Faut-il encore se former à la cybersécurité à l’ère de l’IA ?

Alors que l’intelligence artificielle bouleverse en profondeur le marché de l’emploi des jeunes diplômés et raréfie les postes d’entrée de carrière dans de nombreux secteurs, la cybersécurité ne fait pas exception. Entre traversée du désert pour les juniors, montée des exigences de formation et recentrage sur l’expertise, la question n’est plus de savoir s’il faut se former à la cybersécurité, mais à quelles conditions et avec quelles stratégies face à l’IA.

Selon un article publié par Bloomberg en juin dernier, le marché de l’emploi des jeunes diplômés est exceptionnellement difficile aux États-Unis. Le taux de chômage des diplômés âgés de 22 à 27 ans s’élève à 5,8 % (source : Federal Reserve Bank of New York), soit le niveau le plus élevé depuis environ quatre ans. Malgré des parcours académiques solides et des stages validés, de nombreux jeunes ont du mal à décrocher des entretiens ou des offres d’emploi à plein temps, avec un taux de conversion très faible entre candidatures et réponses concrètes. Les postes d’entrée de gamme se font rares et les candidatures restent souvent sans réponse, ce qui rend la recherche d’un premier emploi particulièrement ardue pour la promotion 2025. Parmi les facteurs qui expliquent cette détérioration figure l’adoption croissante de l’intelligence artificielle. Cette dernière remplace en effet progressivement certaines tâches de faible valeur ajoutée auparavant exercées par des humains, réduisant ainsi la demande pour des rôles junior traditionnels.

Un rapport intitulé « Canaries in the Coal Mine? Six Facts about the Recent Employment Effects of Artificial Intelligence », publié fin 2025 par le Stanford Digital Economy Lab, va dans le même sens. Selon ce document, les chiffres montrent un déclin significatif (-16 %) de l’emploi chez les jeunes travailleurs (22-25 ans) dans les professions très exposées à l’IA depuis fin 2022. Alors que l’emploi global continue de croître, les jeunes employés de secteurs comme le développement logiciel ou les services client voient leurs effectifs diminuer de manière notable depuis la diffusion des outils d’IA générative. En revanche, les travailleurs plus expérimentés dans ces mêmes professions continuent généralement de voir leur emploi stable ou en croissance.

La question se pose dès lors de savoir si cette dynamique observée à l’échelle globale s’applique de la même manière à la cybersécurité, souvent présentée comme un secteur en tension, mais structurellement porteur.

Jeunes diplômés : une traversée du désert avant de devenir expert ?

« Les premières fonctions touchées par la montée en puissance de l’IA sont celles des analystes SOC niveau 1, des pentesters juniors, des consultants cyber débutants ou des profils GRC (Gouvernance, risque et conformité) en entrée de carrière. Leurs missions reposent sur l’analyse de logs, les scans automatisés, la conformité documentaire ou la revue basique de code… Autant de tâches désormais largement automatisables par l’IA et de moins en moins formatrices pour les jeunes diplômés », commente – quelque peu inquiet – Pierre-Antoine Troubat, Délégué général de l’ADIRA.

Cette automatisation fragilise la phase d’apprentissage initiale, traditionnellement fondée sur des missions peu valorisées, mais formatrices. « Le risque n’est pas la disparition de la cybersécurité comme domaine, mais une traversée du désert pour les jeunes diplômés durant leurs premières années, dans un contexte où les entreprises privilégient l’efficacité économique immédiate au détriment de la formation progressive des talents », ajoute Pierre-Antoine Troubat.

Intégrer les fondamentaux : une priorité absolue

Pour Marc Bodin, Chasseur de têtes indépendant (ANOA), l’IA ne représente pas un facteur de disparition des métiers de la cybersécurité, mais une évolution comparable aux ruptures technologiques passées, comme l’arrivée d’Internet. « Les métiers subsistent, mais se transforment, avec une polarisation accrue entre tâches automatisables et expertises à forte valeur ajoutée. La cybersécurité reste une filière porteuse, à condition d’investir dans des formations solides, d’acquérir les fondamentaux du métier et d’intégrer l’IA comme un levier de performance plutôt que comme une menace », analyse le professionnel du recrutement. « Ceux qui montent en compétences et savent utiliser les nouveaux outils feront davantage et mieux, tandis que les profils qui restent sur des tâches basiques ou refusent l’évolution technologique risquent d’être marginalisés ».

Un avis que partage Daniel Gergès, Directeur général du Poool – La French Tech Rennes St-Malo. Selon lui, la formation aux métiers de l’IT et de la cybersécurité repose avant tout sur des fondamentaux techniques solides. Sans bases en architecture informatique, en réseaux ou en logique de traitement, l’usage de l’IA peut devenir superficiel et limiter la capacité d’analyse et de correction. « Les parcours centrés sur les fondements techniques restent déterminants pour former des professionnels capables d’exercer un regard critique sur leurs outils. Sans compréhension du fonctionnement d’un ordinateur ou d’un réseau, il devient impossible d’évaluer ce que fait réellement une IA et de corriger ses erreurs » », note-t-il.

En parallèle, l’apprentissage des outils d’intelligence artificielle apparaît comme un complément indispensable à ces bases. L’IA étant appelée à s’intégrer durablement dans les pratiques professionnelles, il est nécessaire d’en comprendre les mécanismes, les limites et les biais. « Une familiarisation précoce favorise un usage actif et réfléchi, fondé sur l’expérimentation plutôt que sur la dépendance à l’outil. Plus on se confronte tôt aux plateformes d’IA, plus on apprend à les piloter et à en garder la maîtrise dans un cadre professionnel », ajoute Daniel Gergès.

Formation initiale : des parcours toujours plus exigeants

Pour les professionnels de la formation initiale en cybersécurité, l’enjeu n’est pas de supprimer les études, ni de raccourcir leur durée, mais de rendre les parcours toujours plus exigeants. « La complexité technique, réglementaire et organisationnelle impose d’élever le niveau des cursus. La disparition progressive des tâches d’entrée de gamme supprime un sas d’apprentissage historique, ce qui rend la formation initiale plus difficile, mais aussi plus stratégique. Il est donc nécessaire de transformer les contenus pédagogiques, en renforçant les fondamentaux techniques, la compréhension des architectures, des protocoles et des environnements réels, tout en intégrant l’IA comme outil d’augmentation et non comme substitut à la compréhension », témoigne Axel Dreyfus, Cofondateur de l’École 2600.

Selon Axel Dreyfus, la responsabilité juridique, éthique et organisationnelle constitue un verrou structurel à l’automatisation complète. « L’IA ne porte aucune responsabilité légale ou morale. Dans les domaines critiques de la cybersécurité comme la conformité réglementaire, la gouvernance, la réponse à incident, l’investigation judiciaire ou la communication de crise, un humain reste juridiquement et politiquement responsable. Ce facteur structurel limite mécaniquement la capacité de l’IA à remplacer l’expertise humaine, même lorsque les outils sont performants sur le plan technique. L’IA peut analyser, suggérer, synthétiser, mais la décision finale, l’arbitrage et la signature restent humains », avance-t-il.

Face à l’IA, cultiver sa curiosité et développer un haut niveau d’expertise

Le mot de conclusion revient à Guillaume Collard, Cofondateur de la CSB.School. Selon lui, l’IA générative ne constitue pas une menace directe pour les métiers cœur de la cybersécurité. Ces technologies sont efficaces pour automatiser des tâches à faible valeur ajoutée, mais incapables d’assumer des fonctions impliquant responsabilité, prise de décision, compréhension fine des organisations et appréciation du risque. « La cybersécurité repose précisément sur ces dimensions : mesure du risque, arbitrage, connaissance des métiers, culture d’entreprise et responsabilité juridique, qui rendent l’intervention humaine indispensable. Tant que les décisions engagent une organisation sur le plan opérationnel, financier ou pénal, leur délégation à une IA demeure inacceptable, techniquement comme culturellement », déclare-t-il. Il reconnaît cependant que certains rôles juniors ou faiblement qualifiés sont appelés à être fortement impactés, ce qui renforce la difficulté des premières années de carrière. « La réponse n’est pas d’éviter la cybersécurité, mais de viser plus rapidement l’expertise. Le véritable enjeu n’est pas une pénurie de personnes, mais un déficit de compétences avancées. Les profils capables d’apporter une vision experte, notamment en gouvernance, gestion des risques et conformité, restent très recherchés, avec une demande particulièrement forte sur les sujets de GRC », observe-t-il.

Par ailleurs, l’IA génère elle-même de nouveaux risques et de nouvelles surfaces d’attaque, ce qui accroît mécaniquement le besoin de compétences humaines en cybersécurité. « Les modèles sont vulnérables, exploitables et insuffisamment fiables, ce qui place l’humain au centre des dispositifs de contrôle, de validation et de confiance. La cybersécurité conserve ainsi un rôle central de fonction support stratégique, chargée de protéger les actifs de l’organisation face à des technologies de plus en plus complexes et mouvantes », précise Guillaume Collard. « Pour optimiser leur carrière, je recommande aux jeunes étudiants et futurs diplômés de ne pas s’enfermer dans une technologie ou un rôle figé, de cultiver leur curiosité, de développer un haut niveau d’expertise et d’accepter une phase initiale parfois difficile. La cybersécurité reste un métier d’avenir, les trajectoires sont ouvertes, avec une forte mobilité possible entre les spécialités, ce qui distingue encore la cybersécurité de nombreux autres secteurs professionnels », conclut-il.