Les experts en cybersécurité : pourquoi les talents allemands en cybersécurité sont un succès à
8 min. Temps de lecture
Allemagne a un problème de cybersécurité. 149 000 postes informatiques sont vacants, et il faut en moyenne 7,7 mois pour pourvoir une position. Parallèlement, le pays produit certains des meilleurs chercheurs en sécurité informatique au monde. Selon CSRankings, le CISPA à Sarrebruck est le numéro un mondial en matière de sécurité informatique. Cela n’est pas un paradoxe – c’est la plus grande opportunité perdue d’Allemagne. Et c’est la clé d’un nouveau départ.
Les points clés en bref
- Manque global : 4,76 millions de spécialistes de la cybersécurité manquent dans le monde, avec une tendance à augmenter de 19 % par rapport à l’année précédente (ISC2 2024)
- Écart dans l’UE : près de 300 000 professionnels de la cybersécurité manquent dans l’UE, avec seulement 3 100 diplômés par an (ENISA)
- Allemagne : 439 243 spécialistes de la cybersécurité actifs, mais 149 000 postes informatiques vacants au total (ISC2/Bitkom)
- La fine pointe mondiale : le CISPA à Sarrebruck est le numéro un mondial en sécurité informatique, tandis que l’HGI Bochum est le plus grand institut européen de sécurité informatique
- Écart salarial : les postes de sécurité senior sont rémunérés 30 à 50 % de plus aux États-Unis qu’en Allemagne
Le paradoxe : recherche de classe mondiale, mais manque record
149 000 postes informatiques sont vacants en Allemagne – un record historique, selon Bitkom. Il y a cinq ans, ils étaient encore 82 000. Seulement 2 % des entreprises considèrent que l’offre de main-d’œuvre est suffisante – l’année dernière, ce chiffre s’élevait toutefois à 8 %. La prévision pour 2040 : 663 000 spécialistes de l’informatique manquants, si aucune mesure corrective n’intervient. Et 77 % des entreprises s’attendent à une aggravation de la situation.
C’est une face de l’histoire. L’autre face : l’Allemagne forme certains des meilleurs experts en cybersécurité au monde. Le CISPA Helmholtz Center à Sarrebruck occupe la première place mondiale en matière de sécurité informatique et de cryptographie – mesurée en fonction des publications réalisées lors des quatre conférences leaders (IEEE S&P, ACM CCS, USENIX Security, NDSS) sur une période de dix ans. Ce ne sont pas des classements ordinaires. Ce sont les conférences peer-reviewed les plus exigeantes du secteur. En 2025, le CISPA a obtenu la note « Outstanding » dans toutes les catégories lors de l’évaluation internationale menée par le Helmholtz.
Comment cela s’harmonise-t-il ? La réponse est dérangeante : l’Allemagne produit des talents de rang mondial, mais les perd-ils devant des employeurs internationaux, devant d’autres secteurs, ou devant la bureaucratie de son propre système éducatif. La recherche est excellente. Mais le transfert vers l’économie, non. Et c’est précisément ici que réside la plus grande opportunité d’un nouveau départ : lorsque l’Allemagne résout le manque de transfert, la cybersécurité passera d’un facteur de coût à un atout exportateur.
Sources : ISC2 Cybersecurity Workforce Study 2024, Bitkom 2024, CSRankings
Les quatre piliers de la formation en sécurité en Allemagne
Ce qui distingue l’Allemagne des autres pays : il n’existe pas un ou deux bons programmes de sécurité, mais un véritable écosystème. Quatre sites forment l’épine dorsale de la recherche allemande en cybersécurité – et chacun possède son propre profil.
CISPA Helmholtz Center, Sarrebruck : numéro un mondial en sécurité informatique et cryptographie. Plus de 800 chercheurs travaillent sur des sujets allant de la cryptographie post-quantique à l’ingénierie de la vie privée. La coopération avec Stanford (CISPA-Stanford Center for Cybersecurity) témoigne de son rayonnement international. En tant que centre Helmholtz, le CISPA bénéficie d’un financement fédéral à long terme – un avantage structurel par rapport aux clusters de recherche basés sur des projets dans d’autres pays, qui doivent chaque trois à cinq ans se battre pour obtenir une nouvelle subvention.
Institut Horst Görtz (HGI), Université de la Ruhr à Bochum : le plus grand institut européen de sécurité informatique, comptant plus de 150 chercheurs et 36 professeurs. Depuis 2000, Bochum propose le premier programme universitaire allemand de diplôme en sécurité informatique – une prouesse pionnière à l’époque, aujourd’hui devenu un standard de qualité. Environ 900 étudiants, plus de 200 publications dans les conférences de pointe et 16 prix du meilleur article. Le cluster d’excellence CASA (« Securing the Digital Society ») est depuis 2019 le seul cluster d’excellence allemand dédié à la sécurité informatique. La proximité avec G DATA CyberDefense illustre la voie empruntée par Bochum : recherche et industrie réunies sur un même campus.
TU Darmstadt (CROSSING/CYSEC) : le projet de recherche spécial CROSSING, financé par la DFG, rassemble depuis 2014 plus de 65 chercheurs autour de solutions cryptographiques adaptées à l’ère post-quantique. Dix-sept groupes de recherche centraux issus de six départements sont regroupés sous l’égide de CYSEC. L’Université de Darmstadt combine cryptographie, ingénierie logicielle et ergonomie – une approche interdisciplinaire que peu d’autres sites au monde peuvent offrir. Ici, la question de savoir comment les utilisateurs peuvent effectivement exploiter des systèmes sécurisés n’est pas traitée comme un simple détail, mais comme un axe central de recherche.
KIT Karlsruhe (KASTEL) : ce centre d’excellence en technologies appliquées de la sécurité a été créé en 2011 comme l’un des trois centres nationaux de compétence en cybersécurité. Depuis 2021, KASTEL fait partie intégrante du programme de recherche Helmholtz « Engineering Digital Futures ». Son objectif principal est de transférer les résultats de la recherche fondamentale vers des applications industrielles – précisément la passerelle dont l’Allemagne a le plus besoin.
Fraunhofer : la passerelle entre recherche et industrie
Ce qui différencie le modèle allemand des autres, c’est la Fraunhofer-Gesellschaft en tant que structure institutionnalisée de transfert technologique. Aucun autre pays ne dispose d’une organisation comparable capable d’intégrer de manière systématique la recherche appliquée à l’économie. Fraunhofer AISEC emploie environ 230 experts en sécurité et gère dix laboratoires spécialisés en cybersécurité – pour l’automobile, le matériel, l’Industrie 4.0, l’IoT, les logiciels et le cloud. Il s’agit d’environnements d’essai où les entreprises peuvent tester leurs produits face à des scénarios d’attaque réels.
Le Laboratoire de formation en cybersécurité de Fraunhofer, soutenu par six millions d’euros annuels du BMBF, propose des formations continues sur une surface d’exercice de 90 mètres carrés, reproduisant des situations d’attaque et de défense authentiques. Pour les entreprises souhaitant former leurs collaborateurs sans les détacher de leur poste, c’est la solution la plus pragmatique du marché. Dans un contexte où, selon l’ENISA, 76 % du personnel en cybersécurité ne possède aucune certification formelle, ce type de formation n’est pas un simple luxe, mais une nécessité absolue.
L’Allemagne compte quatre des instituts de recherche en cybersécurité parmi les plus renommés au monde, la Fraunhofer-Gesellschaft comme pont de transfert et un cluster d’excellence. Ce qui manque, ce n’est pas la compétence – c’est la volonté politique de valoriser systématiquement cette force comme un atout stratégique et de l’exploiter économiquement.
Made in Germany : quand les entreprises de sécurité naissent à l’université
Les meilleures entreprises allemandes de cybersécurité puisent leurs racines dans cet écosystème de recherche précis. Trois exemples illustrent comment ce transfert peut fonctionner – et à quel point les modèles diffèrent.
secunet Security Networks, basée à Essen, est le partenaire en matière de sécurité informatique de la République fédérale d’Allemagne et la première entreprise allemande de cybersécurité à avoir franchi la barre des 400 millions d’euros. En 2024, le chiffre d’affaires s’élevait à 406,4 millions d’euros (soit une hausse de 4 %), tandis que l’activité internationale a progressé de 14 % pour atteindre 40,1 millions d’euros. Avec plus de 1 000 employés et onze années consécutives de croissance du chiffre d’affaires, secunet démontre que la cybersécurité « Made in Germany » constitue un modèle commercial évolutif – et non pas seulement un projet de recherche.
G DATA CyberDefense, originaire de Bochum – située juste à côté du HGI – a développé en 1987 le premier programme antivirus au monde pour l’Atari ST. Près de 40 ans plus tard, l’entreprise est active dans plus de 90 pays et arbore le label ECSO « Cybersecurity Made in Europe ». Les liens avec l’Université de la Ruhr à Bochum, partenaire de recherche, restent étroits jusqu’à ce jour. L’exemple de Bochum montre que la continuité et l’imbrication étroite entre le campus universitaire et l’entreprise créent un cercle vertueux auto-renforçant.
Cure53, basée à Berlin et fondée en 2007 par le chercheur en sécurité Mario Heiderich, représente un contre-modèle : 30 spécialistes titulaires de doctorats ou de masters, qui réalisent des audits approfondis du code source et des revues cryptographiques pour des clients internationaux tels que Proton, Coinbase, Mozilla, Threema et Bitwarden. Cure53 prouve que le savoir-faire allemand en sécurité n’a pas besoin de s’expatrier pour rester pertinent à l’international. Les clients viennent à Berlin parce que l’expertise y réside. Le modèle : petit, hautement spécialisé et mondialement connecté.
L’écart salarial : pourquoi les talents partent
Selon le Guide des salaires en cybersécurité Optima Europe 2026, un ingénieur senior en cybersécurité gagne entre 100 000 et 140 000 euros en Allemagne. Aux États-Unis, le salaire équivalent commence à 180 000 dollars. Un CISO (Chief Information Security Officer) dans une PME allemande perçoit entre 140 000 et 190 000 euros, et jusqu’à 260 000 euros dans les grandes entreprises. Sur le marché américain, les rémunérations atteignent 245 000 dollars et plus. L’écart varie entre 30 et 50 % selon les postes.
C’est la raison structurelle pour laquelle les talents allemands en cybersécurité sont très recherchés à l’international. Google, Microsoft et Amazon disposent de bureaux à Munich et Berlin qui recrutent activement au sein de l’écosystème allemand de sécurité. Il ne s’agit pas d’une fuite des cerveaux au sens classique – les personnes restent souvent physiquement en Allemagne. Mais elles travaillent pour des entreprises étrangères, et leur expertise alimente des produits américains plutôt que le développement d’un écosystème de sécurité allemand.
La conséquence pour la conformité NIS2 : selon l’ENISA, 89 % des organisations ont besoin de personnel supplémentaire pour répondre aux nouvelles exigences. Parallèlement, 76 % du personnel actuel en cybersécurité ne possède aucune certification formelle. L’offre de professionnels qualifiés diminue relativement à la demande, qui devrait augmenter massivement dans les deux prochaines années sous l’effet des directives NIS2, DORA et de l’AI Act.
Ce que l’Allemagne fait bien – et ce qui manque
Bien : La stratégie de cybersécurité 2021 (valable jusqu’en 2026) a posé des jalons importants. L’agence pour l’innovation en cybersécurité finance des projets de recherche ambitieux. L’Université des Forces armées de Munich forme des officiers et les administrations fédérales à la cybersécurité, créant ainsi un vivier de talents qui rejoint le secteur privé après leur service. La certification BSI est reconnue internationalement via SOGIS-MRA (Europe) et CCRA (mondial) : c’est la base pour l’exportation de produits allemands de sécurité informatique et un facteur de différenciation unique qu’aucun autre pays européen n’offre avec une telle ampleur.
Mal : Il n’existe pas de stratégie nationale coordonnée pour traduire l’excellence de la recherche en force économique. Israël y est parvenu avec l’Unité 8200 : d’anciens agents du renseignement fondent des startups de sécurité, l’État favorise activement et systématiquement ce transfert. L’Allemagne dispose de quatre instituts de recherche de premier plan, mais aucun mécanisme comparable pour inciter à la création d’entreprises. Le financement EXIST est trop lent, l’écosystème capital-risque pour les startups de sécurité est trop mince et les barrières réglementaires pour les spin-offs des centres Helmholtz sont trop élevées.
Les capacités de formation sont également loin d’être suffisantes : selon l’ENISA, l’ensemble de l’UE ne produit annuellement que 3.100 diplômés en cybersécurité – une augmentation de 25 % en deux ans, mais une impossibilité mathématique face à un déficit de 300.000 professionnels rien qu’en Europe. L’Allemagne devrait multiplier ses capacités de formation, et non se contenter d’une augmentation incrémentale.
L’opportunité à l’export : le sceau BSI comme passeport
Il existe un levier que l’Allemagne utilise encore peu : la certification BSI en tant que sceau de qualité international. La certification Common Criteria du BSI est reconnue dans plus de 30 pays. Les produits de sécurité allemands peuvent être exportés vers tout État membre du CCRA avec ce sceau, sans nécessiter de recertification locale. secunet l’utilise pour sa croissance internationale (plus 14 %, 40 millions d’euros de chiffre d’affaires international), mais la plupart des entreprises allemandes de sécurité gaspillent cet avantage car elles l’ignorent simplement ou craignent le processus de certification.
L’appareil de réponse aux incidents autour du BSI et du CERT-Bund constitue un autre bien d’exportation. La méthodologie allemande de réponse aux incidents – systématique, documentée, conforme à la réglementation – est internationalement prisée car elle répond aux exigences du RGPD, de la directive NIS2 et des réglementations sectorielles spécifiques. Aucun autre pays n’a généré une pression réglementaire comparable tout en développant la méthodologie pour y faire face. Ce n’est pas un hasard. C’est un avantage concurrentiel qui ne doit plus que commercialisé.
Ce qui doit se faire maintenant : trois leviers
Levier 1 : Soutien à la création d’entreprises issu de l’écosystème de recherche. Chaque projet CISPA, HGI et KASTEL présentant un potentiel commercial a besoin d’une voie rapide vers le spin-off. Non pas via des demandes EXIST avec 18 mois de préavis, mais par un Security-Accelerator dédié avec un soutien direct à la certification BSI. Israël a montré que l’État peut être non seulement un bailleur de fonds, mais aussi le premier client.
Levier 2 : Rémunération compétitive dans le secteur public. Le BSI, les Forces armées fédérales et les autorités des Länder concurrencent les mêmes talents que Google et Amazon. Tant que les grilles salariales publiques resteront inférieures de 40 à 60 % aux salaires du marché, l’État ne pourra pas assurer sa propre cybersécurité en termes de personnel. Des grilles spéciales pour les experts en sécurité sont plus que nécessaires – non comme une exception, mais comme une solution systématique.
Levier 3 : Multiplier la capacité de formation. 3.100 diplômés en cybersécurité par an dans toute l’UE ne sont pas viables face à 300.000 postes vacants. L’Allemagne a besoin de tripler les places d’études dans les centres d’excellence existants et de programmes parallèles de qualification continue via l’infrastructure Fraunhofer. Les six millions d’euros de financement du BMBF pour le Cybersecurity Training Lab constituent un début – mais représentent une fraction de ce qui serait nécessaire au regard du problème.
Foire aux questions
Combien d’experts en cybersécurité manquent-il en Allemagne ?
Selon ISC2, 439.243 professionnels de la cybersécurité travaillent en Allemagne. Bitkom évalue le nombre total de postes informatiques vacants à 149.000, avec une durée moyenne de recrutement de 7,7 mois. Dans toute l’UE, il manque près de 300.000 experts en cybersécurité selon ENISA.
Quelles universités allemandes sont leaders en cybersécurité ?
CISPA Sarrebruck (1er rang mondial selon CSRankings), HGI Bochum (le plus grand institut de sécurité informatique d’Europe avec plus de 150 chercheurs), TU Darmstadt (CROSSING/CYSEC, financé par la DFG) et KIT Karlsruhe (KASTEL, programme Helmholtz). S’y ajoutent les instituts Fraunhofer SIT et AISEC en tant que partenaires de recherche appliquée.
Pourquoi les talents allemands en sécurité partent-ils ?
L’écart salarial est de 30 à 50 % entre l’Allemagne et les États-Unis pour des postes seniors comparables. Les multinationales technologiques internationales ayant des sites à Munich et Berlin recrutent activement dans l’écosystème de recherche allemand. Les talents restent souvent physiquement en Allemagne, mais travaillent pour des employeurs étrangers.
Qu’est-ce que la certification BSI et pourquoi constitue-t-elle un avantage à l’export ?
La certification Common Criteria du BSI est reconnue dans plus de 30 pays via SOGIS-MRA et CCRA. Les produits de sécurité allemands peuvent ainsi être exportés internationalement sans recertification locale. secunet utilise cet avantage pour générer 40 millions d’euros de chiffre d’affaires international.
Combien de diplômés en cybersécurité produit l’Europe par an ?
Selon la base de données CyberHEAD d’ENISA, seulement environ 3.100 par an dans toute l’UE. Face à un déficit de 300.000 experts, cela est totalement insuffisant. Le nombre de diplômés a augmenté de 25 % ces deux dernières années, mais le déficit croît plus vite que la capacité de formation.
À lire également
- NIS2 comme avantage concurrentiel : pourquoi la réglementation en cybersécurité renforce le site économique
- Incident Response Made in Germany : comment le BSI et les entreprises collaborent
- Le CFO comme moteur de transformation : comment les directeurs financiers financent le reboot
Source image titre : Pexels / Tima Miroshnichenko (px:5380649)
