Discussion :

[Bruno]

L’ANSSI publie une enquête sur les métiers de la cybersécurité,
et lance un observatoire des métiers

La diversification rapide des métiers de la cybersécurité selon ses évolutions techniques souligne le besoin d’un cadre au plus proche des réalités du marché, afin d’aider à la fois les entreprises dans leur politique de recrutement, les porteurs de formation mais aussi les étudiants ou salariés en reconversion. Pour mieux cerner le marché de l’emploi dans le domaine de la cybersécurité, l’ANSSI lance un Observatoire des métiers de la cybersécurité. Dans ce cadre et en partenariat avec l’Afpa, l’agence publie une enquête sur les « Profils de la cybersécurité » afin de mieux connaître les enjeux des professionnels et des recruteurs. L’enquête révèle les tendances chiffrées sur les profils types, la formation, l’expérience, le recrutement, la rémunération et l’épanouissement au travail.

« Nous lançons l’Observatoire des métiers de la cybersécurité pour répondre à des questions simples mais qui restaient sans réponse : qui recruter, quels sont les types de profils et d’emplois, quelles formations suivre ou quels sont les secteurs qui recrutent ? » explique Guillaume Poupard, directeur général de l’ANSSI. L’Observatoire des métiers de la cybersécurité de l’ANSSI regroupe les ressources, enquêtes, rapports, infographies nécessaires à la compréhension et à la structuration du marché de l’emploi de la sécurité des systèmes d’information (SSI).

Le marché de l’emploi cyber est en plein essor : l’accroissement de la numérisation des échanges et des transactions, ainsi que la complexification de la menace cyber renforcent le besoin de professionnels qualifiés au sein des entreprises et des administrations. C’est tout l’enjeu de l’Observatoire des métiers de la cybersécurité de l’ANSSI, un espace visant à être en prise avec le marché, les métiers et les enjeux professionnels du secteur cyber, tout en soulignant le besoin croissant de formations en lien avec l’évolutivité du domaine.

Le marché de l’emploi cyber est en plein essor : l’accroissement de la numérisation des échanges et des transactions, ainsi que la complexification de la menace cyber renforcent le besoin de professionnels qualifiés au sein des entreprises et des administrations. Mais qui et comment recruter ? Quels sont les types de profils et d’emplois ? Quelles formations suivre ou quels sont les secteurs qui recrutent ?

La diversification rapide des métiers de la cybersécurité selon ses évolutions techniques souligne le besoin d’un cadre au plus proche des réalités du marché, afin d’aider à la fois les entreprises dans leur politique de recrutement, les porteurs de formation mais aussi les étudiants ou salariés en reconversion. À ce titre, l’ANSSI poursuit ses efforts d’accompagnement en contribuant à la compréhension et à la structuration du marché de l’emploi de la sécurité des systèmes d’information (SSI). C’est tout l’enjeu de l’Observatoire des métiers de la cybersécurité de l’ANSSI, un espace visant à être en prise avec le marché, les métiers et les enjeux professionnels du secteur cyber, tout en soulignant le besoin croissant de formations en lien avec l’évolutivité du domaine.

Les profils de la cybersécurité

Dans le cadre de l’Observatoire des métiers de la cybersécurité, le Centre de formation à la sécurité des systèmes d’information (CFSSI) a mené des travaux sur la thématique des « Profils de la cybersécurité », donnant lieu à une étude sur le marché de l’emploi en SSI (marché ouvert) et à une enquête en ligne auprès des professionnels de la cybersécurité. Ceci afin de comprendre les deux facettes qui composent le marché de l’emploi cyber : les professionnels, à savoir les experts du métier et les caractéristiques qui les définissent, mais aussi les entreprises recruteuses qui façonnent les besoins et structurent le marché de l’emploi. 45 % des professionnels de la cybersécurité ont moins de 5 ans d’ancienneté, 89 % sont satisfaits de l’exercice de leur métier, ou encore 73 % exercent dans le secteur privé. Ces résultats représentent quelques conclusions issues de la nouvelle enquête de l’Agence nationale de la sécurité des systèmes d’information sur les profils de la cybersécurité, avec le soutien de la délégation générale à l’Emploi et à la Formation professionnelle (DGEFP) et de l’Agence nationale pour la formation professionnelle des adultes (Afpa).

Profil type d’un professionnel de la cybersécurité

• un homme ;
• de 30 à 49 ans ;
• salarié du secteur privé ;
• travaillant en Ile-de-France ;
• consultant cybersécurité ou RSSI ;
• de niveau de qualification Bac +5 ;
• plutôt recruté via le marché caché ;
• régulièrement sollicité par des recruteurs ;
• Issu du domaine informatique/numérique ;
• travaillant dans une structure de 1 000 salariés et plus ;
• de moins de 10 ans d’expérience dans la cybersécurité ;
• travaillant dans une structure non spécialisée en cybersécurité ;
• 100% de son temps est consacré aux questions de cybersécurité ;
• travaillant au sein d’une équipe de professionnels de la cybersécurité.

Les trois métiers les plus représentés

Consultant cybersécurité

• 88,9 % d’hommes ;
• 15,6 % sont non-salariés ;
• 83,7 % ont un niveau de qualification Bac+5 et plus ;
• 40 % ont moins de 30 ans et 10,5% ont 50 ans et plus ;
• 64,4 % travaillent dans une structure spécialisée en cybersécurité ;
• 15 % travaillent dans une structure de moins de 10 salariés et 51,3 % dans une structure de 1000 salariés et plus ;
• 28,8 % travaillent pour une structure de prestations spécialisées en cybersécurité, 24,3 % pour une structure spécialisée en informatique/ numérique et 18,9% pour une structure de services aux entreprises.

RSSI

• 91,7 % d’hommes ;
• 6,5 % sont non-salariés ;
• 9,3 % sont non-salariés ;
• 69,7 % ont un niveau de qualification Bac+5 et plus ;
• 8,4 % ont moins de 30 ans et 25,5 % ont 50 ans et plus ;
• 83 % travaillent dans une structure non spécialisée en cybersécurité ;
• 5,8 % travaillent dans une structure de moins de 10 salariés et 60,4 % dans une structure de 1000 salariés et plus ;
• 16,5 % travaillent pour une structure spécialisée en informatique/numérique, 15 % pour une structure de banque/assurance, et 11,6 % pour une administration publique/collectivité territoriale.

Architecte sécurité

• 96,7 % d’hommes ;
• 77,1 % ont un niveau de qualification Bac+5 et plus ;
• 19,8 % ont moins de 30 ans et 12,6 % ont 50 ans et plus ;
• 45,7 % travaillent dans une structure spécialisée en cybersécurité ;
• 11,4 % travaillent dans une structure de moins de 10 salariés et 56,5 % dans une structure de 1000 salariés et plus ;
• 23,5 % travaillent pour une structure spécialisée en d’informatique/numérique, 12,5 % pour une structure de l’industrie aéronautique, spatiale ou la défense et 12,5 % pour une structure de prestations spécialisées en cybersécurité.

Le domaine de la cybersécurité se caractérise par une forte intégration de nouveaux profils. En effet, près de 45 % des répondants ont 5 ans et moins d’expérience en cybersécurité. Les professionnels sont principalement issus d’environnements techniques : cybersécurité et informatique pour 88 % d’entre eux. Ils sont aussi très qualifiés, près de 75 % de niveau ont un niveau bac +5 et plus et 53,4 % ont un diplôme et/ou une certification dans le domaine de la cybersécurité.

L’accès aux métiers de la cybersécurité se fait à tout âge. Si près de 47 % des nouveaux entrants ont moins de 30 ans, 29,3 % sont par contre âgés de 40 ans et plus. (5 et moins d’expérience en cybersécurité) Si l’on regarde les domaines d’expertise d’origine des entrants de la cybersécurité, on constate que 30% d’entre eux étaient déjà dans la cybersécurité, environ la moitié dans le domaine général de l’informatique et 21% dans d’autres domaines d’expertise. Parmi ces nouveaux entrants, 51 % n’ont ni diplôme, ni certification en cybersécurité. Cette proportion diminue à 40 % pour les professionnels ayant 10 ans et plus d’expérience en cybersécurité. Il semble qu’une des stratégies de parcours de carrière soit la reconnaissance de ses compétences par la certification. En effet, les répondants ayant 10 ans et plus d’expérience sont plus de 35 % à avoir une certification uniquement en cybersécurité contre 18 % pour les entrants dans le domaine de la cybersécurité.

Le panorame des métiers

La numérisation croissante des échanges et des activités économiques ainsi que le développement et la complexification de la menace cyber rendent chaque jour plus urgent le besoin de doter les entreprises et les administrations de personnels formés, qualifiés et compétents en matière de cybersécurité. Ce constat fait aujourd’hui l’objet d’un consensus partagé.

L’ANSSI a mis en place des dispositifs pour impulser, encourager et reconnaître les initiatives en matière de développement des formations et de diffusion des bonnes pratiques. À ce titre, le Centre de formation à la sécurité des systèmes d’information (CFSSI) intervient dans la définition et la mise en œuvre de la politique de formation à la sécurité des systèmes d’information et propose des formations dispensées par des experts de l’ANSSI. Le Panorama des métiers de la cybersécurité vise à guider les entreprises dans leur politique de recrutement, à accompagner les chargés de formation et à encourager les étudiants ou les salariés en reconversion. Il propose une vision claire et partagée des différents métiers du secteur pour structurer le marché de l’emploi cyber en plein essor.

L’ANSSI propose une nomenclature de métiers de la sécurité dans le numérique qui a vocation à être déclinée par chaque organisation selon ses spécificités.
Chaque fiche métier est autoporteuse et peut être utilisée indépendamment des autres fiches métiers proposées dans le document, ce qui explique certains recoupements d’activités entre plusieurs métiers.

Gestion de la sécurité et pilotage des projets de sécurité

• Coordinateur sécurité ;
• Directeur Cybersécurité ;
• Responsable de projet de sécurité ;
• Directeur de programme de sécurité ;
• Responsable de la Sécurité des Systèmes d’Information (RSSI) ;
• Déclinaison pour le Responsable de sécurité des SI au sein d’une PME / TPE.

Conception et maintien d’un si sécurisé

• Cryptologue ;
• Architecte sécurité ;
• Chef sécurité de projet ;
• Auditeur de sécurité technique ;
• Auditeur de sécurité organisationnelle ;
• Spécialiste en développement sécurisé ;
• Administrateur de solutions de sécurité ;
• Spécialiste sécurité d’un domaine technique.

Gestion des incidents et des crises de sécurité

• Responsable du SOC ;
• Opérateur analyste SOC ;
• Responsable du CSIRT ;
• Analyste de la menace cybersécurité ;
• Gestionnaire de crise de cybersécurité ;
• Analyste réponse aux incidents de sécurité.

Conseil, services et recherche

• Consultant en cybersécurité ;
• Formateur en cybersécurité ;
• Développeur de solutions de sécurité ;
• Intégrateur de solutions de sécurité ;
• Chercheur en sécurité des systèmes d’information ;
• Évaluateur de la sécurité des technologies de l’information.

L’enquête met en lumière des niveaux de rémunération très variables. Tandis que la majorité des professionnels de la cybersécurité (50 %) perçoivent entre 35 000 € et 64 999 € bruts par an, 12 % perçoivent moins de 35 000€ bruts par an et 12 % touchent 100 000 € ou plus bruts par an. Ces écarts de salaires semblent être corrélés à la taille de l’organisation : plus de 40 % des professionnels les moins rémunérés (moins de 35 000 € annuellement) travaillent dans des structures de moins de 250 salariés. A l’opposé, plus de 63 % des plus rémunérés (75 000 € et plus annuellement) sont employés dans des structures de 1 000 salariés et plus.

Des professionnels de la cybersécurité stressés mais satisfaits Si près des deux tiers des professionnels de la cybersécurité (63 %) jugent leur travail stressant ou très stressant, ils souhaitent pour la plupart continuer d’exercer dans ce secteur. Enfin, les professionnels de la cybersécurité semblent s’épanouir dans leur quotidien : 80 % estiment que les enjeux de la cybersécurité sont pris en compte dans leur structure et 89 % sont satisfaits de l’exercice de leur métier.

Source : ANSSI

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous des différents résultats de l’enquête ?

Souhaiteriez-vous migrer vers les métiers de la cybersécurité ?

Voir aussi :

Cybersécurité : le manque de moyens humains et d'expertise empêche les organismes financiers de protéger les données dans le cloud, selon une nouvelle étude de Netwrix

56 % des incidents majeurs de cybersécurité ces cinq dernières années concernaient des applications web vulnérables, exploitées majoritairement par des cybercriminels Etatiques, selon un rapport de F5

Cybersécurité : plus de 3 milliards de mots de passe Gmail et Hotmail divulgués en ligne et aussi des identifiants de connexion à des sites comme Netflix, LinkedIn, et bien d'autres

Cybersécurité : Les menaces internes sont désormais plus fréquentes que les menaces externes, suite au travail à distance, selon une enquête de Netwrix

[marsupial]

Je suis surpris du niveau de satisfaction des salariés, bien que stressés, et de la reconnaissance de leur travail dans le domaine allant à rebours des autres études. Peut-être est-ce dû à la politique de la France en matière de sécurité.

Je suis tout aussi surpris du nombre de métiers tournants autour de la sécurité.

[Mingolito]

Ben c'est comme les "Ingénieurs réseaux", il y en a pas mal qui bossent qu'une ou deux heures par jour et le reste du temps c'est jeux vidéos

Donc 1 ou 2 h par jour et tout en étant très bien payé, la bonne planque

A coté un développeur web non diplômé qui taf dans une startup 50 h par semaine pour être payé 35 h presque au Smic smic c'est la dèche

[Mat.M]

ingénieur réseau c'est une fonction appelée à disparaître étant donné que les entreprises envoient leurs données dans le Cloud.
Donc pas grand intérêt à avoir un réseau d'entreprise.

[yento]

Ben c'est comme les "Ingénieurs réseaux", il y en a pas mal qui bossent qu'une ou deux heures par jour et le reste du temps c'est jeux vidéos

Donc 1 ou 2 h par jour et tout en étant très bien payé, la bonne planque

Ingenieur reseau etait un metier precaire qui a quasiment disparu.
Et je parle d'experience.

Un reseau se met en place sur quelques semaines (ou mois). C'est un metier de consultant, on est envoye a droite a gauche pour faire une installation, puis une autre.
A moins de travailler chez Cisco ou un partenaire (revendeur ou grosse SSII), c'est mission impossible d'avoir du travail en continu.

Et si c'etait pas assez difficile, le cloud est arrive et les reseaux physiques ont disparu. Le reseau existe toujours mais de maniere virtualise (AWS et compagnie) et absolument aucune entreprise ne recrute un ingenieur reseau pour AWS.
On peut se reconvertir en DevOps/SRE, a part ca le metier est mort.

Il reste une poignee d'entreprises avec des grosses infrastructures physiques (type CDN, datacenter, FANG, HFT, banque) et des datacenters a travers le monde, qui apprécient les competences reseaux et ont quelques postes de niches, mais les places sont rares et pas forcement annonces sur l'apec. Et au final le reseau c'est juste une des 5 pattes a montrer en entretien sinon rejete.

[walfrat]

Ben c'est comme les "Ingénieurs réseaux", il y en a pas mal qui bossent qu'une ou deux heures par jour et le reste du temps c'est jeux vidéos

Donc 1 ou 2 h par jour et tout en étant très bien payé, la bonne planque

A coté un développeur web non diplômé qui taf dans une startup 50 h par semaine pour être payé 35 h presque au Smic smic c'est la dèche

Un ingénieur réseau à la responsabilité que l'entièreté du réseau sous sa responsabilité fonctionne. Toi le dev mal payé t'as juste une applis type formulaire/bdd a charge, si elle marche pas, c'est pas le même impact sur l'entreprise.