La vague de leaks qui frappe actuellement tant les entreprises privées que les organisations publiques n’a rien de surprenant. La France est à la fois mal équipée, mais surtout elle souffre d’un manque de compétences en cybersécurité. Un déficit chronique de talents qui n’a fait que s’accroître ces 10 dernières années.

La fuite de données qui a frappé l’Agence nationale des titres sécurisés (ANTS) va laisser des traces. Le 15 avril 2026, ce sont de l’ordre de 11,7 millions de lignes de données qui ont été volées à ce que l’on pouvait considérer comme l’une des bases de données les mieux surveillées de France. C’est en effet l’ANTS qui délivre les documents d’identité officiels de l’Etat français… Pire, « breach3d », le hacker qui a réussi cet « exploit », n’a que 15 ans et la faille de sécurité qu’il a exploitée est une vulnérabilité IDOR (Insecure Direct Object Reference), une faille tout à fait basique et bien connue. On est loin d’une attaque menée par un groupe étatique aux moyens illimités ou par un génie doté d’une solide expérience…

Ce que cette affaire révèle, c’est le manque de moyens mis en œuvre tant par certains pans du secteur public, mais aussi par de nombreuses entreprises privées pour sécuriser leurs données. Un manque de moyens budgétaires, mais aussi et surtout humains. Toutes les études montrent un déficit chronique de compétences cyber. Au niveau mondial, le rapport annuel Cybersecurity Workforce Study de l’ISC2 (Cybersecurity Certifications and Continuing Education), une association qui a certifié 265 000 professionnels, évalue à 4 millions le nombre de postes manquants ! En France, le constat est le même. Le CESIN, club des responsables de la cybersécurité des grandes entreprises françaises, estime que 7 organisations sur 10 ne disposent pas des ressources nécessaires pour faire face aux menaces. Une étude de l’Observatoire Paritaire des Métiers du Numérique, de l’Ingénierie, du Conseil et de l’Événement (OPIIEC) confirme la tendance : 25 000 postes devront être pourvus dans le secteur d’ici 2028.

Une demande qui va encore s’accroître dans les prochaines années

L’autre constat est que cette pénurie n’a rien de ponctuel, c’est une tendance de fond. L’Observatoire des métiers 2025 de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) met en évidence la hausse inexorable du nombre d’offres d’emploi dans la cybersécurité. Celui-ci a progressé de 49 % entre 2019 et 2024. L’explosion de la réglementation européenne Cyber avec des textes comme DORA, NIS 2, le CRA, mais aussi le besoin pour les entreprises d’obtenir des certifications de type ISO 27001, HDS, SecNumCloud, vont clairement soutenir le marché de l’emploi pendant encore de nombreuses années. En outre, la multiplication des fuites de données, les annonces autour de Claude Mythos et l’avalanche de nouvelles vulnérabilités découvertes par les IA ont été un électrochoc pour les dirigeants d’entreprises. Ceux-ci ont maintenant pris conscience qu’ils vont devoir investir et embaucher en urgence des spécialistes en cybersécurité pour faire face à ces nouvelles menaces.

Pour les jeunes qui s’intéressent au sujet ou les salariés qui envisagent une reconversion professionnelle, la cyber semble la voie royale pour ces prochaines années. Le marché est porteur et face à cette forte demande, l’offre en formation Cybersécurité est montée en puissance. Les universités ont créé de nouveaux cursus et de nouveaux centres de formation tels que le Ynov Campus ont été créés avec des formations spécialisées comme des Masters pour former des consultants en cybersécurité, des Pentesters.

Beaucoup de ces centres proposent des formations purement techniques sur la sécurisation d’un système d’information, le pentesting, le forensic, c’est-à-dire l’analyse des attaques et la gouvernance. D’autres sont dédiées aux soft skills que sont la gestion de crise et son volet communication, la pédagogie, conduite du changement, etc. Loin de l’image du hacker en sweat à capuche ultra-technophile, la Cyber regroupe désormais une large variété de métiers complémentaires et s’est ouverte à des profils beaucoup plus divers.

Des PME qui peinent toujours à recruter

Preuve du dynamisme du secteur, l’OPIIEC a recensé en 2025 pas moins de 900 formations Cyber en France. L’ANSSI a accordé son label SecNumEdu à 80 d’entre elles seulement. Si la demande des grandes entreprises porte généralement sur des profils ingénieur Bac+5, ces nouvelles offres de formations vont du BUT (Bac+3) jusqu’au Master. Cette diversification des profils est extrêmement importante car les PME et ETI ont beaucoup de mal à attirer des experts et ne peuvent s’aligner sur les salaires offerts par les grandes entreprises pour des BAC+5. Or ce sont les PME qui sont les plus mal armées face aux attaques informatiques. Celles-ci ne disposent pas encore de RSSI et, bien souvent, c’est le DSI lui-même qui doit s’occuper lui-même de la sécurité de ses postes et serveurs. Une enquête d’Apave avec iTrust/Free pro menée en 2023 a montré que 93 % d’entre elles n’avaient toujours pas de budget dédié à la cybersécurité.

Pour l’heure, il n’y a pas assez de candidats et ceux-ci doivent se tourner vers des prestataires spécialisés, les MSSP ou vers des RSSI à temps partagé. L’arrivée sur le marché de profils moins experts mais plus opérationnels permettra aux PME et ETI de monter en maturité sur la cybersécurité et de contrer les attaques massives qui frappent au hasard.

Article sponsorisé.