La dernière étude ISC2 sur la main-d’œuvre révèle que les écarts de compétences se creusent à mesure que les professionnels de la cybersécurité adoptent des outils d’IA et signalent des besoins critiques en personnel dans les organisations.
Les équipes de cybersécurité évoluent alors que la pénurie de compétences prend le pas sur les effectifs et devient la principale préoccupation, selon l’étude 2025 Cybersecurity Workforce Study de l’ISC2. L’étude, basée sur les réponses de quelque 16 029 professionnels de la cybersécurité dans le monde, révèle que même si les coupes budgétaires et les licenciements se sont stabilisés après la forte hausse de l’année dernière, la pression sur les équipes de sécurité s’est intensifiée.
ISC2, une organisation membre à but non lucratif pour les professionnels de la cybersécurité, a constaté que les limitations budgétaires en matière de main-d’œuvre en cybersécurité restent un facteur clé de pénurie de personnel, avec 33 % des personnes interrogées déclarant que leur organisation ne dispose pas de suffisamment de ressources pour doter « adéquatement » leurs équipes. Selon l’étude de cette année, 29 % des personnes interrogées ont déclaré qu’elles n’avaient pas les moyens d’embaucher du personnel possédant les compétences nécessaires pour « sécuriser adéquatement leur organisation ». Et près des trois quarts (72 %) des personnes interrogées estiment que la réduction du personnel de sécurité « augmente considérablement le risque de violation dans leur organisation », selon ISC2.
Les conditions économiques affectant les budgets de cybersécurité ont montré des signes de stabilisation en 2025, selon ISC2, avec des rapports faisant état de coupes budgétaires chutant à 36 % (en baisse d’un point de pourcentage par rapport à 2024) et de licenciements en baisse à 24 % (également en baisse d’un point). Néanmoins, des défis sous-jacents en matière de main-d’œuvre demeurent.
« D’après ce que nous constatons dans les données et le sentiment des professionnels de la cybersécurité à l’échelle mondiale, rien n’indique que les coupes budgétaires ou les licenciements s’accéléreront de manière significative en 2026 », déclare Casey Marks, directeur des opérations chez ISC2. « Les conditions économiques joueront toujours un rôle important dans le développement et l’habilitation de la main-d’œuvre. Cependant, les perspectives globales ne suggèrent pas une tendance à la détérioration en 2026. »
Les déficits de compétences ont des conséquences sur la sécurité
L’étude met en évidence une tendance critique : près de 90 % des personnes interrogées (88 %) ont été confrontées à au moins un événement de cybersécurité important dans leur organisation en raison d’une pénurie de compétences, et 69 % ont signalé plus d’un événement. La gravité des besoins en compétences a considérablement augmenté, avec 95 % des personnes interrogées signalant au moins un besoin de compétences (en hausse de 5 % par rapport à 2024) et 59 % citant des déficits de compétences critiques ou importants (une augmentation de 15 % par rapport à l’année précédente).
« Un changement est en train de se produire. Les données de cette année montrent clairement que la préoccupation la plus pressante des équipes de cybersécurité n’est pas l’effectif mais les compétences », a déclaré Debra Taylor, PDG et directrice financière par intérim d’ISC2, dans un communiqué. « Les déficits de compétences augmentent les niveaux de risque en matière de cybersécurité et mettent à l’épreuve la résilience des entreprises. »
Les organisations ont été confrontées à des oublis dans les processus et procédures de cybersécurité (26 %), ont été contraintes de confier des tâches à des personnes sous-qualifiées ou inexpérimentées (25 %), manquent de temps ou de ressources pour former le personnel de cybersécurité (25 %) et sont confrontées à des systèmes mal configurés (24 %), selon l’étude de cette année. Le rapport indique également
« Un autre résultat fréquemment cité (24 %) de la pénurie de compétences est que certaines parties de l’organisation ne sont pas suffisamment sécurisées et que le personnel est incapable de tirer parti des technologies de cybersécurité émergentes (24 % chacune) », indique le rapport.
Même si l’étude ne lie pas les conséquences en matière de sécurité à des domaines techniques spécifiques, le nombre de conséquences montre à quel point le développement des capacités est devenu plus critique que la simple augmentation des effectifs, explique Marks.
« L’IA et la sécurité du cloud continuent de se démarquer comme les besoins de compétences les plus urgents, tant de la part des responsables du recrutement que des professionnels de la cybersécurité. Presque toutes les personnes participant à l’étude signalent au moins un besoin de compétences, et la plupart signalent des besoins importants », déclare Marks. « Cela nous montre que le développement des capacités est devenu plus critique que la simple augmentation des effectifs. »
L’adoption de l’IA s’accélère
L’étude a révélé que l’adoption de l’IA s’accélère rapidement, avec 28 % des personnes interrogées déclarant avoir déjà intégré des outils d’IA dans leurs opérations et 69 % étant impliquées dans un certain niveau d’adoption, via l’intégration, des tests actifs ou une évaluation précoce.
« Ce qui ressort, c’est la rapidité avec laquelle l’IA est passée de l’expérimentation aux opérations quotidiennes. Plus des deux tiers des personnes interrogées utilisent, testent ou évaluent déjà activement des outils d’IA dans leurs programmes de sécurité », explique Marks. « Pour ceux qui les utilisent aujourd’hui, la majorité constate déjà des gains de productivité mesurables. Cela nous indique que l’IA devient rapidement une pratique faisant partie de la façon dont le travail de sécurité est effectué, et non un concept futur. »
L’étude montre que les professionnels de la cybersécurité considèrent la technologie de l’IA comme un accélérateur de carrière. L’étude a révélé que 73 % pensent que l’IA créera des compétences plus spécialisées en matière de cybersécurité, 72 % affirment qu’elle nécessitera un état d’esprit plus stratégique en matière de cybersécurité, et 66 % estiment qu’elle nécessitera des compétences plus larges au sein de la main-d’œuvre.
L’IA reste l’une des principales compétences nécessaires pour la deuxième année consécutive, avec 41 % des personnes interrogées dans l’étude de 2025 la citant comme une compétence critique, suivie par la sécurité du cloud à 36 %. Selon le rapport, 48 % des personnes interrogées s’efforcent déjà d’acquérir des connaissances et des compétences généralisées en IA, tandis que « 35 % se forment sur les solutions d’IA à risque afin de mieux comprendre les vulnérabilités et les exploits ».
« L’utilisation d’outils d’IA et la perception selon laquelle l’IA va booster leur carrière dans le secteur de la cybersécurité incitent les professionnels à prendre des mesures proactives pour développer et élargir leur base de connaissances et de compétences afin de pérenniser leur carrière », explique Marks. « Ils y voient un moteur de compétences nouvelles et plus spécialisées, de responsabilités plus stratégiques et de parcours de carrière plus larges. »
Satisfaction élevée au travail en matière de cybersécurité
L’étude révèle que 87 % pensent qu’il y aura toujours un besoin de professionnels de la cybersécurité, 81 % sont convaincus que la profession restera forte et 68 % sont satisfaits de leur emploi actuel (en hausse de deux points de pourcentage par rapport à 2024). 80 % déclarent se sentir passionnés par leur travail.
« Bien que la satisfaction à l’égard des organisations et du leadership varie, la confiance dans la profession elle-même reste élevée, et ce sentiment d’utilité est une puissante force stabilisatrice. La cybersécurité est un domaine axé sur la mission, et 80 % des personnes interrogées déclarent se sentir passionnées par leur travail, tandis que 71 % sont satisfaites de leur expérience quotidienne. Une grande majorité pense que la profession restera essentielle à long terme et continuera à se sentir passionnée par son rôle », déclare Marks.
Près de la moitié (48 %) des personnes interrogées se sentent épuisées à force d’essayer de se tenir au courant des dernières menaces de cybersécurité et des technologies émergentes, et 47 % se sentent dépassées par la charge de travail, selon l’étude. Les résultats de l’ISC2 suggèrent qu’un investissement soutenu dans le développement des compétences, notamment liées à l’IA, des attentes réalistes en matière de charge de travail et un soutien à l’apprentissage continu pendant les heures de travail sont essentiels.
L’étude a également révélé que le développement de carrière est important pour les professionnels de la cybersécurité. Près d’un tiers (31 %) des personnes interrogées ont déclaré qu’elles considéraient les opportunités d’avancement comme essentielles, et 23 % ont cité les récompenses financières ou les avantages sociaux imprévus comme facteurs clés. Selon l’étude 2025, 75 % sont susceptibles de rester dans leur organisation actuelle pour l’année prochaine, mais ce chiffre tombe à 66 % si l’on considère les deux prochaines années. Les résultats de l’étude prouvent que les organisations doivent repenser leur approche du développement de la main-d’œuvre en cybersécurité, selon Marks d’ISC2.
« Les données montrent une énorme énergie au niveau individuel autour de l’amélioration des compétences en IA. Près de la moitié des personnes interrogées développent déjà des compétences en IA par elles-mêmes, et nombre d’entre elles envisagent de poursuivre des qualifications axées sur l’IA », explique Marks. « Les organisations investissent dans le développement par le biais de budgets de formation, de formation interne et de formations croisées, mais l’ampleur de la demande en compétences en IA est importante. Nos recherches montrent un investissement massif des individus et des organisations dans le perfectionnement des compétences en IA, avec une demande qui continue de croître. »
