Cybersécurité en France : le grand décalage de 2025 et les perspectives 2026

Retour sur une année où les prévisions ont rencontré la réalité économique

---

Janvier 2026. Souvenez-vous : il y a deux ans, tous les rapports annonçaient une pénurie catastrophique de talents cyber. On nous prédisait 15 000 à 20 000 postes non pourvus en 2025, un marché en croissance explosive, des salaires en hausse constante. Les écoles de cybersécurité se multipliaient, les reconversions affluaient, et chaque étudiant en cyber se voyait déjà avec trois offres d’emploi avant même d’avoir terminé son stage.

….ça ne s’est pas exactement passé comme prévu.

Alors que nous ouvrons 2026, il est temps de faire le bilan de ce grand écart entre les prévisions et la réalité. Non pas pour jouer les Cassandre, mais pour comprendre ce qui s’est réellement passé et, surtout, ce qui nous attend. Chez Rehackt, cabinet de recrutement spécialisé cybersécurité & IT, nous avons observé de près ces transformations du marché. Et croyez-nous, la réalité est plus nuancée – et plus intéressante – que les prédictions linéaires.

---

2025 : l’année du grand paradoxe

Les chiffres qui racontent deux histoires différentes

Le paradoxe est fascinant : d’un côté, selon l’Observatoire des métiers de l’ANSSI, 23 000 offres d’emploi ont été publiées entre juin 2023 et juin 2024 (+49% par rapport à 2019). Les architectes cybersécurité représentant 21% des offres, devant les consultants (15%) et les ingénieurs (15%). Le marché français devait atteindre 6,4 milliards d’euros en 2025, avec une trajectoire de croissance à 10% par an jusqu’en 2030.

De l’autre côté : 15 000 postes restés obstinément non pourvus. Et dans le même temps, la tech mondiale a perdu plus de 150 000 emplois en 2024 (selon Layoffs.fyi), et déjà plus de 22 000 en 2025 (dont 16 000 rien qu’en février). Même en France, les semi-conducteurs ont coupé 1 000 postes. Même STMicroelectronics qui s’est engagé sur un volume de créations d’emplois à Crolles ne l’a finalement pas réalisé, et en même temps, l’APEC prévoyait une baisse de 4% des recrutements cadres IT en 2025 (après -8% en 2024).

Comment peut-on manquer de talents ET licencier massivement ? Cette contradiction apparente révèle en réalité une profonde transformation du marché du travail cyber et IT. Ce n’est pas une simple anomalie temporaire, c’est la nouvelle normalité.

Quand même la cybersécurité n’est plus immunisée

Car oui, même la cybersécurité – ce secteur qu’on nous présentait comme ultra-résilient – n’a pas été épargnée par les plans de restructuration :

• Sophos : 6% de réduction d’effectifs après l’acquisition de Secureworks
• Deep Instinct : 10% de coupes dans les équipes
• Otorio : plus de 50% des effectifs supprimés post-rachat par Armis
• CrowdStrike : 5% de licenciements malgré une position de leader

Ce qui est intéressant, ce n’est pas tant l’ampleur des licenciements que leur nature. Il ne s’agit pas d’entreprises en difficulté financière, mais de restructurations stratégiques post-acquisitions ou d’optimisations de rentabilité. Autrement dit : même quand tout va “bien”, on licencie quand même.

Le message est clair : la compétence technique ne protège plus. Quand votre maison mère décide de “rationaliser” après une fusion-acquisition, vos talents en détection d’intrusion ou votre certification OSCP ne vous mettent pas à l’abri du plan social. La cybersécurité reste un secteur porteur, mais elle n’est plus cette bulle protectrice qu’on imaginait.

La métamorphose silencieuse des métiers cyber

Au-delà des licenciements, c’est toute la structure des métiers cyber qui se transforme. Un cabinet de recrutement spécialisé cybersécurité & IT comme Rehackt le constate quotidiennement : les fiches de poste de 2026 ne ressemblent plus à celles de 2023.

Les métiers qui montent :

L’architecte cyber-business : il ne suffit plus de concevoir une architecture technique solide. Il faut la vendre en interne, justifier chaque euro investi, traduire les risques en impact business. Les meilleurs architectes de 2026 sont ceux qui opèrent et prennent la parole auprès des Comités de Direction, pas ceux qui restent dans une tour d’ivoire technique.

Le GRC specialist (Governance, Risk, Compliance) : avec NIS2, DORA et le Cyber Resilience Act, ce profil explose. Mais attention, pas le “case-cocher” qui remplit des tableaux Excel. On parle d’un profil capable de piloter la conformité comme un vrai projet stratégique, avec impact métier. Le Security by Design pourrait prendre de l’ampleur plus que vous ne le pensez, mais impliquerait des responsabilités, des capacités d’arbitrage et d’arrêter d’empiler des couches de rôles…

Le cyber crisis manager : gérer un incident technique, c’est une chose. Piloter une cellule de crise avec la direction, les RH, la communication, le juridique, tout en maintenant l’activité… c’est un autre niveau. L’étude CESIN a bien révélé que 65% des cyberattaques perturbent significativement l’activité. Les entreprises cherchent maintenant des profils capables de gérer la dimension humaine et organisationnelle, pas juste technique.

Les métiers qui stagnent ou reculent :

L’analyste SOC niveau 1 : l’automatisation grignote ces postes. Les outils d’IA traitent maintenant 70-80% des alertes de niveau 1. Ce qui reste nécessite des compétences de niveau 2. Résultat : le métier “surveiller des logs” disparaît progressivement.

Le pentester “pur” : les outils automatisés de test d’intrusion se multiplient. Ce qui est valorisé maintenant, c’est le pentesting avec dimension conseil et accompagnement à la remédiation. Le simple “je trouve les failles et je fais mon rapport” ne suffit plus.

L’administrateur sécurité classique : les solutions cloud managées réduisent le besoin d’administration “à la main”. Les profils recherchés sont ceux capables de piloter ces solutions, pas juste de les administrer.

Ce que cela signifie concrètement : si vous êtes sur un métier en déclin, vous avez environ 18-24 mois pour monter en compétences et pivoter. Après, vous risquez de vous retrouver dans une impasse professionnelle.

---

Pourquoi les entreprises n’ont pas recruté comme prévu : une anatomie du décalage

Ce qui s’est passé en 2025 n’est pas simplement une “crise” ou un “ralentissement”. C’est la collision de plusieurs forces structurelles qui ont redessiné le paysage de l’emploi cyber. En tant que cabinet de recrutement spécialisé cybersécurité & IT, nous avons vu ces tendances se matérialiser dans les comportements concrets des entreprises.

1. Le syndrome du “gueule de bois post-COVID”

Le sur-recrutement pandémique a créé une bulle. Entre 2020 et 2022, les entreprises tech ont recruté comme si le monde allait basculer 100% en télétravail pour l’éternité. Meta, Amazon, Google… tous ont gonflé leurs effectifs de 30 à 50%, anticipant une croissance qui ne s’est jamais matérialisée à ce niveau.

Résultat en 2025 : même Meta, qui affiche des résultats financiers solides, a annoncé début 2025 une nouvelle vague de réductions touchant 5% de ses employés jugés “insuffisamment performants”. Mark Zuckerberg a été très clair : “L’année sera chargée et il faut relever le niveau d’exigence.”

Ce qui est fascinant, c’est que cette correction ne touche pas que les géants américains. En France, le même phénomène s’observe à échelle réduite : les ESN qui avaient massivement recruté pendant la pandémie rationalisent désormais leurs effectifs. Le problème ? Les candidats formés pendant cette période arrivent maintenant sur un marché qui s’est refermé.

2. L’IA comme accélérateur de transformation (et de réduction d’effectifs)

2 entreprises françaises sur 3 prévoient de ralentir les recrutements à cause de l’IA, selon une étude IDC pour Deel. Et contrairement aux discours rassurants du type “l’IA va créer plus d’emplois qu’elle n’en détruit”, la réalité terrain est plus nuancée.

Les faits : l’automatisation remplace déjà certaines tâches :

• Les analyses de niveau 1 en SOC sont de plus en plus automatisées
• TikTok a licencié des centaines de modérateurs en Malaisie pour déléguer à l’IA
• Amazon développe des outils d’automatisation qui réduisent le besoin en personnel technique de 20 à 30%

En cybersécurité spécifiquement ? Les outils de détection par IA et d’automatisation de la réponse aux incidents permettent à une équipe de 5 personnes de faire le travail qui en nécessitait 8 il y a trois ans. Certes, cela monte en complexité, mais ça ne crée pas 3 nouveaux postes ailleurs. Résultat : on recrute moins, on exige plus de polyvalence, et on privilégie les profils seniors capables de piloter ces outils.

Ce n’est pas l’apocalypse, mais c’est une transformation profonde : les postes d’exécution technique pure diminuent, tandis que les postes stratégiques et de pilotage restent en tension. Le problème ? La majorité des formations préparent encore au premier type de poste.

L’autre versant de la médaille (souvent ignoré) :

L’IA crée aussi de nouveaux besoins que peu anticipent :

• Sécurité de l’IA elle-même : adversarial attacks, empoisonnement de modèles, jailbreaking de LLMs
• Gouvernance de l’IA : audit des algorithmes, explicabilité, conformité IA Act européen
• Détection des deepfakes : nouveau champ de bataille pour la détection de fraude
• Cybersécurité augmentée : piloter les outils d’IA défensive demande de nouvelles compétences

Exemple concret : une entreprise qui déploie des chatbots d’IA (et elles sont nombreuses) a besoin de quelqu’un qui comprend les risques de prompt injection, de data leakage, d’hallucinations malveillantes… Ce profil “AI Security Specialist” n’existait pas il y a 2 ans, il sera recherché en 2026.

Le vrai enjeu : ne pas subir l’IA comme une menace, mais la voir comme un outil qui change la nature du travail. Les professionnels cyber qui maîtriseront l’IA comme complément à leur expertise technique seront ceux qui prospéreront.

3. La pression sur la rentabilité redéfinit les priorités

L’inflation, la hausse des taux, les investisseurs plus frileux : tout pousse les entreprises à prouver leur rentabilité. Selon Josh Bersin, expert RH, les politiques d’optimisation façon Elon Musk (qui a supprimé 80% des effectifs de Twitter… pardon, X) ont créé une nouvelle norme managériale : faire plus avec moins n’est plus un objectif, c’est un impératif.

Dans ce contexte, même quand une entreprise a identifié un besoin cyber, elle hésite. La question n’est plus “avons-nous besoin d’un RSSI ?”, mais “pouvons-nous tenir encore 6 mois en externalisant ?” ou “ne peut-on pas donner ces responsabilités au DSI actuel ?”.

Concrètement, nous observons trois stratégies d’évitement :

1. Le report : “On attendra le prochain exercice budgétaire”
2. L’externalisation : déléguer à un prestataire plutôt que recruter en interne
3. L’extension de poste : ajouter la cyber aux responsabilités du DSI ou du responsable IT

Ces stratégies maintiennent artificiellement les postes “non pourvus” alors que, dans les faits, l’entreprise a décidé de ne pas recruter.

4. Les budgets cyber : le grand écart entre discours et réalité

Tout le monde parle de cybersécurité, mais les chiffres racontent une autre histoire :

• 75% des TPE-PME investissent moins de 2000€ par an en cybersécurité (baromètre Cybermalveillance 2025)
• La part moyenne du budget IT consacrée à la cyber est de 5,6% (alors que les experts recommandent 10%)
• 60% des entreprises françaises sous-investissent selon les standards du secteur

Ce qui est révélateur, c’est l’évolution : certes, 15% des entreprises prévoyaient d’augmenter leur budget cyber en 2025 (contre 10% en 2024), mais trois quarts restaient sous la barre des 2000€ annuels. À ce niveau d’investissement, impossible de recruter. On peut à peine se payer un audit externe.

Le paradoxe : ces mêmes entreprises déclarent à 60% que “la cybersécurité concerne tout le monde dans l’entreprise” et qu’elles ont conscience des risques. Mais entre la conscience du risque et l’allocation budgétaire, il y a un gouffre. Et dans ce gouffre, les postes cyber restent non pourvus.

5. Les exigences irréalistes persistent (et s’aggravent même)

47% des offres cyber visent des profils bac+5, selon l’ANSSI. Mais le problème va au-delà du niveau d’études. Les fiches de poste accumulent les incohérences :

• Architecte cyber junior avec 5 ans d’expérience
• Maîtrise obligatoire de 15 outils différents (dont certains obsolètes)
• Disponibilité 24/7 avec astreintes non rémunérées
• Expertise technique pointue + compétences managériales + capacité de formation
• Le tout pour un salaire qui n’a pas évolué depuis 2019

Ce que nous constatons chez Rehackt : ces postes restent ouverts 6, 9, 12 mois. Pas parce qu’il n’y a personne sur le marché, mais parce que le profil recherché n’existe tout simplement pas. Ou s’il existe, il est déjà en poste et très bien payé ailleurs.

Le cercle vicieux : plus le poste reste vacant, plus l’entreprise durcit ses critères (“si on ne trouve personne, c’est qu’on ne vise pas assez haut”), alors que la solution serait exactement l’inverse (recruter un profil junior/moyen et le former).

Le grand malentendu : quand les formations préparent à des métiers qui n’existent plus

Un paradoxe français fascinant : l’OPIIEC recense plus de 900 formations en cybersécurité en France. Pourtant, les entreprises ne trouvent pas. Et les diplômés peinent à trouver. Comment est-ce possible ?

Le décalage structurel que nous observons chez Rehackt, cabinet de recrutement spécialisé cybersécurité & IT :

Ce que les formations enseignent majoritairement :

• Techniques d’attaque et de défense (pentesting, reverse engineering)
• Maîtrise d’outils techniques (Wireshark, Metasploit, Burp Suite…)
• Fondamentaux cryptographiques et réseaux
• Certifications techniques (CEH, OSCP, CISSP…)

Ce que les entreprises recherchent réellement en 2026 :

• Capacité à traduire un risque technique en impact business (personne ne l’enseigne)
• Pilotage de projets cyber avec des équipes non-techniques (rarement au programme)
• Gestion de la conformité réglementaire opérationnelle (NIS2, DORA) (nouveauté 2025, formations en retard)
• Communication de crise et gestion d’incident multi-acteurs (quasi-absent des cursus)
• Compréhension des enjeux métiers sectoriels (santé, industrie, finance) (totalement absent)

Le résultat ? Des diplômés techniquement compétents mais professionnellement sous-préparés. Et des entreprises qui cherchent des profils “business-ready” qu’elles ne trouvent pas dans le vivier des sortants d’école.

Les rares formations qui s’en sortent bien : celles qui imposent 12-18 mois d’alternance en entreprise, avec de vraies responsabilités. Parce qu’on n’apprend pas à gérer une crise cyber dans un amphi, mais en étant dans le bain.

Autre problème structurel : 33% seulement des professionnels cyber ont un diplôme spécifique en cybersécurité (ANSSI 2025). 64% considèrent que les métiers sont ouverts aux reconversions. Mais les formations continues pour reconvertis sont souvent trop courtes (3-6 mois) et trop théoriques pour vraiment préparer au terrain.

La solution ? Elle se trouve probablement à mi-chemin : des formations plus courtes mais avec alternance obligatoire longue, un focus sur les soft skills et la compréhension business, et surtout, une meilleure connexion entre écoles et entreprises pour adapter les contenus en temps réel.

---

Le coût humain : burnout et turnover, les maux invisibles du secteur

21% des professionnels cyber évoquent le burnout comme raison de départ

L’ANSSI le confirme : un quart des talents cyber envisageaient de changer de métier à cause du stress. Ce chiffre, qui peut sembler abstrait, cache une réalité très concrète que nous observons quotidiennement en tant que cabinet de recrutement spécialisé cyber.

La mécanique du cercle vicieux :

1. Une entreprise licencie pour “optimiser” (ou un collègue part épuisé)
2. Les survivants doivent absorber les tâches des partis
3. La charge de travail devient insoutenable
4. Le niveau de service baisse, la pression managériale augmente
5. Les meilleurs éléments (ceux qui peuvent partir) partent
6. L’entreprise recrute en urgence (souvent mal)
7. Le nouveau arrive dans une équipe déjà en surchauffe
8. Le turnover s’accélère, et on recommence

Le témoignage parlant : “On a l’impression que si on n’atteint pas un objectif, même mouvant, on est dans la ligne de mire”, confie un développeur ayant quitté son poste après un burnout. Cette phrase résume parfaitement le climat actuel : l’incertitude constante, les objectifs qui changent, la menace latente.

Ce qui est nouveau, c’est que ce phénomène touche désormais aussi les postes cyber dans des entreprises qui se portent bien financièrement. Ce n’est plus une question de survie économique, mais de culture managériale. L’optimisation permanente est devenue une fin en soi.

L’équation impossible pour les équipes terrain

Dans les faits, un professionnel cyber en 2025 devait souvent :

• Assurer le BAU (Business As Usual) : monitoring, gestion des incidents, mises à jour
• Gérer les projets de conformité (NIS2, DORA, ISO 27001…)
• Former les équipes métiers (sensibilisation, processus)
• Répondre aux audits et aux demandes de reporting
• Se tenir à jour techniquement (veille, formations, certifications)
• Participer aux exercices de crise
• Gérer les relations avec les prestataires externes

Et tout ça avec des équipes réduites, des budgets contraints, et une pression managériale croissante. L’étude CESIN 2025 a révélé que 65% des cyberattaques ont perturbé l’activité de manière “significative”. Quand vous êtes le seul RSSI d’une PME de 500 personnes et qu’une attaque survient, vous ne comptez plus vos heures. Et personne ne vous remerciera d’avoir évité les 50 autres tentatives dans le mois.

---

La France dans la tempête mondiale : résistance ou résilience ?

Un marché qui résiste mieux que prévu… mais pour combien de temps ?

Les points positifs sont réels :

• 12,1 milliards d’euros levés dans la cyber mondiale en 2024 (+29% vs 2023)
• La France concentre 26% des levées de fonds européennes en cybersécurité (contre 22% en 2023)
• L’acquisition d’I-TRACING à plus de 500M€ montre la maturité et l’attractivité de l’écosystème national
• Mistral AI a levé 1,7 milliard, devenant une licorne française de l’IA (avec des applications cyber évidentes)
• Le PIB français a progressé de 0,5% au T3 2025, porté par les exportations et la production
• 2,4 milliards levés en septembre 2025 sur 66 tours de table

Ce qui est intéressant, c’est que la France ne suit pas exactement la même trajectoire que les États-Unis. Là où les géants américains licencient massivement pour optimiser, l’écosystème français maintient une dynamique d’investissement. Pourquoi ? Plusieurs hypothèses :

1. L’effet souveraineté : avec les tensions géopolitiques et les réglementations européennes (NIS2, DORA), la France mise sur sa souveraineté numérique. Le Campus Cyber, les initiatives ANSSI, les investissements publics… tout un écosystème se structure.
2. Le retard transformé en opportunité : paradoxalement, le fait que les entreprises françaises soient “en retard” sur la maturité cyber par rapport aux États-Unis crée un marché domestique encore en expansion.
3. La spécialisation sectorielle : la France excelle sur certains segments (aéronautique, énergie, transport) où la cybersécurité devient critique.

Les zones d’ombre persistent cependant :

• Les licenciements dans les semi-conducteurs (1000 emplois supprimés en 2025, notamment chez un acteur majeur)
• Les ESN et grandes SSII ont gelé leurs recrutements (dont cyber) au second semestre 2025

Le vrai sujet, c’est la répartition géographique et sectorielle. L’Île-de-France concentre toujours 43% des professionnels cyber. Les régions peinent à attirer et retenir les talents, malgré des salaires de vie nettement plus intéressants.

Les secteurs qui tirent leur épingle du jeu

Contrairement à la tendance générale, certains secteurs maintiennent une dynamique de recrutement :

La santé et les hôpitaux publics : sous pression NIS2 et après les attaques médiatisées (CHU, cliniques), le secteur santé réveille (enfin) sa cyber. Problème : les budgets restent serrés et les salaires non compétitifs face au privé.

Les collectivités locales : après les attaques sur les communes (Angers, Corbeil-Essonnes, etc.), le poste de RSSI territorial devient stratégique. Des mutualisations inter-communes se mettent en place, créant de vrais postes cyber là où il n’y en avait pas.

L’industrie et l’OT security : la convergence IT/OT crée de nouveaux besoins. Les usines, centrales, infrastructures critiques recrutent des profils hybrides capables de comprendre les deux mondes.

Le problème de ces secteurs ? Trois handicaps majeurs :

1. Salaires 20-30% inférieurs au privé “classique” (banque, ESN, fintech)
2. Processus de recrutement lourds et lents (public notamment)
3. Image peu attractive auprès des jeunes diplômés

Résultat : ces secteurs recrutent, mais peinent à attirer. Chez Rehackt, cabinet de recrutement spécialisé cybersécurité & IT, nous constatons que ces postes nécessitent un travail de conviction important auprès des candidats. Le sens et la stabilité ne suffisent plus face à l’écart salarial.

Les nouveaux acteurs qui redistribuent les cartes de l’emploi

Un phénomène moins visible mais tout aussi structurant : l’émergence de nouveaux types d’employeurs qui transforment le paysage de l’emploi cyber.

Les MSSP (Managed Security Service Providers) en pleine expansion :

Orange Cyberdefense, Atos, Thales, mais aussi des challengers comme Advens, Itrust, Neverhack, Squad… Ces acteurs proposent d’externaliser tout ou partie de la fonction cyber. Pour les entreprises, c’est séduisant : vous avez accès à une expertise pointue sans recruter 5 personnes.

L’impact sur l’emploi :

• ✅ Création de nombreux postes (consultants, analystes SOC, architectes)
• ✅ Diversité des missions et montée en compétences rapide
• ❌ Turnover élevé pour certains (18-24 mois de moyenne)
• ❌ Pression forte sur les équipes pour d’autres (avec multiplications des clients)
• ❌ Risque de “mercenariat” : on passe d’un client à l’autre sans vraie fidélisation

Verdict : excellent tremplin pour démarrer (2-3 ans), mais difficile d’y rester longtemps sans s’épuiser si ces entreprises ne créent pas des trajectoires pour leurs collaborateurs-rices.

Les startups cyber françaises qui percent :

Avec 26% des levées de fonds européennes en 2026, la France voit émerger des pépites : Tehtris, Alsid (racheté par Tenable), Shift Technology, Filigran (créateur d’OpenCTI)… Ces structures créent des emplois qualifiés et innovants.

Le problème : l’instabilité. Une startup peut lever 10M€ un mois et disparaître 18 mois plus tard faute de rentabilité. La prudence s’impose avant de tout plaquer pour une aventure startup.

Les cabinets conseil qui se spécialisent :

Des acteurs comme Wavestone, Sia Partners ou des boutiques plus petites développent des practice cyber dédiées. Le modèle ? Vendre du conseil stratégique plutôt que de l’infogérance technique.

L’avantage : salaires attractifs, missions variées, exposition à des problématiques de haut niveau.
L’inconvénient : vie de consultant (déplacements, rythme soutenu, pression commerciale).

Ce que cela signifie pour 2026 : l’emploi cyber ne se résume plus à “ESN vs grand compte”. Il existe maintenant un écosystème diversifié, avec des modèles d’emploi très différents. Un cabinet de recrutement spécialisé cybersécurité & IT doit maîtriser ces subtilités pour orienter correctement les candidats.

La géographie de l’emploi cyber : Paris vs le reste du monde

Un déséquilibre qui s’accentue plutôt qu’il ne se résorbe.

L’Île-de-France : concentration et saturation :

• 43% des pros cyber (ANSSI 2025)
• Salaires les plus élevés (70K€ médian vs 55K€ en région)
• Mais : coût de la vie prohibitif, temps de transport, concurrence exacerbée
• Turnover élevé : les candidats zappent parfois d’une entreprise à l’autre pour +5-10K€

Ce que nous constatons chez Rehackt : de plus en plus de professionnels parisiens cherchent à partir en région après 5-10 ans.
Problème : ils veulent garder leur salaire parisien pour un coût de vie régional. L’équation est rarement possible, créant de la frustration des deux côtés.

Les pôles régionaux émergents (mais qui peinent encore) :

Lyon/Auvergne-Rhône-Alpes :

• Écosystème cyber en développement (Campus Cyber régional, événements)
• Présence d’acteurs majeurs (Orange Cyberdefense, Atos)
• Salaires : 15-20% sous Paris
• Problème : tout le monde se connaît, peu de mobilité inter-entreprises

Occitanie :

• Spécialisation aéronautique et spatiale + cyber = combo gagnant
• Airbus, Thales, startups du spatial qui recrutent
• Qualité de vie attractive
• Problème : marché très sectorisé, difficile de pivoter vers autre chose

Bretagne :

• Télécoms historiques (Orange, Nokia) + nouvelles startups cyber
• Écoles reconnues (CentraleSupélec, ENSIBS)
• Problème : fuite des cerveaux vers Paris après le diplôme

Lille/Hauts-de-France :

• Proximité Belgique = opportunités transfrontalières
• FIC (Forum International de la Cybersécurité) = super vitrine
• Problème : bassin d’emploi historiquement industriel en reconversion

La réalité pour un cabinet de recrutement spécialisé cyber : 70% des postes sont en Île-de-France, mais 50% des candidats veulent partir en région. Le matching géographique est devenu un enjeu presque aussi important que le matching compétences.

La fausse bonne idée du full remote :

Beaucoup d’entreprises se sont dites : “on va recruter en full remote, problème réglé”. La réalité est plus complexe :

• Les postes full remote attirent 10x plus de candidatures → sélection encore plus dure
• Les profils seniors privilégiés (autonomie nécessaire) → les juniors exclus
• Risque d’isolement et turnover élevé après 18-24 mois
• Difficulté à créer une vraie culture d’équipe

Le modèle qui fonctionne mieux : hybride avec ancrage local (2-3 jours sur site par semaine), création de “hubs” régionaux pour éviter l’isolement, et vraie politique d’intégration des distanciels.

---

2026 : que nous réserve l’année ? Signaux, tendances et scénarios

Les signaux économiques : entre optimisme prudent et réalisme

Côté macro-économie, les indicateurs envoient des signaux mitigés :

Les motifs d’espoir :

• Le PIB français a progressé de 0,5% au T3 2025, porté par les exportations
• Les investissements tech français ont rebondi : 2,4 milliards levés en septembre 2025
• Le marché cyber devrait continuer à croître jusqu’à 2026 (étude Xerfi)
• Le nombre d’offres d’emploi cyber a progressé de 49% entre 2019 et 2024
• Les réglementations (NIS2, DORA) vont mécaniquement créer de la demande

Les signaux d’alerte :

• 150 000 licenciements tech en 2024, avec continuation en 2025 (22 000 au premier trimestre)
• Fermetures de startups prometteuses (Cushion, Level, Beam…) faute de financement ou de rentabilité
• La pression sur la rentabilité ne faiblit pas : les investisseurs veulent du ROI, pas des promesses
• 2 entreprises sur 3 prévoient de ralentir les recrutements à cause de l’IA
• Les budgets cyber des PME restent dramatiquement faibles (75% investissent moins de 2000€/an)

L’analyse d’un cabinet de recrutement spécialisé cyber : nous anticipons un marché en “sablier” pour 2026. Les postes de niveau intermédiaire (3-7 ans d’XP, profils techniques purs) vont rester sous pression. À l’inverse, les postes stratégiques (RSSI, architectes) et les profils très opérationnels terrain (consultants, intégrateurs) resteront en tension.

Les réglementations : le facteur déterminant de 2026

NIS2, DORA, le Cyber Resilience Act : ces trois directives ne sont plus des acronymes abstraits. Elles vont concrètement forcer les entreprises à investir en 2026. Pas par conviction, par obligation légale et peur de l’amende.

Concrètement, que va-t-il se passer ?

NIS2 (entrée en vigueur octobre 2024, application pleine en 2026) :

• Élargit le périmètre à 18 secteurs d’activité
• Impose des mesures de gestion des risques précises
• Responsabilité personnelle des dirigeants (jusqu’à l’emprisonnement dans certains pays)
• Amendes jusqu’à 10M€ ou 2% du CA mondial

DORA (Digital Operational Resilience Act, applicable janvier 2025) :

• Cible le secteur financier (banques, assurances, fintechs)
• Tests de résilience trimestriels obligatoires
• Gestion stricte des risques liés aux prestataires IT tiers
• Les acteurs financiers doivent être “opérationnels” sur tous ces points dès maintenant

Cyber Resilience Act :

• Sécurité obligatoire “by design” pour les produits connectés
• Fabricants responsables sur toute la durée de vie du produit
• Impact sur l’IoT, l’industrie, l’automobile

Ce que ça signifie pour l’emploi cyber :

Scénario A – L’externalisation massive : plutôt que recruter 3-5 personnes en interne, les entreprises (surtout PME/ETI) délèguent à des prestataires. Résultat : moins de postes internes, mais plus de demande chez les cabinets conseil et les MSSP.

Scénario B – La montée en compétence forcée : les entreprises nomment un “responsable conformité cyber” (souvent le DSI ou responsable IT + un consultant externe), mais sans vraie création de poste dédié. C’est l’option “minimum légal” (quitte à payer, autant s’y prendre autrement).

Scénario C – La prise de conscience réelle : certaines entreprises comprennent que la conformité n’est qu’un début et investissent vraiment. Création de postes RSSI, DPO cyber, chefs de projets sécurité. Mais ce scénario reste minoritaire.

Notre prédiction ? Un mix des trois, avec dominante A (externalisation) pour les PME, B (minimum légal) pour les ETI, et C (investissement réel) uniquement pour les grandes entreprises et secteurs déjà sensibilisés.

Trois scénarios pour le marché de l’emploi cyber en 2026

Scénario 1 : “La grande rationalisation” (probabilité : 40%)

Les tendances lourdes se poursuivent :

• Les grandes entreprises continuent leur optimisation : réduction d’effectifs, recours accru à l’IA
• L’offshore s’accélère (Air France a commencé en 2022, d’autres grands groupes français suivent), mais jusqu’à quel point ?
• Les juniors et profils en reconversion peinent à trouver leur place
• Les ESN et SSII consolident, fusionnent, rationalisent
• Seuls les experts très spécialisés (forensic, threat intelligence, architecture cloud-native) s’en sortent bien

Implications pour les candidats : nécessité absolue de se différencier par une expertise pointue ou une double compétence (cyber + secteur métier).

Scénario 2 : “Le réveil des PME et collectivités” (probabilité : 35%)

Les secteurs sous-équipés se réveillent :

• Les PME et ETI, sous pression NIS2, ne peuvent plus esquiver
• Les collectivités territoriales mutualisent et créent de vrais postes cyber
• Le secteur santé investit enfin (après les attaques médiatisées)
• De nouveaux acteurs proposent des offres packagées accessibles aux PME

Le marché des 10-250 salariés devient le nouvel eldorado, mais avec des contraintes :

• Salaires 20-30% inférieurs au grand compte
• Postes plus polyvalents (moins de spécialisation pointue)
• Dimension pédagogique et relationnel essentielle
• Besoin de profils “terrain” capables de parler aux non-techniciens

Implications : les profils avec expérience opérationnelle, capacité de vulgarisation et envie de sens trouvent des opportunités intéressantes.

Scénario 3 : “Le marché à deux vitesses” (probabilité : 25%)

Une fracture claire apparaît :

• D’un côté : grandes structures + IA + optimisation = stagnation des recrutements
• De l’autre : secteurs régulés + collectivités + santé = recrutement actif mais moins rémunérateur
• Écart croissant de salaires entre les deux mondes (jusqu’à 40% de différence à poste équivalent)
• Les talents migrent progressivement vers les postes offrant plus de stabilité et de sens
• Pénurie accrue sur les postes publics et santé (turnover élevé, attractivité faible)

Conséquences : deux marchés parallèles avec peu de passerelles. Les candidats doivent choisir leur camp.

Notre conviction : nous nous dirigeons vers un scénario 3 avec des éléments du scénario 1. Le marché va se segmenter, avec d’un côté une élite technique très bien payée dans les grandes structures optimisées, et de l’autre des postes nombreux mais moins rémunérateurs dans les secteurs régulés. Le rôle d’un cabinet de recrutement spécialisé cybersécurité & IT sera d’aider les candidats à naviguer entre ces deux mondes et à identifier le bon positionnement pour leur profil et leurs aspirations.

---

Ce que ça change concrètement pour vous

Si vous êtes déjà en poste : l’art de la navigation en eaux troubles

Ne vous reposez pas sur vos lauriers, même avec une expertise solide. Les entreprises suppriment maintenant des postes même quand les résultats sont bons, même quand les personnes sont performantes. La compétence technique n’est plus un bouclier absolu.

Diversifiez stratégiquement vos compétences :

1. Apprenez à parler le langage métier

• Comprendre les enjeux financiers (ROI sécurité, coût du risque)
• Maîtriser les logiques sectorielles (industrie, santé, finance…)
• Savoir traduire un risque technique en impact business
• Pourquoi c’est crucial : en 2026, les RSSI qui survivent sont ceux qui siègent au Comex, pas ceux qui restent dans leur tour d’ivoire technique

2. Maîtrisez les réglementations comme monnaie d’échange

• NIS2 : 18 secteurs concernés, obligations précises
• DORA : tests de résilience, gestion des tiers
• ISO 27001, HDS, RGPD…
• Pourquoi c’est crucial : un profil technique maîtrisant NIS2 + DORA vaut 20-30% plus cher qu’un profil purement technique

3. Développez vos soft skills (oui, vraiment) – et voici pourquoi c’est devenu non-négociable

La donnée que peu connaissent : selon l’étude ANSSI 2025, les entreprises citent désormais les soft skills comme critère de sélection numéro 2 (juste après la compétence technique), devant l’expérience ou les diplômes. Ce n’est pas du “nice to have”, c’est devenu un élément discriminant.

Pourquoi ce basculement ?

La cyber est devenue transversale : vous n’êtes plus “le technicien dans son coin”. Vous interagissez quotidiennement avec le marketing (sensibilisation), les RH (gestion des accès), le juridique (RGPD), la direction générale (reporting risques). Si vous ne savez pas communiquer avec ces populations, vous êtes inefficace, peu importe votre niveau technique.

L’exemple révélateur : un RSSI techniquement excellent mais incapable d’expliquer pourquoi il a besoin de 100K€ pour un projet ne l’obtiendra jamais. Un RSSI moins pointu techniquement mais capable de présenter un business case solide aura son budget. Qui est plus utile à l’entreprise ?

Les soft skills qui comptent clairement en 2026 :

Pédagogie / vulgarisation :

• Expliquer un ransomware à votre DRH sans utiliser le mot “payload”
• Former 200 collaborateurs à l’hameçonnage sans les endormir
• Convaincre le CEO d’investir en parlant son langage (€, risque business, réputationnel)

Gestion de crise et coordination :

• Piloter une cellule de crise avec 15 personnes de services différents
• Arbitrer en temps réel entre rétablir le service ou préserver les preuves
• Communiquer clairement sous stress
• L’anecdote terrain : lors d’un incident majeur, le directeur juridique, le DG, la communication et l’IT doivent travailler ensemble. Si le RSSI ne sait pas faciliter cette coordination, c’est le chaos.

Intelligence émotionnelle :

• Gérer la frustration des équipes submergées
• Comprendre les résistances au changement (culturel, pas technique)
• Adapter son discours selon l’interlocuteur

Vision stratégique :

• Anticiper les impacts d’une décision technique à 2-3 ans
• Comprendre les enjeux business pour aligner la cyber dessus
• Savoir dire non (et expliquer pourquoi) quand c’est nécessaire

Comment développer ces compétences ? Ce n’est pas en lisant un livre. C’est en s’exposant :

• Présentez en réunion (même si vous détestez ça)
• Formez des collègues non-techniques
• Participez à des projets transverses
• Demandez du feedback (et acceptez-le)

Pourquoi c’est crucial : en 2026, les recruteurs cherchent de plus en plus des “business enablers” plutôt que des “techniciens experts”. Le technicien pur sera remplacé par l’IA ou externalisé en offshore. Le profil capable de faire le pont entre la tech et le business, lui, reste irremplaçable.

Construisez votre réseau comme un investissement

Le constat terrain d’un cabinet de recrutement spécialisé cybersécurité & IT : 70% des placements que nous réalisons proviennent d’une recommandation ou d’un contact existant. Le marché caché de l’emploi cyber n’est pas un mythe, c’est une réalité statistique.

Comment construire ce réseau ?

• Contactez-nous évidemment 😉
• Participez aux événements sectoriels (FIC Lille, SSTIC Rennes, assises de Monaco)
• Contribuez à des communautés (CLUSIF, CESIN, clubs métiers)
• Maintenez le contact avec vos anciens collègues (sans être envahissant)
• Soyez actif sur LinkedIn (mais intelligemment : partagez des analyses, pas vos vacances)

Le piège à éviter : le réseau n’est pas transactionnel (“salut ça va tu connais pas un poste ?”). C’est relationnel, sur le long terme, avec une vraie valeur d’échange.

Si vous cherchez à entrer dans la cyber : la fin des illusions, le début du réalisme

La réalité 2026, sans filtre :

• OUI, la cyber recrute encore (15 000 postes théoriquement non pourvus)
• NON, ce n’est pas l’eldorado que vous avez vu il y a 3 ans
• OUI, c’est possible sans bac+5 si vous visez les bons segments
• NON, vous n’aurez pas 3 offres d’emploi dès la sortie de formation

Les secteurs où vos chances sont maximales :

La santé / les hôpitaux :

• Besoin urgent, recrutement moins élitiste
• Acceptent plus facilement les reconversions
• Vraie dimension sens et utilité sociale
• Contrepartie : salaires publics (30-40K€ en début de carrière)

Les collectivités territoriales :

• Postes stables, sécurité de l’emploi
• Mutualisations en cours = créations de postes
• Dimension service public
• Contrepartie : processus de recrutement longs, rémunération grille publique

Les PME industrielles :

• Besoin de profils terrain, pas de théoriciens
• Polyvalence valorisée sur hyperspécialisation
• Proximité avec l’opérationnel
• Contrepartie : moyens limités, parfois sous-équipement

Les pièges mortels à éviter absolument :

1. Les formations généralistes sans accompagnement emploi

• Elles vous donnent des connaissances théoriques
• Mais zéro réseau, zéro mise en relation
• Vous ressortez avec un diplôme et aucune piste concrète
• Notre conseil : privilégiez les formations avec alternance ou stage long

2. Les promesses de salaires mirobolantes

• Non, vous ne ferez pas 65K€ en sortant d’une reconversion de 6 mois
• Les salaires réalistes en début de carrière cyber : 35-45K€ selon le secteur
• Après 3-5 ans d’XP, vous pouvez viser 50-60K€
• Ne vous faites pas avoir par les promesses des écoles privées qui ventent des chiffres fantaisistes

3. Les postes de SOC niveau 1 en ESN sans perspective d’évolution

• Vous allez surveiller des logs 8h par jour
• Turnover ultra-élevé (18-24 mois en moyenne)
• Formation initiale souvent bâclée
• Risque de burnout élevé sans vraie montée en compétences
• Ce n’est pas interdit de commencer là, mais ayez un plan de sortie dès le départ

La stratégie gagnante pour 2026 :

1. Choisissez un secteur, pas juste “la cyber” (santé ? industrie ? collectivités ?)
2. Développez une expertise double : cyber + connaissance métier du secteur visé
3. Construisez votre réseau AVANT de postuler (contacts sur LinkedIn, événements, associations)
4. Acceptez de démarrer “petit” (stage, alternance, CDD) pour prouver votre valeur
5. Documentez votre apprentissage (blog, GitHub, certifications) pour compenser le manque d’XP

Si vous recrutez : arrêtons de nous mentir collectivement

Le constat d’un cabinet de recrutement spécialisé cyber est sans appel : 80% des difficultés de recrutement que nous observons sont auto-infligées. Ce n’est pas qu’il n’y a personne, c’est que vous cherchez au mauvais endroit, de la mauvaise manière, avec les mauvais critères.

Ce qui fonctionne réellement en 2026 :

1. Former en interne plutôt qu’attendre le mouton à cinq pattes

Le calcul économique est simple :

• Recruter un profil “parfait” : 6-12 mois de recherche + 70K€ de salaire
• Recruter un profil junior/moyen motivé + formation interne : 3 mois de recherche + 45K€ + 10K€ de formation
• ROI : vous avez quelqu’un d’opérationnel 6 mois plus tôt, pour 30% moins cher, et qui sera fidélisé par votre investissement en lui

Exemple concret : nous avons accompagné une PME industrielle qui cherchait un “architecte cybersécurité OT avec 10 ans d’XP” depuis 18 mois sans succès. Solution : recruter un ingénieur réseau curieux, le former aux spécificités OT, le faire certifier. 6 mois plus tard, il était opérationnel et reconnaissant de l’opportunité. Il sera sans doute toujours là dans 3 ans.

2. Proposer du sens, pas juste “surveiller des logs”

Ce qui attire en 2026 :

• Impact réel sur la protection des données sensibles (santé, services publics)
• Autonomie et responsabilisation (vs. “exécutant dans un processus rigide”)
• Apprentissage continu et montée en compétences
• Équilibre vie pro/perso respecté (astreintes payées, télétravail possible)

Ce qui ne marche plus :

• “Vous allez monitorer le SIEM 8h par jour”
• “On est une équipe de winners qui donnent 120%” (même si c’est toujours stimulant de temps à autre, pour donner le coup de collier qui va bien)
• “Environnement startup dynamique” (traduction : potentielle désorganisation totale, vous pouvez aussi demander à pouvoir contacter des éléments de l’équipe)
• “Possibilité d’évolution” (sans préciser vers quoi ni quand)

3. Accepter les profils atypiques comme richesse, pas comme pis-aller

Les reconversions réussies que nous plaçons régulièrement :

• Ex-infirmière devenue responsable cybersécurité en santé (elle comprend les contraintes métier)
• Ex-professeur devenu consultant sensibilisation (pédagogie naturelle)
• Ex-militaire devenu analyste SOC (rigueur et gestion de crise)
• Ex-consultant de la finance devenu GRC specialist (compréhension risque et conformité)

Ce qu’ils apportent :

• Maturité professionnelle (déjà connu le monde du travail)
• Motivation démontrable (ont investi dans une reconversion)
• Soft skills solides (communication, organisation, gestion de stress) et surtout bien utilisés, en phase avec ce que ces postes peuvent attendre d’eux
• Vision métier que les profils 100% technique n’ont pas

Le problème ? Beaucoup de recruteurs les écartent automatiquement parce que “pas de diplôme d’ingénieur” ou “parcours non linéaire”. Vous vous privez d’une source majeure de talents. Bon évidemment, cela implique qu’il y ait un lien pertinent entre le secteur ou l’activité que vise la personne et son background, sinon le grand écart sera d’autant plus compliqué à combler.

4. Payer correctement (oui, ça coûte, mais moins qu’une faille)

La réalité des salaires cyber 2026 :

• Junior (0-3 ans) : 35-45K€
• Confirmé (3-7 ans) : 45-60K€
• Senior (7-15 ans) : 60-80K€
• Expert/RSSI : 70-120K€

Si vous proposez 38K€ pour un RSSI avec 5 ans d’XP, vous ne recruterez pas de manière viable (en termes de compétences, de maturité, ou encore de capacité à gérer un ensemble de taches selon les priorités). Ou vous recruterez quelqu’un qui partira dans 6 mois dès qu’il aura une meilleure offre.

L’investissement cyber se chiffre :

• Coût d’une faille moyenne : 4,44M$ selon IBM (2025)
• Coût moyen d’une cyberattaque : 5-10% du CA annuel
• Coût d’un RSSI bien payé : 100K€/an
• ROI : si votre RSSI évite UNE seule faille majeure en 5 ans, il s’est auto-financé 200 fois

5. Respecter l’humain derrière le consultant

Stop au burnout organisé :

• Astreintes payées et tournantes (pas toujours la même personne)
• Charge de travail réaliste (si 3 personnes sont parties, ne pas demander à 2 de faire le job de 5)
• Reconnaissance du travail invisible (les incidents évités, pas juste ceux gérés)
• Perspective d’évolution claire et honnête

Le cercle vertueux et durable (vu par l’ex manager que j’étais) :
équipe respectée → faible turnover → expertise qui monte → meilleure sécurité → meilleure réputation employeur → recrutements facilités.

---

Conclusion : 2026, l’année de la maturité (forcée) du marché cyber

Le marché cyber de 2025 nous a enseigné une leçon fondamentale : la croissance n’est pas linéaire, les prédictions basées sur l’extrapolation du passé sont dangereuses, et les forces macro-économiques (crise, IA, restructurations) sont plus puissantes que les dynamiques sectorielles.

Ce que 2026 nous réserve avec certitude :

1. Les investissements cyber vont continuer de croître (NIS2, DORA obligent) – mais pas forcément en recrutements directs
2. La pression sur les effectifs va persister (IA, optimisation, offshore)
3. Les secteurs régulés vont se réveiller (santé, collectivités, industrie critique)
4. Le marché va se segmenter en deux mondes avec peu de passerelles

Ce qui reste incertain :

• Les entreprises vont-elles investir dans l’humain ou juste empiler des outils ?
• L’IA va-t-elle créer plus d’emplois qu’elle n’en détruit dans la cyber ?
• Les PME vont-elles vraiment passer à l’action ou attendre la catastrophe ?
• Les salaires du secteur public vont-ils s’aligner pour attirer des talents ?

Une conviction profonde : la cybersécurité reste un secteur d’avenir. Mais la nature de ce futur a changé. Fini le temps où il suffisait d’ajouter “cyber” sur son CV pour recevoir 10 offres. Fini le temps où les entreprises recrutaient “au cas où”.

2026 sera l’année de la maturité :

• Maturité des candidats qui comprennent qu’il faut se différencier
• Maturité des entreprises qui acceptent de former plutôt que chercher la perle rare
• Maturité des formations qui arrêtent les promesses fantaisistes

Pour Rehackt, cabinet de recrutement spécialisé cybersécurité & IT, notre mission reste inchangée : trouver des vrais gens pour des vrais besoins, en étant honnête sur les réalités du marché. Pas de promesses intenables, pas de profils “fantasy”, juste du matching intelligent entre des compétences réelles et des besoins concrets.

2026 ne sera pas l’année des licornes.

Ce sera l’année des pragmatiques, des résilients, des lucides.

Et franchement, c’est infiniment plus intéressant.

Le marché cyber français a encore de belles années devant lui – à condition que tous les acteurs (candidats, entreprises, formations, recruteurs) acceptent collectivement de regarder la réalité en face et d’adapter leurs attentes en conséquence.

L’emploi cyber en 2026 se construira sur du réalisme, pas sur des illusions. Et c’est une excellente nouvelle pour tout le monde.

---

Eva
Rehackt – Cabinet de recrutement spécialisé cybersécurité & IT

---

Pour aller plus loin

Vous êtes candidat et souhaitez être accompagné dans votre recherche d’emploi cyber ? Vous voulez comprendre comment positionner votre profil sur le marché actuel ?

Vous êtes recruteur et vos fiches de poste restent ouvertes depuis 6 mois ? Vous voulez comprendre pourquoi vous ne trouvez personne ?

Vous êtes dirigeant et vous vous demandez comment structurer la fonction cyber de votre entreprise sans vous ruiner ?

👉 Contactez Rehackt, cabinet de recrutement spécialisé cybersécurité & IT qui vous met en perspective les réalités du marché 2026.

---

Sources et références :

• ANSSI – Observatoire des métiers de la cybersécurité 2025
• Layoffs.fyi – Données licenciements tech 2024-2025
• APEC – Prévisions recrutement cadres 2025
• Xerfi – Le marché de la cybersécurité à l’horizon 2030
• OPIIEC – Besoins en compétences cyber 2025
• Tikehau Capital – Baromètre investissement cyber Europe 2025
• Cybermalveillance.gouv.fr – Baromètre maturité cyber TPE-PME 2025
• INSEE – Données PIB France T3 2025
• IDC / Deel – Impact IA sur recrutements 2025
• CESIN x OpinionWay – Baromètre 2025
• IBM – Cost of a Data Breach Report 2025

Les données chiffrées proviennent de sources officielles et d’études reconnues. Les analyses, prédictions et recommandations sont celles de l’auteur et reflètent l’expérience terrain d’un cabinet de recrutement spécialisé cybersécurité & IT opérant sur le marché français.