Cybersecurité et freelance : vos témoignages

Ca dépend, le domaine de la cybersécurité est très large.

SI on parle de la sécurité purement fonctionnelle type managment de la sécurité, normatif, analyse de risques, assistance à RSSI, etc... alors les TJM sont délirants même pour des juniors.

J'ai vu des juniors à 650-700€/J et des confirmés à plus de 800€/J sans même avoir de certif ISO, CISSP ou autre.


Par contre dans la sécurité plus infra / architecture (et non pas sécurité du genre gestion de firewall, IPS, WAF ou autre), on est plutôt dans les 600-750€/ en tarif freelance selon les compétences et certifications et probablement autour de 500€ pour un junior.

_lael a écrit : Ca dépend, le domaine de la cybersécurité est très large.

SI on parle de la sécurité purement fonctionnelle type managment de la sécurité, normatif, analyse de risques, assistance à RSSI, etc... alors les TJM sont délirants même pour des juniors.

J'ai vu des juniors à 650-700€/J et des confirmés à plus de 800€/J sans même avoir de certif ISO, CISSP ou autre.


Par contre dans la sécurité plus infra / architecture (et non pas sécurité du genre gestion de firewall, IPS, WAF ou autre), on est plutôt dans les 600-750€/ en tarif freelance selon les compétences et certifications et probablement autour de 500€ pour un junior.

Des tarifs comme ça on n'en trouve qu'à Paris. J'habite en province et très clairement les postes de junior en province,il n'y en a pas ou alors ça tourne à 300/350 et en sécurité,même pour les seniors c'est la misère.Il faut arrêter de vendre du rêve et d'essayer de faire croire à quelqu'un qui gagne 1800€ par mois qu'il va en gagner 12 000 en passant freelance...

Bonjour
vous pouvez peut-être commencé par "tâter" le marché en regardant les différentes missions proposées dans votre région ou tenter d'échanger avec des profils similaires au vôtre sur Linkedin..;
Mon expérience ne sera pas trés parlante ,tous mes anciens collègues qui bossent dans la cybersécurité était salariés. Les boites préféraient les avoir sur place (astreinte, etc.) et sur la durée. Mais je suis également en province (dans une ville de taille moyenne) donc ce n'est pas représentatif de la variété du marché dans ce secteur😉

Bonjour à tous,

_lael a écrit : Par contre dans la sécurité plus infra / architecture (et non pas sécurité du genre gestion de firewall, IPS, WAF ou autre), on est plutôt dans les 600-750€/ en tarif freelance selon les compétences et certifications et probablement autour de 500€ pour un junior.

Merci pour votre réponse, en effet je suis plutôt inspiré par cette branche architecture.

Steph12 a écrit : Des tarifs comme ça on n'en trouve qu'à Paris. J'habite en province et très clairement les postes de junior en province,il n'y en a pas ou alors ça tourne à 300/350 et en sécurité,même pour les seniors c'est la misère.Il faut arrêter de vendre du rêve et d'essayer de faire croire à quelqu'un qui gagne 1800€ par mois qu'il va en gagner 12 000 en passant freelance...

Merci de votre franchise que j'apprécie, ces tarifs que vous mentionnez sont-ils représentatifs d'une province de premier niveau type Lyon, Marseille, Toulouse, ... ?

@Laura.p63 : Merci :), le marché est assez mort autour de mort, étant dans une zone de province très peu active dans ce qu'on pouvait qualifier autrefois de "Diagonale du vide". Je cherche donc les autres possibilités comme Lyon ou Toulouse, sachant que j'aimerais ne pas passer par la case Paris.

Bonne journée

Oui j'aurais effectivement dû préciser que c'était pour Paris.
Mais j'ai presque jamais vu des annonces en province pour ce genre de postes ou alors à des tarifs tellement bas que j'ai pas regardé plus loin.
C'est pourtant pas faute d'avoir cherché sur Lyon ou Grenoble pourtant.

D'accord, je commence à me dire qu'une perspective en province est sans doute illusoire de mon côté

Winterness a écrit : D'accord, je commence à me dire qu'une perspective en province est sans doute illusoire de mon côté

si vous comptez vous lancez prochainement vous pourrez peut-être trouver plus facilement des offres en télétravail totale pour débuter, tant que les "aménagements sanitaires" sont encore en place

Je commence aussi à chercher un poste en cybersécurité "en région" comme on dit (bref, partir de l'IDF) mais en CDI, pour pouvoir acheter rapidement une fois sur place. Je vois beaucoup d'offres d'emplois dans des ESN (donc avec des clients dans le coin) sur les grandes villes (Toulouse, Bordeaux, Lyon, Rennes, Nantes) et même dans des petits bled perdus et je suis contacté régulièrement sur Linkedin par des boites qui ont un bureau dans ces villes là, mais reste la question du salaire et la effectivement ça semble un peu coincer. J'ai pas eu de proposition chiffré encore mais apparemment mon salaire d'ingé sécu parisien (4 ans d'experience) semble déjà trop élevés pour eux. Et vu que leur réponse est justifié (officiellement) par les TJM des clients ça me donne une idée de la difficulté pour les freelance. Enfin bon je continue de chercher j'aurai ptet une bonne surprise au final, j'ai tout de même croisé quelques fiches de postes avec salaires dit "attractif", je pense que les boites sont conscient que si ils veulent attirer du monde il faut aligner un minimum les salaires/TJM.

Bonjour à toutes et à tous,

Ce que j'écris ici est le fruit de mes quelques (nombreuses) années d'expériences dans l'activité de "cyber"-sécurité (industrielle et générale) et n'est qu'un avis personnel.

Le domaine de la (cyber)sécurité est une nébuleuse à part entière (couverture, périmètre, activités, profondeurs. On n'aperçoit généralement que le sommet de l'iceberg, rarement la partie immergée et quasiment jamais la partie abyssale, la plus intéressante généralement, les trèfonds de cette splendeur sont magnifiques).

J'ai commencé à étudier la sécurité, sur des terrains qui avaient déjà depuis lontemps perdus leurs "virginités", dans les années 80, avec divers moyens et souvent peu, et avec des angles et des vues différentes : à l'époque, plusieurs écosystèmes existaient déjà et avaient déjà prouvés que tout n'était pas si "rose" que cela : réseaux (civils et militaires), applications (lourdes, quelques légères, embarquées), systèmes d'exploitation (il y en avait plus que maintenant), les matériels (architectures RISC, CISC, Intel, Motorola ....), des AGL (Ateliers de Génie Logiciel, terme un peu pompeux mais grandiloquent pour un Quick C ou un ASM d'un Mainframe) pour développer du code ... et les virus, les vers, les "chevaux de Troie", les "virus-vers", les scripts "kiddies", les erreurs humaines aussi, les mots de passe, les applications "tordues" (au sens propre comme au figuré) .....

Déjà, à cette époque, les métiers de la sécurité n'étaient pas inconnus (merci les "amis" d'Outre-Atlantique, les mitlitaires, les Européens et les "patibulaires" de tous poils et les rassemblerments d'échanges où l'on pouvait cotoyer un "melting-pot" de professions aussi inattendues qu'étranges dans certains cas .... ) : docteurs, ingénieurs, techniciens, programmeurs, codeurs, architectes, RSI (S) de Sécurité, des chercheurs, des hackers (ils n'étaient pas toujours "éthiques") ... avec ou sans diplômes, mais avec des connaissances et des compétences très pointues et une culture "du comment ça marche" et "de quoi c'est fait", à toute épreuve.

En France, la "cyber"-sécurité reste, hélas, encore et encore la dernière "roue du carosse", même si l'on commence à s'agiter un peu avec ces histoires vraies d'attaques informatiques et de ransongiciels, avec la présence des fameux nuages (au Québec, on parlera d'"Informatique nuagique").

Avant de parler de "cyber"-sécurité, encore faudrait-il parler de "sécurité" ... Lisez, ATTENTIVEMENT, les différentess normes ISO/IEC qui régissent la "cyber"-sécurité (la suite des ISO/IEC 27xxx).

Désormais, pour réussir à "percer" dans la "cyber"-sécurité, il n'y a pas 36000 chemins (et ils ne mènent pas tous au rhum, avec modération, bien sûr 🙂):
- soit tu as un cursus universitaire (avec moult stages et bardé de diplômes),
- soit tu as un cursus école d'ingénieurs (avec moult stages et bardés de certifications, dans le cadre des études du cursus),
- soit tu as un cursus "terrain" avec ou sans diplomes officiels, avec ou sans certifications, hors grandes écoles, acquis "à la force du poignet, du courage, de la "niaque", d'investissement théoriques et pratiques, de volonté, d'expérimentations réelles,

La "cyber"-sécurité (pour beaucoup, "cyber" = "cloud") n'est qu'une surcouche de la sécurité. Pour preuve, lisez attentivement les normes ISO/IEC correspondantes et vous comprendrez aisément ce qu'il en ressort ... les domaines d'exercice sont très vastes : infrastructures, réseaux, technique, application, données, fonctions, métiers, règlementaire (RGPD, LAF, LCBFT, PLM, PLF, NIST, ISO/IEC, ...), projet, programme, l'industrie, le tertiaire, les services, l'armée ...

D'ailleurs, l'ANSSI a publié récemment un document sur les (nouveaux) métiers de la "cyber"-sécurité, cela donne un bon aperçu :
https://www.ssi.gouv.fr/uploads/2015/07/anssi-panorama_metiers_cybersecurite-2020.pdf

La "cyber"-sécurité informatique attire beaucoup de gens car on pense : argent "facile", bons postes, bonnes positions, gros "TJM", gros salaires ... mais ces mêmes personnes pratiquent aussi la "politique de l'autruche" quant aux responsabilités rattachées (hé oui : si tu "tires des plans sur la comète" et qu'un petit ransongiciel vient de chiffrer tout ton SI, prestataire ou pas, tes chances de rester sont calculées d'avance), les métiers de la "cyber-sécurité" sont contraignants, durs, à (très) fortes responsabilités .... tu peux même te trouver en "garde à vue" penant 96 heures, dans ton bureau pour un code "sécurisé" foireux qui a laissé passer des informations (et tu t'en n'es pas aperçu malgré la batterie de tests qu'ont déroulé les "sbires" de ton équipe de dévelopeurs offshore/internes) .. ou lors d'un conttrôle CNIL sur des données que tu étais censé protéger. ... Internes, externes, freelances ... mêmes combats, mêmes bateaux, mêmes sanctions, mêmes reconnaissances.
Les offres en "cyber"-sécurité : on en trouve en province (même dans les coins perdus 🙂) et ailleurs ... Il faut faire ses preuves car ce milieu est quand même très "sélectif". Ce n'est pas parce que tu as travaillé 2 ans dans un domaine, que tu es ingénieur ou technicien avec un BTS ou une licence, un titre "RNCP" avec ou sans certification, que l'on va te "faire confiance" sur ta "bonne mine" ou sur "ta jolie frimousse", à moins que tu sois "pistonné" ou recommandé. Dans ce domaine, il faut comprendre que l'ascenceur peut monter ou descendre très vite ...

- Commencer petitement ... pour atteindre son objectif ersonnel (à condition bien sûr de s'en être fixé, un ou plusieurs);
- Continuer sûrement et mûrement : validation des acquis par une certification type CISSP, CISA, ISO/IEC ou autres, après plusieurs expériences terrains reconnues (architecture, développement, gestion de crises, projets, programmes, formations en tant que formateur, pilotage, règlementaires, auto-formation, produits matériels ou des solutions logicielles et le plus important : VOUS

Car VOUS devrez convaincre celui qui vous embauchera ou qui vous placera sur cette mission, à ce poste précis, à ces périmètrex mouvants, à ses responsabilités visibles, invisibles ou encore inconnues.

Une dernière chose importante, VOUS devrez aussi être en veille permanente sur ces sujets, vous serez d'éternels étudiants, quelque soit votre âge et votre condition ... sinon, d'autres avec des grands dents "à rayer le parquet ou la glace" se feront un plaisir de vous réserver une place dans le prochain épisode de "l'Âge de Glace".

Bien à vous toutes et à tous,
En espère que cela aura apporté "un peu d'eau" à ce cher moulin de la "cyber"-sécurité.
Yanolezard