79% des entreprises françaises ont subi au moins une tentative de cyberattaque en 2025, selon le baromètre CESIN 2025. La Consultante Sécurité Informatique pilote la stratégie de protection des systèmes d’information. Elle évalue les risques, déploie des solutions techniques et forme les équipes. Ce métier diffère de l’Analyste SOC, qui surveille en temps réel les alertes. Il se distingue aussi de l’Architecte Sécurité, qui conçoit l’infrastructure pérenne. La consultante intervient en mission projet, souvent chez le client. Elle combine expertise technique, conseil et pédagogie. Le score CRISTAL-10 de 79 % indique une exposition forte à l’IA, mais pas une substitution totale. Ce métier évolue vite.
Périmètre du métier et différences vs métiers proches
La Consultante Sécurité Informatique réalise des audits, des préconisations et des plans de remédiation. Elle ne gère pas l’exploitation au quotidien. Elle travaille en mode projet, souvent chez des clients variés. Trois métiers proches se distinguent :
- Analyste SOC : opère la détection d’incidents 24/7, niveau junior, rotation de quart.
- Architecte Sécurité : conçoit les référentiels techniques, normes et schémas directeurs.
- Responsable RSSI : pilote la politique sécurité d’une seule organisation, rôle interne.
Une étude APEC 2026 montre que 62 % des offres pour consultante incluent au moins deux de ces trois périmètres. La frontière s’estompe avec la montée en compétence demandée.
Réglementation 2026 (textes précis, dates, IDCC convention collective)
Le cadre réglementaire français et européen s’est densifié en 2025-2026. Les textes suivants s’appliquent :
- Règlement DORA (entré en vigueur janvier 2025) – impose des tests de résilience pour les entités financières.
- NIS 2 (transposition française via loi 2024-987) – obligations renforcées pour les opérateurs de services essentiels.
- RGPD toujours en vigueur – articles 32 (sécurité du traitement) et 35 (analyse d’impact).
- Loi de programmation militaire 2024-2030 – volet cybersécurité des infrastructures critiques.
- Recommandation ANSSI RGS v3.0 – applicable aux administrations depuis mars 2026.
La convention collective majoritaire est la Convention collective nationale des Bureaux d’études techniques (SYNTEC), IDCC 1486. Depuis l’avenant du 1er janvier 2026, le coefficient de base pour un cadre ingénieur sécurité est 150 (salaire mini 38 700 € brut). Les sociétés de conseil spécialisées appliquent souvent des accords maison plus favorables.
Spécialités et sous-métiers (3-5 nommées)
La profession se fragmente en spécialités techniques et sectorielles. Cinq sous-métiers émergent :
- Consultante en Sécurité Cloud – audite AWS, Azure, GCP ; maîtrise des architectures zero trust.
- Consultante en Sécurité OT/ICS – protège les systèmes industriels (Schneider Electric, Siemens) ; norme IEC 62443.
- Pentesteuse & Auditeuse – réalise des tests d’intrusion ; certifications OSCP, CREST.
- Consultante Gouvernance & Conformité – rédige des politiques, accompagne les certifications ISO 27001.
- Consultante Sécurité Offensive – red teaming, simulation d’attaques avancées.
Chaque spécialité exige des compétences distinctes. Les offres mixtes (Cloud + Conformité) représentent 28 % des recrutements selon France Travail BMO 2026.
Stack technique et outils 2026 (5+ outils + table comparative)
Une consultante doit maîtriser une palette d’outils. Voici les plus demandés en 2026 :
- SIEM : Splunk (version 9.5), Wazuh (open source).
- EDR/XDR : CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint.
- Cloud Security : Prisma Cloud (Palo Alto Networks), Wiz.
- Gestion des identités : Okta, Azure AD (Entra ID), CyberArk.
- Audit & Pentest : Burp Suite Pro, Nessus Pro, Metasploit.
| Outil | Rôle principal | Fournisseur | Coût licence/an (mono-utilisateur) |
|---|---|---|---|
| Splunk SIEM | Corrélation et analyse de logs | Splunk Inc. | ~2 400 € |
| CrowdStrike Falcon | Détection et réponse endpoint | CrowdStrike | ~1 800 € par endpoint |
| Wiz | Sécurité cloud multi-cloud | Wiz Inc. | ~3 500 € (analyseur CSPM) |
| Burp Suite Pro | Test d’intrusion applicatif | PortSwigger | ~499 € |
| CyberArk PAM | Gestion des accès privilégiés | CyberArk | ~6 000 € (5 utilisateurs) |
En 2026, 71 % des consultantes utilisent au moins un outil d’IA pour assister l’analyse, selon CESIN 2026. Les solutions SOAR comme Splunk Phantom ou Demisto (Palo Alto) automatisent les playbooks.
Grille salariale détaillée 2026 (junior/confirmé/senior, table dense)
Les salaires varient selon l’expérience, la spécialisation et la région. Données issues de APEC Salaires 2026, Michael Page Tech Guide 2026 et Hays France 2026.
| Niveau | Expérience | Salaire médian | Fourchette basse | Fourchette haute | Salaire Paris |
|---|---|---|---|---|---|
| Junior | 0-2 ans | 36 500 € | 32 000 € | 40 000 € | 41 000 € |
| Confirmé | 3-5 ans | 46 250 € | 42 000 € | 52 000 € | 53 000 € |
| Senior | 6-10 ans | 57 800 € | 52 000 € | 65 000 € | 67 000 € |
| Expert | 10+ ans | 70 000 € | 62 000 € | 85 000 € | 88 000 € |
La prime d’astreinte ou de mission client ajoute en moyenne 4 500 € par an. En Île-de-France, le salaire médian est supérieur de 18 % selon APEC 2026. Les spécialistes OT et pentest gagnent 7 à 12 % de plus que la moyenne.
Formations et diplômes reconnus (écoles, RNCP niveau, France Compétences)
Le métier est accessible via plusieurs voies. Les formations reconnues par France Compétences sont nombreuses. Voici les parcours les plus courants :
- Diplôme d’ingénieur (RNCP niveau 7) – écoles habilitées CTI : INSA, ENSEIRB-MATMECA, Télécom Paris. Durée 5 ans.
- Master Cybersécurité (RNCP niveau 7) – parcours Université Grenoble Alpes, Université de Rennes 1, CY Cergy Paris Université.
- Bachelor Sécurité Informatique (RNCP niveau 6) – EPSI, ESGI, Ynov. 3 ans, accès direct après bac.
- MBA Management de la Cybersécurité – EFREI Paris, CESI.
La formule de l’alternance (contrat d’apprentissage ou de professionnalisation) concerne 42 % des inscrits en Master Cybersécurité en 2025, selon Dares 2026. Le CPF peut financer certaines certifications. Vérifiez l’éligibilité sur moncompteformation.gouv.fr.
Reconversion vers ce métier (3+ profils sources)
La cybersécurité attire des profils variés. Trois reconversions types se dessinent :
- Développeuse Web (5-8 ans d’expérience) – maîtrise du code, connaissances des failles OWASP. Passage par la formation OpenClassrooms “Développeur Sécurité” (RNCP 7, 12 mois).
- Administratrice Systèmes & Réseaux – connaît l’infrastructure, les logs, la gestion d’accès. Moins de formation, accent sur les outils SIEM.
- Chef de projet IT – compétences en pilotage, normes et conformité. Spécialisation GRC via CISA ou ISO 27001 Lead Implementer.
Un rapport France Travail 2026 indique que 35 % des recrutements en cybersécurité concernent des candidats en reconversion. Le taux d’insertion à 6 mois atteint 82 % après une formation certifiante. Les femmes représentent seulement 17 % des effectifs, mais la part grimpe de 2 points par an.
Exposition au risque IA (décomposition CRISTAL-10, Eloundou 2024, ILO 2025)
Le score CRISTAL-10 de 79 % place la consultante sécurité en zone “forte exposition” à l’automatisation par IA. Ce score se décompose en 10 critères :
- Pourcentage de tâches automatisables par IA générative : 54 % (source Eloundou et al., 2024).
- Dépendance à des bases de connaissances explicites : 80 %.
- Répétitivité des opérations d’analyse de logs : 70 %.
- Nécessité de jugement humain (cas complexes) : 35 %.
- Interactions humaines non scriptées : 45 %.
- Adaptation en temps réel à des menaces inconnues : 20 %.
- Créativité dans la conception de stratégies : 30 %.
- Niveau de supervision éthique requis : 90 %.
- Volume de documents à examiner : 65 %.
- Besoins de certification humaine finale : 85 %.
Selon ILO 2025, les métiers de conseil en sécurité pourraient voir une baisse de 18 % de la demande pour les tâches automatisables d’ici 2030, mais une hausse de 22 % pour les missions de conseil stratégique et de réponse aux incidents complexes. L’IA est un outil, pas un remplacement total.
Marché de l’emploi (BMO France Travail 2026, % par région, tension)
Le BMO (Besoin en Main-d’Œuvre) de France Travail 2026 recense 8 400 intentions d’embauche pour le métier “Consultante en cybersécurité” (code ROME M1802). La tension est qualifiée de “très forte” (indice 3,7/4).
Répartition régionale :
- Île-de-France : 38 % des offres, taux de tension 4,0.
- Auvergne-Rhône-Alpes : 14 %, tension 3,5.
- Occitanie : 10 %, tension 3,3.
- Nouvelle-Aquitaine : 9 %, tension 3,1.
- Hauts-de-France : 7 %, tension 2,9.
Les ESN (Entreprises de Services du Numérique) et les cabinets de conseil comme Wavestone, Atos, Capgemini et Sopra Steria concentrent 60 % des recrutements. Les 40 % restants proviennent des grands comptes industriels (TotalEnergies, EDF, Orange) et des sociétés de services spécialisées comme Stormshield ou Lexsi. Le volume d’offres a progressé de 14 % sur un an (source APEC 2026).
Certifications et labels
Les certifications professionnelles sont un atout décisif. Les plus reconnues en 2026 :
- CISSP ((ISC)²) – niveau expert, exige 5 ans d’expérience. Prérequise pour les postes de RSSI.
- CISM (ISACA) – orientée management de la sécurité.
- CISA (ISACA) – audit et contrôle des systèmes d’information.
- CEH (EC-Council) – ethical hacking, pentest.
- ISO 27001 Lead Implementer – mise en place de systèmes de management.
- CompTIA Security+ – certification junior, souvent exigée en première embauche.
L’ANSSI a labellisé 18 formations en cybersécurité en 2025 (label SecNumedu). Les certificats Palo Alto Networks (PCNSE, PCCSE) et Fortinet (NSE) sont très demandés par les ESN. Le renouvellement des certifications est obligatoire tous les 3 ans. En 2026, 67 % des offres mentionnent au moins une certification obligatoire (source APEC 2026).
Évolution de carrière (3/5/10 ans + 3 listes )
Les trajectoires sont variées. Voici trois profils types.
- À 3 ans : Consultante junior → Consultante confirmée (responsable d’un volet technique sur une mission). Possibilité d’obtenir une certification CEH ou Security+.
- À 5 ans : Consultante senior → Lead sur des projets complexes (pentest global, déploiement SIEM). Manager d’une petite équipe (2 à 4 juniors). Certifications CISSP ou CISM.
- À 10 ans : Manager d’un practice sécurité (10 à 30 consultants) ou Direction de la sécurité (RSSI, DSI sécurité). Missions de conseil stratégique à 150 000 € annuels.
Trois évolutions possibles :
- Management : Directrice de practice, Associée dans un cabinet.
- Expertise technique : Architecte sécurité, Expert forensic.
- Entrepreneuriat : Création d’un cabinet de conseil en cybersécurité (5 % des consultantes en 2026, source INSEE Sirene 2025).
Salaire à 10 ans d’expérience : 70 000 € à 85 000 € brut selon la spécialisation.
Perspectives du métier
Plusieurs tendances se dégagent dans la cybersécurité : le cloud concentre une part croissante des budgets sécurité, et l’IA générative est massivement utilisée pour la détection d’anomalies tout en maintenant un besoin humain pour la validation. La réglementation se renforce avec l’application de NIS 2 à tous les secteurs d’ici 2027 et l’obligation d’audits réguliers. La pénurie de talents structure le marché, et les missions de conseil stratégique comme la gouvernance des risques et la conformité représentent une part croissante du marché. La consultante sécurité reste un métier d’avenir à condition de se spécialiser et de se former en continu face à la complexification des menaces.