Afin de répondre aux enjeux de recrutements dans un secteur pénurique, Guillaume Séraphine a fondé en 2024 CyberMatch, cabinet de chasse spécialisé dans les métiers de la cybersécurité. Un travail d’approche complexe puisque la plupart de ces experts sont en postes et beaucoup ne communiquent que très peu sur internet. Discrétion oblige.

-Quel est l’état actuel du marché de l’emploi dans le secteur de la cybersécurité ?

Le déficit de talents en cybersécurité est estimé à 2,8 millions de professionnels en 2024, avec un taux de vacance de 28 %. Aux Etats-Unis, pays qui a, de loin, le mieux anticipé les besoins en spécialistes de la cybersécurité (formation…), le taux de postes vacants est de 23 %. Il est de 32 % en Europe et de 56 % en Asie. Cette situation a pour conséquence une volatilité des candidats, et un taux de turn over important. Selon l’ANSSI*, environ 70 % des effectifs en cybersécurité ont moins de 5 ans d’ancienneté pour les structures spécialisées et environ 60 % pour les structures non spécialisées.  En France, on estime à environ 15 000 le nombre de postes vacants. 

-Une situation qui inverse le rapport de force…

Oui, cette tension du marché joue en faveur des candidats que nous rencontrons sur notre site de recrutement Cybermatch. Ils disposent d’un pouvoir de négociation, notamment en termes de salaires : ces derniers démarrent à 45 KE pour un débutant et grimpent très vite. Le salaire moyen d’un RSSI (Responsables Sécurité des Systèmes d’Information) tourne autour de 100 KE. 

-Parmi les profils les plus recherchés, quels sont les plus pénuriques ?

Je dirais les analystes en cybersécurité, architectes sécurité, analystes de la réponse aux incidents, analystes SOC (Security Operations Center), pentester, RSSI, consultant en cybersécurité… Il existe également une forte demande en ingénieur sécurité Cloud spécialisés dans la sécurisation des environnements multi-cloud, ainsi qu’en experts GRC (Gouvernance Risk & Compliance). Certains niches comme la gestion des accès privilégiés ou PAM (Privileged Access Management) sont difficiles à trouver pour deux raisons : la pénurie de profils et le fait que de nombreux experts choisissent de proposer leurs services comme indépendants afin de bénéficier de davantage de flexibilité.

Existe-t-il des spécificités du marché de l’emploi français ? 

Oui. Les directives européennes NIS 2 étendues en France aux collectivités territoriales, ainsi que le règlement européen DORA du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier entraînent un besoin accru d’experts GRC. En France, l’objectif est de créer 37 000 emplois supplémentaires dans le cadre de la stratégie nationale pour la cybersécurité d’ici 2025, afin de répondre à une demande croissante alimentée par l’augmentation des cyberattaques et des exigences régulations NIS2 et DORA

-Quelles sont les particularités liées au recrutement de ces profils ?

La première est qu’ils sont difficiles à trouver car ces profils communiquent peu d’informations sur le web et bien sûr n’affichent pas leur statut sur les réseaux sociaux professionnels. Ils échappent aux filtres LinkedIn, nécessitant une analyse approfondie d’informations publiques disponibles. Pour cela, nous avons développé des méthodes et outils spécifiques afin d’identifier ces talents. Notre processus inclut également une bibliothèque de tests spécialisés, conçus avec des partenaires reconnus afin de valider les compétences techniques. La seconde particularité est que les grandes organisations accaparent une grande partie des talents, rendant la concurrence difficile pour les PME, structures publiques locales et hôpitaux.

-Justement, comment pousser ces personnes à changer de poste ? Le salaire est-il un argument majeur ?

Le salaire est un argument, mais il n’est pas le seul : on trouve aussi la flexibilité – le fait de travailler de partout, en full remote, par exemple – et la formation. Dans ce métier, se former est très important car, à défaut, on perd en employabilité. Or les certifications ont un coût élevé, entre 5 et 6000 €. Lorsqu’elles sont prises en charge par le nouvel employeur, cela peut être un argument en faveur d’un changement de poste. Un autre facteur d’intérêt est le contenu de la mission : les projets innovant ont forcément la cote.

Enfin, il peut y avoir d’autres motivations comme le sens au travail : j’ai connu des experts ayant accepté des salaires moins élevé pour travailler sur des projets plus stratégiques comme protéger des infrastructures de l’Etat, par exemple.

– Où en sommes-nous de la féminisation du métier ?

Elle reste toujours très faible. On estime à 22,4 % des effectifs en cybersécurité en Europe d’après une étude du BCG. En 2022, Guillaume Poupard, ancien directeur général de l’ANSSI, aujourd’hui DGA de Docaposte, annonçait le chiffre de 11 % pour la France dans une conférence de presse pour la 7ème édition de l’European Cyber Week.  Au-delà d’un manque d’appétence, il existe des idées reçues sur l’indispensable bagage scientifique. Or, certains métiers ne nécessitent pas d’avoir suivi un parcours en sciences. Promouvoir des modèles féminins et encourager les reconversions via des formations adaptées pourraient enrichir le secteur, comme le montre la réussite de profils issus du droit ou d’autres domaines déjà présents grâce à ces initiatives.

-Quelques bonnes pratiques pour attirer des candidates et candidats ?

  • Soigner l’expérience candidat en évitant les procédures de recrutement trop longues.
  • Être transparent sur la mission, mettre en avant les possibilités d’évolutions : la fiche de poste avec des perspectives à 2 ou 3 ans est très appréciée des juniors.
  • Je conseille également de ne pas demander de qualifications excessives ou trop spécifiques pouvant dissuader des candidats qualifiés, de tenir compte des soft skills car la gestion de crise et les compétences relationnelles sont tout aussi importantes que les savoir-faire techniques.
  • Et, surtout, bien comprendre les attentes de chaque candidate et candidat afin de voir si elles sont en adéquation avec la culture de l’entreprise. 

*L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié un Observatoire des Métiers de la Cybersécurité :

https://cyber.gouv.fr/actualites/le-secteur-de-la-cybersecurite-vu-par-les-professionnels-lobservatoire-des-metiers ainsi qu’une étude intitulée « Les profils de la cybersécurité » (https://cyber.gouv.fr/publications/les-profils-de-la-cybersecurite?utm_source=chatgpt.com).

Aller plus loin

Étude Hays « Cyber Report 2024 » https://www.hays.fr/tendances-marche/livres-blancs-rapports/cyber-report-2024) et article publié par Expectra « Cybersécurité : les profils les plus recherchés » (https://www.expectra.fr/blog/expertise-metiers/cybersecurite-les-profils-les-plus-recherches-en-2024/)

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.