Ce que votre comité de direction doit vraiment additionner.
Janvier 2026. L’ANSSI publiait son bilan annuel : 1 366 incidents de cybersécurité confirmés en France sur l’année écoulée, dont 128 compromissions par rançongiciel. Stabilité apparente, virulence croissante. Et pendant que ces chiffres tournent en boucle dans les rapports, 15 000 postes cyber restent non pourvus dans le pays selon le ministère et l’Observatoire des métiers de l’ANSSI.
La question qui revient en comité de direction est presque toujours formulée à l’envers : “combien va nous coûter ce cabinet pour recruter notre architecte sécurité ?”. C’est la mauvaise question. La bonne, celle qui devrait précéder toutes les autres : combien nous coûte chaque mois supplémentaire où ce poste reste vacant ?
Cet article propose un raisonnement budgétaire complet, structuré autour de quatre lignes de coût rarement consolidées dans une même grille de lecture. Annonce maîtrisée du résultat : aucune des quatre n’est trivialement chiffrable au centime près, mais leur cumul est suffisamment éloquent pour changer une discussion d’arbitrage.
Le décor avant le calcul : où en est vraiment le marché ?
Posons le cadre, parce que la nuance compte. La pénurie cyber est devenue un lieu commun, et comme tout lieu commun elle est partiellement vraie. Le chiffre de 15 000 postes non pourvus est confirmé par les sources officielles. La stratégie nationale cybersécurité 2026-2030, présentée en janvier 2026, prévoit même de doubler le nombre de professionnels formés d’ici 2030, en reconnaissant explicitement que le problème pourrait s’aggraver à court terme.
Mais derrière la photographie, la réalité est plus subtile. Le fondateur de la Cybersecurity Business School rappelait fin 2025 dans le Journal du Net que l’on recensait 614 000 personnes travaillant en cybersécurité en France en 2024. La pénurie ne porte donc pas tant sur les professionnels que sur l’adéquation entre les profils disponibles et les fiches de poste publiées. Le chiffre que nous citions dans notre panorama 2026 le résumait bien : les architectes cyber juniors avec cinq ans d’expérience demandés sur quinze outils différents ne tombent pas du ciel, parce qu’ils n’existent pas.
Conséquence opérationnelle : un poste cyber senior publié via canal généraliste reste ouvert six à douze mois, parfois davantage. C’est dans cet intervalle que se nichent les coûts invisibles. Examinons-les un par un.
Coût numéro 1 : le retard de mise en conformité
C’est le plus tangible des quatre, parce qu’il a un visage et un montant. Plusieurs textes européens convergent en 2026 vers une exigence simple : avoir une fonction sécurité opérationnelle, identifiable, capable de documenter sa gestion des risques.
NIS2 d’abord. La directive concerne plus de 15 000 entités françaises, dont une part significative de PME et d’ETI qui ignorent encore qu’elles sont dans le périmètre. Le projet de loi Résilience, qui assure la transposition française, a été examiné à l’Assemblée nationale fin 2025. Le référentiel ReCyF publié par l’ANSSI en mars 2026 fournit désormais la grille d’application. Le régime de sanctions est calibré pour ne pas être ignoré : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial pour une entité essentielle, 7 millions ou 1,4% pour une entité importante, le montant retenu étant le plus élevé des deux. Et nouveauté lourde par rapport à NIS1 : la responsabilité personnelle des dirigeants peut être engagée, avec à la clé une suspension temporaire de fonctions dans les cas les plus graves.
DORA ensuite, applicable depuis janvier 2025 dans le secteur financier, qui impose des tests d’intrusion pilotés par la menace pour les acteurs concernés. Le Cyber Resilience Act enfin, qui étend les obligations aux fabricants, éditeurs, importateurs et distributeurs de produits comportant des éléments numériques.
L’ANSSI a publiquement annoncé une approche progressive : sensibilisation 2025-2026, audits ciblés 2026-2027, sanctions à partir de 2027 pour les non-conformités persistantes après audit. Autrement dit : la fenêtre de mise en conformité substantielle se referme dans les 18 prochains mois. Sans RSSI, sans architecte sécurité, sans correspondant chargé de la gouvernance des risques, qui pilote ce chantier dans votre organisation ?
Le coût direct d’une feuille de route NIS2 substantielle a été estimé par certains intégrateurs entre 500 000 euros et 2 millions d’euros sur 12 à 18 mois pour une entité importante mono-site, et entre 1 et 5 millions pour un groupe multi-sites en entité essentielle. Ces fourchettes sont indicatives, à pondérer selon la maturité de départ. Mais le calcul à faire en CODIR est plus simple : que vaut un mois de retard quand le compteur des sanctions a démarré et que votre directeur général engage sa propre responsabilité ?
Première ligne du raisonnement budgétaire : un poste cyber non pourvu repousse mécaniquement le calendrier de conformité, et donc augmente la probabilité de sanction par audit. Cette probabilité n’est pas nulle. Elle n’est pas non plus égale à 1. Mais multipliée par 10 millions, elle pèse en arbitrage.
Coût numéro 2 : le coût d’opportunité
Celui-là est le plus difficile à chiffrer, parce qu’il porte sur ce qui ne se produit pas. Le projet repoussé. Le marché qu’on ne va pas chercher parce qu’on n’a pas la signature sécurité à présenter. La certification ISO 27001 qu’on reporte d’un an parce que personne ne pilote en interne.
Quelques mécanismes à considérer.
Les appels d’offres, d’abord. Une part croissante des donneurs d’ordre, notamment dans le secteur public, l’industrie réglementée et la santé, exigent désormais une démonstration de maturité cyber documentée. Pas un certificat décoratif, mais une preuve : organigramme avec RSSI nommé, politique de sécurité formalisée, plan de continuité, journalisation des accès, gestion des tiers. Sans la fonction qui produit et tient à jour ces documents, certaines réponses se ferment.
Les fusions-acquisitions, ensuite. La due diligence cyber est devenue un poste de risque significatif. Une entité dépourvue de fonction sécurité structurée se valorise moins. Les opérateurs financiers le savent, les acheteurs industriels aussi.
Les partenariats commerciaux, enfin. Quand le baromètre CESIN 2025 indique que 35% des cyberattaques significatives passent désormais par la chaîne d’approvisionnement, vos clients exigent de plus en plus une démonstration de sécurité de la part de leurs fournisseurs. Le questionnaire sécurité qui dort en pièce jointe d’un contrat, sans personne pour le remplir avec sérieux, devient un point de friction commerciale.
Le coût d’opportunité n’apparaît dans aucune ligne de comptabilité analytique. C’est précisément pour cela qu’il est dangereux : il se manifeste en moins, par soustraction silencieuse. Le contrat qu’on n’a pas signé, l’opportunité qu’on n’a pas même vue passer, la valorisation qu’on n’a pas su défendre. Deuxième ligne du raisonnement budgétaire, à chiffrer cas par cas selon votre secteur et votre stratégie, mais à ne jamais oublier.
Coût numéro 3 : la surcharge des équipes restantes
Quand un poste cyber n’est pas pourvu, le travail ne disparaît pas. Il se redistribue. Sur le RSSI déjà en poste, qui ajoute la mission orpheline à un agenda déjà saturé. Sur l’ingénieur sécurité qui prend des astreintes supplémentaires. Sur le DSI qui essaie de combler les vides en arbitrant entre incident en cours et conformité réglementaire.
Les données sont parlantes. L’étude conjointe Advens-CESIN sur le stress des responsables cybersécurité, menée auprès de 330 répondants, établissait pour 61% d’entre eux un niveau de stress élevé, et un risque caractérisé d’épuisement professionnel pour 28%. Le Journal du Net rapportait fin 2024 qu’un RSSI sur quatre envisageait de changer de poste sous l’effet du stress, et que 73% manquaient de ressources pour gérer les cyber-risques liés à leurs fournisseurs. Côté volumétrie horaire, certaines enquêtes internationales font état de semaines de travail dépassant les 60 heures pour les responsables cybersécurité en période d’incident.
Ce n’est pas une question de bien-être au sens cosmétique du terme. C’est une question opérationnelle. Une équipe sécurité surchargée prend des décisions dégradées. Elle traite l’incident urgent et reporte la mise à jour de la cartographie des risques. Elle valide à la hâte le périmètre d’un nouveau projet sans audit approfondi. Elle ne contrôle plus les accès des prestataires sortants avec la même rigueur. Chaque arbitrage est défendable individuellement. Leur accumulation crée la prochaine vulnérabilité.
Le coût se mesure ici en qualité de signal. Une équipe complète détecte plus tôt, documente mieux, transmet plus clairement. Une équipe incomplète éteint des feux. La différence finit toujours par se voir, soit dans le délai de détection d’un incident, soit dans la qualité d’un dossier d’audit. Troisième ligne, plus diffuse que les deux premières, mais directement liée au coût moyen d’une violation de données. Selon le rapport IBM Cost of a Data Breach publié en 2025, ce coût moyen mondial s’établissait à 4,44 millions de dollars, en baisse de 9% par rapport à l’année précédente. Cette baisse étant largement portée par les organisations qui ont accéléré la détection et le confinement, c’est-à-dire précisément celles dont les équipes sécurité sont correctement dimensionnées.
Coût numéro 4 : le départ en cascade
C’est le coût le moins évoqué, et probablement le plus traître. La logique est simple à énoncer. Un poste cyber reste ouvert. Les missions se redistribuent sur les équipes en place. La charge devient ingérable. Un membre senior, RSSI ou architecte expérimenté, finit par chercher ailleurs. Il trouve. Il part. Vous avez désormais deux postes à pourvoir au lieu d’un.
Les ordres de grandeur du coût de remplacement sont éloquents, même si les sources varient. Le Center for American Progress, dans une étude souvent reprise, estimait le coût de remplacement d’un cadre dont la rémunération dépasse 75 000 dollars annuels à 213% de son salaire annuel. Des analyses plus récentes, comme celle de Sparkbay en 2026, situent le coût de remplacement d’un collaborateur expérimenté autour de 150% du salaire, et jusqu’à 400% pour un profil hautement qualifié. Le cabinet Hays évalue les honoraires d’un cabinet spécialisé entre 18 et 25% du salaire annuel brut selon les problématiques, contexte et type de poste.
Appliquons ces ordres de grandeur à un RSSI. Les grilles 2026 convergent sur une fourchette de 80 000 à 130 000 euros brut annuels en France, avec un médian autour de 84 000 euros selon les données France Travail consolidées par Polymeta, et jusqu’à 115 500 euros à Paris selon Robert Half. Sur cette base, un départ non anticipé sur un poste senior cyber représente, en coût complet de remplacement incluant la phase de recrutement, la perte de productivité, l’intégration et la montée en charge du successeur, entre 120 000 et 350 000 euros. Hypothèse modélisée à partir des fourchettes publiques, à valider en interne selon les pratiques.
Et c’est là que le mécanisme devient intéressant. Si la cause initiale du départ est précisément la surcharge induite par le poste qu’on n’a pas pourvu, le coût caché s’autoalimente. Le poste vacant coûte un peu chaque mois. Puis un jour, il coûte d’un coup le départ du RSSI qui tenait l’édifice. Et là, ce n’est plus un coût mensuel, c’est un événement comptable.
Faire le bilan : ce qu’on cumule
Reprenons la liste. Un poste cyber non pourvu, sur douze mois, cumule :
Le risque pondéré d’une sanction NIS2 dont le plafond peut atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial, avec engagement de la responsabilité personnelle des dirigeants. Le coût d’opportunité des contrats non gagnés, des certifications reportées, des partenariats fragilisés, par nature non chiffré mais sectoriellement très réel. Le coût de qualité dégradé de l’équipe restante, mesurable dans les statistiques de détection et de confinement d’incident, et dont le rapport IBM 2025 chiffre la traduction en coût moyen mondial à 4,44 millions de dollars par violation. Le coût de remplacement potentiel d’un senior qui finit par craquer, situé entre 120 000 et 350 000 euros pour un RSSI selon les ordres de grandeur publics.
Mis bout à bout, ces quatre lignes représentent un montant total largement supérieur aux honoraires d’un cabinet de recrutement cybersécurité spécialisé. Ces honoraires, généralement positionnés entre 15 et 25% du salaire annuel brut du poste, sortent du calcul comme une variable d’ajustement, pas comme une charge à arbitrer.
C’est exactement le retournement que le comité de direction doit opérer. Ce n’est pas le cabinet qui coûte. C’est le silence du poste vacant.
Et le rôle de la fonction RH dans tout ça ?
Une précision utile pour les DRH qui liront ce billet. Le sujet du recrutement cyber ne se traite pas comme un recrutement IT classique, et la fonction RH joue un rôle pivot pour faire arriver le dossier dans les bonnes mains avec les bonnes données.
Trois apports concrets. D’abord, l’objectivation du marché : un DG ou un DAF qui découvre les fourchettes salariales cyber 2026 sans contexte peut s’étrangler, alors qu’elles reflètent simplement la rareté objective des profils. Un comparatif structuré, sourcé, replace la discussion sur de bons rails. Ensuite, la cartographie de la fonction cyber dans l’organisation : avant de recruter, encore faut-il savoir si l’on cherche un RSSI plein temps, un RSSI à temps partagé, un binôme RSSI plus adjoint, ou une fonction externalisée. Notre article sur comment recruter un RSSI détaille les arbitrages possibles. Enfin, le pilotage du calendrier : la mise en conformité NIS2, la feuille de route sécurité, la cartographie des risques ne sont pas des sujets que l’on lance le mois précédant l’audit. Le rôle de la DRH est de transformer une urgence imprévue en chantier planifié.
Anticiper, c’est dépenser moins
Pour reformuler la question d’ouverture, et la fermer proprement : combien coûte un cabinet de recrutement cybersécurité ? Une fraction du coût d’un poste vacant prolongé. Et c’est précisément ce que nous détaillons dans notre grille des honoraires et modèles d’accompagnement publiée en mai 2026.
Le rôle d’un cabinet spécialisé n’est pas seulement de trouver un nom. C’est d’accélérer un calendrier, de qualifier finement le contexte pour éviter le recrutement raté, de proposer des arbitrages quand le profil idéal n’existe pas et que la combinaison junior plus senior à temps partagé peut faire le travail mieux et plus vite. Chez Rehackt, nous prenons systématiquement 40 à 60 heures pour ce travail de fond avant d’envoyer le premier profil. Cela fait partie de l’équation.
Le coup d’œil Rehackt
Un poste cyber non pourvu, c’est un peu comme un toit non réparé : tant qu’il fait beau, on ne voit pas l’urgence. La discussion budgétaire arrive systématiquement en biais. On débat des honoraires du couvreur pendant qu’il pleut dans le grenier, et on finit par appeler le couvreur quand la charpente cède. Le calcul aurait dû être fait à l’envers depuis le début. Combien coûte le toit qui fuit chaque mois ? Combien vaut la sérénité du dirigeant qui dort dans un bâtiment sec ? Combien pèse, dans le bilan moral comme dans le bilan financier, la décision de différer un mois supplémentaire ?
À titre d’observation terrain, la question “combien coûte ce poste vacant ?” est très rarement posée en CODIR. La question “combien coûte ce cabinet ?” est posée à chaque arbitrage. Le décalage entre les deux n’est pas une coïncidence. C’est un biais cognitif documenté : on perçoit mieux une dépense visible qu’un coût d’inaction. À chaque fois qu’on en a fait la démonstration chiffrée, le sujet a changé de nature en 15 minutes.
Note de transparence sur les sources et les limites
Cet article s’appuie sur des données publiques sourcées : ANSSI (Panorama de la cybermenace 2025, Observatoire des métiers, stratégie nationale 2026-2030), CESIN (baromètre 2025 publié en janvier 2026), IBM (Cost of a Data Breach 2025), Robert Half (Guide des salaires 2026), France Travail, Center for American Progress, Cabinet Hays. Trois précisions importantes.
Premièrement, le chiffre des 15 000 postes non pourvus en France est officiel, mais il recouvre une réalité plus nuancée selon certains experts du secteur : pénurie de compétences disponibles plutôt que pénurie pure de professionnels, avec un écart structurel entre profils formés et fiches de poste publiées.
Deuxièmement, le coût d’opportunité n’est pas chiffrable poste par poste à partir de données publiques françaises. Le raisonnement présenté ici est une modélisation argumentée à partir d’observations terrain, pas un chiffre opposable.
Troisièmement, les fourchettes de coût de remplacement sont issues d’études internationales généralistes, transposées au profil RSSI à partir des grilles salariales 2026 disponibles. Elles fournissent un ordre de grandeur, pas une projection comptable.
Si la lecture de ces lignes a déclenché un rapide calcul mental sur un poste cyber resté ouvert depuis trop longtemps dans votre organisation, écrivez-nous. Une heure de cadrage permet souvent de chiffrer ce que les tableaux Excel ne montrent pas, et de transformer un coût d’inaction en plan d’action avec un cabinet de de recrutement cybersécurité.
Laisser un commentaire