Un ingénieur sécurité (security engineer) est le profil build-centric d'une équipe cyber : il construit, durcit et implémente les contrôles de sécurité d'un système d'information, là où l'analyste SOC opère et monitore (run) et où le responsable conformité cadre et audite (govern). Le métier se décline en cinq spécialisations principales — AppSec, DevSecOps, Cloud Security, Network Security, Infrastructure Security — avec des stacks techniques et des certifications partiellement distinctes. Les salaires juniors 2026 s'étalent de 42 à 68 k€ bruts selon spécialité et région, atteignent 85-115 k€ en senior 5-8 ans et 110-160 k€ en staff engineer ou architecte 10+ ans. Les références techniques structurantes sont NIST SP 800-53r5 (contrôles de sécurité), CIS Benchmarks (durcissement Linux, Windows, Docker, Kubernetes, cloud), OWASP ASVS v4.0.3 et OWASP Proactive Controls v4 pour l'applicatif. Cet article détaille la définition, les spécialisations, les missions quotidiennes, la stack technique, le profil type, les certifications prioritaires et la trajectoire salariale complète.
1. Définition et périmètre
Définition opérationnelle : un ingénieur sécurité est responsable de la conception, l'implémentation et le maintien des contrôles techniques de sécurité d'un périmètre (applicatif, infrastructure, réseau, cloud). Il écrit du code (modules IaC, scripts, policies), configure des outils de sécurité (IDP, EDR, WAF, PAM), durcit les OS et applicatifs selon référentiels (CIS Benchmarks), participe aux revues de conception (threat modeling) et aux revues de code sécurité.
Distinction avec les métiers adjacents
| Métier | Activité dominante | Rapport au code |
|---|---|---|
| Ingénieur sécurité | Construire, durcir, implémenter (build) | Forte, quotidienne |
| Analyste SOC | Détecter, investiguer, répondre (run) | Moyenne (détection-as-code, scripts) |
| Architecte sécurité | Concevoir, arbitrer, cadrer | Faible (ADR, schémas) |
| Analyste GRC | Auditer, cartographier, documenter | Très faible |
| Pentester | Exploiter, prouver, rapporter (break) | Moyenne à forte (exploitation) |
| RSSI / CISO | Piloter, gouverner, reporter (govern) | Nulle à faible |
2. Les cinq spécialisations principales
| Spécialisation | Périmètre dominant | Stack technique | Salaire junior FR 2026 |
|---|---|---|---|
| AppSec Engineer | Applicatif (web, API, mobile) | SAST, DAST, SCA, threat modeling, secure code review | 45-62 k€ |
| DevSecOps Engineer | Pipelines CI/CD, SDLC | GitHub Actions, GitLab CI, Semgrep, Snyk, Trivy, Checkov | 48-65 k€ |
| Cloud Security Engineer | AWS / Azure / GCP, Kubernetes | Terraform, SCP, OPA/Kyverno, CSPM, Lambda | 52-78 k€ |
| Network Security Engineer | Firewalls, VPN, SASE, segmentation | Palo Alto, Fortinet, Cisco, Zscaler, Netskope | 42-58 k€ |
| Infrastructure Security Engineer | OS, AD, IAM, PAM | Linux hardening, AD tiering, Entra ID, CyberArk, HashiCorp Vault | 45-62 k€ |
Les profils multi-spécialisations (AppSec plus DevSecOps, ou Cloud plus Network) sont structurellement valorisés 10-15 % au-dessus de la fourchette médiane. La spécialisation Cloud Security est la plus demandée et la mieux rémunérée en 2026. Voir Les étapes pour devenir Cloud Security Engineer pour la trajectoire dédiée et Devenir DevSecOps sans expérience pour la trajectoire SDLC.
3. Missions quotidiennes de l'ingénieur sécurité
Quatre blocs de missions structurent la journée type, avec des proportions variables selon la spécialisation.
Bloc 1 — Design et threat modeling
Participation aux ateliers de conception d'une nouvelle fonctionnalité ou d'une nouvelle plateforme. Utilisation de méthodologies structurées :
- STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege) pour décomposer les menaces par catégorie.
- PASTA (Process for Attack Simulation and Threat Analysis) pour les projets majeurs.
- OWASP Threat Dragon comme outil de formalisation des diagrammes de menace.
- Lecture systématique des OWASP Top 10 web 2021, OWASP API Security Top 10 2023 et OWASP Top 10 LLM v2 (2025) pour le contexte applicatif.
Bloc 2 — Implémentation et durcissement
Écriture de code sécurité et configuration d'outils. Exemples concrets :
- Module Terraform qui impose MFA et rotation des access keys IAM sur AWS.
- Policy Kubernetes Kyverno refusant les conteneurs privilégiés hors namespaces système.
- Script de durcissement Linux conforme CIS Benchmark Level 2.
- Configuration d'un Identity Provider (Okta, Entra ID, Auth0) avec SSO SAML/OIDC et MFA obligatoire.
- Mise en place d'un Privileged Access Manager (CyberArk, HashiCorp Vault, Delinea) pour les comptes d'administration.
Exemple de baseline de durcissement Linux alignée CIS Benchmark (format Ansible simplifié exploitable en portfolio GitHub) :
# hardening-baseline-linux-v1.yml
# Baseline durcissement Linux alignee CIS Benchmark Ubuntu 22.04 Level 1.
# Portfolio ingenieur securite, exemple pedagogique reduit.
---
- name: CIS Benchmark Ubuntu 22.04 - Level 1 - baseline ingenieur securite
hosts: linux_hardening_targets
become: true
vars:
baseline_version: "v1.0.0"
applied_date: "2026-04-23"
tasks:
- name: "CIS 1.1.1.1 - Desactiver le chargement du module cramfs"
lineinfile:
path: /etc/modprobe.d/cramfs.conf
create: true
line: "install cramfs /bin/true"
owner: root
group: root
mode: "0644"
- name: "CIS 1.5.1 - Activer ASLR (kernel.randomize_va_space)"
sysctl:
name: kernel.randomize_va_space
value: "2"
sysctl_set: true
state: present
reload: true
- name: "CIS 4.1.1.1 - Activer auditd au demarrage"
systemd:
name: auditd
enabled: true
state: started
- name: "CIS 5.2.5 - SSH LogLevel INFO minimum"
lineinfile:
path: /etc/ssh/sshd_config
regexp: "^#?LogLevel"
line: "LogLevel INFO"
validate: "/usr/sbin/sshd -t -f %s"
notify: Restart SSH
- name: "CIS 5.2.11 - SSH PermitRootLogin no"
lineinfile:
path: /etc/ssh/sshd_config
regexp: "^#?PermitRootLogin"
line: "PermitRootLogin no"
validate: "/usr/sbin/sshd -t -f %s"
notify: Restart SSH
- name: "CIS 5.4.2 - Comptes systeme avec shell /usr/sbin/nologin"
user:
name: "{{ item }}"
shell: /usr/sbin/nologin
loop:
- bin
- daemon
- games
- www-data
ignore_errors: true
- name: "CIS 6.1.10 - Permissions /etc/passwd a 0644"
file:
path: /etc/passwd
owner: root
group: root
mode: "0644"
handlers:
- name: Restart SSH
systemd:
name: ssh
state: restartedBloc 3 — Revues de sécurité
Revue de code (secure code review) sur les merge requests sensibles, revue d'architecture sur les nouveaux projets, revue de configuration cloud via CSPM (Wiz, Prisma Cloud, Orca, Prowler, Steampipe). Un ingénieur sécurité AppSec senior peut consacrer 30-40 % de son temps aux revues.
Bloc 4 — Veille et réponse aux CVE critiques
Veille permanente sur les CVE pertinentes pour la stack de l'entreprise. Exemples d'événements 2021-2024 qui ont mobilisé les équipes ingénierie sécurité en urgence :
- CVE-2021-44228 (Log4Shell, décembre 2021) : mobilisation massive pour patcher et mitiger Log4j dans toutes les applications Java.
- CVE-2023-34362 (MOVEit Transfer, mai 2023) : exploitation en masse par Cl0p ransomware.
- CVE-2024-3094 (xz-utils backdoor, mars 2024) : porte dérobée sophistiquée dans la chaîne de compilation.
- CVE-2024-6387 (regreSSHion OpenSSH, juillet 2024) : exécution de code à distance pré-authentification sur OpenSSH.
4. Stack technique transverse
La stack varie fortement selon la spécialisation, mais quelques briques transverses sont communes à tous les ingénieurs sécurité.
| Domaine | Outils transverses 2026 |
|---|---|
| IAM et identité | Okta, Entra ID, Auth0, Ping Identity, Keycloak (open-source) |
| Secrets management | HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager |
| PAM (Privileged Access) | CyberArk, Delinea (ex-Thycotic), HashiCorp Boundary, BeyondTrust |
| Durcissement OS | Ansible, Chef, Puppet, SaltStack, kickstart scripts |
| Réseau | pfSense, Palo Alto, Fortinet, Cisco, Zscaler ZIA/ZPA, Netskope |
| Container et K8s | Trivy, Falco, Kyverno, OPA Gatekeeper, Anchore, kube-bench |
| SAST / DAST / SCA | Semgrep, SonarQube, Checkmarx, Snyk, OWASP ZAP, Burp Suite |
| IaC security | Checkov, tfsec, Terrascan, Trivy Config |
| CSPM | Wiz, Prisma Cloud, Orca, Lacework, Prowler, Steampipe |
| PKI et crypto | OpenSSL, HashiCorp Vault PKI, Smallstep, cert-manager (K8s) |
Référentiels de contrôles : NIST SP 800-53r5 (référentiel US des contrôles de sécurité, 1 189 contrôles), ISO 27002:2022 (93 contrôles implémentation), CIS Controls v8 (18 contrôles priorisés), CIS Benchmarks par plateforme (Linux, Windows, Docker, Kubernetes, AWS, Azure, GCP), OWASP ASVS v4.0.3 (Application Security Verification Standard) pour l'applicatif.
5. Profil type et certifications prioritaires
Profils d'entrée les plus compatibles
| Profil initial | Spécialisation naturelle | Durée de bascule | Prérequis clés |
|---|---|---|---|
| Développeur senior backend (4+ ans) | AppSec, DevSecOps | 6-12 mois | Code Python/Go/Java, CI/CD |
| DevOps, SRE, Platform Engineer | Cloud Security Engineer, DevSecOps | 6-12 mois | IaC, Kubernetes, cloud |
| Admin système Linux ou Windows senior | Infrastructure Security | 9-15 mois | Scripting Bash/PowerShell, AD, hardening |
| Admin réseau senior | Network Security Engineer | 9-15 mois | TCP/IP profond, firewalls, BGP, OSPF |
| Sortant d'école d'ingénieur généraliste | Toutes selon stage | 3-6 mois après embauche | Stage cyber pendant scolarité valorisé |
| Pentester junior 2-3 ans | AppSec, Cloud Security | 6-12 mois | Bonne compréhension exploitation → défense |
Certifications par palier
| Palier | Ancienneté | Certifications prioritaires | Coût examen indicatif |
|---|---|---|---|
| Entrée | 0-1 an | CompTIA Security+ | ≈ 400 € |
| Confirmé | 2-4 ans | CSSLP (AppSec) OU CCSP (Cloud) selon spé | ≈ 599 $ |
| Confirmé spécialisé | 2-4 ans | AWS Security Specialty, CKS, OSWE selon spé | 200-400 $ |
| Senior | 4-7 ans | CISSP (minimum 5 ans expérience dans 2 des 8 domaines) | ≈ 749 $ |
| Architecte | 7+ ans | SABSA Foundation (SCF), TOGAF plus CISSP | ≈ 1 200 £ (SABSA), ≈ 500 $ (TOGAF) |
Combinaison efficace en France 2026 : Security+ (année 1) plus une spécialisation hands-on (AWS Sec / CKS / CSSLP / OSWE) en année 2-3, puis CISSP en année 4-6. Portfolio GitHub avec 3+ projets démontrables (module Terraform sécurisé, baseline hardening, policy Kyverno, threat model STRIDE).
6. Salaires et trajectoire à 5-10 ans
| Niveau | Ancienneté | Province (brut annuel) | Île-de-France (brut annuel) |
|---|---|---|---|
| Ingénieur sécurité junior | 0-2 ans | 42-62 k€ | 48-68 k€ |
| Ingénieur sécurité confirmé | 2-5 ans | 58-82 k€ | 62-90 k€ |
| Ingénieur sécurité senior | 5-8 ans | 78-105 k€ | 85-115 k€ |
| Staff ou Principal Security Engineer | 8+ ans | 100-135 k€ | 110-150 k€ |
| Architecte sécurité | 10+ ans | 110-160 k€ | 120-175 k€ |
| Head of Security Engineering | 12+ ans | 130-180 k€ | 150-220 k€ |
Sources : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Les spécialisations Cloud et Kubernetes tirent structurellement la fourchette haute de 10-15 %. Packages scale-up tech bonifiés via BSPCE (0,05-0,3 % sur vesting 4 ans avec cliff 1 an). Filiales françaises de Big Tech (Google, Microsoft, AWS, Meta, Datadog, Stripe) : RSU sur 4 ans peuvent doubler le package total.
Bifurcations possibles après 5-8 ans
- Architecte sécurité : bascule design et moins de code. Trajectoire la plus naturelle.
- Staff ou Principal Engineer : expertise technique profonde sans passer manager (trajectoire IC). Valorisée par les cultures scale-up et Big Tech.
- Engineering Manager sécurité : 3-8 ingénieurs pilotés. Demande compétences management à construire.
- Head of Security Engineering puis CISO : trajectoire management senior. Voir Les étapes pour devenir RSSI et Les étapes pour devenir CISO.
- Freelance senior : TJM 800-1 400 € après 7+ ans, forte demande chez scale-ups et ETI régulées NIS 2/DORA.
7. Pour aller plus loin
- Panorama des métiers de la cybersécurité : guide des 40+ métiers cyber avec matrice d'accessibilité.
- Qu'est-ce qu'un analyste SOC : métier opérationnel complémentaire (run vs build).
- Les étapes pour devenir Cloud Security Engineer : spécialisation la plus demandée 2026.
- Devenir DevSecOps sans expérience : spécialisation SDLC.
- Métiers cyber pour développeurs : arbre de décision pour dev en bascule sécurité.
- Les étapes pour devenir RSSI : trajectoire long terme ingénieur sécurité senior vers direction cyber.
Points clés à retenir
- Ingénieur sécurité = profil build-centric : construire, durcir, implémenter. Oppose run (SOC), design (architecte), govern (RSSI).
- Cinq spécialisations : AppSec, DevSecOps, Cloud Security, Network Security, Infrastructure Security. Cloud est la plus demandée et la mieux rémunérée en 2026.
- Quatre blocs de missions : design/threat modeling, implémentation/durcissement, revues de sécurité, veille CVE et réponse urgente.
- Stack technique transverse : IAM (Okta, Entra ID), secrets (Vault), PAM (CyberArk), IaC (Terraform), SAST/DAST/SCA (Semgrep, Snyk, ZAP), CSPM (Wiz, Prowler).
- Référentiels structurants : NIST SP 800-53r5, CIS Benchmarks (Linux, Windows, K8s, cloud), OWASP ASVS v4.0.3, OWASP Top 10 web/API/LLM.
- Séquence certifications : Security+ (année 1), spécialisation hands-on (années 2-3), CISSP (années 4-6), architecte (SABSA, TOGAF à partir de 7+ ans).
- Salaires juniors 42-68 k€, senior 85-115 k€, staff ou architecte 110-175 k€. Cloud/K8s tirent +10-15 %.
- École d'ingénieur accélère mais n'est pas un prérequis : CISSP plus portfolio GitHub actif pèsent souvent plus qu'un diplôme à 5+ ans d'expérience.
L'accompagnement cyber 6 mois propose un cursus ingénieur sécurité avec préparation Security+ puis spécialisation au choix (AWS Security, CKS, CSSLP), ateliers de construction de portfolio (hardening Linux, module Terraform sécurisé, policy Kyverno, threat model STRIDE) et coaching d'entretien technique scale-up plus grand groupe.
