Faut-il faire une prépa pour devenir consultant en cybersécurité ?

En bref

• La prépa scientifique n’est pas un passage obligé pour devenir consultant cybersécurité.
• Elle reste une voie d’excellence pour viser les écoles d’ingénieur
• Cependant, le marché de l’emploi cyber recrute massivement sur d’autres profils :
  • BTS suivis d’une licence professionnelle
  • Un bachelor en alternance
  • BUT informatique parcours cybersécurité
  • Mastères privés spécialisés.

Pour qui veut entrer dans le métier sans s’engager sur une prépa, ces voies sont à la fois plus rapides, plus professionnalisantes et tout aussi reconnues à l’embauche.

 

Le critère décisif reste la qualité de l’établissement choisi, la place de l’alternance dans le cursus, et la complémentarité avec une ou deux certifications professionnelles ciblées sur la spécialisation visée.

 

La cybersécurité fait partie des métiers du numérique qui recrutent le plus vite, avec des salaires d’entrée parmi les plus élevés du secteur tech. Logique que beaucoup d’élèves de terminale ou de jeunes en réorientation envisagent ce métier.

 

Reste une question récurrente : faut-il passer par une classe préparatoire scientifique pour y arriver ?

 

Prepa.expert fait le point sur les voies d’accès, les profils qui réussissent et la place réelle de la prépa dans le paysage de la cybersécurité.

Rôle et mission : que fait un consultant en cybersécurité au quotidien ?

Avant de parler formation, il faut comprendre que « cybersécurité » couvre plusieurs métiers distincts.

 

Le consultant en cybersécurité accompagne les entreprises sur l’évaluation et la réduction de leurs risques cyber. Concrètement, il intervient sur quatre familles de missions.

 

L’audit de sécurité consiste à analyser l’infrastructure informatique d’un client pour identifier les vulnérabilités exploitables comme les failles applicatives, mauvaises configurations, mots de passe faibles, comptes orphelins.

 

👉 C’est un travail méthodique qui combine outils automatisés et analyse humaine.

 

Le pentest (test d’intrusion) pousse l’audit plus loin en simulant une attaque réelle pour mesurer ce qu’un attaquant pourrait réellement faire. Le pentester travaille avec un cahier des charges précis et restitue ses résultats sous forme de rapport actionnable.

 

La mise en conformité réglementaire (RGPD, NIS 2, DORA pour le secteur financier, ISO 27001) accompagne les entreprises sur leurs obligations légales et leurs certifications. C’est un volet où la dimension juridique pèse autant que la dimension technique.

 

 

La gestion de crise et la réponse à incident interviennent quand l’entreprise a subi une attaque. Le consultant aide à contenir l’incident, à investiguer, à restaurer les systèmes et à communiquer avec les autorités (CNIL, ANSSI selon les cas).

 

Selon les profils, un consultant cyber est plutôt orienté technique (pentester, expert SOC), plutôt orienté management (RSSI externalisé, chef de projet sécurité) ou hybride. Cette diversité explique pourquoi les voies d’accès au métier sont également diverses.

La prépa scientifique : indispensable ou facultative ?

La classe préparatoire scientifique reste une voie d’excellence pour viser les écoles d’ingénieur en deux ou trois ans. Mais elle n’est ni l’unique ni la plus efficiente pour devenir consultant en cybersécurité.

 

✅ Pour quels profils la prépa fait sens : les élèves de terminale avec un excellent dossier en mathématiques et physique, qui visent une école d’ingénieur généraliste (CentraleSupélec, Mines, INSA) ou spécialisée en informatique (ENSIIE, ENSIMAG, Télécom Paris). Ces écoles ouvrent ensuite vers des spécialisations cybersécurité en 2e ou 3e année du cycle ingénieur, avec un titre RNCP niveau 7 et une reconnaissance forte sur le marché.

 

❌ Pour quels profils la prépa est inutile : les profils qui visent directement un métier opérationnel de pentester, d’analyste SOC ou de consultant junior. Ces postes recrutent largement à bac+3 ou bac+5 hors prépa, sur des profils issus de BUT, de bachelors, de licences professionnelles ou de masters universitaires en informatique.

 

Le marché du travail confirme cette pluralité. La pénurie de profils en cybersécurité reste forte en France, et les entreprises ne peuvent pas se permettre de réserver leurs recrutements aux seuls ingénieurs sortis d’école. La DARES estime que les offres d’emploi dans le numérique au sens large ont progressé de manière soutenue ces 24 derniers mois, avec un déséquilibre durable entre offres et candidats sur les fonctions techniques sensibles.

 

👉 Autrement dit, la prépa scientifique est une voie d’excellence, mais clairement pas un passage obligé. C’est même rarement le chemin le plus court.

BTS, BUT, bachelor : les voies sans prépa qui marchent

Trois formats hors prépa structurent l’accès au métier de consultant cybersécurité.

Le BTS SIO

Le BTS SIO (Services Informatiques aux Organisations) option SISR (Solutions d’Infrastructure, Systèmes et Réseaux) est une porte d’entrée bac+2 qui forme aux fondamentaux des systèmes et de la sécurité réseau. Selon les données MESR-SIES, les effectifs en sections de techniciens supérieurs (STS) atteignaient 219 400 étudiants en 2024, dont 78 890 inscrits dans des BTS du secteur Services.

 

C’est un format court, accessible après le bac, qui débouche soit sur un emploi de technicien sécurité, soit sur une poursuite d’études (licence pro, bachelor, BUT en passerelle).

Le BUT Informatique

Le BUT informatique (Bachelor Universitaire de Technologie, ex-DUT) propose désormais une 3e année avec parcours « Cybersécurité » dans plusieurs IUT en France. Selon la Note Flash SIES n°35 publiée en 2024, la première promotion de diplômés BUT a atteint un taux d’emploi à 12 mois de 57,2 % pour la spécialité Informatique.

 

Le BUT donne une base technique solide et ouvre vers le bac+5 (école d’ingénieur en admission parallèle, master universitaire, mastère privé).

Le bachelor en cybersécurité

Le bachelor en école privée spécialisée cybersécurité forme en trois ans après le bac, avec une dimension professionnalisante forte. Les écoles sérieuses proposent l’alternance dès la 2e année, ce qui permet d’accumuler de l’expérience entreprise pendant le cursus. La reconnaissance officielle se vérifie sur le portail France Compétences, en cherchant les titres RNCP de niveau 6 dans le domaine sécurité informatique.

 

Au-delà de ces trois voies bac+3, le master universitaire en cybersécurité (deux ans après une licence) et le mastère privé spécialisé constituent les voies bac+5 hors prépa. Ces formations permettent d’accéder aux postes de consultant senior, RSSI ou architecte sécurité avec une vraie reconnaissance marché.

 

Pour les profils qui découvrent le numérique au sens large et veulent comprendre les passerelles entre les métiers cyber, IA, data ou SEO, l’école numérique The Bridge propose un catalogue de formations qui couvre l’écosystème des métiers digitaux et leurs interconnexions, notamment autour des bachelors et mastères orientés acquisition, IA appliquée et UX.

Quelle place pour l’autodidaxie et les certifications professionnelles ?

C’est une particularité forte du métier cybersécurité : l’autodidaxie joue un rôle réel, à condition d’être complétée par des certifications reconnues.

Les certifications professionnelles fonctionnent comme un langage commun entre recruteurs et candidats. Quelques-unes sont quasi incontournables :

 

• CompTIA Security+ : certification d’entrée de gamme, reconnue mondialement, accessible après quelques mois de pratique. Souvent demandée pour les premiers postes.
• CEH (Certified Ethical Hacker) d’EC-Council : certification orientée pentest, populaire en France malgré des critiques sur sa profondeur technique. Utile pour le premier poste.
• OSCP (Offensive Security Certified Professional) : certification très exigeante, basée sur un examen de 24 heures de pentest réel. Référence chez les pentesters seniors.
• CISSP (Certified Information Systems Security Professional) d’ISC2 : certification managériale, demandée pour les postes de RSSI, chef de projet sécurité ou consultant senior. Requiert 5 ans d’expérience pour passer l’examen.
• CISM (Certified Information Security Manager) d’ISACA : équivalent CISSP côté ISACA, plus orientée gouvernance et conformité.

 

L’autodidaxie pure (sans diplôme ni certification) peut fonctionner pour les profils qui prouvent leur niveau par un portfolio sérieux :

• participation régulière à des plateformes comme Hack The Box ou TryHackMe
• contributions open-source en sécurité
• bug bounty avec un classement honorable sur HackerOne ou YesWeHack

 

Mais ce chemin reste minoritaire et demande une discipline d’apprentissage rare.

 

Pour la majorité des recruteurs, la combinaison diplôme bac+3/+5 + certification professionnelle reste le profil le plus rassurant à l’embauche.

Combien gagne un consultant cybersécurité junior en France ?

Les salaires en cybersécurité sont supérieurs à la moyenne des métiers numériques, particulièrement en région parisienne où la demande est la plus forte.

 

Pour un junior à la sortie d’école (bac+5) en région parisienne, la fourchette se situe entre 38 000 et 48 000 € bruts annuels. À 3-5 ans d’expérience, la fourchette monte à 50 000-70 000 €, et un consultant senior dans un cabinet spécialisé dépasse souvent 80 000 euros.

 

Pour les profils techniques très demandés (pentest, threat intelligence, sécurité cloud), des packages dépassant 100 000 € sont possibles après 5 à 7 ans d’expérience.

 

En province, les fourchettes sont plus tassées (généralement -15 à -20 % par rapport à Paris), mais le coût de la vie compense en partie. Plusieurs grandes métropoles ont vu naître un écosystème cybersécurité dynamique ces 5 dernières années : Rennes, Lyon, Lille, Sophia Antipolis.

 

Le freelancing est aussi une voie courante en cybersécurité, avec des taux journaliers entre 600 et 1 200 € selon l’ancienneté et la spécialisation. Un pentester confirmé tourne autour de 800-1 000 €/jour, un consultant RGPD entre 600 et 900 €/jour.

FAQ – Devenir consultant en cybersécurité

Faut-il un bac S pour devenir consultant cybersécurité ?

Pas obligatoirement. Un bac général à dominante scientifique facilite l’accès aux prépas et aux écoles d’ingénieur, mais un bac STI2D ou même un bac pro SN (Systèmes Numériques) ouvre vers le BTS SIO, puis vers la licence professionnelle et au-delà. Le bon dossier scolaire compte plus que la série du bac.

Combien gagne un junior en cybersécurité en France ?

Un junior sortant d’école avec un bac+5 tourne entre 38 000 et 48 000 euros bruts annuels en région parisienne, et 32 000 à 40 000 en province. À 3 ans d’expérience, la fourchette monte rapidement à 45 000-60 000 euros. La cybersécurité est l’un des métiers numériques les mieux rémunérés, avec un écart positif persistant face aux fonctions développement classiques.

Les certifications (CISSP, CEH) remplacent-elles un diplôme ?

Non, mais elles le complètent. Une certification professionnelle apporte une reconnaissance sectorielle forte, mais les recruteurs cherchent généralement la combinaison diplôme + certification. Pour les profils en reconversion sans diplôme initial en informatique, plusieurs certifications cumulées et un portfolio sérieux peuvent compenser, à condition de prouver une vraie pratique terrain (Hack The Box, CTF, bug bounty).

Peut-on se reconvertir vers la cybersécurité à 35 ans ?

Oui, c’est même une voie de reconversion fréquente. Les profils issus de l’IT généraliste (administrateur système, développeur, chef de projet informatique) se reconvertissent vers la cybersécurité avec une formation complémentaire (mastère privé ou licence professionnelle en alternance) et une ou deux certifications. La maturité du profil et l’expérience IT antérieure sont des atouts forts pour le métier de consultant.

Y a-t-il vraiment une pénurie de talents en cybersécurité en France ?

Oui, et la tendance dure. Les données DARES et les études sectorielles (ANSSI, syntec numérique) convergent sur le constat d’un déséquilibre persistant entre offres d’emploi et candidats disponibles, particulièrement sur les profils techniques (pentesters, ingénieurs sécurité cloud, analystes SOC). Cette pénurie pousse les rémunérations vers le haut et facilite l’embauche des jeunes diplômés sérieux.