Mission impossible ou comédie dramatique RH ?

Recrutement en Cybersécurité : “On cherche un expert cloud, réseau, DevSecOps, analyste SOC, auditeur, RSSI… payé comme un technicien helpdesk. Bonne ambiance garantie.”

🔥 Pourquoi maintenant ?

Voici ce qui agite le recrutement cyber en juillet 2025 :

• 📉 Tensions record sur les profils cybersécurité (source : LinkedIn, ANSSI, Pôle emploi)
• 🧠 Les juniors IA-native arrivent, mais manquent de terrain
• 🧓 Les seniors fuient les jobs ingrats mal payés
• 🧨 Explosion des offres bullshit (“CDI Red Team polyvalent, full on-site à Metz, 35k brut”)
• 🤖 L’IA transforme le métier mais pas encore les pratiques RH

🔎 “Tu veux un expert cyber ? Paie-le, forme-le, ou laisse-le tranquille.”

• Les absurdités des fiches de poste
• Le gap entre besoins réels et profils proposés
• La fatigue des recruteurs et des candidats
• Les nouveaux réflexes IA-first des jeunes pros
• Les vrais leviers : culture de la sécu, montée en compétence interne, flexibilité

💼 “Recherche Expert Cyber Polyvalent, payé en reconnaissance”

Recrutement en cybersécurité : la grande mascarade RH de 2025

“Merci de postuler avec 15 ans d’expérience sur des outils sortis en 2021. Contrat 35k brut, ambiance start-up garantie.”

🎯 La faille humaine commence souvent… au service RH

Bienvenue dans le monde merveilleux du recrutement cyber.
Un monde où :

• On veut des experts en forensic, en DevSecOps, en réseau, en IAM, en cloud… dans une seule personne.
• On propose des salaires de technicien, mais on exige des certifs SANS, un passé chez Thales, et la capacité de parler à un COMEX sans transpirer.
• On poste une offre avec “urgence absolue”, puis on laisse les CV sans réponse pendant 3 semaines.

Le tout dans un contexte où les profils cyber sont plus rares qu’un poste de RSSI avec budget suffisant.

📉 Le constat : des offres irréalistes pour un marché ultra-tendu

Selon LinkedIn et Pôle Emploi, le ratio offre/demande cyber est de 1 pour 6. Et encore, ça c’est quand on compte large.
En réalité :

• Les profils juniors sont légion, mais on les laisse croupir sans accompagnement.
• Les seniors fuient les postes avec astreinte 24/7, projets éclatés et promesses de “dynamisme” (comprendre : chaos).
• Les freelances sont courtisés, puis relégués au rang de “trop cher” à la première négo.
• Les salaires stagnent, pendant que la charge monte. Fort.

🧠 La fiche de poste Schizo

Tu l’as sûrement vue passer. Celle qui demande :

• 10 ans d’expérience en cloud natif
• Expertise en SIEM, EDR, IAM, GRC, pentest, audit ISO, MFA, Kubernetes, SASE, et gestion de crise
• Capacité à animer des formations, rédiger une PSSI, monter un SOC, tenir la veille et supporter les devs qui font du SQL dans du YAML

Pour un poste d’“analyste cyber polyvalent” à 42k max, en présentiel à 100 % dans une ville sans train après 17h.

“Une licorne à trois têtes, avec une cape de RSSI mais sans les pouvoirs.”

🤖 Et maintenant, l’IA s’en mêle

Les RH reçoivent maintenant des CV rédigés par IA.
Les candidats reçoivent des réponses automatiques froides générées par des bots.
Certains tests techniques sont eux-mêmes générés par GPT, sans relecture.

Le tout dans un processus d’embauche qui ressemble à un escape game kafkaïen :

• Test psychométrique
• Trois entretiens
• Un cas pratique sur “comment réagir à une compromission AD”
• Et zéro retour final

🧨 L’impact réel ? Des postes vacants… et des failles bien occupées

Chaque poste non pourvu en cybersécurité, c’est :

• Des vulnérabilités non patchées
• Des logs non analysés
• Des scripts non revus
• Des employés mal sensibilisés
• Des accès non révoqués

Mais bon, tant qu’on a mis “Zero Trust” dans l’appel d’offre, tout va bien, non ?

🛠️ La vraie recette pour attirer des pros cyber (spoiler : ce n’est pas une table de ping-pong)

1. Arrêter les fiches de poste à rallonge. Un poste = une mission principale. Le reste, c’est du bruit.
2. Former les juniors au lieu de les ghoster. Tu veux un expert ? Forme-le au lieu d’attendre un mouton à 5 pattes qui a accepté le SMIC.
3. Accepter la diversité des parcours. Pas de diplôme en cybersécurité ? Et alors ? Si la personne sait lire un log, détecter un pivot, et parler à un DSI, c’est une pépite.
4. Assumer le coût de la compétence. Un bon analyste L2 coûte plus qu’un chef de projet IT classique. Et il rapporte plus aussi… s’il reste.
5. Flexibilité. Télétravail. Confiance. Les pros cyber ne veulent pas de baby-foot. Ils veulent des outils propres, du respect, et de l’impact.

🎯 Recruter en cyber, ce n’est pas une quête mystique. C’est du respect, du budget, et de la cohérence.

“Si tu paies un expert cyber comme un stagiaire,
ne t’étonne pas de recruter… un stagiaire.”

Recruter en cybersécurité, ce n’est pas recruter un super-héros. C’est trouver un pro qui sait jongler entre risques réels, failles humaines, et tech en feu — sans finir en burnout ou en reconversion dans la céramique.

🌟 RSSI : les bons élèves existent (et ils embauchent !)

Non, toutes les offres cyber ne sont pas des pièges à burnout.

“On peut faire de la cybersécurité exigeante, humaine, et bien menée. Oui, même en 2025.”

🛑 Après les fiches de poste lunaires, place à ceux qui font les choses bien

On a d’abord évoquer les dérives du recrutement cyber façon “super-héros sous-payé avec astreinte 24/7”.

Mais maintenant, mettons un coup de projecteur sur les entreprises qui font les choses correctement, voire exemplairement.

Parce qu’elles existent. Et elles embauchent.
Et souvent, elles ne font pas autant de bruit que les autres.
Mais elles construisent des environnements où la cybersécurité devient une vraie culture, pas une case à cocher dans un audit.

✅ 1. Un vrai budget, sans marchandage

Les bons élèves savent que :

• Sécuriser un SI distribué coûte de l’argent
• L’outillage moderne (EDR, SIEM, GRC, bastions, scanners, audits) n’est pas gratuit
• Et qu’un bon RSSI ne remplace pas une équipe, ni un budget

💬 “On n’a pas mégoté : on a fixé un budget pluriannuel, on a cadré les besoins métiers, et on l’a confié au RSSI. C’est son job, pas celui du DAF.”

👥 2. Le RSSI n’est pas seul. Il pilote une équipe.

Même dans des PME, certaines structures allouent :

• Un analyste ou un alternant dédié
• Des ressources transverses (juridique, IT, infra)
• Et surtout, une délégation de pouvoir réelle

Et dans les ETI ou groupes :

• Équipes SSI partagées par filiale
• Répartition claire gouvernance / technique
• Socles de procédures mutualisées

“Le RSSI n’est pas un pompier : c’est un pilote. Il ne doit pas tout faire lui-même.”

🔄 3. Gouvernance, technique, humain : un triptyque assumé

Les meilleurs employeurs ne cherchent ni un gourou technique, ni un écrivain de PSSI.
Ils comprennent que la cybersécurité :

• doit parler au COMEX
• doit se traduire dans l’architecture
• doit s’incarner dans les usages et la culture

Et donc :

• Ils investissent dans la formation du personnel
• Ils laissent le RSSI animer des campagnes internes
• Ils acceptent de dire “on n’est pas encore prêts, mais on y va ensemble”

📣 4. Visibilité, reconnaissance et… temps long

Certaines structures permettent à leur RSSI :

• De s’exprimer librement en interne (et parfois à l’externe)
• D’être reconnu comme un acteur stratégique
• De travailler dans le temps long, avec une feuille de route pluriannuelle
• D’avoir accès aux décideurs sans filtre

Et ça change tout :

“Quand ton avis compte, que tu peux dire non, et qu’on te suit… tu fais un boulot utile. Et tu restes.”

👀 Exemples concrets (anonymisés, mais réels)

🏭 Une ETI (900 salariés) :

• Équipe cyber de 3 personnes
• Plan triennal aligné avec la stratégie groupe
• Budget dédié hors DSI
• Poste de RSSI valorisé à 90k€ avec astreinte prévisible
• Reporting mensuel au comité stratégique

🧑‍⚕️ Un hôpital public pionnier :

• RSSI nommé officiellement, associé aux projets SI
• Partage des ressources GHT pour mutualiser la veille et l’outillage
• Campagnes internes ludiques + budget sensibilisation
• Collaboration avec la CNIL locale

💼 Une PME de services (280 personnes) :

• RSSI “part-time” externalisé, intégré aux réunions de direction
• Formation continue du personnel (phishing, MFA, GED sécurisée)
• Outils open source bien pilotés (Wazuh, GLPI, Vault)

🧠 Le profil des bons employeurs cyber

🌱 Conclusion : la cybersécurité heureuse, ce n’est pas une utopie

Les bons élèves ne cherchent pas des magiciens.
Ils cherchent des professionnels qu’ils respectent, accompagnent et valorisent.

Et c’est probablement là que se trouvent :

• Les projets les plus intéressants
• Les équipes les plus soudées
• Et les RSSI qui ne songent pas à changer de métier tous les 18 mois

“Si tu veux une cybersécurité solide, commence par construire un environnement où quelqu’un aura envie de la porter.”

🔍 RSSI vs. CISO : c’est souvent la même personne… mais pas le même rôle

• RSSI (Responsable de la Sécurité des Systèmes d’Information) :
  Terme utilisé dans le contexte francophone, plus opérationnel, souvent rattaché à la DSI, parfois “terrain”.
• CISO (Chief Information Security Officer) :
  Terme international, souvent plus stratégique, rattaché à la direction générale ou à un board Risk/Compliance.
  Le CISO porte la vision, pilote le programme sécurité, définit la politique globale.

🧠 En pratique :

• Dans une PME ou une ETI, le RSSI fait souvent tout : stratégie, gouvernance, technique, incident, conformité…
  Il tient le rôle de CISO sans le titre, ni parfois la rémunération.
• Dans un grand groupe, le CISO chapeaute plusieurs RSSI, délègue l’opérationnel, pilote le budget, représente l’entreprise à l’externe (ANSSI, CNIL, audits, etc.).

💬 “Tous les CISO sont des RSSI. Mais tous les RSSI ne sont pas considérés comme des CISO.”

❗ RSSI ≠ CISO : précisons les rôles

Dans cet article, on parle bien des postes de RSSI “solides” dans des structures matures,
pas de CISO groupe avec 10 filiales à piloter et 15 audits à passer.

💶 Le salaire de 80–90k évoqué correspond à un RSSI :

• Avec équipe ou support identifié
• Un périmètre SI maîtrisé
• Une autonomie fonctionnelle
• Mais pas forcément un rôle de CISO global

Si vous cherchez un CISO, alors le budget, le positionnement et le niveau d’exigence doivent suivre.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com