Il suffit d’une faille, d’un clic malheureux, d’une nuit sans surveillance — et c’est l’ensemble du système d’information d’une entreprise qui peut basculer. La cybersécurité est devenue l’un des secteurs les plus stratégiques de l’économie numérique, et le marché de l’emploi le confirme avec fracas : des dizaines de milliers de postes à pourvoir, une pénurie de talents qui s’aggrave d’année en année, et des salaires qui reflètent une demande sans précédent.
Que vous soyez étudiant en quête d’orientation, professionnel envisageant une reconversion cybersécurité ou recruteur souhaitant mieux comprendre ce vivier de talents, ce guide vous présente les principaux métiers de la cybersécurité, les formations et études cybersécurité pour y accéder, et les salaires cybersécurité auxquels vous pouvez prétendre.
Un marché sous haute tension
Entre juin 2023 et juin 2024, plus de 23 000 offres d’emploi en cybersécurité ont été recensées en France, soit une progression de 49 % par rapport à 2019. Pourtant, environ 15 000 spécialistes manquent à l’appel, et l’OPIIEC estime à 25 000 le nombre de postes supplémentaires à pourvoir d’ici 2028 — sur un vivier actuel de 45 000 professionnels qui devra presque doubler. Selon une étude Insight Enterprises, 75 % des entreprises françaises déclarent une pénurie de compétences en cybersécurité, et 36 % qualifient son impact de « grave » ou « significatif ».
Le profil type du professionnel cyber français reste très homogène : 85 % d’hommes, 62 % diplômés à bac+5, 88 % cadres, 74 % en CDI, 16 % fonctionnaires, et 43 % concentrés en Île-de-France. Un secteur sous pression aussi côté recruteurs : 69 % des professionnels en poste déclarent avoir été sollicités par un chasseur de têtes au cours des 12 derniers mois, et 44 % d’entre eux l’ont été plus de onze fois.
Deux réglementations européennes viennent encore accélérer cette dynamique. La directive NIS2, en cours de transposition en France, va soumettre entre 10 000 et 15 000 organisations supplémentaires à des obligations strictes de cybersécurité. Le règlement DORA, applicable depuis janvier 2025, impose des exigences de résilience opérationnelle au secteur financier. Résultat : les besoins en RSSI, consultants GRC et architectes sécurité explosent. Face à cette pénurie, de nombreuses entreprises font le choix de l’externalisation et s’appuient sur ce prestataire en informatique, plutôt que d’attendre de trouver la perle rare sur un marché en tension extrême.
Les principaux métiers de la cybersécurité
L’ANSSI recense plusieurs grandes familles de métiers cyber. Voici les cinq profils les plus représentés dans les offres d’emploi, selon l’Observatoire des métiers 2025.
| Métier | Part des offres | Niveau requis |
|---|---|---|
| Architecte cybersécurité | 21 % | Bac+5, 8 ans d’exp. |
| Consultant cybersécurité | 15 % | Bac+5 |
| Ingénieur cybersécurité | 15 % | Bac+5 |
| Analyste cybersécurité | 8 % | Bac+3 à bac+5 |
| Expert en sécurité | 7 % | Bac+5 et + |
Le RSSI (responsable de la sécurité des systèmes d’information) est le chef d’orchestre de la politique de sécurité d’une organisation. Il pilote le budget cyber, manage les équipes et rend compte à la direction générale. C’est aussi le métier le plus représenté dans le secteur : 30 % des professionnels cyber en poste occupent ce type de fonction. Les certifications CISSP et CISM sont quasi indispensables pour accéder aux postes les plus élevés.
L’architecte cybersécurité conçoit les infrastructures de sécurité et définit les standards techniques. Premier métier en volume d’offres, il exige généralement un bac+5 et au moins huit ans d’expérience en architecture de systèmes d’information.
L’analyste SOC surveille en temps réel les alertes de sécurité, trie les événements suspects et mène les investigations en cas d’incident. Maîtrise des outils SIEM comme Splunk ou QRadar et connaissance du framework MITRE ATT&CK sont attendues.
Le pentester, ou hacker éthique, simule des cyberattaques pour identifier les failles avant que des acteurs malveillants ne les exploitent. La demande est particulièrement forte sur les environnements cloud, les API et les systèmes intégrant de l’intelligence artificielle.
Le consultant GRC aligne la stratégie de l’entreprise avec les réglementations en vigueur : ISO 27001, RGPD, NIS2, DORA. Profil incontournable pour les grands groupes, il incarne le mariage entre expertise technique et culture juridique.
Le DevSecOps intègre la sécurité directement dans les pipelines de développement logiciel, pour que la protection soit une composante native du code plutôt qu’une couche ajoutée en fin de projet. Profil hybride très recherché par les startups et scale-ups.
IA et cybersécurité : une arme à double tranchant
L’intelligence artificielle redessine en profondeur le paysage de la cybersécurité — dans les deux camps. Du côté des attaquants, elle démultiplie la sophistication et la vitesse des menaces : phishing ultra-personnalisé généré automatiquement, deepfakes audio et vidéo pour les arnaques au président, détection automatisée de vulnérabilités à grande échelle. Selon le rapport Threat Landscape 2024 de l’ENISA (Agence européenne pour la cybersécurité), les attaques assistées par IA figurent désormais parmi les menaces prioritaires pour les organisations européennes.
Du côté des défenseurs, l’IA devient un allié précieux : détection d’anomalies comportementales en temps réel, automatisation du tri des alertes dans les SOC, threat intelligence enrichie par le machine learning. Les analystes peuvent ainsi se concentrer sur les menaces véritablement critiques plutôt que de se noyer dans les faux positifs. Conséquence directe sur le marché de l’emploi : les profils capables de coupler expertise cyber et maîtrise de l’IA sont parmi les plus valorisés du secteur en 2026.
Combien gagne-t-on dans les métiers de la cybersécurité ?
La pénurie de talents tire les salaires cybersécurité vers le haut. Voici les fourchettes de rémunération brute annuelle constatées en Île-de-France en 2026, compilées à partir des baromètres Licorne Society, Robert Half et Guardia School. En province, une décote de 10 à 15 % s’applique généralement.
| Métier | Junior | Confirmé | Senior / expert |
|---|---|---|---|
| Analyste SOC | 40 000 – 48 000 € | 50 000 – 65 000 € | 65 000 – 80 000 € |
| Pentester | 42 000 – 50 000 € | 52 000 – 70 000 € | 70 000 – 95 000 €+ |
| Ingénieur cybersécurité | 45 000 – 52 000 € | 55 000 – 70 000 € | 70 000 – 85 000 € |
| Consultant GRC | 45 000 – 55 000 € | 58 000 – 75 000 € | 75 000 – 100 000 € |
| DevSecOps | 48 000 – 58 000 € | 60 000 – 80 000 € | 80 000 – 110 000 € |
| Architecte cybersécurité | 66 000 € | 78 000 – 85 000 € | 86 000 – 96 000 € |
| RSSI | 55 000 – 70 000 € | 70 000 – 90 000 € | 90 000 – 130 000 € |
| CISO (grands groupes) | — | 100 000 – 140 000 € | 140 000 – 250 000 €+ |
Les écarts géographiques restent significatifs. Le salaire mensuel brut moyen tous profils confondus s’établit à 5 200 € à Paris, 4 600 € à Lyon et 4 300 € à Bordeaux. Le télétravail contribue toutefois à réduire progressivement ces écarts. Les profils seniors qui choisissent le freelancing pratiquent des taux journaliers moyens très attractifs : de 500 à 700 €/jour pour un analyste SOC, 600 à 900 €/jour pour un pentester, et jusqu’à 2 000 €/jour pour un RSSI ou CISO à temps partiel.
Quelles études pour travailler en cybersécurité ?
Le secteur recrute majoritairement à bac+5 (47 % des offres), mais des portes d’entrée existent dès bac+2. Une donnée souvent méconnue mérite d’être soulignée : selon l’Observatoire ANSSI 2025, seuls 33 % des professionnels cyber en poste détiennent un diplôme spécifiquement orienté cybersécurité. Une réalité qui ouvre grand la porte à la formation cybersécurité en reconversion.
| Niveau | Diplômes / formations | Exemples d’établissements |
|---|---|---|
| Bac+2 | BTS SIO, titre RNCP niveau 5 | ESIEA (filière CSI) |
| Bac+3 | Licence pro informatique, bachelor cybersécurité | EPITA, ESIEA (bachelor CTI), Guardia Cybersecurity School, ISEN Méditerranée |
| Bac+5 | Master informatique, diplôme d’ingénieur, mastère spécialisé | ESIEA (majeure cyber), ESIEE-IT, universités (master CDSI) |
| Bac+6 | Mastère spécialisé post-bac+5 | ISEN Méditerranée |
Pour s’y retrouver dans la jungle des formations, l’ANSSI a mis en place deux labels. Le label SecNumedu garantit la qualité des cursus en formation initiale : contenu couvrant les fondamentaux du domaine, moitié des enseignements en pratique, diplôme reconnu par l’État. Le label SecNumedu-FC s’adresse quant à lui aux formations continues courtes, destinées aux salariés et demandeurs d’emploi souhaitant se spécialiser. Choisir une formation labellisée, c’est s’assurer une crédibilité immédiate auprès des recruteurs.
Pour les reconvertis, trois voies s’offrent : les bootcamps intensifs (quelques semaines à quelques mois, accessibles parfois dès le niveau bac — Jedha, Holberton School, Wild Code School), les formations diplômantes en école spécialisée (Oteria, Guardia CS, ESIEA), et les programmes internes proposés par certains grands groupes comme Orange ou Thales. Ces parcours peuvent être financés via le CPF, France Travail ou un dispositif régional.
Les certifications qui font la différence
Dans un secteur où les recruteurs peinent à évaluer les compétences réelles des candidats, les certifications jouent un rôle décisif : les professionnels certifiés sont sollicités par les recruteurs dans 80 % des cas, contre 53 % pour les non-certifiés.
| Certification | Niveau | Pour quel profil ? | Coût indicatif |
|---|---|---|---|
| CompTIA Security+ | Débutant | Généraliste, premier pas dans le secteur | 350 – 500 € |
| CEH | Intermédiaire | Hacking éthique, pentest | 2 000 – 3 000 € |
| CISM | Intermédiaire / avancé | Management sécurité, RSSI | 2 000 – 4 000 € |
| OSCP | Avancé | Pentester confirmé | À partir de 1 599 $ |
| CISSP | Expert | RSSI, architecte, direction cyber (5 ans d’exp. requis) | 3 000 – 6 000 € |
| ISO 27001 Lead Auditor | Avancé | Audit, gouvernance, consultant GRC | 1 500 – 3 000 € |
Le parcours recommandé : démarrer par le CompTIA Security+ ou l’ISO 27001 Foundation pour asseoir les bases, progresser vers le CEH ou le CISM, puis viser le CISSP pour les profils orientés management ou l’OSCP pour les spécialistes du test d’intrusion.
À retenir
La cybersécurité n’est plus un métier de l’ombre réservé aux experts en hoodie. C’est une discipline transversale et stratégique, qui recrute des profils aussi variés qu’un juriste spécialisé en conformité, un ingénieur réseau reconverti ou un data scientist passionné de threat intelligence. Cinq secteurs concentrent à eux seuls les deux tiers des offres : informatique et télécoms (25 %), recrutement et intérim (18 %), industrie (15 %), services aux entreprises (15 %) et fonction publique (10 %). Le marché devrait rebondir en 2026 après un léger ralentissement, avec la cybersécurité en tête des filières porteuses. La féminisation du secteur — encore embryonnaire avec seulement 15 % de femmes — et l’essor des profils hybrides cyber/IA constitueront les grands chantiers de la décennie à venir.
FAQ
Oui. L'Observatoire ANSSI 2025 révèle que plus de 4 professionnels cyber sur 10 en poste n'ont ni diplôme ni certification spécialisée dans le domaine. Les bootcamps intensifs et les certifications reconnues (CompTIA Security+, CEH) permettent d'accéder au secteur sans parcours académique traditionnel en cybersécurité.
En Île-de-France, un analyste SOC junior démarre entre 40 000 et 48 000 € brut annuel, un ingénieur cybersécurité junior entre 45 000 et 52 000 €. Les profils DevSecOps peuvent démarrer à 48 000 € dès la sortie d'école. En province, appliquer une décote de 10 à 15 %.
Pour un profil débutant, le CompTIA Security+ est le point d'entrée idéal : accessible, reconnu internationalement et peu coûteux (350 à 500 €). Pour une orientation pentest, le CEH constitue une étape intermédiaire solide avant de viser l'OSCP. Pour un profil orienté management ou gouvernance, le CISM est la référence.
Sources
Observatoire des métiers de la cybersécurité, 4e édition — ANSSI, DGEFP, Afpa, juin 2025
OPIIEC, Observatoire prospectif des métiers du numérique, de l’ingénierie et du conseil, 2025
Insight Enterprises, étude sur la pénurie de compétences en cybersécurité en Europe, 2025
ENISA, Threat Landscape 2024 — Agence européenne pour la cybersécurité
ANSSI, labels SecNumedu et SecNumedu-FC — cyber.gouv.fr