Cybersécurité : attention à ces métiers qui séduisent mais qui ne recrutent plus
Un cliché bien ancré habite l'imaginaire collectif de nombreux jeunes bacheliers et étudiants : la cybersécurité serait un eldorado en pénurie permanente de main-d'œuvre, où tous les métiers recrutent à tour de bras. Rien de plus faux, selon Guillaume Collard, fondateur de la Cybersecurity Business School (CSB.School) et RSSI externe. Le milieu de la cybersécurité reste élitiste. Si le nombre d'offres d'emploi du secteur a effectivement bondi de près de 50% entre 2019 et 2024, comme l'indique la dernière étude de l'Observatoire des métiers de la cybersécurité consacrée à ce sujet, celles-ci s'adressent surtout à des talents très qualifiés, souvent détenteurs d'un bac + 5 : architectes, consultants et ingénieurs en cybersécurité, entre autres. De leur côté, les professions plus techniques, qui nécessitent souvent moins de diplômes et de qualifications, sont de plus en plus difficiles d'accès. Pire : certaines d'entre elles sont en voie de disparition.
C'est pourquoi les étudiants désireux de s'orienter vers la cybersécurité doivent se méfier des effets d'annonce de certains organismes de formation "qui vendent parfois du vent aux gens", prévient Olivia Defond, chasseuse de têtes spécialisée en cybersécurité. Par exemple, même si le métier de pentester fait rêver de nombreux jeunes qui s'imaginent hacker en capuche, mieux vaut éviter les formations qui le promettent, comme on le verra. "Le marché est actuellement en pleine mutation, et ce qui est possible aujourd'hui en termes de débouchés ne le sera peut-être plus dans trois mois. L'étudiant doit donc analyser le marché dans sa globalité pour décider de son orientation". Voici les métiers qu’il lui est déconseillé de choisir et ceux qu’il peut viser avec une stratégie bien rodée.
Les métiers réservés aux grands experts
Ce sont souvent les métiers les plus fantasmés de la cybersécurité qui sont difficiles d'accès : "Si tu n'es pas un crack en pentest, ça ne sert à rien de se diriger vers cette voie !", affirme sans ambages Guillaume Collard. "Cette voie est bouchée car même les autodidactes peuvent entrer sur ce marché. Il y a donc énormément de candidats au métier de pentester. Il attire énormément de jeunes. Et il y a très peu d'entreprises qui internalisent cette fonction. C'est avant tout un métier de prestations très ponctuelles".
Même constat pour d'autres professions très techniques : "Hacker éthique, red teamer, experts en bug bounty, en cryptographie, etc. sont des voies qui mènent rarement à des postes, car il faut un excellent niveau pour se distinguer. On a l'impression que si tu n'as pas de doctorat en mathématiques et que tu n'es pas reconnu par tes pairs, tu ne peux pas avoir un poste d'expert en cryptographie. Quant à l'analyse forensic, c'est très compliqué pour un débutant de trouver un poste, car il faut au moins cinq à dix ans d'expérience. Enfin, l'Osint est à la mode : je vois beaucoup de gens se lancer dedans. Mais c'est très complexe d'en faire un métier, sauf à se diriger vers un service de renseignement ou dans des entreprises de red team, et il y en a peu de bonnes en Europe."
Les métiers que l'IA rend obsolètes
D'autres métiers, attractifs il y a encore quelques années, ne le sont plus. L'évolution du marché et des technologies les rendent de plus en plus obsolètes. On peut compter parmi ceux-ci les postes relatifs à la sécurité du cloud, qui pâtissent de la transformation de la demande : "Ce secteur était très attractif il y a quelque temps. Mais, actuellement, ceux qui se spécialisent dans ce domaine rencontrent des difficultés à trouver un emploi. La prospérité du cloud a en effet atteint son apogée et, désormais, la tendance s'inverse vers une demande de on-premise".
"Puis, il y a tous les métiers qui vont être automatisés par l'IA. Les analystes SOC de niveau 1, par exemple, vont être remplacés, ça c'est certain. Il en restera toujours un peu, mais au lieu d'en avoir plein dans un SOC, il n'y en aura qu'un", avertit Olivia Defond. Le métier d'analyste SOC de niveau 1 est généralement réservé aux juniors. Il sert à traiter les alertes générées par les outils de sécurité et à filtrer les faux positifs. Or, les solutions de cybersécurité intègrent une automatisation toujours plus poussée du traitement des alertes et leur priorisation par l'IA. "Il faut arrêter de former des analystes SOC de niveau 1. En revanche, il faut former des niveaux 2 et 3 qui sont toujours utiles. Il n'y en a pas trop encore, donc ce n'est pas bouché pour ces niveaux", ajoute Guillaume Collard. L'analyste de niveau 2 analyse en profondeur les alertes escaladées et coordonne les réponses aux incidents complexes. L'analyste de niveau 3 gère les incidents critiques, améliore les processus du SOC et encadre les analystes des niveaux inférieurs.
Quant aux ingénieurs spécialisés en DevSec, qui intègrent la sécurité au logiciel by design, ceux-ci aussi sont menacés. "Je suis désolé pour les développeurs, mais il faut être honnête : sauf à être un développeur d'IA ou un intégrateur d'IA, le métier pur de développeur est voué à disparaître. Si les spécialistes en DevSec veulent continuer d'exister, alors ils doivent savoir monter des agents IA sécurisés, par exemple. Ils doivent évoluer dans leur métier en intégrant pleinement l'IA".
Les métiers GRC réservés à ceux qui s'adaptent
Les métiers de la GRC (RSSI, auditeurs, etc.) font partie de ceux qui profitent le mieux des évolutions du marché de l'emploi de la cybersécurité. D'abord, parce que les réglementations en matière de cybersécurité ne font que se multiplier, ce qui oblige les organisations à y avoir recours. Ensuite, parce que l'IA les impacte beaucoup moins : "L'IA n'a pas encore la sensibilité pour comprendre pleinement la conformité car la conformité est avant tout basée sur de l'humain. C'est de l'interprétation humaine. Une organisation n'est pas conforme à une norme si un auditeur ou un juge l'a décidé."
Le fondateur de la CSB.School prévient toutefois que l'IA va transformer, lentement mais durablement, les métiers de la GRC. Il conseille donc à ceux qui s'orientent vers ceux-ci d'embrasser pleinement l'utilisation des outils d'IA pour rester compétitifs sur le marché de l'emploi : "Tous les métiers de la GRC vont se transformer, mais pas aussi rapidement que les métiers très techniques. Exemple : un RSSI doit désormais savoir utiliser l'IA seulement pour se libérer le plus de temps libre possible pour renforcer son rôle de porteur de sujets cyber dans l'organisation, pour être plus sur le terrain, avec ses équipes, etc. Pour mieux faire son job, en gros. Un auditeur doit savoir utiliser l'IA pour ne plus seulement être un simple rédacteur de rapports, mais pour proposer des solutions pour corriger les problèmes qu'il a trouvés, etc.", conclut-il.