La cybersécurité française regroupe plus de 40 métiers distincts selon le référentiel NICE du NIST, répartis en quatre grandes familles : défensifs (SOC L1 à L3, DFIR, threat intelligence, endpoint security), offensifs (pentester, red team, bug bounty), gouvernance et conformité (analyste GRC, auditeur SI, DPO, RSSI), ingénierie sécurité (DevSecOps, AppSec, cloud security, security engineering, cryptographe). Les salaires juniors s'étalent de 32 à 75 k€ bruts selon le métier et la région, progressent vers 60-110 k€ à 5 ans d'expérience, et atteignent 150-300 k€ pour les postes de RSSI grand groupe et architectes seniors. L'accessibilité varie fortement : l'analyste GRC est la porte d'entrée la plus rapide (3-6 mois pour les profils juriste, auditeur, compliance), le pentester junior la plus exigeante (12-24 mois avec portfolio CTF solide). Cet article détaille chaque famille, les métiers spécifiques avec salaires et certifications, les métiers émergents en 2026, et la matrice d'accessibilité par profil initial de reconversion.
1. Les quatre grandes familles de métiers cyber
Toute classification des métiers cyber est imparfaite — les rôles se chevauchent fréquemment. Quatre grandes familles opérationnelles couvrent néanmoins l'essentiel des postes français en 2026.
| Famille | Orientation | Nombre de métiers distincts | Accessibilité reconversion |
|---|---|---|---|
| Défensifs (blue team) | Détection, réponse, investigation | ≈ 12 | Moyenne à haute |
| Offensifs (red team) | Exploitation, simulation d'attaques | ≈ 6 | Faible à moyenne |
| Gouvernance et conformité | Audit, risque, politique SI | ≈ 10 | Haute pour profils non-tech |
| Ingénierie sécurité | Construction, automation, architecture | ≈ 12 | Moyenne à haute |
Pourquoi cette classification opérationnelle
Cette classification facilite le choix de carrière selon appétences : profil orienté résolution d'incident temps réel → défensif ; recherche de failles → offensif ; structure, méthode, audit → gouvernance ; construction, code, automation → ingénierie. Pour l'auto-évaluation complète de match personnel, voir Comment savoir si la cybersécurité est faite pour vous.
2. Les métiers défensifs : la famille la plus nombreuse
Les métiers défensifs représentent la majorité du volume d'offres cyber en France (ratio typique 4 pour 1 vs offensifs selon Apec 2023-2024).
| Métier défensif | Durée bascule | Salaire junior (brut IDF) | Salaire senior (brut IDF) | Certif clé |
|---|---|---|---|---|
| SOC Analyst L1 | 6-10 mois | 38-48 k€ | 60-80 k€ (L3) | Security+, CySA+ |
| SOC Analyst L2 / L3 | 9-15 mois (depuis L1) | 48-60 k€ | 65-95 k€ | CySA+, GCIA, GCIH |
| Threat Hunter | 12-18 mois | 55-70 k€ | 85-110 k€ | GCIA, GCIH |
| DFIR Analyst (Digital Forensics and Incident Response) | 12-18 mois | 50-65 k€ | 85-110 k€ | GCFA, GCFE, CHFI |
| Threat Intelligence Analyst | 9-15 mois | 42-55 k€ | 70-95 k€ | CTI, GCTI |
| Endpoint Security Engineer | 9-12 mois | 40-52 k€ | 65-80 k€ | SC-200, vendor specific |
| IAM Engineer (Identity and Access Management) | 6-10 mois | 40-50 k€ | 65-90 k€ | SC-300, CIAM |
| Network Security Engineer | 12-18 mois | 42-55 k€ | 70-95 k€ | PCNSE, NSE, CCNP Security |
Entrée la plus large : SOC L1. Postes créés massivement dans les ESN MSSP (Managed Security Service Provider) et les entreprises avec SOC interne. Le métier est accessible avec un socle support IT (voir Quel métier cyber viser quand on vient du support IT ?).
Niches à haute rémunération : DFIR senior (analyse forensique, incident réponse en crise) et Threat Hunter atteignent des salaires parmi les plus élevés du blue team en fin de carrière.
3. Les métiers offensifs : accès limité mais salaires en haut de fourchette
Les métiers offensifs sont les plus demandés par les candidats en reconversion mais les moins nombreux en volume d'offres. Goulot d'étranglement structurel du marché français.
| Métier offensif | Durée bascule | Salaire junior (brut IDF) | Salaire senior (brut IDF) | Certif clé |
|---|---|---|---|---|
| Pentester junior (AppSec web, réseau, mobile) | 12-24 mois | 45-58 k€ | 65-90 k€ | eJPT, PNPT, OSCP |
| Pentester senior spécialisé | 4-7 ans d'exp | — | 80-110 k€ | OSCP, OSWE, OSEP |
| Red Team Operator | 15-24 mois depuis pentest junior | 55-70 k€ | 85-130 k€ | OSCP + CRTO |
| Bug Bounty Hunter (full-time) | 2+ ans expérience | Variable | 80-200 k€+ (TJM ou primes) | Expérience démontrée YesWeHack, HackerOne |
| Auditeur technique cyber (ESN offensive) | 12-18 mois | 45-58 k€ | 70-100 k€ | OSCP + PNPT |
| Reverse Engineer | 18-36 mois | 50-65 k€ | 85-130 k€ | OSEE, GREM |
Réalité du marché pentest junior : ratio typique de 10 à 15 candidats pour 1 offre selon Apec 2023-2024. Le portfolio HackTheBox (15+ machines compromises avec writeups publics) fait la différence au tri CV. Détail complet dans Peut-on devenir pentester sans expérience ?.
ESN pentest offensives françaises de référence en 2026 : Synacktiv, Almond (pôle offensif), Intrinsec, LEXFO, Tehtris, Hackuity, HeadMind Partners.
4. Les métiers gouvernance et conformité : la voie la plus accessible pour les profils non-tech
Les métiers GRC et audit structurent la cybersécurité sans exiger un haut niveau de code. C'est la famille la plus accessible pour les profils juristes, auditeurs, compliance officers, gestionnaires de projet, consultants organisation.
| Métier GRC | Durée bascule | Salaire junior (brut IDF) | Salaire senior (brut IDF) | Certif clé |
|---|---|---|---|---|
| Analyste GRC junior | 3-6 mois (profils éligibles) | 42-55 k€ | 60-80 k€ | ISO 27001 Lead Implementer |
| Auditeur SI | 6-9 mois | 45-58 k€ | 70-95 k€ | CISA, ISO 27001 Lead Auditor |
| Risk Analyst cybersécurité | 6-12 mois | 45-60 k€ | 75-100 k€ | CRISC, EBIOS RM |
| DPO (Data Protection Officer) | 6-12 mois | 48-62 k€ | 70-100 k€ | CIPP/E, CIPM |
| Consultant cybersécurité (volet GRC) | 12-18 mois | 48-60 k€ | 85-120 k€ | CISSP, CISM |
| Responsable conformité SI | 5-8 ans d'exp | — | 85-110 k€ | CISM, CISSP |
| RSSI de PME / ETI | 10-15 ans d'exp | — | 85-140 k€ | CISSP + CISM |
| RSSI grand groupe / Group CISO | 15+ ans d'exp | — | 150-300 k€ + bonus | CISSP + CISM + MBA |
Demande en forte croissance 2025-2026 post transposition de la directive NIS 2 (octobre 2024 en droit français) : environ 15 000 entités essentielles et importantes en France doivent structurer leur conformité cyber, créant une demande structurelle GRC qui dépasse l'offre de profils formés. Détail dans Peut-on travailler en GRC sans expérience cyber ?.
Trajectoire RSSI : 10 à 15 ans de carrière cyber, avec au moins un passage management d'équipe. Détail dans Les étapes pour devenir RSSI.
5. Les métiers d'ingénierie sécurité : à l'intersection dev et cyber
Les métiers d'ingénierie sécurité construisent les pipelines, outils et infrastructures sécurisés. Ils dominent en croissance d'offres post NIS 2 et DORA.
| Métier ingénierie | Durée bascule | Salaire junior (brut IDF) | Salaire senior (brut IDF) | Certif clé |
|---|---|---|---|---|
| DevSecOps junior | 6-12 mois (dev/DevOps) | 48-65 k€ | 80-100 k€ | Security+, AWS Sec, CKS |
| AppSec junior (Application Security) | 6-12 mois (dev) | 50-70 k€ | 80-115 k€ | eJPT, OSWE, Security+ |
| Cloud Security Analyst junior | 6-15 mois | 55-75 k€ | 100-145 k€ | AWS Sec Specialty, AZ-500 |
| Security Engineer senior | 5-7 ans d'exp | — | 80-120 k€ | CISSP, niche expertise |
| Architecte cybersécurité | 7-10 ans d'exp | — | 95-145 k€ | CISSP, SABSA |
| Cryptographe appliqué | 5-10 ans d'exp | — | 85-130 k€ | Académique + spécialisation |
| Platform Security Engineer | 4-7 ans d'exp | — | 90-130 k€ | CKS + K8s expertise |
DevSecOps en forte demande (+30-40 % offres YoY selon Apec 2024) portée par NIS 2 et Cyber Resilience Act (applicable 2027). Pour la trajectoire complète, voir Peut-on devenir DevSecOps sans expérience cyber ?.
Cloud Security en forte demande avec salaires parmi les plus élevés du cyber junior (50-75 k€). Migration cloud continue chez environ 75 % des workloads prévus en cloud d'ici 2027 (Gartner 2024). Voir Les étapes pour devenir Cloud Security Analyst.
6. Les métiers émergents 2026 : LLM security, OT/ICS, ML security
Cinq métiers émergents apparaissent dans les offres françaises 2025-2026, avec un ratio offres/profils formés très favorable aux early adopters.
| Métier émergent | Contexte d'émergence | Salaire junior estimé | Rareté profils formés |
|---|---|---|---|
| LLM Security Engineer | ChatGPT, OpenAI, OWASP LLM Top 10 (2023-2025) | 55-80 k€ IDF | Très rare |
| ML Security / AI Red Team | Régulations EU AI Act (applicable 2025-2026) | 60-85 k€ IDF | Très rare |
| OT/ICS Security (Operational Technology / Industrial Control Systems) | NIS 2 + LPM secteur industriel | 50-70 k€ IDF | Rare |
| Post-Quantum Cryptography Specialist | Transition crypto post-quantique 2027+ | Expérience PhD requise | Extrêmement rare |
| Data Protection Engineer (privacy by design) | RGPD + DORA + CRA | 50-70 k€ IDF | Rare |
Recommandation stratégique : pour les profils déjà en cybersécurité confirmée à 3-5 ans, se positionner tôt sur un métier émergent peut raccourcir le délai d'accès aux niveaux senior de 2-3 ans. Pour les profils en reconversion initiale, privilégier les métiers établis (SOC, DevSecOps, GRC) qui offrent plus de postes d'entrée.
7. Matrice d'accessibilité par profil initial de reconversion
Matrice synthétique croisant les profils de départ avec les métiers cyber accessibles, incluant durée de bascule type et certification d'entrée recommandée.
matrice_profil_initial_vers_metier_cyber:
profil_developpeur_backend_2_ans:
metiers_accessibles_rapidement:
- metier: "AppSec junior"
duree_mois: 6-12
certif_entree: "eJPT v2 ou CompTIA Security+"
salaire_junior_idf: "50-70 k€"
- metier: "DevSecOps junior"
duree_mois: 6-12
certif_entree: "CompTIA Security+ + AWS Security ou AZ-500"
salaire_junior_idf: "48-65 k€"
metiers_accessibles_moyen_terme:
- metier: "Security Engineer"
- metier: "Product Security Engineer"
profil_devops_sre_2_ans:
metiers_accessibles_rapidement:
- metier: "DevSecOps junior"
duree_mois: 6-9
certif_entree: "CompTIA Security+ + CKS ou AZ-500"
salaire_junior_idf: "50-68 k€"
- metier: "Cloud Security Analyst junior"
duree_mois: 6-12
certif_entree: "AWS Security Specialty ou AZ-500"
salaire_junior_idf: "55-75 k€"
profil_admin_sys_lin_win_3_ans:
metiers_accessibles_rapidement:
- metier: "SOC Analyst L2"
duree_mois: 9-15
certif_entree: "CompTIA Security+ + CySA+"
salaire_junior_idf: "45-60 k€"
- metier: "Infrastructure Security / Sysadmin Security"
duree_mois: 4-9
certif_entree: "CompTIA Security+ + GCUX ou RHCA Security"
salaire_junior_idf: "50-65 k€"
profil_admin_active_directory_3_ans:
metiers_accessibles_rapidement:
- metier: "Pentester interne AD (pentest infrastructure)"
duree_mois: 12-18
certif_entree: "eJPT + PNPT"
salaire_junior_idf: "50-65 k€"
- metier: "IAM Engineer senior"
duree_mois: 6-10
certif_entree: "Microsoft SC-300"
salaire_junior_idf: "48-65 k€"
profil_ingenieur_reseau_3_ans:
metiers_accessibles_rapidement:
- metier: "Network Security Engineer"
duree_mois: 6-12
certif_entree: "PCNSE ou Fortinet NSE + Security+"
salaire_junior_idf: "45-58 k€"
- metier: "Threat Hunter (volet réseau)"
duree_mois: 12-18
certif_entree: "GCIA"
salaire_junior_idf: "55-70 k€"
profil_helpdesk_support_2_ans:
metiers_accessibles_rapidement:
- metier: "SOC Analyst L1"
duree_mois: 6-10
certif_entree: "CompTIA Security+"
salaire_junior_idf: "38-48 k€"
- metier: "Endpoint Security junior"
duree_mois: 9-12
certif_entree: "SC-200 ou vendor EDR"
salaire_junior_idf: "40-52 k€"
profil_juriste_compliance_auditeur:
metiers_accessibles_rapidement:
- metier: "Analyste GRC junior"
duree_mois: 3-6
certif_entree: "ISO 27001 Lead Implementer"
salaire_junior_idf: "42-55 k€"
- metier: "DPO (Data Protection Officer)"
duree_mois: 6-12
certif_entree: "CIPP/E + ISO 27701"
salaire_junior_idf: "48-62 k€"
- metier: "Auditeur SI cybersécurité"
duree_mois: 6-9
certif_entree: "CISA + ISO 27001 LA"
salaire_junior_idf: "45-58 k€"
profil_reconversion_totale_sans_it:
metiers_accessibles_long_terme:
- metier: "SOC Analyst L1 (avec pré-préparation 3-6 mois)"
duree_mois: 18-30
certif_entree: "CompTIA Security+"
salaire_junior_idf: "38-48 k€"
- metier: "Analyste GRC junior (si profil juriste ou compliance)"
duree_mois: 12-18
certif_entree: "ISO 27001 Lead Implementer"
salaire_junior_idf: "42-55 k€"
metier_a_eviter_sans_socle_IT: "pentest, DevSecOps, cloud security - durée 24+ mois irréaliste"Points clés à retenir
- Plus de 40 métiers distincts en cybersécurité selon le référentiel NICE du NIST, regroupés en 4 familles : défensifs, offensifs, gouvernance, ingénierie.
- Salaires juniors 32-75 k€ bruts selon métier et région. Salaires seniors 60-300 k€ selon trajectoire (CISO CAC 40 au sommet).
- Accessibilité très variable : GRC pour profils non-tech (3-6 mois) — SOC L1 pour support IT (6-10 mois) — DevSecOps pour dev/DevOps (6-12 mois) — pentester junior (12-24 mois, le plus difficile).
- Demande marché favorable 2026 : 15 000-20 000 postes non pourvus en France (ECSO 2024), croissance offres +30-40 % YoY sur DevSecOps et Cloud Security.
- 5 certifications dominent : CompTIA Security+, OSCP, CISSP, CISM, ISO 27001 LI. Spécialisations selon métier.
- Métiers émergents 2026 : LLM Security, ML Security, OT/ICS Security, Post-Quantum Cryptography, Data Protection Engineer. Ratio offres/candidats très favorable aux early adopters expérimentés.
- Règle d'or : choisir le métier cyber compatible avec le profil initial, pas celui qui a la meilleure image médiatique.
Pour les trajectoires détaillées par métier cible, voir les pillars dédiés : Peut-on devenir pentester sans expérience ?, Peut-on devenir DevSecOps sans expérience cyber ?, Peut-on travailler en GRC sans expérience cyber ?. Pour les trajectoires par profil initial de reconversion, voir Quel métier cyber viser quand on vient du développement ?, Quel métier cyber viser quand on vient du système et du réseau ?. Pour le cadrage global de la reconversion cyber, voir Le guide reconversion pillar. Pour viser spécifiquement la direction cyber à 10-15 ans, voir Les étapes pour devenir RSSI. L'accompagnement cyber 6 mois inclut une phase d'orientation métier avec matrice profil-compatibilité, validation avec mentor avant tout engagement sur un cursus spécialisé.
