45% des professionnels de la cybersécurité ont moins de 5 ans d’ancienneté, 50 % perçoivent entre 35 000 € et 64 999 € brut par an, et 89% sont satisfaits de l’exercice de leur métier, d'après une enquête de l'ANSSI rendue publique à l'occasion du lancement de son Observatoire des métiers de la cybersécurité.
L'ANSSI continue de documenter la montée en puissance des métiers de la cybersécurité. En 2020, elle avait en effet publié une version actualisée de son Panorama des métiers de la cybersécurité, censé « guider les entreprises dans leur politique de recrutement, à accompagner les chargés de formation et à encourager les étudiants ou les salariés en reconversion ».
Cette année, elle lance un Observatoire des métiers de la cybersécurité afin de « mieux comprendre le marché de l’emploi cyber et la diversification rapide de ses métiers [et] d’approfondir la connaissance d’un marché en pleine croissance et des professionnels concernés ».
L'ANSSI veut également pouvoir ainsi aider « les entreprises dans leur politique de recrutement, les porteurs de formation mais aussi les étudiants ou salariés en reconversion ».
Objectif : « dépasser les clichés et regrouper des informations objectives (enquêtes, rapports, infographies) sur le secteur, les profils, les métiers et les formations en cybersécurité ».
Avec le soutien de la délégation générale à l’Emploi et à la Formation professionnelle (DGEFP) et de la direction prospective de l’Agence nationale pour la formation professionnelle des adultes (Afpa), l'ANSSI a ainsi conduit à une étude sur le marché de l’emploi en SSI (marché ouvert) avec pour objectif de « quantifier et d’analyser les 15 665 offres d’emploi, dans le domaine de la cybersécurité, publiées en France en 2019 ».
Elle a aussi lancé en mars-avril 2021 une enquête en ligne auprès des professionnels de la cybersécurité, à laquelle 2 381 personnes ont répondu :
« Ceci afin de comprendre les deux facettes qui composent le marché de l’emploi cyber : les professionnels, à savoir les experts du métier et les caractéristiques qui les définissent, mais aussi les entreprises recruteuses qui façonnent les besoins et structurent le marché de l’emploi.
L’enquête révèle ainsi les tendances chiffrées sur les profils types, la formation, l’expérience, le recrutement, la rémunération ou encore l’épanouissement au travail. »
Si le « profil type » est un homme de 30 à 49 ans, Bac +5, avec moins de 10 ans d'expérience dans la cybersécurité, à laquelle 2 professionnels sur 3 consacrent 100 % de leur temps (72 % dans les structures spécialisées, contre 59 % dans les non spécialisées), travaillant en Ile-de-France dans le secteur privé, « plutôt recruté via le marché caché » et « régulièrement sollicité par des recruteurs », l'enquête révèle un spectre bigarré.
29 % seulement recrutés sur offre d'emploi
On découvre ainsi que 29 % seulement des répondants ont été recrutés après avoir répondu à une offre d’emploi, 12,5 % en « mobilité interne », contre 56,3 % via le « marché caché » (nous y reviendrons).
« Dans les structures non spécialisées en cybersécurité de 1 000 salariés et plus, 70 % des répondants déclarent consacrer l’intégralité de leur temps aux problématiques de cybersécurité contre seulement 25 % dans les structures non spécialisées de 250 salariés et moins. »
Si 89 % sont des hommes (« avec un taux de féminisation un peu plus marqué dans les structures spécialisées » – 12.2 %), que 73 % travaillent dans le secteur privé, et 54 % en Île-de-France, un peu plus du quart se concentrent sur 4 régions : 7 % oeuvrent en Bretagne et en Auvergne-Rhône-Alpes, 6 % en Occitanie, et 5 % en Nouvelle-Aquitaine.
47 % n’ont ni diplôme ni certification spécialisée en cybersécurité
72 % possèdent certes un diplôme ou un niveau de qualification supérieur ou égal à bac +5 (master, diplôme d’école d’ingénieur, DESS, DEA), mais 47 % n’ont « pas de diplôme ni de certification spécialisée en cybersécurité », et 58.3 % exercent dans une structure non spécialisée en cybersécurité :
« Les professionnels sont principalement issus d’environnements techniques : cybersécurité et informatique pour 88 % d’entre eux. Ils sont aussi très qualifiés, près de 75 % de niveau ont un niveau bac +5 et plus et 53,4 % ont un diplôme et/ou une certification dans le domaine de la cybersécurité.
Pour maintenir à jour leurs compétences ou se former, ils plébiscitent largement la veille et les réseaux professionnels (pour 87 % d’entre eux) et l’autoformation (pour 85 %). La formation continue n’est utilisée que par 32% d’entre eux. »
Ces professionnels sans diplôme ni certification spécialisés en cybersécurité sont nettement plus présents dans les structures non spécialisées en cybersécurité (62,4 % contre 37,6 % dans les structures spécialisées en cybersécurité).
A contrario, près de 92 % des professionnels titulaires d’un diplôme en cybersécurité ont une qualification Bac+5 et plus contre 75,9 % pour l’ensemble des répondants. 50,2 % travaillent dans des structures spécialisées en cybersécurité :
« Les moins de 30 ans représentent près plus d’un tiers des répondants titulaires d’un diplôme en cybersécurité. 71 % des moins de 30 ans ont obtenu leur diplôme spécialisé en cybersécurité en formation initiale. Cette particularité peut s’expliquent par le développement récent des diplômes formations initiales spécialisées en cybersécurité. »
De fait, les professionnels de 40 ans et plus représentent 29 % des « diplômés en cybersécurité ». 66 % des 40 ans et plus ont obtenu leur diplôme en formation continue et 48 % proviennent du domaine de l’informatique, numérique hors cybersécurité. Un tiers seulement des répondants a eu recours à la formation continue :
« Le recours à la formation continue est cité par 32,2 % des répondants pour maintenir à jour leurs compétences ou se former. Ils utilisent, aussi, largement la veille ou les réseaux professionnels (cité par 87 % d’entre eux) ou l’autoformation (cité par 84,6 %).
Les deux tiers des professionnels suivent en moyenne 5 jours ou moins de formation par an et 28 % suivent 9 jours et plus. 35 % des professionnels déclarent que la cybersécurité représente un quart ou moins de la durée de leur formation et 37 % plus des trois quarts. »
De plus, et si l’on regarde les domaines d’expertise d’origine des entrants de la cybersécurité, on constate que « 30% d’entre eux étaient déjà dans la cybersécurité, environ la moitié dans le domaine général de l’informatique et 21% dans d’autres domaines d’expertise » :
« Parmi ces nouveaux entrants, 51 % n’ont ni diplôme, ni certification en cybersécurité. Cette proportion diminue à 40 % pour les professionnels ayant 10 ans et plus d’expérience en cybersécurité. Il semble qu’une des stratégies de parcours de carrière soit la reconnaissance de ses compétences par la certification.
En effet, les répondants ayant 10 ans et plus d’expérience sont plus de 35 % à avoir une certification uniquement en cybersécurité contre 18 % pour les entrants dans le domaine de la cybersécurité. »
45 % ont moins de 5 ans d'ancienneté
Parmi les répondants, « 409 (soit 17,2 % de l’ensemble) ne sont pas issus, originellement, des domaines de l’informatique ou de la cybersécurité (essentiellement : juridique, administratif et qualité, marketing/vente/communication, sécurité/sureté et gestion du risque) ».
Près des trois quarts d’entre eux (73,3 %, soit 318 répondants) déclarent exercer un métier issu du Panorama des métiers de la cybersécurité, et un quart un métier connexe ou hors Panorama.
24 % ont moins de 30 ans, 30 % entre 30 et 39, 29 % entre 40 et 49 et 17 % plus de 50. La population travaillant dans des structures spécialisées en cybersécurité est par ailleurs « marquée par une proportion plus forte des moins de 30 ans atteignant près de 30 %, soit 10 points de plus que chez les professionnels des structures non spécialisées ».
31 % ont plus de 11 ans d’ancienneté (dont 16 % plus de 16 ans), 24 % entre 6 et 10 ans, 45 % ont moins de 5 ans (dont 20 % moins de 2 ans), « ce qui témoigne d’un développement récent des métiers et du fort dynamisme de ce secteur ». Les nouveaux entrants « sont à la fois des jeunes diplômés mais également des personnes en reconversion » :
« Si le marché ouvert représente plus de 15 665 offres d’emploi en cybersécurité publiées en France en 2019, les résultats de l'enquête font apparaître un très fort recours au marché caché (réseaux professionnels, approche directe, candidature spontanée...). Ainsi, 56 % des professionnels ont été recrutés via le marché caché et 81 % déclarent avoir été approchés directement au cours des deux dernières années. »
Cette pratique est encore plus répandue s’agissant des professionnels diplômés et/ou certifiés en cybersécurité (92 % contre 71 % pour les non-diplômés, non certifiés). Les modes de recrutement des répondants se distinguent également selon le lieu d’exercice de ces derniers :
« En Île-de-France, 63,8 % des répondants ont été recrutés via le marché caché et 22,6 % via une annonce ou un concours. Hors Île-de-France la proportion est de 47,2 % via le marché caché contre 36 % via une annonce ou un concours. »
50 % perçoivent entre 35 000 € et 64 999 € brut par an
Trois profils sont « particulièrement recherchés » par les employeurs et représentent, à eux seuls, 52 % des offres du marché ouvert : l’ingénieur cybersécurité (30 %), le consultant en cybersécurité (12 %) et l’architecte en cybersécurité (10 %).
Néanmoins, le profil d’ingénieur cybersécurité « recoupe des réalités très différentes ». L’enquête montre en effet que « 14,7 % des offres d’emploi sont imprécises dans leur contenu, ce qui peut s’expliquer soit par un besoin peu défini, soit par l’attente d’un panel large de candidatures. Ces offres d’emploi très génériques risquent alors d’être peu attractives pour les potentiels candidats ».
De plus, si 46 % des offres d’emploi sont situées en Ile-de-France et que 66,9 % des offres d’emploi sont de niveau bac + 5 pour celles dont le niveau est précisé, « le profil de RSSI, qui correspond par ailleurs au second métier occupé par les professionnels répondants enquêtés, ne représente que 3,1 % des offres d’emploi ».
90 % des répondants salariés sont en CDI ou fonctionnaires. L’enquête met cela dit en lumière « des niveaux de rémunération très variables ». Tandis que la majorité des professionnels de la cybersécurité (50 %) perçoivent entre 35 000 € et 64 999 € brut par an, 38 % touchent plus de 65 000 € (dont 12 % 100 000 € ou plus), et 12 % moins de 35 000 € :
« Ces écarts de salaires semblent être corrélés à la taille de l’organisation : plus de 40 % des professionnels les moins rémunérés (moins de 35 000 € annuellement) travaillent dans des structures de moins de 250 salariés. A l’opposé, plus de 63 % des plus rémunérés (75 000 € et plus annuellement) sont employés dans des structures de 1 000 salariés et plus. »
15,7 % des professionnels exerçant dans une structure spécialisée en cybersécurité travaillent dans une structure de moins de 10 salariés, 68,6 % dans des structures de moins de 1 000 salariés. A contrario, 68,2 % des professionnels exerçant dans une structure non spécialisée en cybersécurité travaillent dans une structure de plus de 1 000 salariés.
63 % stressés, mais 89 % satisfaits
En termes de vécu et de perspectives professionnelles, « un premier élément important pour cette famille professionnelle est que 89 % des professionnels se déclarent satisfaits de leur travail (satisfait et tout à fait satisfait) » :
« Le temps de travail dédié aux questions de cybersécurité influe sur le degré de satisfaction. Ainsi près de 38 % des professionnels dont 100 % du temps de travail est dédié aux questions de cybersécurité, sont tout à fait satisfaits contre 18,1 % pour ceux consacrant 25 % et moins de leur temps de travail aux questions de cybersécurité. »
Si près des deux tiers jugent leur travail stressant (13 %) ou très stressant (50 %), les professionnels ont « majoritairement une stratégie de maintien dans leur métier et dans le domaine de la cybersécurité », et souhaitent pour la plupart continuer d’exercer dans ce secteur :
« Les professionnels de la cybersécurité sont ainsi très majoritairement satisfaits de leur travail et s’inscrivent dans des comportements proactifs de maintien dans l’emploi et d’évolution professionnelle. Les stratégies professionnelles les plus citées sont :
• le développement des compétences pour 86 %
• le fait d’évoluer en changeant d’employeur pour 62 %
• le changement de fonction au sein de leur structure pour 53 % »
Enfin, les professionnels de la cybersécurité semblent s’épanouir dans leur quotidien : « 80 % estiment que les enjeux de la cybersécurité sont pris en compte dans leur structure et 89 % sont satisfaits de l’exercice de leur métier et souhaitent poursuivre activement leurs carrières », un « argument pour les étudiants ou salariés souhaitant s’orienter vers la cybersécurité » :
« Seuls 14 % des répondants pourraient avoir l’intention de quitter le domaine de la cybersécurité ; ces répondants ne présentent pas de caractéristiques particulières majeures au regard de l’ensemble de la population. Les données issues de l’enquête ne permettent pas en cela d’expliquer si l’intention de quitter le domaine de la cybersécurité est liée à des facteurs professionnels ou extra-professionnels. »
