Quelque part en France, un automate pilote un parc éolien depuis douze ans. Il fonctionne très bien. Si bien que personne n’y a jamais touché : aucun correctif, aucun redémarrage, aucun mot de passe modifié depuis la mise en service. Puis, un matin, pour épargner 3 heures de route à un technicien, on a ouvert un accès distant. Ce boîtier discret, conçu à une époque où « connecté » signifiait « relié par un câble », est devenu joignable depuis l’autre bout du monde.
L’histoire n’a rien d’exceptionnelle. C’est le quotidien d’une large part du secteur énergétique : des installations robustes, fiables, parfois vieilles de vingt ans, désormais raccordées à des réseaux qu’elles n’avaient jamais été pensées pour affronter. Les régulateurs européens, eux, ont estimé que la situation avait assez duré. Entre la directive NIS 2, la directive sur la résilience des entités critiques et la transposition française portée par la loi du 30 juillet 2025, le cadre se referme. Et il pose une question redoutablement concrète aux dirigeants du secteur : qui, exactement, va sécuriser tout cela ?
C’est l’objet de cet article. Car derrière l’obligation de conformité se cache une difficulté dont on parle beaucoup moins : les compétences nécessaires pour la satisfaire n’existent presque pas sur le marché. Et c’est précisément là qu’un cabinet de recrutement cybersécurité spécialisé devient un interlocuteur utile, parfois décisif.
Un secteur stratégique, donc une cible de choix

Couper l’électricité d’une région, perturber la distribution de gaz, fausser la supervision d’un réseau de chaleur : il existe peu de leviers aussi spectaculaires pour un attaquant. Le secteur énergétique cumule deux caractéristiques qui en font une cible privilégiée. Sa criticité d’abord, puisqu’une interruption se traduit immédiatement dans le monde physique. Sa visibilité ensuite, car une panne d’origine cyber fait la une et nourrit un sentiment d’insécurité collective bien plus efficacement qu’une fuite de données.
Les chiffres confirment cette intuition. Le rapport Threat Landscape 2025 de l’ENISA, l’agence européenne de cybersécurité, a analysé près de 4 900 incidents survenus entre juillet 2024 et juin 2025. Les menaces visant les technologies opérationnelles, c’est-à-dire les systèmes qui pilotent les processus industriels, y représentent 18,2 % des catégories identifiées. La France figure parmi les États membres les plus visés, derrière l’Italie et la Tchéquie.
À l’échelle nationale, le constat est encore plus net. Selon un rapport relayé par L’Usine Nouvelle début 2026, l’énergie est le secteur français le plus exposé aux intrusions ciblant les systèmes SCADA, ces dispositifs de supervision et de pilotage à distance des installations. Le segment électrique concentrerait à lui seul une part majoritaire des incidents recensés dans le secteur, devant le pétrole et le gaz. Le Panorama de la cybermenace 2025 de l’ANSSI abonde dans le même sens : les infrastructures énergétiques restent une cible prisée, en raison de leur caractère stratégique et d’une transformation numérique accélérée.
Fait notable, les installations les plus exposées ne sont pas toujours les plus grandes. Parcs éoliens, micro-centrales, petits sites de production renouvelable : ces équipements de taille modeste, parfois directement accessibles depuis internet et rarement dotés d’une supervision sérieuse, offrent une surface d’attaque commode. Pour l’instant, leur compromission a une portée limitée. Mais quand des groupes hacktivistes diffusent des vidéos d’opérateurs manipulant des systèmes industriels pour amplifier la perception de la menace, le message est clair : l’objectif est moins le gain immédiat que la démonstration de capacité.
NIS 2 et directive REC : le cadre réglementaire se referme

Pendant longtemps, la régulation cyber du secteur énergétique tenait en peu d’acteurs. La directive NIS de 2016 ne concernait qu’environ 500 organisations en France, opérateurs d’importance vitale et opérateurs de services essentiels confondus. La directive NIS 2 change radicalement d’échelle : la transposition française fait passer ce nombre à plus de 15 000 entités, réparties en deux catégories, les entités essentielles et les entités importantes. L’énergie figure en bonne place parmi les dix-huit secteurs couverts, électricité, gaz, pétrole, hydrogène, réseaux de chaleur et de froid compris.
Les obligations, elles, ne relèvent plus de la recommandation polie. Le cadre français définit une vingtaine d’objectifs de sécurité pour les entités essentielles, une quinzaine pour les entités importantes : gestion des risques, signalement des incidents, sécurisation de la chaîne d’approvisionnement, gouvernance impliquant la direction. Les sanctions suivent la même logique : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles. De quoi attirer l’attention d’un directeur administratif et financier, ce qui était précisément l’intention du législateur.
Un détail mérite d’être souligné, car il déjoue un réflexe répandu. Disposer d’une certification ISO 27001 ne vaut pas conformité NIS 2. Selon l’analyse de la transposition française, cette certification ne couvre à elle seule qu’une fraction des objectifs attendus. Autrement dit, l’organisation qui se croyait à l’abri parce qu’elle avait « déjà fait de l’ISO » découvre qu’il lui reste l’essentiel du chemin.
À NIS 2 s’ajoute la directive sur la résilience des entités critiques, parfois désignée par l’acronyme REC, qui traite non plus seulement de la sécurité numérique mais de la résilience physique et organisationnelle des infrastructures. Les deux textes, ainsi que le règlement DORA pour le secteur financier, ont été transposés ensemble par la loi du 30 juillet 2025, complétée par décret à l’automne. Les entités concernées disposent d’un délai de mise en conformité d’environ trois ans, ce qui reporte la première échéance réelle autour de 2027. Cela peut sembler lointain. Pour qui doit recruter, structurer une équipe et faire monter des compétences rares, c’est demain matin.
L’angle mort : sécuriser ce qui n’a pas été conçu pour l’être

Voici le cœur du problème, et la raison pour laquelle la cybersécurité de l’énergie ne se résume pas à acheter quelques pare-feu supplémentaires. Le secteur repose sur deux mondes qui ont longtemps vécu séparés. D’un côté, l’informatique de gestion, familière, faite de serveurs et de postes de travail que l’on met à jour le mardi. De l’autre, les technologies opérationnelles : automates, capteurs, postes électriques, systèmes SCADA qui orchestrent la production et la distribution.
Ces deux univers n’obéissent pas aux mêmes règles. En informatique classique, la priorité va à la confidentialité des données. En milieu industriel, c’est la disponibilité qui prime, car un arrêt de production peut avoir des conséquences en chaîne. On ne redémarre pas un poste électrique comme on relance un ordinateur portable. On n’applique pas un correctif sur un automate critique sans une fenêtre de maintenance planifiée des semaines à l’avance, parfois sans garantie que le fournisseur d’origine existe encore. Beaucoup de ces équipements ont une durée de vie de plusieurs décennies et n’ont jamais intégré la moindre notion de chiffrement ou d’authentification.
Le problème s’aggrave avec la convergence entre informatique et production. Pour optimiser leurs réseaux, piloter à distance et exploiter leurs données, les opérateurs énergétiques connectent ce qui était autrefois cloisonné. Chaque passerelle nouvelle est un gain d’efficacité et, simultanément, une porte supplémentaire. Nous avons exploré cette mécanique dans notre article sur la cybersécurité et l’industrie 4.0 : un équipement industriel a souvent plus de connexions que de protections.
Deux leviers structurels existent. Le premier consiste à intégrer la sécurité dès la conception des nouvelles installations, plutôt que de la rajouter ensuite à grand renfort de rustines, un principe que nous détaillons dans notre guide sur le security by design appliqué au terrain. Le second consiste à voir ce qui se passe sur ses réseaux industriels, condition préalable à toute défense crédible, sujet que nous avons traité sous l’angle de l’observabilité comme nouvel impératif. Encore faut-il, dans les deux cas, des personnes capables de les mettre en œuvre.
Transport d’électricité ou producteur renouvelable : mêmes failles, maturités opposées

« Le secteur de l’énergie » est une commodité de langage qui masque des réalités très contrastées. Comparons deux profils d’organisation.
D’un côté, un grand opérateur de transport d’électricité. Infrastructure vitale de longue date, soumis aux exigences de la loi de programmation militaire bien avant NIS 2, il dispose généralement d’un responsable de la sécurité des systèmes d’information installé, d’équipes dédiées aux technologies opérationnelles, d’une cartographie de ses actifs et d’une culture du risque ancrée. Pour lui, NIS 2 représente une marche supplémentaire, exigeante mais cohérente avec une trajectoire déjà engagée.
De l’autre, une entreprise de taille intermédiaire spécialisée dans la production d’énergie renouvelable. Croissance rapide, parc d’installations dispersées géographiquement, supervision souvent confiée à des prestataires, et fréquemment aucun spécialiste cybersécurité en interne. Cette organisation découvre parfois en lisant la presse spécialisée qu’elle relève désormais des entités importantes, voire essentielles. Sa maturité de départ n’a tout simplement rien de comparable.
Les failles, pourtant, se ressemblent étrangement. Dans les deux cas, on retrouve des équipements anciens difficiles à corriger, une convergence informatique-production qui élargit la surface d’exposition, une dépendance à des sous-traitants dont la sécurité conditionne la vôtre, et une pénurie de profils qualifiés. La différence ne tient pas à la nature des risques mais à la capacité à les absorber. Là où le grand opérateur ajuste un dispositif existant, l’entreprise intermédiaire doit en bâtir un de zéro, avec un calendrier réglementaire qui ne fait pas de distinction de taille.
C’est une nuance déterminante pour qui recrute. On n’aborde pas de la même manière une organisation qui cherche à renforcer une équipe structurée et une autre qui doit recruter son tout premier référent sécurité industrielle. La première a besoin de spécialistes pointus, la seconde d’un profil capable de poser des fondations et de structurer une démarche. Confondre les deux, c’est se tromper de candidat, et perdre des mois.
Le vrai goulot d’étranglement : les profils

Voici l’équation que personne n’aime résoudre. Le secteur énergétique doit, sous contrainte réglementaire, recruter des compétences situées à l’intersection de trois pénuries.
La première est celle de la cybersécurité en général. En France, on évoque de façon récurrente de l’ordre de 15 000 postes non pourvus dans le domaine. Précisons d’emblée, par honnêteté, qu’il s’agit d’un chiffre global, et non d’une mesure propre aux technologies opérationnelles : aucune statistique publique fiable n’isole proprement les besoins OT du secteur énergétique. La stratégie nationale France 2030 ambitionnait par ailleurs de faire passer les effectifs cyber d’environ 37 000 à 75 000 personnes : l’écart entre l’objectif et la réalité du marché donne la mesure de la tension.
La deuxième pénurie est celle des profils OT. Connaître la sécurité informatique ne suffit pas. Il faut comprendre les protocoles industriels, savoir pourquoi on ne déploie pas un correctif un soir de pointe hivernale, maîtriser des référentiels comme la norme IEC 62443. Cette double compétence, informatique et industrielle, est rare par construction : elle suppose un parcours qui croise deux mondes longtemps étanches.
La troisième pénurie, plus subtile, est celle de l’acculturation au métier énergétique lui-même. Un automate de poste électrique, une éolienne, une chaufferie urbaine ne se sécurisent pas dans l’abstrait. Le professionnel pertinent comprend les contraintes d’exploitation, dialogue avec les équipes de maintenance et sait distinguer une anomalie d’un fonctionnement nominal. L’étude ISC2 Cybersecurity Workforce Study 2025 le confirme à l’échelle mondiale : les besoins les plus pressants se concentrent dans les secteurs à forte criticité opérationnelle. L’énergie en est l’archétype.
Sur les rémunérations, les repères publics situent un ingénieur cybersécurité confirmé dans une fourchette d’environ 55 000 à 70 000 euros bruts annuels, les profils seniors dépassant 80 000 euros (source : repères de marché 2026, plusieurs publications spécialisées concordantes). Les profils combinant cybersécurité et culture industrielle, plus rares, se valorisent mécaniquement au-dessus du généraliste, cela relève moins d’une grille que d’une loi de l’offre et de la demande. Le réflexe consistant à débaucher ces quelques experts chez les trois ou quatre grands opérateurs du pays est compréhensible. Il est aussi parfaitement intenable : il ne crée aucune compétence nouvelle, il déplace la pénurie comme on se passe une pomme de terre brûlante.
L’avis de Rehackt, sans détour

Le secteur de l’énergie cherche, en ce moment, un mouton à cinq pattes : expert en sécurité informatique, à l’aise avec les automates, conscient des enjeux d’exploitation, disponible et raisonnable sur la rémunération. Cette personne existe. Le problème, c’est qu’il y en a sans doute juste assez en France pour remplir un autocar régional, et que la plupart sont déjà très bien installées.
Notre conviction, c’est qu’attendre ce profil idéal est une stratégie pour collectionneur, pas pour dirigeant qui a une échéance réglementaire en 2027. La sortie de l’impasse passe rarement par le recrutement d’un être providentiel. Elle passe par la construction d’une équipe : un ingénieur cybersécurité solide associé à une compétence industrielle, un référent qui acquiert progressivement la culture OT, un dispositif de montée en compétences pensé dès le premier jour. Recruter cesse alors d’être une chasse au trésor pour redevenir ce que c’est vraiment, un travail d’architecture.
Cela suppose d’accepter une idée simple. On peut recruter un profil prometteur et le faire grandir, à condition de l’avoir correctement évalué et de savoir ce qu’il lui manquera. C’est moins glorieux qu’un curriculum vitae parfait. C’est surtout beaucoup plus réaliste, et bien plus rapide.
Comment un cabinet de recrutement cybersécurité accompagne le secteur de l’énergie

C’est ici qu’un cabinet de recrutement cybersécurité spécialisé démontre son utilité, et la nôtre s’apprécie au-delà de la simple mise en relation. Notre rôle commence en amont de la diffusion d’une annonce : aider un comité de direction à clarifier de quel profil il a réellement besoin, en fonction de sa maturité de départ. Un grand opérateur structuré et une entreprise intermédiaire qui recrute son premier référent ne décrivent pas le même poste, même s’ils emploient parfois les mêmes mots. Confondre les deux, c’est perdre un trimestre et de la crédibilité auprès des candidats.
Notre approche est consultative avant d’être transactionnelle. Nous accompagnons la maturation du besoin, l’alignement entre la contrainte réglementaire et la feuille de route concrète, puis l’identification de profils qui n’apparaissent pas dans une recherche par mots-clés, parce qu’ils se définissent rarement eux-mêmes comme « spécialistes OT ». Pour les organisations qui n’ont pas le budget d’une équipe dédiée, nous savons aussi imaginer des formats plus mesurés, à dimensionner avec elles.
Reste la question du vivier. Le secteur énergétique ne se sécurisera pas durablement en se disputant un nombre fixe d’experts : il faut en former de nouveaux. C’est la raison d’être d’Académie Cyber, notre plateforme de préparation des candidats actuels et futurs, encore en phase d’expérimentation. Elle ne réglera pas la pénurie à elle seule, et nous n’allons pas vous vendre l’inverse. Mais elle participe d’un écosystème où le recrutement et la formation cessent d’être traités séparément.
Vous dirigez un opérateur énergétique, vous en tenez les cordons de la bourse ou vous orientez sa politique de ressources humaines, et l’échéance NIS 2 a cessé d’être une abstraction ? Parlons-en avant que le calendrier ne décide à votre place. Échangeons sur rehackt.fr/contact : un point de cadrage vaut mieux qu’un poste resté vacant 18 mois.
Note de transparence
Conformément à nos habitudes, nous distinguons ce qui relève des faits, des hypothèses et de l’incertitude.
Faits avérés. La directive NIS 2 et la directive sur la résilience des entités critiques ont été transposées en droit français par la loi du 30 juillet 2025, complétée par décret à l’automne 2025. Le périmètre passe d’environ 500 à plus de 15 000 entités, l’énergie figurant parmi les dix-huit secteurs couverts. Les chiffres de menaces cités proviennent du rapport Threat Landscape 2025 de l’ENISA, du Panorama de la cybermenace 2025 de l’ANSSI et d’analyses de marché relayées par la presse spécialisée française début 2026.
Hypothèses plausibles. La lecture en termes d’écart de maturité entre grands opérateurs de transport et entreprises intermédiaires du renouvelable est une grille d’analyse fondée sur des observations de marché : elle décrit une tendance générale, pas une règle absolue. De même, la valorisation supérieure des profils combinant cybersécurité et culture industrielle est déduite d’une logique d’offre et de demande, non d’une grille salariale publiée.
Éléments incertains. Il n’existe pas, à notre connaissance, de statistique publique fiable isolant le nombre de postes OT non pourvus dans le seul secteur énergétique français : le chiffre de 15 000 postes cité concerne l’ensemble de la cybersécurité. Le calendrier précis de mise en conformité dépend par ailleurs de l’application des textes réglementaires, susceptible d’ajustements. Les fourchettes de rémunération sont des repères de marché et varient selon la région, la taille de l’organisation et le périmètre exact du poste.
Un recrutement cyber à confier ? On voit ces moments avant vous.


