétés)

Bruxelles fait un peu mieux que la Wallonie: 1.740 ETP et un chiffre d’affaires cumulé de 0,18 milliard d’euros (pour un total de 102 sociétés).

Signe que les sociétés installées en territoire wallon sont nettement plus petites.

“La moitié des entreprises manufacturières de l’industrie technologique ne sauraient pas quoi faire ni comment réagir de manière adéquate en cas de cyberattaque” (Etude Agoria 2021)

Les propositions d’Agoria

Se basant sur les enseignements livrés par l’étude, Agoria formule une série de recommandations et préconise la prise d’actions spécifiques, dans les années à venir, afin de renforcer la résistance et la résilience des entreprises, des acteurs industriels et de nos infrastructures, mais aussi afin de donner les moyens à l’écosystème existant de progresser en capacités et efficacité. 

Quelles sont ces recommandations? Rien que de très classique en somme: formation de talents, sensibilisation, promotion des capacités d’exportation, aide à la croissance pour start-ups et scale-ups.

 

Objectif annoncé d’Agoria: que 95% de ses membres aient déployé un plan stratégique de cybersécurité d’ici 2025. En espérant que d’autres secteurs et acteurs s’en inspirent…

 

Au rayon formations (déjà évoqué ci-dessus), Agoria souligne que les établissements d’enseignement et de formation devront être épaulés, grâce à une mobilisation des acteurs économiques: “Le partage de connaissances est un élément fondamental du processus. Nous devons fournir aux écoles des informations afin d’encourager les jeunes à se lancer dans une carrière STEM. Moyennant de nouveaux investissements en R&D, les institutions éducatives seront à même de diffuser ces connaissances, de se livrer à des recherches avancées et de procurer des cours pertinents.”

La formation concerne également les personnes actives, insiste également Agoria. “Les secteurs public et privé devraient procurer des formations de qualité à leurs responsables sécurité, leur permettant de détecter et de gérer des menaces en s’appuyant sur une expertise réactualisée.”

Pour ce qui est des actions de sensibilisation, elles devraient viser tout à la fois les jeunes, le grand public, les dirigeants d’entreprise et être le fait des instances tant fédérales que régionales. Avec un rôle tout particulier que devraient assumer les fédérations sectorielles.

Côté exportation, Agoria plaide pour un coup d’accélérateur afin de doper les exportations de produits et services de cybersécurité proposés par des sociétés locales. Les acteurs belges de la cybersécurité semblent en effet essentiellement viser et convaincre une clientèle locale. La part des exportations dans le chiffre d’affaires global généré par le secteur n’est en effet que de 16,4%. Et, chiffre encore plus éloquent, 42% des sociétés n’ont aucune activité à l’exportation.

Autre recommandation d’Agora pour favoriser à la fois la croissance du secteur et un mouvement généralisé du côté des utilisateurs à se protéger davantage: la mise en oeuvre d’un “tax shelter” – lisez : une déductibilité fiscale – “pour tout investissement consenti en cybersécurité, et ce, jusqu’en 2025.

La Belgique “cyber-secure” en quelques chiffres

Le “secteur” de la cybersécurité en Belgique (selon un périmètre parfois difficile à délimiter) compte, selon Agoria, 441 entreprises actives dans le domaine (dont 233 en Flandre, 106 en Wallonie et 102 à Bruxelles).
Chiffre d’affaires total (2021): 1,58 milliard d’euros. Soit 0,1% du produit intérieur brut. L’étude d’Agoria n’établit malheureusement pas la répartition de ce chiffre d’affaires entre produits et services… “Une analyse plus fine sera sans doute effectuée lors de la prochaine édition de notre étude”, déclare Eric Van Cangh, responsable de la cellule Cybersécurité chez Agoria.
Emploi: 6.405 collaborateurs à temps plein.
Principaux sous-secteurs « consommateurs” de cybersécurité: télécommunications et informatique (21%), banques et assurances (20%), administrations publiques (19%).