Après plusieurs années dominées par la question des volumes d’effectifs, le débat se déplace désormais vers la qualité et la nature des compétences disponibles. Si la profession continue de croître et si l’écosystème se diversifie, les organisations constatent que le véritable risque ne réside plus uniquement dans le manque de personnel, mais dans l’absence de capacités opérationnelles adaptées aux menaces actuelles. L’écart persistant entre besoins, maturité et compétences structure un paysage où l’investissement humain est aussi stratégique que l’investissement technologique.
Depuis plusieurs années, la pénurie de professionnels de la cybersécurité est présentée comme l’un des principaux risques structurels pour les entreprises. L’étude ISC2 de 2023 en avait donné une mesure précise, avec une main-d'oeuvre mondiale estimée à près de 5,5 millions de spécialistes et un déficit d’environ 4 millions de postes pour couvrir correctement les besoins. Ce déséquilibre avait été aggravé par les périodes de coupes budgétaires, de restructurations d’équipes et par l’accélération technologique continue. ISC2 est une association mondiale, basée aux U.S., regroupant plus de 265 000 membres certifiés et associés, des professionnels de la cybersécurité.
Son étude mondiale de 2025, « ISC2 Cybersecurity Workforce Study 2025 », confirme une transition majeure dans la dynamique des ressources humaines en cybersécurité. Elle ne raconte pas l’histoire d’un marché résorbé ou stabilisé, au contraire, elle décrit une recomposition. Le problème ne se limite plus au manque d’effectifs disponibles, il concerne désormais la capacité des organisations à disposer des bonnes compétences, au bon niveau et au bon endroit. La pression se déplace ainsi du seul recrutement vers la formation, l’équipement, la rétention des talents et l’alignement des savoir-faire critiques avec l’évolution rapide des menaces.
Un décalage persistant entre besoins et capacités
Ce glissement s’accompagne d’une transformation du vécu professionnel au sein des équipes cyber. L’étude souligne toujours la robustesse de la motivation et de l’engagement des professionnels, mais elle rappelle également que les années marquées par les réductions de budgets, les licenciements ou les gels d’embauche ont laissé des traces durables. La surcharge opérationnelle, la difficulté à maintenir un haut niveau de veille technique, le sentiment d’être insuffisamment écouté par les directions et l’exposition accrue au risque de compromission structurent désormais une réalité quotidienne bien différente de l’image idéalisée d’un secteur simplement en expansion.
L’étude rappelle que la cybersécurité reste une profession en croissance. Les effectifs progressent, les pays élargissent leurs filières de formation, les carrières se structurent et les organisations reconnaissent davantage la place stratégique de la sécurité dans la chaîne de valeur. Pourtant, l’écart entre main-d'oeuvre disponible et main-d'oeuvre nécessaire demeure considérable. L’analyse souligne que ce déficit n’est pas une simple photographie conjoncturelle : il reflète une dépendance croissante des entreprises aux infrastructures numériques, une sophistication constante des menaces et, surtout, une élévation continue des exigences techniques imposées aux équipes.
De la pénurie d’effectifs à la pénurie de compétences stratégiques
Au-delà du volume, le rapport montre que les pénuries sont très inégalement réparties selon les régions, les industries et les niveaux d’expertise. Les secteurs à forte criticité opérationnelle continuent d’exprimer les besoins les plus pressants, tandis que certaines zones géographiques voient leur dynamique de recrutement ralentir après plusieurs années d’expansion rapide. Les organisations qui ont connu des licenciements ou des réallocations internes confirment davantage la difficulté à maintenir un équilibre entre ressources disponibles, charge de travail et continuité opérationnelle. Ce déséquilibre nourrit mécaniquement une perception accrue du risque cyber, y compris dans des organisations techniquement matures.
Le changement majeur observé entre 2023 et 2025 réside dans la hiérarchisation des inquiétudes. Là où les enquêtes précédentes mettaient principalement en avant le manque global de personnel, l’édition 2025 insiste sur l’insuffisance des compétences réellement adaptées aux nouveaux enjeux. La grande majorité des organisations déclare désormais faire face à des lacunes significatives ou critiques, notamment dans des domaines structurants : sécurité du cloud, exploitation sécurisée de l’intelligence artificielle, mise en œuvre de modèles Zero Trust, ingénierie de sécurité avancée ou capacité de pilotage du risque. Autrement dit, disposer d’équipes nombreuses ne suffit plus : disposer d’équipes compétentes devient vital.
Cette tension est d’autant plus marquante que l’intensité technique du métier s’accroît. Les organisations constatent que le déficit de compétences peut avoir davantage d’impact opérationnel qu’un simple manque de ressources. Retards de déploiement, lenteur dans l’application des correctifs, difficultés à maintenir une vision complète des menaces, erreurs de configuration ou ralentissement de la réponse aux incidents apparaissent comme des conséquences directes du manque de savoir-faire. De plus, l’étude confirme ce que beaucoup de RSSI observent : la formation continue, la gestion active des talents et la mise à disposition de programmes de développement internes constituent désormais des leviers plus efficaces que la seule politique de recrutement externe.
