En 2026, environ 15 000 postes cybersécurité restent non pourvus en France selon Numeum, et 65 000 à l'échelle de l'Union européenne selon ENISA. Cinq métiers concentrent l'essentiel des offres : Analyste GRC, Cloud Security Engineer et Analyst, SOC Analyst, DevSecOps Engineer, Pentester junior — auxquels s'ajoutent des métiers émergents en forte croissance (LLM/AI Security Engineer, OT Security Engineer) et des postes senior structurellement en tension (RSSI, CISO, Head of GRC). Les fourchettes salariales juniors 2026 s'étalent de 38 k€ bruts (SOC L1, GRC junior en province) à 78 k€ (Cloud Security Engineer Île-de-France), avec une progression à 5-7 ans typiquement 80-120 k€ bruts et des plafonds direction cyber jusqu'à 170-320 k€ selon taille d'entreprise. La demande est portée par trois vagues réglementaires convergentes — NIS 2 (transposée octobre 2024), DORA (applicable janvier 2025), AI Act (applicable août 2026). Cet article cartographie les 15 métiers cyber qui recrutent le plus, les 5 familles de métiers, les profils d'entrée naturels, la comparaison salariale complète et les tendances 2026-2030.
1. Vue d'ensemble du marché cyber France 2026
| Indicateur marché cyber FR | Source | Valeur 2024-2026 |
|---|---|---|
| Postes cyber non pourvus | Numeum 2024 | ≈ 15 000 en France |
| Postes cyber non pourvus UE | ENISA 2024 | ≈ 65 000 |
| Croissance offres cyber YoY | Apec Cadres Cyber 2023-2024 | +25-35 % |
| Entités concernées par NIS 2 en France | ANSSI estimation 2024 | ≈ 15 000 entités essentielles et importantes |
| Entités concernées par DORA UE | ESMA / EBA / EIOPA | ≈ 22 000 entités financières + prestataires TIC critiques |
| Ratio offres / candidats qualifiés (moyenne) | Apec 2024 | 1,8 pour 1 (favorable candidat) |
| Taux télétravail 2+ jours / semaine cyber | Apec 2024 | ≈ 75 % |
| Salaire médian cyber confirmé (3-5 ans) IDF | Apec 2024 | 68 k€ bruts annuels |
| Salaire médian cyber confirmé province | Apec 2024 | 58 k€ bruts annuels |
Le marché cyber français est structurellement sous-offre de candidats qualifiés depuis 2020, avec une amplification marquée depuis 2023 via les régulations NIS 2 et DORA. Cette tension touche l'essentiel des familles de métiers, mais pas toutes également : la GRC, le cloud security, le DevSecOps et l'AppSec sont les segments les plus tendus ; le pentest junior et le bug bounty sont plus concurrentiels côté candidats en raison de l'attrait médiatique.
2. Les 15 métiers cyber qui recrutent le plus en 2026
| # | Métier | Famille | Demande marché | Salaire junior brut FR | Profil d'entrée naturel |
|---|---|---|---|---|---|
| 1 | Analyste GRC | GRC | Très forte | 38-55 k€ | Juriste, auditeur, compliance officer |
| 2 | SOC Analyst L1 / L2 | Défensive / Ops | Très forte | 38-52 k€ | Admin système / réseau, reconversion tech |
| 3 | Pentester junior | Offensive | Forte mais saturée côté candidats | 42-58 k€ | Développeur avec pratique CTF / HTB |
| 4 | AppSec Engineer | Applicative / DevSecOps | Très forte | 45-62 k€ | Développeur senior, bug hunter |
| 5 | DevSecOps Engineer | Applicative / DevSecOps | Très forte | 48-65 k€ | DevOps, SRE, backend avec CI/CD |
| 6 | Cloud Security Analyst | Cloud | Très forte | 50-75 k€ | DevOps, sysadmin cloud, SOC bifurquant |
| 7 | Cloud Security Engineer | Cloud | Très forte | 52-78 k€ | Platform Engineer, SRE, Backend senior |
| 8 | Kubernetes Security Specialist | Cloud / Plateforme | Forte | 55-80 k€ | SRE, platform engineer avec CKS |
| 9 | Lead Auditor ISO 27001 | GRC | Forte | 48-65 k€ | Auditeur interne, analyste GRC 2+ ans |
| 10 | DPO (Data Protection Officer) | GRC / vie privée | Soutenue | 45-70 k€ | Juriste avec CIPP/E plus CIPM |
| 11 | Incident Responder (DFIR) | Défensive / Ops | Forte | 50-72 k€ | SOC L2/L3 avec GCFA ou GCIH |
| 12 | Threat Intelligence Analyst | Défensive / Ops | Soutenue | 50-70 k€ | OSINT, analyste CTI, reconverti renseignement |
| 13 | Responsable conformité SI / RSSI PME | Management cyber | Forte | 75-110 k€ (senior) | Analyste GRC senior, RSSI PME |
| 14 | LLM / AI Security Engineer | Émergent | Forte et en croissance | 55-85 k€ | AppSec ou ML Engineer reconverti |
| 15 | OT Security Engineer (ICS/SCADA) | Industriel | Forte sur secteur industriel | 55-85 k€ | Automaticien, ingénieur industriel reconverti |
Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France, études Silicon / JDN 2024, baromètres ESN. Les salaires en province décotent de 5-15 % par rapport à l'Île-de-France sur l'essentiel des métiers, sauf pour les postes 100 % remote qui tendent à s'aligner sur les fourchettes IDF.
3. Les cinq familles de métiers cyber
La cybersécurité se structure en cinq grandes familles aux activités, cultures et profils d'entrée distincts. Comprendre cette cartographie est le premier pas vers un choix de trajectoire rationnel.
Famille 1 — GRC / Gouvernance / Conformité
Analyste GRC, Lead Auditor, DPO, Responsable conformité SI, Head of GRC, RSSI, CISO. Activités : référentiels (ISO 27001, NIS 2, DORA, RGPD), audits, cartographie des risques, politique de sécurité, reporting board. Profils d'entrée non-tech majoritaires. Voir Les étapes pour travailler en GRC pour la trajectoire complète.
Famille 2 — Défensive / Opérations
SOC Analyst L1/L2/L3, Incident Responder (DFIR), Threat Hunter, Threat Intelligence Analyst, Malware Analyst. Activités : détection, réponse à incident, chasse aux menaces, analyse forensic, CTI. Profils d'entrée : admin système, réseau, reconversion tech. Stack : SIEM (Splunk, Elastic, Sentinel), EDR (CrowdStrike, SentinelOne, Defender), MITRE ATT&CK.
Famille 3 — Offensive
Pentester (web, infra, Active Directory, mobile), Red Teamer, Exploit Developer, Bug Bounty Hunter, Reverse Engineer. Activités : tests d'intrusion, exploitation, exercices red team, recherche de vulnérabilités. Profils d'entrée : développeur avec pratique CTF / HackTheBox, bug hunter autonome 1-2 ans. Marché saturé côté candidats juniors en 2026, très sélectif.
Famille 4 — Applicative / DevSecOps / AppSec
DevSecOps Engineer, AppSec Engineer, Security Architect applicatif, Threat Modeller. Activités : intégration sécurité dans le SDLC, SAST / DAST / SCA, IaC security, threat modeling, secure code review. Profils d'entrée : développeur senior, DevOps, SRE. Stack : GitHub Actions, GitLab CI, Semgrep, Snyk, Checkov, OWASP ZAP, Trivy.
Famille 5 — Cloud / Platform Security
Cloud Security Analyst, Cloud Security Engineer, Cloud Security Architect, Kubernetes Security Specialist. Activités : sécurisation AWS / Azure / GCP, IaC security, Kubernetes hardening, policy-as-code, CSPM. Profils d'entrée : platform engineer, SRE, DevOps avec exposition cloud. Marché en très forte tension structurelle depuis 2022.
Famille émergente — AI / LLM Security et OT Security
LLM Security Engineer (OWASP Top 10 LLM 2025, AI Red Teaming, prompt injection, guardrails), OT Security Engineer (SCADA, ICS, protocoles industriels Modbus, DNP3, IEC 61850). Métiers en structuration 2023-2026, salaires juniors déjà tirés vers le haut grâce à la rareté.
4. Top 5 métiers les plus demandés en 2026
1. Analyste GRC — la porte d'entrée la plus accessible
Profils non-tech (juriste, auditeur, compliance officer, gestionnaire de projet) basculent en 3 à 6 mois avec ISO 27001 Lead Implementer. Demande portée par NIS 2 et DORA. Salaire junior 38-55 k€, progression senior 65-90 k€, direction conformité 110-170 k€. Voir Devenir analyste GRC sans expérience cyber.
2. Cloud Security Engineer — pénurie structurelle
Profils Platform Engineer, SRE, DevOps, backend avec exposition IaC et Kubernetes. Bascule 6 à 12 mois. Triptyque certification AWS Security Specialty + CKS + Terraform Associate. Salaire junior 52-78 k€, senior 85-115 k€, staff ou architect 110-160 k€. Voir Les étapes pour devenir Cloud Security Engineer.
3. SOC Analyst L1 / L2 — volume le plus important
Porte d'entrée SOC par ESN (Orange Cyberdefense, Thales, Atos/Eviden, Airbus Protect, Sopra Steria). Profils sysadmin, réseau, reconversion tech structurée. Formation 6-12 mois. Certifications cibles : Security+, CySA+, BTL1 (Blue Team Level 1). Salaire junior 38-52 k€, progression L2 à 45-60 k€, L3 / threat hunter à 60-80 k€.
4. DevSecOps Engineer — demande soutenue SDLC
Profils développeur senior, DevOps, SRE. Bascule 6 à 12 mois. Stack : SAST (Semgrep, SonarQube), DAST (OWASP ZAP, Burp), SCA (Snyk, Dependabot, Trivy), IaC security (Checkov, tfsec), pipelines GitHub Actions / GitLab CI. Salaire junior 48-65 k€, senior 80-105 k€. Voir Devenir DevSecOps sans expérience.
5. AppSec Engineer — pilier sécurité applicative
Profils développeur senior avec intérêt sécurité, bug hunter 1-2 ans d'expérience autonome. Activités : threat modeling, secure code review, SAST/DAST, bug bounty interne, formation équipes dev. Certifications cibles : OSWE, CSSLP, Burp Suite Certified Practitioner. Salaire junior 45-62 k€, senior 85-110 k€, staff engineer 110-140 k€.
5. Matrice profil d'entrée → métier cible recommandé
| Profil de départ | Métier cyber le plus rapide à atteindre | Durée de bascule typique | Certification d'entrée |
|---|---|---|---|
| Juriste, compliance officer | Analyste GRC, DPO | 3-6 mois | ISO 27001 LI ou CIPP/E |
| Auditeur interne (qualité, financier) | Analyste GRC, Lead Auditor | 3-6 mois | ISO 27001 LI puis LA |
| Développeur senior backend | AppSec, DevSecOps | 6-12 mois | Security+, OSWE si offensif |
| DevOps, SRE, Platform Engineer | Cloud Security Engineer, DevSecOps | 6-12 mois | AWS Security Specialty, CKS |
| Sysadmin, administrateur réseau | SOC Analyst L1 puis L2, Cloud Security Analyst | 6-12 mois | Security+, CySA+, BTL1 |
| Support IT niveau 2 / 3 | SOC Analyst L1 | 9-15 mois | Security+ puis CySA+ |
| Automaticien, ingénieur industriel | OT Security Engineer | 9-15 mois | GICSP, ISA/IEC 62443 |
| ML Engineer, Data Scientist | LLM / AI Security Engineer | 9-12 mois | AI Red Teaming, AWS ML Security |
| Reconversion totale sans IT | SOC L1 ou Analyste GRC selon profil antérieur | 12-18 mois | Security+ ou ISO 27001 LI |
| Gestionnaire de projet SI | Analyste GRC, chef de projet cyber | 4-8 mois | ISO 27001 LI plus PMP valorisé |
Voir les articles dédiés par profil d'entrée : Métiers cyber pour développeurs, Métiers cyber pour support IT, Métiers cyber pour système et réseau.
6. Comparaison salariale complète 2026
| Métier | Junior (0-2 ans) | Confirmé (3-5 ans) | Senior (5-8 ans) | Expert / Staff (8+ ans) |
|---|---|---|---|---|
| Analyste GRC | 38-55 k€ | 50-68 k€ | 65-90 k€ | 85-110 k€ |
| SOC Analyst L1/L2/L3 | 38-52 k€ | 48-65 k€ | 60-80 k€ | 75-100 k€ |
| Pentester | 42-58 k€ | 55-75 k€ | 70-95 k€ | 90-120 k€ |
| AppSec Engineer | 45-62 k€ | 60-82 k€ | 78-105 k€ | 100-140 k€ |
| DevSecOps Engineer | 48-65 k€ | 62-82 k€ | 80-105 k€ | 100-135 k€ |
| Cloud Security Analyst | 50-75 k€ | 65-88 k€ | 80-110 k€ | 100-140 k€ |
| Cloud Security Engineer | 52-78 k€ | 70-95 k€ | 90-120 k€ | 110-160 k€ |
| Incident Responder (DFIR) | 50-72 k€ | 65-88 k€ | 85-115 k€ | 105-145 k€ |
| Threat Intel Analyst | 50-70 k€ | 65-85 k€ | 80-110 k€ | 100-140 k€ |
| LLM / AI Security Engineer | 55-85 k€ | 70-100 k€ | 90-130 k€ | 115-170 k€ |
| OT Security Engineer | 55-85 k€ | 70-95 k€ | 85-120 k€ | 110-150 k€ |
| Responsable conformité SI / RSSI PME | — | — | 75-110 k€ | 110-170 k€ |
| Head of GRC / RSSI grand groupe | — | — | — | 150-300 k€ |
| CISO grand groupe ou Fortune 500 | — | — | — | 200-850 k€ selon taille et US listing |
Sources : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France, IANS Research CISO Compensation Benchmark 2024, Heidrick & Struggles Global CISO Survey 2024. Fourchettes indicatives brutes annuelles pour la France métropolitaine, Île-de-France tirant la fourchette haute.
7. Tendances marché 2026-2030
Trois vagues réglementaires convergentes
- NIS 2 (directive UE 2022/2555, transposée octobre 2024) : ≈ 15 000 entités essentielles et importantes en France doivent structurer leur gouvernance cyber.
- DORA (règlement UE 2022/2554, applicable janvier 2025) : ≈ 22 000 entités financières européennes plus prestataires TIC critiques.
- AI Act (règlement UE 2024/1689, applicable août 2026) : gouvernance IA haut risque, création d'une demande LLM Security Engineer structurée.
Automation SOC L1 par l'IA
Les SOC L1 les plus basiques sont attendus comme fortement augmentés par l'IA générative d'ici 2028, avec une reclassification progressive vers SOC L2 et threat hunting. Les postes SOC L1 purs en ESN généraliste resteront disponibles mais avec une évolution de carrière plus courte. Recommandation : viser L2 / L3 rapidement, ou basculer vers DFIR, cloud security ou threat intelligence après 18-24 mois.
Cloud Security en tension structurelle prolongée
La pénurie cloud security (AWS/Azure/GCP + Kubernetes) devrait se maintenir au moins jusqu'en 2028 selon Gartner et les retours terrain 2024. Tirage salarial attendu. Le segment est le plus porteur à moyen terme pour un reconverti tech.
LLM / AI Security, métier en construction
Émergent depuis 2023 (publication OWASP Top 10 LLM v1, puis v2 en 2025). Le métier se structure rapidement autour de compétences spécifiques : prompt injection (LLM01), insecure output handling (LLM02), training data poisoning (LLM03), supply chain ML, guardrails systèmes, AI red teaming. Les profils ML Engineer + pratique sécurité et les profils AppSec + upskilling LLM sont les mieux positionnés. Voir la formation LLM Security pour la trajectoire dédiée.
OT Security — segment industriel spécialisé
NIS 2 élargit explicitement aux opérateurs de services essentiels industriels. Les postes OT Security (ICS, SCADA, protocoles Modbus, DNP3, IEC 61850, référentiel ISA/IEC 62443) sont structurellement en déficit de candidats en 2026. Profils automaticiens, ingénieurs industriels, ingénieurs maintenance reconvertis cyber sont très valorisés.
8. Ce qu'il faut retenir pour choisir son métier cyber
Trois questions pour cadrer son choix
- Ai-je un profil tech ou non-tech ? Non-tech → GRC, DPO, RSSI à long terme. Tech → toutes les familles ouvertes selon sous-profil.
- Est-ce que je veux construire ou opérer ? Construire → DevSecOps, AppSec, Cloud Security Engineer, Security Architect. Opérer → SOC, DFIR, Threat Intel, Cloud Security Analyst.
- Quel est mon rapport à la rigueur documentaire versus l'adrénaline opérationnelle ? Rigueur → GRC, audit, conformité. Adrénaline → DFIR, pentest, red team.
Points clés à retenir
- Marché cyber France 2026 : 15 000 postes non pourvus, 65 000 à l'échelle UE, croissance offres +25-35 % YoY.
- Top 5 métiers les plus demandés : Analyste GRC, Cloud Security Engineer/Analyst, SOC L1/L2, DevSecOps, AppSec. Pentest junior saturé côté candidats malgré demande soutenue.
- Trois vagues réglementaires drivers : NIS 2 (oct. 2024), DORA (janv. 2025), AI Act (août 2026).
- Salaires juniors 38-78 k€, progression senior 85-120 k€, direction cyber 150-320 k€ selon taille d'entreprise.
- Cloud Security et GRC = segments les plus porteurs à 5-10 ans. SOC L1 pur attendu en reclassification progressive via automation IA.
- Métiers émergents : LLM/AI Security (Top 10 OWASP LLM, AI Act), OT Security (NIS 2 industriels).
- Le métier médiatisé (pentest) n'est pas toujours le plus accessible : viser un métier en tension structurelle pour optimiser ratio effort/embauche.
Pour aller plus loin : guide complet reconversion cybersécurité en porte d'entrée globale, Devenir analyste GRC sans expérience pour la trajectoire non-tech la plus accessible, Les étapes pour devenir Cloud Security Engineer pour le segment tech le plus porteur, Les étapes pour travailler en GRC pour la carrière GRC complète, Les étapes pour devenir RSSI et Les étapes pour devenir CISO pour les trajectoires direction cyber. L'accompagnement cyber 6 mois cadre le choix de métier, le parcours de certifications et le portfolio par profil d'entrée.
