Boite à outils  / 27 Octobre 2022

Les salaires de la cybersécurité

Salaire de la cybersécurité
Contenu mis à jour le

Face à l’explosion des actes de cybercriminalité, la formation et le recrutement d’experts de la cybersécurité sont devenus des enjeux prioritaires pour les entreprises. Les structures publiques – hôpitaux, mairies, services des armées et autres entités clés – doivent elles aussi s’aligner sur cette nouvelle exigence. Aux quatre coins du globe, il s’agit désormais de construire une pyramide de défense solide, basée sur des postes de natures très variées, mais qui se distinguent tous par la force de la compétence technique ou stratégique. L’effort d’investissement dans les compétences informatiques est plus palpable que jamais en 2022 et les métiers de la cybersécurité peuvent sans hésitation être désignés comme les grands métiers d’avenir. Comment ce caractère essentiel – vital en réalité – des carrières cyber est-il valorisé dans les grilles de salaires ? Quelles sont les différences notables entre les différentes catégories de postes et quels sont les écarts entre la rémunération d’un expert indépendant et celle d’un salarié ? Nous faisons le point en détail sur les salaires français des soldats de l’informatique.

Sommaire :

Point de situation : quelles perspectives pour les talents cyber ?

Avant d’aborder la question très concrète des salaires, il convient de faire le point sur la place de la spécialisation cyber dans la grande famille des métiers estampillés « haute technologie ». Selon la grande Étude de rémunérations nationale 2022 publiée par Hays, référence du recrutement spécialisé, la cybersécurité fait partie des compétences techniques les plus recherchées en 2022, aux côtés :

  • de JavaScript ;
  • de l’architecture cloud ;
  • du data management ;
  • et du développement fullstack.

Les métiers englobant ces compétences ont, de manière globale, donné lieu à une intensification du recrutement et à une hausse des salaires.

Dans le Top 3 des métiers en tension dans le domaine des technologies, il est intéressant de noter la présence de deux postes clés de l’environnement de cyberdéfense : les fonctions d’Ingénieur en cybersécurité et d’Ingénieur DevOps.

On note que 52 % des entreprises ne se sentaient pas confiantes dans leurs capacités à faire face à une cyberattaque en 2021, selon le 7e baromètre du CESIN (le Club des experts de la sécurité de l’information et du numérique). Cela marque une augmentation de 2 % des inquiétudes cyber. C’est dans ce contexte que de nombreuses structures – privées mais également publiques – ont initié des politiques de recrutement plus construites autour des métiers cyber, tout en confirmant l’augmentation des salaires pour des postes qui n’étaient pas, jusqu’alors, suffisamment mis en valeur.

D’après le même baromètre du CESIN, 70 % des entreprises françaises interrogées prévoyait une augmentation des budgets alloués à la protection contre les risques cyber, contre 57 % en 2021. Cette enveloppe intègre notamment l’augmentation des salaires. En parallèle, 56 % des structures prévoyaient l’augmentation des effectifs affectés à le cyberdéfense, contre 52 % l’année précédente. Les tendances en faveur des professionnels de la cybersécurité sont donc confirmées.

Voyons comment se traduisent ces prédictions encourageantes concrètement, dans les chiffres. Pour l’ensemble des indications à suivre, nous considérons :

  • des salaires bruts ;
  • des profils Junior pour les expériences allant de 0 à 2 ans ;
  • des profils Confirmé pour les expériences de 2 à 5 ans ;
  • des profils Expérimenté pour les expériences de 5 à 10 ans ;
  • et des profils Senior pour les expériences de 10 ans et plus.

Quels salaires pour la cybersécurité en entreprise ?

Le salaire attribué à un spécialiste de la cybersécurité dans le domaine privé dépend de plusieurs facteurs déterminants :

  • la taille de la structure qui recrute, avec une différence notable et évidente entre les PME et les grands groupes, non seulement parce que les grandes structures disposent en général de moyens financiers plus importants, mais aussi parce qu’elles peuvent subir des dommages plus importants en cas d’attaque, les invitant à investir de manière sérieuse dans les forces de cyberdéfense ;
  • la maîtrise de compétences attestées par des certifications qui complètent la formation initiale de l’expert ;
  • et le poids des expériences cyber, ainsi que leur degré de technicité ou la force de l’apport stratégique.

Le professionnel en cybersécurité maîtrisant de nombreuses compétences spécifiques – plusieurs langages informatiques, par exemple – ou des compétences spécifiques rares – une compréhension affinée des tout derniers outils d’attaque employés par les hackers, par exemple – sera en position privilégiée pour faire augmenter son salaire de manière conséquente, sans que la négociation ne soit trop difficile.

On observe cependant une certaine norme concernant les salaires pratiqués par les entreprises au moment de recruter un expert cyber. Afin d’offrir plus de lisibilité, nous nous concentrerons ici sur les professions clés qui nous permettent d’établir un parallèle entre l’exercice en tant que salarié et l’exercice en tant qu’indépendant.

Ingénieur cybersécurité

Il s’agit du meilleur repère pour l’ensemble des métiers techniques de base de l’édifice de cyberdéfense. Pour ces professionnels incontournables de l’architecture de défense informatique, capables d’intervenir à de nombreuses étapes et sur de nombreux sujets techniques, on observe les repères de salaire suivants :

  • Profil Junior : 3 000 €
  • Profil Confirmé : 3 705 €
  • Profil Expérimenté : 4 445 €
  • Profil Senior : 5 000 €.

DevSecOps

Avec un niveau d’exigence et une capacité opérationnelle comparables à ceux exigés de l’ingénieur en cybersécurité, le DevSecOps – c’est-à-dire le « Spécialiste en développement sécurité » – affiche une rémunération très similaire en début de parcours. Elle décolle légèrement pour les profils de niveau supérieur :

  • Profil Junior : 3 000 €
  • Profil Confirmé : 4 100 €
  • Profil Expérimenté : 5 200 €
  • Profil Senior : 6 800 €.

Auditeur de sécurité organisationnelle

On note une nette différence entre le potentiel de rémunération d’un auditeur de sécurité organisationnelle selon qu’il exerce en enteprise – c’est la voie classique – ou en indépendant – un cas relativement rare. Si l’aptitude à gérer les sensibilités politiques et stratégiques est valorisée en freelance par un taux journalier moyen loin d’être négligeable, c’est parce que l’auditeur freelance n’est pas supposé être familier de la structure pour laquelle il exerce : sa capacité à s’adapter rapidement à un contexte particulier est donc rémunérée à sa juste valeur. L’auditeur de sécurité organisationnelle directement rattaché à une entreprise est, pour sa part, sensé parfaitement connaître les rouages de la maison. Sa rémunération est donc beaucoup moins surprenante : 

  • Profil Junior : 2 017 €
  • Profil Confirmé :2 990 €
  • Profil Expérimenté : 3 805 €
  • Profil Senior : 5 000 €.

Architecte cybersécurité

Lorsque sont en jeu des métiers techniques impliquant une intervention de grande envergure, les salaires commencent à décoller. En tant que penseur de la colonne vertébrale de nombreux outils de défense, l’architecte cybersécurité entre dans cette catégorie des salaires attractifs dès la première année d’exercice. On relève les chiffres suivants en moyenne : 

  • Profil Junior : 5 000 €
  • Profil Confirmé : 5 605 €
  • Profil Expérimenté : 6 050 €
  • Profil Senior : 7 000 €.

Auditeur de sécurité technique

Il s’agit d’un poste offrant une des plus belles évolutions entre un salaire débutant et un salaire de type senior : 

  • Profil Junior : 3 165 €
  • Profil Confirmé : 5 150 €
  • Profil Expérimenté : 6 995 €
  • Profil Senior : 10 040 €.

Consultant en cybersécurité

Lorsqu’il est salarié de la structure, les compétences transversales et adaptables du consultant en cybersécurité le placent dans la fourchette haute de salaires. Sa rémunération reste cependant bien inférieure à celle des métiers à plus grosse compétence technique et à celle des plus hauts postes stratégiques.  

  • Profil Junior : 3 500 €
  • Profil Confirmé : 4 005 €
  • Profil Expérimenté : 4 995 €
  • Profil Senior : 5 800 €.

Pentester

Armé de sa précieuse compétence technique, le spécialiste des tests d’intrusion pouvait prétendre, en 2021, aux rémunérations moyennes suivantes :  

  • Profil Junior : 3 000 €
  • Profil Confirmé : 3 700 €
  • Profil Expérimenté : 4 050  €
  • Profil Senior : 5 000 €.

Il faut cependant noter qu’il s’agit d’un des métiers les plus recherchés par les structures souhaitant renforcer leur cybersécurité. Il existe par conséquent une vraie marge de négociation pour les salaires. Le pentester peut facilement jouer sur son expérience, une spécialisation particulière ou la connaissance de méthodes de test rares pour voir sa valeur se transformer en une augmentation de salaire.

Hacker éthique

Autre fonction très en vue dans la galaxie cyber, rattachée à des enjeux stratégiques et une puissance technique proches de celles observées chez le pentester, le poste de hacker éthique affiche lui aussi de belles possibilités de rémunération. Les chiffres communiqués ici correspondent bien à des valeurs moyennes : le salaire peut afficher environ 700 euros bruts de plus pour chaque profil, sur la base des expériences et de la rareté des compétences techniques de chacun.

  • Profil Junior : 4 000 €
  • Profil Confirmé : 4 995 €
  • Profil Expérimenté : 5 605 €
  • Profil Senior : 7 500 €.

L’exemple d’un poste à responsabilité stratégique : Directeur de la cybersécurité

On pourrait faire la liste point par point de chacun des métiers haut placés dans la pyramide des métiers cyber. L’exercice aurait cependant un intérêt limité : le niveau de rémunération peut varier de manière substantielle selon le type de structure, sa taille, le secteur d’activité… Pour donner une idée claire des perspectives, on peut se contenter de prendre un unique point de repère, qui nous donne une idée d’une sorte de « salaire maximal » pouvant être atteint dans le champ de la cybersécurité : le salaire de Directeur cybersécurité. 

  • Profil Junior : 8 000 €
  • Profil Confirmé : 11 995 €
  • Profil Expérimenté : 14 105 €
  • Profil Senior : 17 000 €.

Dans les grands groupes, certains postes stratégiques ou à très forte valeur technique pourront rivaliser à l’occasion avec ces rémunérations. Une fois de plus, une observation au cas par cas s’impose.

Des augmentations de salaire bien présentes

D’après une étude menée sur l’année 2021 par Michael Page Technology, conjointement avec Choose Your Boss, un expert IT sur 3 initiant ou acceptant un changement de poste voit son salaire augmenter de 5 à 10 %. Les métiers de la cybersécurité sont directement concernés par ce cas de figure : ils représentent l’essentiel des métiers pris en considération, sur 1 000 professionnels interrogés début 2021.  

Quels salaires pour la cybersécurité en freelance ?

Les métiers de la cyberdéfense se prêtent facilement à un exercice sous statut indépendant. À partir d’une expérience de 5 à 7 ans, cette option se révèle particulièrement intéressante, avec un taux journalier moyen haut. Par ailleurs, les experts cyber – comme tous les spécialistes IT – se voient missionner sur des temps moyens-longs. Ils sont sollicités pour des interventions :

  • de 3 mois minimum ;
  • et de 6 mois en moyenne, avec une tendance à la reconduction dans la majorité des cas. Le spécialiste technique ayant pris en charge une question ou un environnement précis, pour une structure donnée, a une valeur d’expertise encore plus forte pour la structure en question à la fin de sa mission.

Ces durées d’engagement sont largement supérieures à celles observées sur de nombreux métiers exercés en freelance et apportent, en plus d’un confort de salaire, une sécurité d’exercice. Quels sont les métiers cyber les plus porteurs sous statut indépendant, c’est-à-dire ceux qui répondent à une vraie demande des entreprises et qui rapportent le plus ?

Nous observons ici des taux journaliers hors taxes. Les chiffres qui suivent prennent en compte les prix affichés sur la plateforme de freelancing Malt au mois d’octobre 2022, ainsi qu’une série de profils LinkedIn.

Ingénieur cybersécurité

La fonction d’ingénieur cybersécurité, bien qu’intégrée le plus souvent dans les entreprises, s’exerce aussi très bien en indépendant et peut donner lieu aux rémunérations moyennes suivantes :

  • Profil Junior : 540 €
  • Profil Confirmé : 595 €
  • Profil Expérimenté : 685 €
  • Profil Senior : 820 €.

Ces pratiques de rémunération concernent les grandes villes comme Paris et Lyon. Dans les autres villes de province, on observe en général une minoration de plus ou moins 10 %, ce qui donne lieu à la grille suivante :

  • Profil Junior : 495 €
  • Profil Confirmé : 545 €
  • Profil Expérimenté : 625 €
  • Profil Senior : 765 €.

DevSecOps

Le spécialiste en développement sécurité se situe plus ou moins sur la même grille de rémunération journalière que l’ingénieur sécurité. Ce parallélisme s’explique facilement par le niveau de compétence très similaire de ces deux métiers-socles de la cyberdéfense. En 2022, sur les profils de freelances exerçant à Paris ou à Lyon, on relève ainsi les taux journaliers suivants :

  • Profil Junior : 545 €
  • Profil Confirmé : 595 €
  • Profil Expérimenté : 690 €
  • Profil Senior : 825 €.

Une fois encore, un léger ajustement à la baisse s’opère dans le reste de la province :

  • Profil Junior : 480 €
  • Profil Confirmé : 530 €
  • Profil Expérimenté : 610 €
  • Profil Senior : 745 €.

Auditeur de sécurité organisationnelle

Exercer en tant qu’auditeur freelance de sécurité organisationnelle n’est pas la voie la plus commune : la fonction revêt certains aspects « politiques » et nécessite de travailler main dans la main avec plusieurs fonctions de haut niveau, comme le Directeur de la sécurité informatique (DSI),  des directeurs de départements stratégiques, mais aussi des responsables informatiques. Bien connaître la structure et intégrer ses principes de fonctionnement est donc un facteur clé de réussite. 

On relève donc une part de défi non négligeable pour ce cas très précis : cependant, les entreprises qui décident de faire confiance à un auditeur de sécurité organisationnelle indépendant savent valoriser cet effort à sa juste valeur. On pourra ainsi tabler sur des taux journaliers moyens à hauteur de :

  • Profil Junior : 605 €
  • Profil Confirmé : 755 €
  • Profil Expérimenté : 835 €
  • Profil Senior : 905 €.

Architecte cybersécurité

Avec un degré de compétence et de responsabilité supérieur, l’architecte cybersécurité est en mesure de pratiquer des tarifs de catégorie supérieure. La barrière symbolique des 600 € bruts journaliers est franchie dès le niveau Junior avec ce métier qui consiste à donner une cohérence et une efficacité à tout un système. À Paris et à Lyon, on pourra donc prendre en compte les repères suivants :

  • Profil Junior : 705 €
  • Profil Confirmé : 790 €
  • Profil Expérimenté : 860 €
  • Profil Senior : 945 €.

Sur ce poste précisément, la variation de salaire est moins sensible qu’à l’accoutumée dans les autres villes de province.

Auditeur de sécurité technique

Contrairement au cas de l’auditeur de sécurité organisationnelle, l’auditeur de sécurité technique trouve facilement sa place parmi les spécialistes cyber exerçant en indépendant. Leur compétence technique leur permet de prétendre à des tarifs journaliers moyens loin d’être négligeables :

  • Profil Junior : 725 €
  • Profil Confirmé : 805 €
  • Profil Expérimenté : 985 €
  • Profil Senior : 1 200 €.

Consultant en cybersécurité

Il s’agit, en quelque sorte, d’un niveau de réflexion supérieur par rapport au métier d’auditeur de sécurité technique – plus transverse, à mi-chemin entre l’analyse technique et l’analyse stratégique. Le niveau de rémunération augmente en conséquence, avec des tarifs journaliers moyens de l’ordre de :

  • Profil Junior : 800 €
  • Profil Confirmé : 935 €
  • Profil Expérimenté : 1 095 €
  • Profil Senior : 1 305 €.

Pentester

Le pentester fait partie des métiers cyber les plus recherchés et les mieux rémunérés en freelance, en raison de son apport stratégique. Les repères à retenir concernant les tarifs journaliers moyens sont les suivants :

  • Profil Junior : 805 €
  • Profil Confirmé : 1 005 €
  • Profil Expérimenté : 1 515 €
  • Profil Senior : 2 100 €.

Hacker éthique

Il s’agit là d’un autre profil particulièrement en vogue dans la galaxie cyber et parmi les plus recherchés dans la case « freelance » des spécialistes techniques. Le métier de hacker éthique s’exerce aussi bien en étant à 100 % à son compte qu’en rejoignant – toujours en tant qu’indépendant – un cabinet d’experts. Ce dernier a pour avantage de positionner le professionnel sur plusieurs missions, en maximisant sa rémunération. La moyenne des tarifs observés sur les plateformes de freelances font état de la grille suivante :

  • Profil Junior : 805 €
  • Profil Confirmé : 1 025 €
  • Profil Expérimenté : 1 565 €
  • Profil Senior : 2 200 €.

Et les autres métiers cyber ?

Toute une palette de professions propres à la cyberdéfense est représentée sur les plateformes de freelancing et au sein des cabinets d’expert. Nous avons fait état des fonctions les plus fréquemment proposées et recherchées en freelance. Pour les autres spécialités, la popularité s’évalue davantage au cas par cas : c’est en faisant le point sur la force de son profil, des certificats obtenus et de l’expérience accumulée qu’un professionnel cyber peut estimer le bien-fondé d’un exercice en tant que freelance et ses chances de succès.

Sans surprise, les grandes structures auront tendance à accepter un tarif journalier généralement plus haut que les petites structures, à l’exception de certaines start-ups parfaitement au fait de la valeur des spécialités techniques.

Le cas particulier du secteur public

Les structures publiques ont un recours relativement anecdotique aux experts freelance. Le schéma de recrutement classique, dans le public, s’appuie sur des contrats « fixes » de vacataires, contractuels ou fonctionnaires. Faire appel à des renforts externes lorsque l’on est une organisation publique n’est cependant pas impossible : dans bien des cas, c’est en s’attachant les services ponctuels d’auditeurs techniques et pentesters tout droit venus du privé que l’on peut être assuré d’un diagnostic sans faille de sa cyberdéfense, ces derniers étant en contact privilégié avec les dernières méthodes employées par les hackers. On peut néanmoins retenir trois informations importantes :

  • le recours aux professionnels indépendants de la sphère cyber est d’autant plus réduit que le niveau de confidentialité des sujets est élevé ;
  • par conséquent, les services des Armées et autres unités rattachées au ministère de la Défense sont à exclure du champ de prospection des freelances. Les espoirs de mission se situent plutôt du côté des mairies et des hôpitaux, en majorité ;
  • l’équation traditionnelle qui veut que les salaires du public soient inférieurs aux rémunérations dans le privé reste valable, sans surprise, pour les métiers de la cybersécurité.

Sur cette base, on peut donner les indications de taux journaliers moyens suivantes.

Consultant en cybersécurité

Il s’agit de l’une des missions les plus couramment confiées à des indépendants, lorsque ceux-ci sont sollicités dans le domaine public. On applique en règle général la grille de tarifs suivante :

  • Profil Junior : 585 €
  • Profil Confirmé : 705 €
  • Profil Expérimenté : 855 €
  • Profil Senior : 1 005 €.

Hacker éthique

En tant que fonction relativement nouvelle, la spécialisation de hacker éthique apparaît elle aussi souvent dans les demandes de renfort des structures publiques. Il faut compter une différence de près de 200 euros bruts entre les tarifs pratiqués par les entreprises et ceux du public sur des profils peu expérimentés. Sur les profils senior, la différence est bien plus importante, avec une réduction de la rémunération de près de 50 %. On  atteint les taux journaliers moyens suivants :

  • Profil Junior : 615 €
  • Profil Confirmé : 795 €
  • Profil Expérimenté : 905 €
  • Profil Senior : 1 215 €.

Auditeur de sécurité technique 

Sur tout un ensemble de profils techniques qui font la base de la cybersécurité, les tarifs pratiqués sont inférieurs de 180 à 240 euros bruts environ, par rapport aux habitudes du privé. Sur les missions d’auditeur de sécurité technique auprès d’organisations publiques, qui apparaissent de manière assez régulière, on relève ainsi les taux journaliers moyens suivants :

  • Profil Junior : 485 €
  • Profil Confirmé : 565 €
  • Profil Expérimenté : 745 €
  • Profil Senior : 955 €.

En conclusion, il faut retenir que c’est souvent la rareté d’une compétence qui fait l’importance du salaire. Cette équation est plus vraie que jamais dans le cas des métiers cyber, qui sont doublement soumis au phénomène de la nouveauté. Il s’agit d’une part de métiers relativement récents, du moins liés à un sujet – la cybersécurité – qui n’est devenu un enjeu stratégique que récemment. D’autre part, ces métiers se trouvent confrontés à une tendance folle à l’innovation et à l’apparition de trouvailles techniques inédites. Se former sur des points techniques rares et enrichir ses atouts de manière permanente est donc la première stratégie à adopter lorsque l’on veut faire rimer cyber et haut salaire !

FAQ

Quel est le niveau de qualification pour les métiers de la cybersécurité ?

75,9 % des professionnels de la cybersécurité ont en leur possession un Bac +5 ou un diplôme de niveau supérieur, selon l’étude menée en 2020 par l’ANSSI (l’Agence nationale de la sécurité des systèmes d'information). Par ailleurs, environ 47 % des entrants sur le marché de l’emploi cyber ont moins de 30 ans.

Quel est le salaire moyen d’un professionnel de la cybersécurité en France en 2022 ?

Pour un profil entre 3 et 5 ans d’expérience, le salaire moyen d’un professionnel de la cybersécurité est compris entre 38 000 et 65 000 euros bruts dans l’Hexagone. Les variations sont liées à la spécialité considérée et à l’expérience réelle du professionnel. La formation entre aussi en ligne de compte.

Quelle différence entre les salaires de la cybersécurité en France et aux États-Unis ?

Outre-Atlantique, les salaires proposés aux experts de la cybersécurité sont bien plus attractifs qu’en France : on note une variation de 37 à 50 % sur la plupart des salaires. Un point de référence fréquent est le salaire d’un développeur junior : en France, il était de 40 000 euros bruts annuels en moyenne, en 2021, contre 78 000 euros aux États-Unis et 77 000 au Canada.

Quels sont les 3 métiers cyber les plus recherchés en France ?

En 2020, le recrutement cyber se concentrait sur trois métiers en France, d’après le panorama des métiers de la cybersécurité de l’ANSSI :

  1. Ingénieur en cybersécurité (30 % des offres d’emploi) ;
  2. Consultant en cybersécurité (12 %) ;
  3. Architecte cybersécurité (10 %).

Actualités récentes