La cybersécurité est l’un des rares secteurs technologiques qui recrute plus vite qu’il ne forme. En France, le déficit de professionnels qualifiés est estimé à plus de 15 000 postes non pourvus en 2025. En Europe, ce chiffre dépasse les 300 000. Pendant ce temps, les cyberattaques se multiplient, les obligations réglementaires s’accumulent (RGPD, NIS2, DORA dans la finance), et chaque organisation — publique ou privée, grande ou petite — cherche à se protéger.

Pour quelqu’un qui cherche un secteur porteur, des salaires élevés, et des perspectives d’emploi solides sur 10-15 ans : la cybersécurité coche toutes les cases.

Le panorama des métiers

La cybersécurité n’est pas un métier unique — c’est un écosystème de spécialités complémentaires. On distingue généralement deux grandes familles.

Les métiers offensifs (Red Team)

Ce sont les professionnels qui tentent de compromettre les systèmes — de façon légale et contractuelle — pour en révéler les faiblesses avant que des attaquants malveillants ne le fassent.

Le pentester (testeur d’intrusion)

Le pentester est mandaté par une entreprise pour attaquer ses propres systèmes : applications web, réseaux, infrastructure cloud, postes de travail, ingénierie sociale sur les employés. Il produit un rapport détaillant les vulnérabilités découvertes et les recommandations de correction.

Salaire : 35 000 à 50 000 € en junior, 55 000 à 80 000 € en confirmé, 80 000 à 110 000 € pour les experts en freelance.

Le bug bounty hunter

Un freelance qui trouve des vulnérabilités dans les systèmes d’entreprises ayant ouvert des programmes de récompense publics (HackerOne, Bugcrowd, programmes internes). Les récompenses vont de quelques centaines à plusieurs centaines de milliers d’euros pour les vulnérabilités critiques dans de grandes entreprises.

C’est un métier à part entière pour les meilleurs, un complément de revenus pour beaucoup.

Le red teamer

Plus stratégique que le pentester, le red teamer simule des attaques avancées et persistantes (APT) pour tester la capacité de détection et de réponse d’une organisation. Travail en équipe, missions longues, profil très expérimenté requis.

Les métiers défensifs (Blue Team)

L’analyste SOC (Security Operations Center)

C’est l’un des postes les plus recrutés en volume. L’analyste SOC surveille en temps réel les alertes de sécurité générées par les outils (SIEM, EDR, IDS/IPS), triée les alertes, qualifie les incidents et escalade les cas critiques.

Les SOC fonctionnent souvent 24h/24, 7j/7 — avec des équipes en rotation. C’est souvent le premier poste en cybersécurité pour les profils en reconversion ou en sortie d’école.

Salaire : 28 000 à 38 000 € en junior, 40 000 à 55 000 € en N2/N3.

Le RSSI (Responsable de la Sécurité des Systèmes d’Information)

C’est le directeur technique de la cybersécurité d’une organisation. Il définit la politique de sécurité, gère le budget et les équipes, pilote la conformité réglementaire, est l’interlocuteur du COMEX sur les risques cyber. Le RSSI d’un grand groupe est un poste de cadre dirigeant.

Salaire : 70 000 à 120 000 € selon la taille de l’organisation, plus pour les grandes entreprises et ETI.

L’ingénieur sécurité / architecte sécurité

Conçoit et implémente les solutions de sécurité : firewalls, SIEM, IAM (gestion des identités et accès), PKI, chiffrement. Profil très technique, souvent issu d’une formation d’ingénieur.

Salaire : 50 000 à 90 000 € selon l’expérience.

L’incident responder (répondeur à incidents)

Intervient lors d’attaques avérées : confinement, investigation forensique, éradication du malware, rétablissement des services. Travail sous pression, astreintes, interventions d’urgence. C’est un profil rare et très demandé.

Salaire : 55 000 à 90 000 €.

Les métiers de gouvernance et conformité

Le DPO (Délégué à la Protection des Données)

Créé par le RGPD, le DPO est le référent de l’organisation pour la conformité en matière de protection des données personnelles. Il n’est pas forcément informaticien — un profil juridique avec une sensibilité technique fonctionne bien.

Les entreprises traitant massivement des données personnelles (banques, assurances, santé, e-commerce, collectivités locales) ont l’obligation légale de désigner un DPO.

Salaire : 45 000 à 80 000 €, DPO externalisé possible pour les PME.

Le consultant GRC (Gouvernance, Risques, Conformité)

Accompagne les organisations dans leur mise en conformité (ISO 27001, NIS2, DORA, RGPD), réalise des audits organisationnels, rédige des politiques de sécurité. Profil hybride technique/business.

Salaire : 50 000 à 80 000 € en entreprise, TJM de 600 à 1 200 € en freelance.

Les formations pour entrer dans le secteur

Les formations initiales

Les grandes écoles et universités

Les masters spécialisés en cybersécurité se sont multipliés dans les universités françaises et les écoles d’ingénieurs. Les plus reconnus : IMT Atlantique, INSA Lyon, Centrale Lille, Polytech Paris, Telecom Paris, Paris-Saclay. Ces formations donnent les bases théoriques solides et facilitent l’accès aux postes techniques exigeants.

Les BTS et BUT

Le BTS SIO (Services Informatiques aux Organisations) option SISR (Solutions d’Infrastructure, Systèmes et Réseaux) est une voie d’entrée plus courte (2 ans) vers les postes d’analyste SOC et de technicien sécurité. Le BUT Informatique offre une formation en 3 ans avec des spécialisations possibles en sécurité.

Les certifications professionnelles

Les certifications sont un signal fort en cybersécurité — souvent plus valorisées par les recruteurs que le diplôme seul.

Pour débuter :

• CompTIA Security+ : la certification d’entrée de gamme la plus reconnue internationalement. Pas de prérequis, couvre les fondamentaux. ~370 $ pour passer l’examen.
• CEH (Certified Ethical Hacker) : orientée tests d’intrusion, reconnue notamment dans les SSII.

Pour progresser :

• OSCP (Offensive Security Certified Professional) : la référence pour les pentesters. Un examen de 24h en conditions réelles. Difficile, très valorisée.
• CISSP (Certified Information Systems Security Professional) : la certification la plus reconnue en gouvernance sécurité, requiert 5 ans d’expérience.
• CISM (Certified Information Security Manager) : orientée management, complément naturel du CISSP.

Pour la conformité :

• ISO 27001 Lead Implementer / Lead Auditor : spécifique à la norme ISO 27001
• CIPP/E (Certified Information Privacy Professional/Europe) : certification DPO reconnue

Les formations courtes et reconversions

Le secteur de la cybersécurité accueille des reconversions depuis des domaines variés — réseaux et systèmes, développement, mais aussi droit, audit, voire des profils non-techniques pour les postes de gouvernance.

Plusieurs organismes proposent des formations intensives :

Root-Me et HackTheBox : plateformes de challenges de hacking légal, idéales pour développer des compétences pratiques gratuitement. Recommandées même pour les personnes en formation initiale.

OpenClassrooms : parcours en ligne sur la cybersécurité, certifiants, avec accompagnement. Finançable par le CPF.

SANS Institute : formation de référence mondiale, coûteuse (plusieurs milliers d’euros par formation) mais très valorisée. Certifications GIAC associées.

Bootcamps spécialisés (Wild Code School, Le Wagon pour les profils techniques) : formations intensives de 3 à 6 mois pour les reconversions rapides.

Comment démarrer sans expérience

Le principal défi en cybersécurité est le paradoxe classique : « cherche junior avec 3 ans d’expérience ». Voici comment le contourner.

1. Construire un portfolio de compétences pratiques

Créer un lab personnel (une machine virtuelle avec Kali Linux suffit pour commencer), réaliser des challenges sur TryHackMe (idéal pour débuter) ou HackTheBox, participer à des CTF (Capture The Flag — compétitions de hacking légal). Ces éléments sont concrets et montrent aux recruteurs des compétences réelles.

2. Obtenir une certification de base

CompTIA Security+ ou la certification ANSSI SecNumAcadémie ouvrent des portes pour le premier poste et montrent une démarche sérieuse.

3. Cibler les postes d’analyste SOC niveau 1

C’est la porte d’entrée classique. Ces postes acceptent des profils juniors formés mais peu expérimentés. Deux ans en SOC N1 donnent une expérience terrain réelle et ouvrent toutes les spécialisations ensuite.

4. Utiliser les ressources gratuites de l’ANSSI

SecNumAcadémie (secnumacademie.gouv.fr) propose des formations en ligne gratuites et certifiantes développées par l’ANSSI française. Une ressource de qualité, sous-utilisée.

La réalité du secteur : avantages et contraintes

Ce qui est bien : la demande est réelle et durable, les salaires sont élevés, les évolutions de carrière rapides pour les bons profils, le travail est intellectuellement stimulant (c’est un secteur adversarial — les attaquants évoluent, les défenseurs aussi).

Ce qui est moins bien : les horaires décalés en SOC, la pression lors des incidents, la nécessité de formation continue permanente (le secteur évolue rapidement), et une culture encore très masculine qui progresse mais garde des angles morts.

Le secteur est accessible, bien rémunéré, et en tension permanente. Pour quelqu’un qui cherche à se former ou à se reconvertir vers un domaine technique porteur, c’est l’un des meilleurs paris du marché du travail français en 2026.