Pour Guillaume Collard, cofondateur de la CSB.school et président de BPR Security, la reconnaissance officielle de la profession s’impose, alors qu’elle échappe à tout encadrement. “Il est temps de reconnaître officiellement la cybersécurité comme un métier d’intérêt public majeur“, explique-t-il à nos lecteurs.
Face à la prolifération des cybermenaces, la France persiste paradoxalement à tolérer l’improvisation dans un domaine critique. Il devient urgent d’établir un cadre réglementaire pour assurer l’expertise et protéger les entreprises. Alors que les cyberattaques se multiplient et que les systèmes critiques deviennent des cibles de choix, n’importe qui peut aujourd’hui se proclamer “expert en cybersécurité” sans la moindre vérification de ses compétences. Contrairement à des métiers bien moins sensibles, la profession échappe à tout encadrement. Cette faille réglementaire n’est plus tenable. Pour garantir la sécurité numérique des organisations, la reconnaissance officielle de la profession s’impose.
En 2025, en France, il est en effet toujours possible de se proclamer « expert en cybersécurité » sans diplôme, sans certification, sans expérience vérifiable. Une anomalie criante à l’heure où les attaques se multiplient, où les systèmes critiques sont visés, et où la cybersécurité conditionne à la fois la continuité économique et la souveraineté nationale.
Cette absence de régulation laisse la porte ouverte à des acteurs incompétents, parfois mal intentionnés, qui profitent d’un marché en tension pour proposer leurs services sans aucune garantie réelle. Pendant ce temps, des professions beaucoup moins stratégiques – agents immobiliers, coachs sportifs, jardiniers-paysagistes – sont strictement encadrées par des obligations de qualification, de déclaration ou d’agrément. Cherchez l’erreur.
Une fonction critique, sans exigences minimales
Il est aujourd’hui parfaitement légal de facturer des prestations de cybersécurité sans aucune formation, sans passer par un audit, sans être inscrit à un registre professionnel, sans assurance adaptée. Une liberté totale, à l’opposé de la réalité des enjeux.
Car les conséquences d’une faille, d’une mauvaise configuration ou d’un plan de réponse inexistant peuvent être dramatiques : arrêt de production, perte de données sensibles, atteinte à la réputation, voire mise en péril d’une infrastructure vitale. Pourtant, aucune exigence réglementaire ne vient garantir un niveau minimal de compétence et d’éthique de ceux qui se présentent comme « experts. »
Ce vide juridique crée une situation paradoxale où les entreprises les plus exposées sont souvent les moins outillées pour évaluer la qualité de leurs prestataires. Et faute de critères officiels, le marché se régule à coups de jargon, de certifications disparates et de réputation parfois usurpée.
Des précédents nombreux, un cadre existant
La France ne part pourtant pas de zéro. Plus de 250 professions sont aujourd’hui réglementées, souvent pour des raisons de protection du consommateur, de sécurité ou de confiance. Les professions libérales techniques — comme les experts-comptables, les architectes ou les experts agricoles — sont soumises à des obligations strictes : diplôme, expérience, déontologie, contrôle périodique.
Pourquoi la cybersécurité, qui touche à des enjeux critiques, n’a-t-elle toujours aucun statut avéré ? Le législateur reconnaît depuis longtemps que certaines activités exigent un haut niveau de qualification et d’intégrité. Il est donc tout à fait envisageable de créer un titre protégé d’“expert en cybersécurité », conditionné à des critères objectifs et encadré par une instance professionnelle.
Une telle mesure permettrait de clarifier le marché, de renforcer la confiance, et surtout de protéger les entreprises contre des prestataires incompétents ou opportunistes, dont les interventions peuvent parfois aggraver les risques plutôt que les contenir.
Pour une reconnaissance pleine et entière
Cette profession mérite d’être structurée à la hauteur de ses responsabilités. Et cela implique :
- une certification reconnue par l’État ou par un organisme indépendant ;
- une expérience professionnelle vérifiable dans le domaine ;
- l’adhésion à un code de déontologie engageant la responsabilité du praticien ;
- et idéalement, une instance de régulation ou un ordre professionnel, chargé de délivrer les agréments et de veiller au respect des règles.
On ne peut plus se satisfaire de dispositifs purement déclaratifs ou de labels à géométrie variable. La confiance dans la filière ne peut reposer sur l’auto-promotion.
En conclusion : sortir de l’angle mort réglementaire
Le numérique est devenu un champ de bataille. Et dans ce contexte, continuer à laisser n’importe qui se revendiquer expert en cybersécurité est irresponsable. La France dispose des outils juridiques pour faire évoluer cette situation. Ce n’est plus une question d’opportunité, c’est une urgence stratégique.
Il est temps de reconnaître officiellement la cybersécurité comme un métier d’intérêt public majeur, et de garantir que ceux qui le pratiquent en portent réellement les compétences et les responsabilités.
