45% des professionnels de la cybersécurité ont moins de 5 ans d’ancienneté, 50 % perçoivent entre 35 000 € et 64 999 € brut par an, et 89% sont satisfaits de l’exercice de leur métier, d'après une enquête de l'ANSSI rendue publique à l'occasion du lancement de son Observatoire des métiers de la cybersécurité.
L'ANSSI continue de documenter la montée en puissance des métiers de la cybersécurité. En 2020, elle avait en effet publié une version actualisée de son Panorama des métiers de la cybersécurité, censé « guider les entreprises dans leur politique de recrutement, à accompagner les chargés de formation et à encourager les étudiants ou les salariés en reconversion ».
Cette année, elle lance un Observatoire des métiers de la cybersécurité afin de « mieux comprendre le marché de l’emploi cyber et la diversification rapide de ses métiers [et] d’approfondir la connaissance d’un marché en pleine croissance et des professionnels concernés ».
L'ANSSI veut également pouvoir ainsi aider « les entreprises dans leur politique de recrutement, les porteurs de formation mais aussi les étudiants ou salariés en reconversion ».
Objectif : « dépasser les clichés et regrouper des informations objectives (enquêtes, rapports, infographies) sur le secteur, les profils, les métiers et les formations en cybersécurité ».
Avec le soutien de la délégation générale à l’Emploi et à la Formation professionnelle (DGEFP) et de la direction prospective de l’Agence nationale pour la formation professionnelle des adultes (Afpa), l'ANSSI a ainsi conduit à une étude sur le marché de l’emploi en SSI (marché ouvert) avec pour objectif de « quantifier et d’analyser les 15 665 offres d’emploi, dans le domaine de la cybersécurité, publiées en France en 2019 ».
Elle a aussi lancé en mars-avril 2021 une enquête en ligne auprès des professionnels de la cybersécurité, à laquelle 2 381 personnes ont répondu :
« Ceci afin de comprendre les deux facettes qui composent le marché de l’emploi cyber : les professionnels, à savoir les experts du métier et les caractéristiques qui les définissent, mais aussi les entreprises recruteuses qui façonnent les besoins et structurent le marché de l’emploi.
L’enquête révèle ainsi les tendances chiffrées sur les profils types, la formation, l’expérience, le recrutement, la rémunération ou encore l’épanouissement au travail. »
Si le « profil type » est un homme de 30 à 49 ans, Bac +5, avec moins de 10 ans d'expérience dans la cybersécurité, à laquelle 2 professionnels sur 3 consacrent 100 % de leur temps (72 % dans les structures spécialisées, contre 59 % dans les non spécialisées), travaillant en Ile-de-France dans le secteur privé, « plutôt recruté via le marché caché » et « régulièrement sollicité par des recruteurs », l'enquête révèle un spectre bigarré.
29 % seulement recrutés sur offre d'emploi
On découvre ainsi que 29 % seulement des répondants ont été recrutés après avoir répondu à une offre d’emploi, 12,5 % en « mobilité interne », contre 56,3 % via le « marché caché » (nous y reviendrons).
« Dans les structures non spécialisées en cybersécurité de 1 000 salariés et plus, 70 % des répondants déclarent consacrer l’intégralité de leur temps aux problématiques de cybersécurité contre seulement 25 % dans les structures non spécialisées de 250 salariés et moins. »
Si 89 % sont des hommes (« avec un taux de féminisation un peu plus marqué dans les structures spécialisées » – 12.2 %), que 73 % travaillent dans le secteur privé, et 54 % en Île-de-France, un peu plus du quart se concentrent sur 4 régions : 7 % oeuvrent en Bretagne et en Auvergne-Rhône-Alpes, 6 % en Occitanie, et 5 % en Nouvelle-Aquitaine.
47 % n’ont ni diplôme ni certification spécialisée en cybersécurité
72 % possèdent certes un diplôme ou un niveau de qualification supérieur ou égal à bac +5 (master, diplôme d’école d’ingénieur, DESS, DEA), mais 47 % n’ont « pas de diplôme ni de certification spécialisée en cybersécurité », et 58.3 % exercent dans une structure non spécialisée en cybersécurité :
« Les professionnels sont principalement issus d’environnements techniques : cybersécurité et informatique pour 88 % d’entre eux. Ils sont aussi très qualifiés, près de 75 % de niveau ont un niveau bac +5 et plus et 53,4 % ont un diplôme et/ou une certification dans le domaine de la cybersécurité.
Pour maintenir à jour leurs compétences ou se former, ils plébiscitent largement la veille et les réseaux professionnels (pour 87 % d’entre eux) et l’autoformation (pour 85 %). La formation continue n’est utilisée que par 32% d’entre eux. »
Ces professionnels sans diplôme ni certification spécialisés en cybersécurité sont nettement plus présents dans les structures non spécialisées en cybersécurité (62,4 % contre 37,6 % dans les structures spécialisées en cybersécurité).
A contrario, près de 92 % des professionnels titulaires d’un diplôme en cybersécurité ont une qualification Bac+5 et plus contre 75,9 % pour l’ensemble des répondants. 50,2 % travaillent dans des structures spécialisées en cybersécurité :
« Les moins de 30 ans représentent près plus d’un tiers des répondants titulaires d’un diplôme en cybersécurité. 71 % des moins de 30 ans ont obtenu leur diplôme spécialisé en cybersécurité en formation initiale. Cette particularité peut s’expliquent par le développement récent des diplômes formations initiales spécialisées en cybersécurité. »
De fait, les professionnels de 40 ans et plus représentent 29 % des « diplômés en cybersécurité ». 66 % des 40 ans et plus ont obtenu leur diplôme en formation continue et 48 % proviennent du domaine de l’informatique, numérique hors cybersécurité. Un tiers seulement des répondants a eu recours à la formation continue :
« Le recours à la formation continue est cité par 32,2 % des répondants pour maintenir à jour leurs compétences ou se former. Ils utilisent, aussi, largement la veille ou les réseaux professionnels (cité par 87 % d’entre eux) ou l’autoformation (cité par 84,6 %).
Les deux tiers des professionnels suivent en moyenne 5 jours ou moins de formation par an et 28 % suivent 9 jours et plus. 35 % des professionnels déclarent que la cybersécurité représente un quart ou moins de la durée de leur formation et 37 % plus des trois quarts. »
De plus, et si l’on regarde les domaines d’expertise d’origine des entrants de la cybersécurité, on constate que « 30% d’entre eux étaient déjà dans la cybersécurité, environ la moitié dans le domaine général de l’informatique et 21% dans d’autres domaines d’expertise » :
« Parmi ces nouveaux entrants, 51 % n’ont ni diplôme, ni certification en cybersécurité. Cette proportion diminue à 40 % pour les professionnels ayant 10 ans et plus d’expérience en cybersécurité. Il semble qu’une des stratégies de parcours de carrière soit la reconnaissance de ses compétences par la certification.
En effet, les répondants ayant 10 ans et plus d’expérience sont plus de 35 % à avoir une certification uniquement en cybersécurité contre 18 % pour les entrants dans le domaine de la cybersécurité. »
45 % ont moins de 5 ans d'ancienneté
Parmi les répondants, « 409 (soit 17,2 % de l’ensemble) ne sont pas issus, originellement, des domaines de l’informatique ou de la cybersécurité (essentiellement : juridique, administratif et qualité, marketing/vente/communication, sécurité/sureté et gestion du risque) ».
Près des trois quarts d’entre eux (73,3 %, soit 318 répondants) déclarent exercer un métier issu du Panorama des métiers de la cybersécurité, et un quart un métier connexe ou hors Panorama.
24 % ont moins de 30 ans, 30 % entre 30 et 39, 29 % entre 40 et 49 et 17 % plus de 50. La population travaillant dans des structures spécialisées en cybersécurité est par ailleurs « marquée par une proportion plus forte des moins de 30 ans atteignant près de 30 %, soit 10 points de plus que chez les professionnels des structures non spécialisées ».
31 % ont plus de 11 ans d’ancienneté (dont 16 % plus de 16 ans), 24 % entre 6 et 10 ans, 45 % ont moins de 5 ans (dont 20 % moins de 2 ans), « ce qui témoigne d’un développement récent des métiers et du fort dynamisme de ce secteur ». Les nouveaux entrants « sont à la fois des jeunes diplômés mais également des personnes en reconversion » :
« Si le marché ouvert représente plus de 15 665 offres d’emploi en cybersécurité publiées en France en 2019, les résultats de l'enquête font apparaître un très fort recours au marché caché (réseaux professionnels, approche directe, candidature spontanée...). Ainsi, 56 % des professionnels ont été recrutés via le marché caché et 81 % déclarent avoir été approchés directement au cours des deux dernières années. »
Cette pratique est encore plus répandue s’agissant des professionnels diplômés et/ou certifiés en cybersécurité (92 % contre 71 % pour les non-diplômés, non certifiés). Les modes de recrutement des répondants se distinguent également selon le lieu d’exercice de ces derniers :
« En Île-de-France, 63,8 % des répondants ont été recrutés via le marché caché et 22,6 % via une annonce ou un concours. Hors Île-de-France la proportion est de 47,2 % via le marché caché contre 36 % via une annonce ou un concours. »
50 % perçoivent entre 35 000 € et 64 999 € brut par an
Trois profils sont « particulièrement recherchés » par les employeurs et représentent, à eux seuls, 52 % des offres du marché ouvert : l’ingénieur cybersécurité (30 %), le consultant en cybersécurité (12 %) et l’architecte en cybersécurité (10 %).
Néanmoins, le profil d’ingénieur cybersécurité « recoupe des réalités très différentes ». L’enquête montre en effet que « 14,7 % des offres d’emploi sont imprécises dans leur contenu, ce qui peut s’expliquer soit par un besoin peu défini, soit par l’attente d’un panel large de candidatures. Ces offres d’emploi très génériques risquent alors d’être peu attractives pour les potentiels candidats ».
De plus, si 46 % des offres d’emploi sont situées en Ile-de-France et que 66,9 % des offres d’emploi sont de niveau bac + 5 pour celles dont le niveau est précisé, « le profil de RSSI, qui correspond par ailleurs au second métier occupé par les professionnels répondants enquêtés, ne représente que 3,1 % des offres d’emploi ».
90 % des répondants salariés sont en CDI ou fonctionnaires. L’enquête met cela dit en lumière « des niveaux de rémunération très variables ». Tandis que la majorité des professionnels de la cybersécurité (50 %) perçoivent entre 35 000 € et 64 999 € brut par an, 38 % touchent plus de 65 000 € (dont 12 % 100 000 € ou plus), et 12 % moins de 35 000 € :
« Ces écarts de salaires semblent être corrélés à la taille de l’organisation : plus de 40 % des professionnels les moins rémunérés (moins de 35 000 € annuellement) travaillent dans des structures de moins de 250 salariés. A l’opposé, plus de 63 % des plus rémunérés (75 000 € et plus annuellement) sont employés dans des structures de 1 000 salariés et plus. »
15,7 % des professionnels exerçant dans une structure spécialisée en cybersécurité travaillent dans une structure de moins de 10 salariés, 68,6 % dans des structures de moins de 1 000 salariés. A contrario, 68,2 % des professionnels exerçant dans une structure non spécialisée en cybersécurité travaillent dans une structure de plus de 1 000 salariés.
63 % stressés, mais 89 % satisfaits
En termes de vécu et de perspectives professionnelles, « un premier élément important pour cette famille professionnelle est que 89 % des professionnels se déclarent satisfaits de leur travail (satisfait et tout à fait satisfait) » :
« Le temps de travail dédié aux questions de cybersécurité influe sur le degré de satisfaction. Ainsi près de 38 % des professionnels dont 100 % du temps de travail est dédié aux questions de cybersécurité, sont tout à fait satisfaits contre 18,1 % pour ceux consacrant 25 % et moins de leur temps de travail aux questions de cybersécurité. »
Si près des deux tiers jugent leur travail stressant (13 %) ou très stressant (50 %), les professionnels ont « majoritairement une stratégie de maintien dans leur métier et dans le domaine de la cybersécurité », et souhaitent pour la plupart continuer d’exercer dans ce secteur :
« Les professionnels de la cybersécurité sont ainsi très majoritairement satisfaits de leur travail et s’inscrivent dans des comportements proactifs de maintien dans l’emploi et d’évolution professionnelle. Les stratégies professionnelles les plus citées sont :
• le développement des compétences pour 86 %
• le fait d’évoluer en changeant d’employeur pour 62 %
• le changement de fonction au sein de leur structure pour 53 % »
Enfin, les professionnels de la cybersécurité semblent s’épanouir dans leur quotidien : « 80 % estiment que les enjeux de la cybersécurité sont pris en compte dans leur structure et 89 % sont satisfaits de l’exercice de leur métier et souhaitent poursuivre activement leurs carrières », un « argument pour les étudiants ou salariés souhaitant s’orienter vers la cybersécurité » :
« Seuls 14 % des répondants pourraient avoir l’intention de quitter le domaine de la cybersécurité ; ces répondants ne présentent pas de caractéristiques particulières majeures au regard de l’ensemble de la population. Les données issues de l’enquête ne permettent pas en cela d’expliquer si l’intention de quitter le domaine de la cybersécurité est liée à des facteurs professionnels ou extra-professionnels. »
Commentaires (13)
#1
même si je suis le 1er à reconnaitre que ce que j’ai appris à l’école ne me sert pas beaucoup mais mon diplôme correspond à mon métier, je trouve quand même incroyable que 46.6% de la cybersécurité soit faite par des non diplômés en cybersécurité. S’il y avait eu genre 10% ne m’aurait pas plus étonné que ça car j’ai connu des gens qui étaient des hacker nés et qui n’aurait aucun problème pour gérer la cybersécurité d’une boite.
Ceci étant dis il y a régulièrement de nouvelle faille et donc de nouveau scénario de pénétration ou d’infection des systèmes il faut donc avoir une formation continue ou se remettre à la page régulièrement.
Je pense que comme dans tout métier, Il y a quand même des bases à apprendre et à savoir mettre en oeuvre que près de la moitié des responsables cybersécurité n’ont pas. Pas étonnant qu’il y ait régulièrement des leaks avec souvent des erreurs humaines bête à la base (ancien serveur non patché, mdp admin toujours le même etc…)
#1.1
La cybersécurité ne se resume pas à la cybersécurité offensive (pentesting, etc). Il n’y a pas besoin d’avoir un diplôme spécialisé en cyber si vous avez une bonne compréhension technique du SI, comprendre les process critiques et mettre en place la gouvernance de la sécurité dans votre organisation.
#1.3
comme vous dites si vous avez une bonne compréhension du SI mais ça s’apprend aussi
ici on ne sait pas s’ils ont appris sur le tas ou s’ils ont ces bases là par exemple.
certes dis comme ça c’est mauvais mais combien vaut l’image de marque perdue s’il y a intrusion et combien vallent les données dérobées ? exemple savoir qu’un patient à un traitement anti cancéreux peux valoir 20k$ sur le marché noir. le problème est bien là c’est que les données que vous avez n’ont pas de prix pour vos dirigeants mais ont un prix réel sur le marché
#1.2
Le problème n’est pas forcément la formation, patcher et mettre à jour cela coûte une blinde.
Exemple sur un projet réel, remplacer un logiciel métier coder en flash (^^), coût du projet estimé à plus de 10 millions pour un résultat iso fonctionnel, c’est pas vendeur ^^
#2
Les compétences techniques ne suffisent pas à assurer la cybersécurité d’une organisation, loin de là.
#3
Bah dans mon cas, j’aimerai bien me réorienter dans un boulot sur la sécurité des webservices (je bosse principalement sur la disponibilité des webservices), mais aujourd’hui je n’ai pas de certification ou formation dans ce domaine et ma boîte actuelle ne me les paiera pas. Si je souhaite rentrer sur ce domaine, il faut que je trouve un job dans la sécurité informatique ou je pourrais être formé et travailler en équipe avec des gens compétent qui m’aideront à grandir dans ce domaine (sans que l’on me donne trop de responsabilité dès le départ car pas assez compétent). Mais je ne pourrais, je ne pense pas, arriver dans la sécurité informatique avec un diplôme ou une certification en poche.
#4
Après, est-ce que les formations continues diplômantes sont légion ? Y’a t’il un panel de certifications qui font, un minimum consensus ? Ou y’a t’il de vrais manques en la matière ?
-Pas de troll, je m’interroge vraiment à ce sujet-
#4.1
Les formations labelisées SecNumEdu par l’ANSSI sont un vrai gage de qualité :
#5
Perso, j’ai travaillé pendant des années dans le domaine de grandes entreprises, et je dois dire que c’est malheureusement encore trop souvent un milieu dogmatique, désespérément agrippé à des recettes de cuisine, souvent incapable de prendre en compte une preuve scientifique, et capable de foutre en l’air la sécurité des plateformes pour vouloir mieux les observer avec des outils mal faits, dangereux et inadaptés. La pratique du “un problème = un produit” y est encore très présente et peu sont ceux qui viennent mettre en avant la méthodologie plutôt que la fiche produit.
Pas plus tard que la semaine passée, j’ai encore eu une conversation abracadabrante autour du PAM (Privileged Access Management), où un responsable sécurité mettait en avant l’obligation de changer de mode de travail dans kubernetes, d’arrèter de donner des privilèges aux devs et aux gestionnaires applicatifs sur leurs propres namespaces, et créer tout un tas de compte admin partagés pour faire une élévation de privilèges formelle dans l’outil à la con qu’ils ont acheté … a bouffer de l’herbe… (peur ceux qui se posent la question, dans kubernetes, si on le désire, il y a une traçabilité totale de qui fait quoi, un rbac correctement étoffé pour héberger plusieurs clients, … et la solution en question met toute cette traçabilité par terre pour utiliser des comptes anonymes et créer des preuves vidéo en lieu et place d’un audit correct et sans ambigüité ).
Et j’en passe…
#6
Il faut remettre en perspective le chiffre.
45% des gens ont moins de 5 ans d’ancienneté dans le domaine. Je fais partie de ceux-là (à peu de choses près), et à mon époque, il n’y avait que 2 ou 3 écoles qui proposaient des formations initiales spécialisées en cybersécurité.
Donc les 55% ayant plus de 5 ans d’ancienneté se sont soit formés dans ces formations (si elles existaient à leur époque), soit viennent de quelque part ailleurs, ce qui explique le chiffre.
Ca ne me choque pas au vu de l’écosystème de formation d’alors, et même maintenant, qui reste léger par rapport aux besoins du marché
C’est un fait que dire que la sécurité te ramènera jamais d’argent (encore que, ça peut se discuter si tes certifié ISO 27001 et que tes clients font attention à ça) comparé à la vente d’un nouveau produit ou autre.
Mais elle évitera de t’en faire perdre le jour où tu te fais méchamment poutrer parce que t’as pas mis en place des mesures parfois basiques ;)
#7
La mise en place d’un bastion est pourtant souvent préconisée, l’ANSSI le met en avant dans ses référentiels je crois.
L’intérêt c’est de mutualiser (forcer) l’utilisation du bastion sur le maximum d’éléments du SI.
#8
Le bastion en tant qu’infrastructure de transit des utilisateurs permettant de réduire la surface d’attaque d’une plateforme est une bonne idée dans de nombreux cas, le problème ici n’est pas par rapport au bastion, mais par rapport à la gestion d’identité des utilisateurs, à savoir l’introduction d’un archaïsme façon “compte root” là où on a un RBAC riche permettant de minimiser les privilèges des utilisateurs selon leurs rôles et de garder la traçabilité des actions.
Quand une plateforme est accédée à 100% via API, la traiter comme un shell système ne rime à rien et crée en plus de nombreux angles morts.
Quand on vous fait démonter la sécurité d’une plateforme cohérente pour faciliter le réemploi de procédures de sécurité inadaptées, conçues pour un contexte qui n’a rien à voir, posez-vous la question si le personnel de sécurité est compétent.
#9
Je suis d’accord. Je suis confronté au sujet en ce moment. C’est un vrai gain de sécu sur des comptes systèmes qui sont génériques et partagés.
Par contre pour les applications web avec audit des actions individualisé c’est une catastrophe et e n’est sans doute pas une bonne idée.