Le mot « cybersécurité » regroupe 15+ métiers techniques distincts avec des barrières d'entrée, des rémunérations et des modes de vie radicalement différents. Choisir au hasard ou sur l'image médiatique (« je veux être pentester comme dans Mr. Robot ») produit deux ans perdus et une réorientation forcée. Le marché FR 2026 paie de 35 k€ junior SOC analyst à 220 k€ CISO grand groupe, en passant par 75-95 k€ DevSecOps senior et 130 k€ specialist LLM security. Cet article documente les 7 métiers à viser en priorité classés par accessibilité, durée de formation, ROI carrière, demande marché et compatibilité avec différents profils de départ. Pas de classement encyclopédique : un classement opérationnel pour décider la semaine prochaine.
Pour le panorama global de la reconversion : voir reconversion cybersécurité priorités 2026. Pour les financements : voir comment financer formation cybersécurité 2026.
Le bon mental model : 4 grandes familles, pas un blob unique
Les fiches de poste françaises mélangent souvent tout. Pour décider, structure le marché en 4 familles distinctes avec des compétences-cœur incompatibles :
| Famille | Mission centrale | Compétence-cœur | Rythme | Mindset dominant |
|---|---|---|---|---|
| BUILD (DevSecOps, AppSec, Cloud Security) | Construire et durcir le code/infra | Code + cloud + SAST/DAST | Sprint dev, projet 3-12 mois | Constructeur, j'aime créer |
| BREAK (Pentester, Red Team, Bug Bounty) | Trouver les failles avant les attaquants | Exploitation + créativité offensive | Mission 1-4 semaines | Chasseur, j'aime casser |
| DEFEND (SOC, IR, Threat Intel, Forensics) | Détecter, contenir, enquêter | Logs + EDR/SIEM + méthodo IR | 24/7, astreintes | Veilleur, j'aime résoudre |
| GOVERN (GRC, RSSI, Compliance, Audit) | Cadrer, piloter, certifier | Normes + diplomatie + budget | Bureau, comités, audit | Stratège, j'aime structurer |
Position 1 : ces 4 familles requièrent des profils cognitifs différents. Un excellent constructeur (BUILD) déteste souvent les comités GRC. Un excellent chasseur (BREAK) supporte mal le rythme 24/7 du SOC. Choisir contre son tempérament produit le burnout en 18 mois. Le test du week-end : sur 5 week-ends loisirs, qu'as-tu fait spontanément ? Construire un projet (BUILD), résoudre des CTF (BREAK), suivre l'actu cyber (DEFEND), lire des normes ou un rapport ANSSI (GOVERN) ? La réponse spontanée signale ton bon métier.
Position 2 : viser un métier uniquement pour le salaire sans affinité famille est la principale cause d'échec en reconversion cyber FR (constat empirique alumni 2023-2025). Le différentiel salarial entre familles est de 20-30% au junior, mais le différentiel d'engagement est de 100%, ce qui explose la trajectoire à 5 ans.
Priorité 1, SOC Analyst (porte d'entrée la plus large)
Famille : DEFEND. Accessibilité : haute. Durée formation : 6-12 mois. Salaire FR 2026 junior : 35-45 k€ Paris, 30-40 k€ régions.
Profil et missions
Le SOC (Security Operations Center) Analyst surveille les alertes de sécurité 24/7, qualifie les incidents (faux positifs vs vrais positifs), escalade aux N2/N3 ou IR. C'est le point de départ classique de 40-50% des reconversions cyber en France.
| Niveau | Tâches | XP | Salaire FR 2026 | Volume marché |
|---|---|---|---|---|
| N1 | Triage alertes Splunk/Sentinel/Chronicle | 0-2 ans | 32-42 k€ | 60% des postes SOC |
| N2 | Investigation, corrélation, runbooks | 2-4 ans | 45-58 k€ | 30% |
| N3 / Threat Hunter | Hypothesis-driven hunting, custom detection | 4-7 ans | 60-80 k€ | 8% |
| SOC Lead / Manager | Pilotage équipe, KPI, build detection coverage | 7+ ans | 80-110 k€ | 2% |
Stack outillage 2026 à maîtriser
# Lab SOC junior : monter Wazuh + ELK gratuit pour pratique
docker compose up -d wazuh-manager wazuh-indexer wazuh-dashboard
# Source d'apprentissage : LetsDefend.io, Security Blue Team, BTL1
# Stack vue côté employeur :
# - SIEM : Splunk (60% marché FR), Microsoft Sentinel (25%), QRadar (8%), Chronicle (5%)
# - EDR : CrowdStrike Falcon (35%), SentinelOne (20%), Microsoft Defender (25%), Trellix (10%)
# - SOAR : Splunk SOAR, XSOAR, Tines
# - Threat Intel : MISP, OpenCTI (open source), Recorded Future (commercial)Position 3 : un SOC analyst N1 qui ne sort pas du SOC vers IR/threat hunting/DevSecOps en 24-36 mois plafonne à 55 k€ et risque le burn-out. Le métier est un tremplin, pas une carrière finale pour 90% des profils. Plan idéal : 2 ans SOC → pivot vers IR ou DevSecOps → +20-30 k€ salaire en 3 ans.
Priorité 2, DevSecOps Engineer (la trajectoire à plus haut ROI)
Famille : BUILD. Accessibilité : moyenne (substrat dev/ops requis). Durée formation : 18-36 mois si reconversion, 12 mois si déjà dev/ops. Salaire FR 2026 : 45-130 k€ selon séniorité et niche.
C'est le métier que je recommande à tout profil avec 3+ ans de dev ou ops, parce qu'il combine la plus forte demande marché (~1 800 offres FR à un instant T fin 2025), la meilleure progression salariale et l'ouverture vers les niches premium (LLM security, supply chain, K8s platform).
| Sous-spécialité | Demande FR 2026 | Salaire senior | Compétences-cœur |
|---|---|---|---|
| DevSecOps généraliste | Très forte | 75-95 k€ | Pipeline CI/CD, Trivy/Semgrep, K8s, Terraform |
| Cloud Security AWS | Forte | 85-110 k€ | AWS Security Specialty, IAM, Landing Zones, CSPM |
| Cloud Security Azure | Croissante | 80-105 k€ | SC-100, Defender for Cloud, Sentinel, Entra |
| Kubernetes platform security | Forte | 85-110 k€ | OPA/Kyverno, Cilium, mTLS, SPIFFE |
| Supply chain security | Très forte | 90-115 k€ | SLSA L3, Cosign keyless, SBOM SPDX/CycloneDX |
| AI/LLM security (DevSecOps for ML) | Émergente | 95-130 k€ | OWASP LLM Top 10 v2.0, MITRE ATLAS, MLSecOps |
Voir le détail complet du parcours dans devenir DevSecOps priorités 2026.
Priorité 3, Pentester Web/Cloud/Réseau
Famille : BREAK. Accessibilité : moyenne (substrat code/réseau requis). Durée formation : 18-30 mois. Salaire FR 2026 : 38-95 k€ + freelance 600-1 500€/jour.
Métier qui fait rêver, plus dur à obtenir que ce que la médiatisation suggère. Volume marché 3-5x plus petit que DevSecOps mais demande qualifiée toujours soutenue.
Sous-spécialités et tarification 2026
| Niche | Volume FR | Salaire senior | TJM freelance |
|---|---|---|---|
| Web (OWASP Top 10, API, GraphQL) | Forte | 70-90 k€ | 600-1 100€ |
| Cloud (AWS/Azure/GCP) | Forte | 80-100 k€ | 800-1 300€ |
| Active Directory / interne réseau | Moyenne | 75-95 k€ | 700-1 200€ |
| Mobile (iOS/Android) | Faible | 70-90 k€ | 700-1 200€ |
| Hardware / IoT / OT | Très faible mais rare | 90-115 k€ | 1 100-1 800€ |
| Red Team (objectif-driven) | Faible | 90-120 k€ | 1 200-2 000€ |
| AI/LLM Red Team | Émergente | 95-130 k€ | 1 500-2 500€ |
Détails du parcours dans devenir pentester priorités 2026.
Position 4 : viser pentester sans accepter le freelancing à terme est sous-optimal. La majorité des pentesters seniors FR (60%+) finissent freelance ou en consultant à 7+ ans XP, parce que le salariat plafonne autour de 90 k€ alors que le freelance senior tape 1 100-1 500€/jour réel facturé (~140-180 k€ équivalent salaire annuel net). Inclure cette trajectoire dès le départ : créer son statut, son réseau, sa veille business, pas que technique.
Priorité 4, Incident Responder / DFIR / Threat Hunter
Famille : DEFEND. Accessibilité : moyenne. Durée formation : 24-36 mois (passe par SOC d'abord). Salaire FR 2026 : 55-110 k€.
Le métier le plus stimulant intellectuellement de la famille DEFEND. L'IR (Incident Response) gère les attaques en cours ou post-mortem ; le DFIR (Digital Forensics & Incident Response) ajoute l'analyse forensics ; le threat hunter chasse de manière proactive avec des hypothèses non encore détectées.
# Exemple, workflow threat hunter (à savoir faire en année 3)
# 1. Hypothèse : "Un attaquant utiliserait WMI pour persistance latérale"
import volatility3
mem_analysis = volatility3.run(
plugin="windows.malfind",
image="memdump_compromised.raw"
)
# 2. Mapping MITRE ATT&CK : T1047 (WMI), T1218 (Signed binary proxy)
# 3. Custom Sigma rule pour détection future
sigma_rule = """
title: Suspicious WMI command line
detection:
selection:
Image: '*\\WmiPrvSE.exe'
CommandLine|contains: 'powershell -enc'
condition: selection
"""
# 4. Déploiement dans Splunk / Sentinel| Sous-niveau | Mission | XP | Salaire FR 2026 |
|---|---|---|---|
| IR Junior (CSIRT/CERT) | Réponse incidents simples, runbooks | 2-3 ans | 50-62 k€ |
| IR Senior | Lead investigation, ransomware, DLP | 4-6 ans | 70-90 k€ |
| Forensics Specialist | Memory + disk + network forensics | 5+ ans | 75-95 k€ |
| Threat Hunter | Hypothesis-driven, custom detections | 5+ ans | 75-100 k€ |
| CTI Lead (Cyber Threat Intel) | Acteurs APT, geopolitical context | 7+ ans | 90-120 k€ |
Employeurs majeurs FR 2026 : ANSSI / CERT-FR (statut public, 45-65 k€), CERT bancaires (BNP CERT, SG CERT, 60-90 k€), MSSP (I-Tracing, Almond, Synetis, 55-85 k€), grands groupes industriels (Thales, Airbus, Safran, 60-90 k€), pure players (Mandiant France, 80-130 k€).
Priorité 5, GRC / RSSI / CISO
Famille : GOVERN. Accessibilité : haute pour GRC junior, très haute barrière pour CISO. Durée formation : 12-18 mois (GRC junior) à 10-15 ans (CISO). Salaire FR 2026 : 35-220 k€.
Métier sous-estimé par les techniciens, sur-représenté en grandes entreprises. Le GRC technique (qui sait lire un pentest et dialoguer infra) est une niche rentable.
Référentiels obligatoires 2026
| Référentiel | Domaine | Année | Pertinence FR |
|---|---|---|---|
| ISO/IEC 27001:2022 | SMSI général | 2022 | Universel grands comptes |
| ISO/IEC 27002:2022 | Contrôles SMSI (93 contrôles) | 2022 | Détail des mesures |
| ISO/IEC 27701:2019 | Privacy SMSI (extension RGPD) | 2019 | Forte demande post-RGPD |
| NIS2 (UE 2022/2555) | Infrastructures critiques | Transposée FR oct 2024 | Obligation 600+ entités FR |
| DORA (UE 2022/2554) | Résilience numérique financier | Applicable janv 2025 | Banques, assurances, gestionnaires |
| AI Act (UE 2024/1689) | Encadrement IA | Adoption juillet 2024, application progressive | SI utilisant l'IA |
| NIST CSF 2.0 | Framework cybersécurité | Février 2024 | Concurrent ISO, US-friendly |
| EBIOS RM | Méthode analyse risques ANSSI | 2018 (v2024) | Standard FR public |
| PCI DSS 4.0 | Paiement carte | 2022 (obligation full mars 2025) | E-commerce, banques |
| Common Criteria | Certif produits sécurité | EAL 1-7 | Industrie, défense |
| Niveau GRC | Salaire FR 2026 | Profil typique |
|---|---|---|
| GRC Analyst junior | 35-45 k€ | Bac+5 sécu/info, 0-2 ans |
| GRC Consultant confirmé | 50-65 k€ | 3-5 ans, mix audit + projet |
| Lead GRC / Compliance Officer | 70-90 k€ | 5-8 ans, expert ISO/NIS2/DORA |
| RSSI PME | 65-85 k€ | 8+ ans, terrain |
| RSSI ETI | 85-120 k€ | 10+ ans, leadership |
| CISO grand groupe | 130-220 k€ + bonus + variable | 12-18 ans, board-level |
Position 5 : le titre « RSSI » ou « CISO » est galvaudé en France 2026. Un poste « RSSI 65 k€ » dans une PME de 80 personnes est typiquement un mix DSI + GRC opérationnel sans pouvoir budgétaire réel. Les vrais CISO siègent au COMEX, ont un budget 2-5% du chiffre d'affaires, reportent au CEO ou au CFO, et touchent 150-220 k€ + variable. Avant d'accepter un poste « CISO », vérifie : reporting line, budget direct, périmètre, rôle dans la stratégie.
Priorité 6, Cryptographe / Sécurité produit / Hardware Security
Famille : BUILD spécialisé. Accessibilité : très basse (Bac+5 mathématiques/EE souvent requis). Durée formation : 5-10 ans inclut formation initiale. Salaire FR 2026 : 60-150 k€.
Niche premium pour profils mathématiciens/électroniciens. Volume très faible mais rémunération élevée et concurrence raréfiée.
| Sous-spécialité | Volume FR 2026 | Salaire senior | Employeurs typiques |
|---|---|---|---|
| Cryptographie appliquée | ~50 postes | 80-130 k€ | ANSSI, Thales, IDEMIA, banques HSM |
| Post-quantum cryptography (PQC) | ~20-40 postes (en croissance) | 90-150 k€ | Idem + scale-ups crypto |
| Hardware security (FPGA, ASIC, TPM) | ~50 postes | 75-120 k€ | Thales, IDEMIA, STMicroelectronics, Atos |
| Embedded / firmware security | ~80 postes | 70-110 k€ | Industriels auto, IoT, médical |
| Crypto produit (BTQ, signing, KMS) | ~100 postes | 75-115 k€ | Banques, scale-ups blockchain sérieux, OVHcloud |
Référence : NIST a finalisé en août 2024 les standards PQC : ML-KEM (FIPS 203, ex-Kyber), ML-DSA (FIPS 204, ex-Dilithium), SLH-DSA (FIPS 205, ex-SPHINCS+). Tout cryptographe FR 2026 doit savoir les positionner.
Priorité 7, AI / LLM Security Engineer
Famille : BUILD spécialisé émergent. Accessibilité : très basse en porte d'entrée (5+ ans cyber + 2 ans data requis). Durée formation : 6-12 mois additionnels après base solide. Salaire FR 2026 : 90-130 k€ senior, 1 500-2 500€/jour TJM.
Métier né fin 2023, marché en explosion mais piégeux pour les juniors qui pensent y entrer directement.
Compétences-cœur 2026
| Domaine | Maîtrise attendue senior |
|---|---|
| OWASP LLM Top 10 v2.0 (octobre 2024) | LLM01 prompt injection, LLM06 excessive agency, LLM10 unbounded consumption |
| MITRE ATLAS (2023, mises à jour 2024-2025) | TTPs adversarial ML mappées sur ATT&CK |
| NIST AI RMF (janvier 2023, profil GenAI juillet 2024) | Govern/Map/Measure/Manage |
| Outils red team LLM | Garak (NVIDIA), PyRIT (Microsoft), promptbench |
| Guardrails | NeMo Guardrails (NVIDIA), Llama Guard (Meta), Lakera Guard |
| RAG security | Vector DB poisoning, embedding attacks, retrieval auth |
| Agent security | LangChain/LangGraph audit, tool injection, AutoGPT-style chains |
| Compliance | EU AI Act 2024/1689, articles 5-15 (interdites + haut risque) |
# Stack red team LLM 2026 (à savoir installer en année 1 specialisation)
pip install garak # NVIDIA, automated LLM red teaming
pip install pyrit # Microsoft, adversarial AI testing
pip install promptbench # Microsoft, robustness benchmark
git clone https://github.com/protectai/llm-guard
git clone https://github.com/leondz/garak
# Lancer probes contre un endpoint LLM
garak --model_type openai --model_name gpt-4-turbo \
--probes promptinject,leakage,dan,malwaregenPosition 6 : viser « AI Security Engineer » comme premier poste cyber est une erreur stratégique pour 95% des candidats. Le marché demande 5+ ans cyber + 2 ans data/ML, combinaison qui ne s'improvise pas en bootcamp 6 mois. Trajectoire viable : DevSecOps 3 ans → spécialisation LLM 12 mois → bascule AI Security en année 4-5. Voir devenir AI red teamer roadmap.
Erreurs fréquentes dans le choix de métier cyber
| Erreur | Symptôme | Fix |
|---|---|---|
| Choisir sur le glamour médiatique | « Je veux être pentester comme dans Mr. Robot » | Test 4 familles 1 semaine, choisir selon affinité réelle |
| Viser AI Security en porte d'entrée | Burn-out + recalage en 18 mois | Détour DevSecOps ou backend ML 3-5 ans d'abord |
| Confondre RSSI poste vrai et titre marketing | Accepter 65 k€ « RSSI » sans pouvoir réel | Vérifier reporting line, budget, périmètre |
| Rester SOC > 3 ans sans pivoter | Plafond 55 k€, burn-out 24/7 | Pivoter IR / DevSecOps / threat hunter à 24-36 mois |
| Empiler certifications sans pratique | 5 certifs, 0 commit GitHub | 1 cert + 1 projet public > 5 certs sans projet |
| Ignorer les niches premium en année 5+ | Plafond 75-85 k€ senior généraliste | Choisir 1 niche (LLM, supply chain, K8s) en année 5 |
| Refuser le freelancing à terme | Plafond salarié 90 k€ pentester/DevSecOps | Préparer transition freelance dès année 4-5 |
Salaires synthèse FR 2026, vue par métier
| Métier | Junior (0-2 ans) | Confirmé (3-5 ans) | Senior (5-8 ans) | Lead (8+ ans) |
|---|---|---|---|---|
| SOC Analyst | 35-45 k€ | 45-58 k€ | 60-80 k€ | 80-110 k€ |
| DevSecOps | 45-55 k€ | 60-75 k€ | 75-95 k€ | 95-130 k€ |
| Pentester | 38-50 k€ | 55-72 k€ | 70-95 k€ | 90-120 k€ |
| IR / DFIR / Threat Hunter | 45-55 k€ | 60-75 k€ | 75-100 k€ | 95-130 k€ |
| GRC / Compliance | 35-45 k€ | 50-65 k€ | 65-85 k€ | 85-150 k€ (CISO) |
| Cryptographe / Hardware | 45-60 k€ | 65-85 k€ | 80-130 k€ | 110-150 k€ |
| AI/LLM Security Engineer | 60-75 k€ (rare en junior pur) | 75-95 k€ | 95-130 k€ | 130-170 k€ |
| RSSI / CISO | n/a | 65-85 k€ (RSSI PME) | 85-120 k€ (RSSI ETI) | 130-220 k€ (CISO grand groupe) |
Sources : Hays Tech 2026, Robert Half Technology 2026, étude CESIN/Wavestone 2025, scrapping LinkedIn / Welcome to the Jungle / Talent.io fin 2025 - début 2026.
Pour aller plus loin
- Reconversion cybersécurité priorités 2026, top 7 priorités pour réussir la reconversion globale.
- Devenir DevSecOps priorités 2026, détail du parcours DevSecOps avec niches premium.
- Devenir pentester priorités 2026, détail du parcours pentester web + niches.
- Devenir AI red teamer roadmap, bascule cyber → AI security.
- Combien gagne AI Security Engineer France international, tarification niche LLM.
- Freelance cybersécurité France 2026, TJM par spécialité, négociation, statuts.
- Comment financer formation cybersécurité 2026, 8 dispositifs d'aide pour reconversion.
Points clés à retenir
- 4 familles structurelles cyber 2026 : BUILD (DevSecOps, AppSec), BREAK (pentester, red team), DEFEND (SOC, IR, threat hunting), GOVERN (GRC, RSSI, CISO).
- Choisir contre son tempérament cognitif = burn-out 18 mois. Test du week-end : ce que tu fais spontanément trahit ta vraie famille.
- SOC Analyst N1 reste la porte d'entrée la plus large : 35-45 k€ junior, 6-12 mois formation, 1 200-1 800 postes ouverts FR à un instant T. Sortir vers IR/DevSecOps en 24-36 mois.
- DevSecOps = trajectoire à plus haut ROI carrière 2026 : 1 800 offres FR à un instant T, salaire senior 75-95 k€, niches premium 95-130 k€.
- Pentester : volume 3-5x plus petit que DevSecOps mais TJM premium 1 100-1 500€/jour senior. 60%+ finissent freelance à 7+ ans.
- IR/DFIR/Threat Hunter : 55-110 k€, employeurs ANSSI, CERT bancaires, MSSP I-Tracing/Almond, Mandiant France. Métier le plus stimulant intellectuellement DEFEND.
- GRC technique (lit pentest + comprend infra) atteint 80-90 k€. GRC pur Excel plafonne 55 k€. CISO vrai = 150-220 k€ + COMEX.
- Cryptographie / hardware security : niches premium 60-150 k€, profils Bac+5 maths/EE, employeurs ANSSI/Thales/IDEMIA. PQC NIST FIPS 203/204/205 (août 2024) à connaître.
- AI/LLM Security Engineer : 90-130 k€ senior FR, 1 500-2 500€/jour freelance, mais NON accessible en porte d'entrée junior. Détour DevSecOps 3-5 ans d'abord.
- Référentiels GRC FR 2026 : ISO 27001:2022, NIS2 (oct 2024), DORA (janv 2025), AI Act (2024/1689), NIST CSF 2.0 (févr 2024), EBIOS RM 2024, PCI DSS 4.0.
- Niches premium 2026-2028 qui paient 90-130 k€ senior : AI/LLM, supply chain (SLSA), K8s platform, OT/ICS, cloud architect AWS/Azure, DFIR avancé.
- Erreur stratégique majeure : viser le métier le mieux payé sans affinité famille. Le différentiel d'engagement à 5 ans dépasse largement le différentiel salarial junior.
