Métier d'évaluateur de la sécurité des technologies de l'information
L'évaluateur de la sécurité des technologies de l'information est un expert en cybersécurité chargé de vérifier la conformité et la robustesse des produits et systèmes informatiques face aux menaces. Rattaché à un laboratoire agréé (CESTI), il intervient comme tierce partie indépendante pour garantir que les solutions déployées par les organisations atteignent le niveau de sécurité requis.
Qu'est-ce qu'un évaluateur de la sécurité des technologies de l'information ?
L'évaluateur de la sécurité des technologies de l'information intervient au sein de Centres d'Évaluation de la Sécurité des Technologies de l'Information (CESTI), des laboratoires agréés par l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Sa mission principale consiste à vérifier la conformité d'un produit — matériel ou logiciel — par rapport à sa spécification de sécurité, selon des méthodes et des critères normalisés, réglementaires ou privés.
Contrairement à un expert en cybersécurité dont le périmètre d'action est plus large (conseil, stratégie, réponse aux incidents), l'évaluateur se concentre sur l'analyse normative et technique d'un produit ou système donné. Son rôle est de certifier — ou non — que ce produit résiste aux attaques conformément aux exigences définies dans la cible de sécurité.
Il agit en totale indépendance vis-à-vis des développeurs du produit et des commanditaires de l'évaluation. Cette impartialité est une condition fondamentale de l'agrément CESTI délivré par l'ANSSI.
L'évaluateur peut être spécialisé sur l'évaluation de produits matériels (composants électroniques, microélectroniques, boîtiers sécurisés) ou de produits logiciels (logiciels embarqués, équipements réseaux, applications).
Missions de l'évaluateur de la sécurité des technologies de l'information
Les missions de l'évaluateur se répartissent en deux grands volets :
Réalisation d'évaluations de sécurité :
- Respecter une procédure et une méthodologie d'évaluation selon des critères préalablement définis (Critères Communs — CC, Certification de Sécurité de Premier Niveau — CSPN, ITSEC…)
- Vérifier que la documentation fournie par le développeur du produit est conforme aux exigences du schéma de certification
- Réaliser des tests techniques afin de vérifier que les fonctions de sécurité atteignent le niveau requis de robustesse
- Évaluer la robustesse des mécanismes cryptologiques intégrés au produit
- Conduire des tests d'intrusion pour identifier les vulnérabilités exploitables
- Rédiger le rapport d'évaluation à destination de l'autorité de certification (ANSSI)
- Participer à l'amélioration continue des moyens et des méthodes d'évaluation
Assistance à un commanditaire pour la préparation d'une évaluation :
- Assister à la rédaction de la cible de sécurité et des fournitures nécessaires à l'évaluation
- Conduire des tests de sécurité en amont (pré-audits)
- Accompagner le commanditaire dans la compréhension du processus de certification
Où exerce l'évaluateur de la sécurité des technologies de l'information ?
L'évaluateur exerce exclusivement au sein de CESTI agréés par l'ANSSI. Ces laboratoires sont des structures indépendantes, soumises à des audits réguliers du COFRAC et de l'ANSSI, et doivent respecter les exigences de la norme ISO/IEC 17025.
Parmi les principaux CESTI agréés en France, on retrouve :
- Logiciels et équipements réseaux (CC/ITSEC) : Amossys, Oppida
- Composants électroniques et logiciels embarqués (CC/ITSEC) : CEA-Leti, Serma Safety & Security, Thales (TCS-CNES)
- Équipements matériels avec boîtiers sécurisés (CC) : Thales, Amossys + Serma, CEA-Leti, Oppida + Serma
- Certification de Sécurité de Premier Niveau (CSPN) : ACCEIS, Amossys, CEA-Leti, EDSI, Lexfo, Oppida, Quarkslab, Serma Safety & Security, Synacktiv, Thales (TCS-CNES), Trusted Labs
Tendance de la profession
Le métier d'évaluateur de la sécurité des technologies de l'information est en pleine expansion, porté par plusieurs tendances de fond. L'entrée en vigueur de réglementations européennes comme le Cyber Resilience Act (CRA), la directive NIS2 et le règlement DORA impose des exigences de certification de plus en plus strictes pour les produits connectés et les systèmes critiques.
La prolifération de l'Internet des objets (IoT), du cloud souverain et des systèmes industriels connectés génère un besoin croissant d'évaluations de sécurité normalisées. Selon le 2ème baromètre national de la maturité cyber des TPE-PME (Cybermalveillance.gouv.fr, octobre 2025), 44 % des entreprises françaises estiment être fortement exposées aux cybermenaces (+6 points par rapport à 2024), confirmant l'urgence de certifier la fiabilité des solutions de sécurité déployées.
Ce métier fait partie des métiers de la cybersécurité qui recrutent activement, avec une demande soutenue de la part des CESTI agréés.
Pourquoi se reconvertir dans l'évaluation de la sécurité des technologies de l'information ?
Le métier d'évaluateur de la sécurité des TI attire des profils en quête d'un poste technique, rigoureux et à forte valeur ajoutée dans le domaine de la cybersécurité.
Le premier atout est la stabilité de l'emploi. Les CESTI agréés recrutent en continu pour répondre à une demande d'évaluations croissante, portée par les nouvelles réglementations européennes et la multiplication des produits nécessitant une certification de sécurité. L'ANSSI estime que la France manque de plusieurs milliers de professionnels en cybersécurité, et les profils spécialisés en évaluation et certification sont particulièrement recherchés.
La rémunération est attractive et évolue significativement avec l'expérience et la spécialisation. Les évaluateurs travaillant sur des domaines de niche comme la cryptologie ou les composants matériels sécurisés accèdent à des niveaux de salaire parmi les plus élevés du secteur.
Le métier séduit aussi par sa dimension intellectuelle. Chaque évaluation constitue un défi technique unique : analyser un produit en profondeur, en identifier les failles, en tester la résistance selon des méthodologies rigoureuses. C'est un travail qui convient aux esprits analytiques qui apprécient la rigueur normative autant que l'expertise technique.
Enfin, l'évaluateur joue un rôle stratégique dans la chaîne de confiance numérique. En certifiant les produits de sécurité, il contribue directement à la protection des infrastructures critiques, des données sensibles et de la souveraineté numérique française et européenne.
Formations pour devenir évaluateur de la sécurité des technologies de l'information
Pour accéder à ce métier, un diplôme en informatique de niveau bac+3 à doctorat, avec une spécialisation en cybersécurité, est requis. Le métier est accessible à partir d'une expérience professionnelle en audit de sécurité. Pour certains types d'évaluations, notamment en cryptologie, des profils doctorants spécialisés peuvent être nécessaires.
Formation initiale
Niveau BAC +3
- BUT Informatique, parcours Déploiement d'applications communicantes et sécurisées
- BUT Réseaux et Télécommunications, parcours Cybersécurité
- Licence professionnelle Métiers de l'informatique : administration et sécurité des systèmes et des réseaux
- Bachelor Cybersécurité (Guardia, CSB School, Oteria…), dont certains labellisés SecNumEdu par l'ANSSI
Niveau BAC +5
- Master Cybersécurité ou Sécurité des systèmes d'information
- Diplôme d'ingénieur avec spécialisation en sécurité informatique (ESIEA, INSA CVL, Télécom Paris…)
- Mastère spécialisé Cybersécurité et cyberdéfense
- MSc Cybersécurité avec parcours évaluation/audit de sécurité
Niveau Doctorat
Doctorat en cryptologie, sécurité des systèmes embarqués ou sécurité matérielle — indispensable pour les évaluations de composants électroniques et les analyses cryptographiques avancées
Formation continue
Certaines formations sont accessibles aux candidats en reconversion ou en évolution professionnelle, notamment :
- Formations certifiantes en audit et évaluation de sécurité (Critères Communs, CSPN)
- Formations spécialisées en sécurité des systèmes embarqués et hardware
- Titres professionnels RNCP en administration d'infrastructures sécurisées ou en cybersécurité
- Formations labellisées SecNumEdu par l'ANSSI
Certifications professionnelles valorisées :
- Critères Communs (CC) : certification de référence pour l'évaluation de produits — maîtrise indispensable pour exercer
- CompTIA Security+ : certification de base en sécurité informatique, point d'entrée reconnu
- OSCP (Offensive Security Certified Professional) : certifie les compétences en tests d'intrusion
- CEH (Certified Ethical Hacker) : certification en hacking éthique, utile pour les tests de robustesse
- CISSP (Certified Information Systems Security Professional) : référence mondiale pour les profils seniors
- ISO 27001 Lead Auditor : maîtrise du système de management de la sécurité de l'information
Ces formations pourraient vous intéresser
Qualités requises pour devenir évaluateur de la sécurité des technologies de l'information
Compétences techniques
- Maîtrise des processus d'évaluation sécuritaires : Critères Communs (CC), CSPN, ITSEC
- Connaissance approfondie de la sécurité de l'électronique et des architectures matérielles
- Maîtrise des techniques d'audit et de tests d'intrusion (pentest)
- Connaissance des techniques d'attaque, d'intrusion et des vulnérabilités des environnements informatiques
- Compétences en rétro-ingénierie de systèmes (reverse engineering)
- Connaissance en développement : codes embarqués, langages de conception (C, C++, assembleur), scripting (Python, Bash)
- Maîtrise des mécanismes cryptologiques et des protocoles de sécurité
- Connaissance des normes et réglementations : ISO/IEC 15408 (Critères Communs), ISO/IEC 17025, ISO 27001, RGPD, NIS2, Cyber Resilience Act
- Maîtrise des outils d'analyse statique et dynamique de code, de fuzzing et de reverse engineering (IDA Pro, Ghidra, Burp Suite…)
Qualités personnelles
- Rigueur et précision extrêmes dans l'application des méthodologies d'évaluation
- Excellentes qualités rédactionnelles pour la rédaction de rapports adaptés à différents niveaux d'interlocuteurs (technique, direction, autorité de certification)
- Capacité à travailler en équipe au sein du CESTI et avec les commanditaires
- Impartialité et éthique professionnelle irréprochable
- Autonomie et force de proposition dans l'analyse des vulnérabilités
- Curiosité intellectuelle et goût pour la veille technologique permanente
- Réactivité et capacité d'adaptation face à l'évolution rapide des technologies et des menaces
- Pédagogie pour accompagner les commanditaires dans la compréhension du processus de certification
.png)
Évolutions possibles de l'évaluateur de la sécurité des technologies de l'information
Avec l'expérience, un évaluateur de la sécurité des TI peut évoluer vers plusieurs postes à responsabilité :
- Responsable d'un CESTI : pilotage de l'équipe d'évaluateurs et gestion des relations avec l'ANSSI et les commanditaires
- Expert en cybersécurité : élargissement du périmètre vers le conseil stratégique, l'architecture sécurisée et la réponse aux incidents
- Auditeur de sécurité senior : conduite d'audits organisationnels et techniques à grande échelle
- Analyste SOC : supervision de la détection et de la réponse aux incidents de sécurité au sein d'un Security Operations Center
- Consultant en cybersécurité : missions de conseil et d'accompagnement à la certification pour différents clients
- Chercheur en sécurité : travail de recherche en cryptologie, sécurité matérielle ou sécurité des systèmes embarqués, en laboratoire ou en milieu académique
- RSSI (Responsable de la Sécurité des Systèmes d'Information) : pilotage de la stratégie globale de cybersécurité d'une organisation
L'émergence de nouvelles réglementations (Cyber Resilience Act, certification des produits IoT) et la demande croissante en évaluation de produits connectés ouvrent des perspectives d'évolution significatives.
Salaire d'un évaluateur de la sécurité des technologies de l'information
La rémunération d'un évaluateur de la sécurité des technologies de l'information varie en fonction de son expérience, de sa spécialisation et du CESTI au sein duquel il exerce.
| Niveau d'expérience | Salaire brut annuel |
|---|---|
| Débutant (0-2 ans) | 32 000 € – 40 000 € |
| Confirmé (3-5 ans) | 40 000 € – 55 000 € |
| Senior / Expert (5+ ans) | 55 000 € – 75 000 € et plus |
Le salaire médian pour ce métier en France est d'environ 39 000 à 43 000 € brut par an selon les sources (source salaires : Guardia School — enquête interne + cabinets Michael Page et Hays ; StedY — 43 K€ médian). Les profils les plus expérimentés et spécialisés (cryptologie, sécurité matérielle) peuvent atteindre des rémunérations nettement supérieures.
Plusieurs facteurs influencent la rémunération :
- Spécialisation : les évaluateurs spécialisés en cryptologie ou en sécurité des composants matériels sont les mieux rémunérés, en raison de la rareté des profils et du niveau d'expertise requis (souvent doctorat)
- Localisation : les salaires en Île-de-France sont en moyenne 15 à 20 % supérieurs à ceux pratiqués en province
- Certifications : la détention de certifications reconnues (Critères Communs, OSCP, CISSP) permet de négocier un salaire significativement supérieur
- CESTI employeur : les laboratoires rattachés à de grands groupes (Thales, CEA) proposent généralement des packages de rémunération plus élevés que les structures indépendantes
Le freelance reste rare dans ce métier, car l'évaluateur doit être rattaché à un CESTI agréé par l'ANSSI pour exercer.