Aller au contenu principal
FORTEMENT EXPOSÉ · SCORE 79.0%TECH / DIGITAL

Cyber Risk Consultant

Verdict CRISTAL-10 v14.0 : Augment — l’IA assiste, le métier se transforme

Cyber Risk Consultant - métier face à l’IA en 2026
79.0% exposition IAScore CRISTAL-10 v14.0

Chiffres clés 2026

55 000 €Salaire médian / an
1Offres live FT
1 032Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Réaliser des prestations d’expertise et de conseil
  • Réaliser un audit
  • Réaliser une veille technique ou technologique pour anticiper les évolutions
  • Réaliser une veille de marché, une veille concurrentielle
  • Etablir un diagnostic stratégique

Reste humain

  • Conseiller des entreprises
  • Elaborer des recommandations stratégiques
  • Déplacements professionnels
  • Travail en journée
  • Clientèle d’affaires

Compétences clés

Méthodes d’analyse (systémique, fonctionnelle, de risques, ...)Modélisation informatiqueProcédures de testsRéseaux informatiques et télécomsSystèmes d’exploitation informatiqueNormes et standards d’exploitationProduits multimédiasDroit du numériqueApporter une assistance technique aux équipesRédiger un cahier des charges, des spécifications techniquesStructurer, synthétiser des informationsConcevoir et gérer un projetEvaluer le résultat de ses actionsNégocier avec les prestataires externesAnalyser les performances système régulièrementSuivre les évolutions réglementaires

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35350 — Qualité, Logistique Industrielle et Organisation : Management de la pr (Niveau 6)
  • RNCP35376 — Gestion des entreprises et des administrations : gestion et pilotage d (Niveau 6)
  • RNCP35378 — Gestion des entreprises et des administrations : contrôle de gestion e (Niveau 6)
  • RNCP35386 — Gestion administrative et commerciale des organisations : Management r (Niveau 6)

Reconversion & CPF

Grille salarialeFormations 2026ReconversionGuide IA

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)38 500 €44 275 €0.70 × médian
Médian (3-7 ans)55 000 €63 249 €DARES+INSEE
Senior (8+ ans)68 750 €74 250 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
1 032 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
Le cyber risk consultant utilise l’IA pour détecter les vulnérabilités et modéliser les scénarios d’attaque, mais l’évaluation du risque organisationnel, la persuasion des décideurs et la conception de stratégies de résilience relèvent de son jugement.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 79.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Cyber Risk Consultant en 2026 ?
Médian estimé : 55 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir cyber risk consultant ?
5 fiches RNCP disponibles (code ROME M1424). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Metiers proches face a l IA

Analyse approfondie

1. Périmètre du métier et différences vs métiers proches

En 2025, l’ANSSI a recensé 4 802 incidents cyber en France, dont 37% ciblaient des PME. Le Cyber Risk Consultant évalue, quantifie et priorise les risques numériques pour proposer des plans de remédiation. Contrairement à l’auditeur sécurité (focus conformité normative), il adopte une approche business et probabiliste. Le pentester cherche des vulnérabilités techniques ; le consultant risque travaille sur la criticité des actifs et la tolérance au risque de l’entreprise. Le RSSI internalise la stratégie ; le consultant externe apporte un regard transverse sectoriel. Le métier emprunte à l’assurance (analyse de sinistralité) et à la finance (ROSI, calcul de perte attendue). Le CESIN estime que 68% des directions générales imposent désormais un reporting risque trimestriel.

Les confusions fréquentes avec le Risk Manager IT (souvent plus technique) ou le GRC Consultant (gouvernance, risque, conformité) persistent. Le Cyber Risk Consultant intègre des données de menace en temps réel (CTI) dans ses modèles. Il maîtrise les matrices de risque quantitatives (FAIR, Monte-Carlo) plutôt que les seules grilles qualitatives (RACI, SWOT). Le Club des Experts de la Sécurité de l’Information (CESIN) distingue désormais trois strates : opérationnelle, tactique et stratégique. Le consultant en risque opère sur les deux dernières. Il dialogue avec le COMEX, pas seulement avec la DSI. La DARES prévoit 14 000 postes spécifiques en analyse de risque cyber d’ici 2030.

2. Réglementation 2026

La directive NIS 2 (transposée en France par la loi n°2024-129 du 22 février 2024, en vigueur au 18 octobre 2024, applicable pleinement en 2026) impose une cartographie des risques exhaustive pour les OSE et OEI. Le décret n°2025-437 du 15 mars 2025 précise les délais : revue annuelle obligatoire avec mention des scénarios de crise cyber. Le règlement DORA (Digital Operational Resilience Act, applicable depuis le 17 janvier 2025) concerne 22 000 entités financières en Europe. Il exige un test de résilience opérationnelle numérique tous les trois ans, supervisé par l’ACPR et l’AMF. La loi de programmation militaire 2024-2030 renforce les obligations des opérateurs d’importance vitale (OIV) avec des audits pentest biannuels.

La CNIL a publié sa recommandation 2025-018 sur le Privacy Risk Assessment (PIA augmenté). Le Règlement Général sur la Protection des Données (RGPD) reste en vigueur avec des amendes pouvant atteindre 4% du chiffre d’affaires mondial. La convention collective applicable est celle des Bureaux d’études techniques, cabinets d’ingénieurs-conseils et sociétés de conseils (SYNTEC, IDCC 1486). La grille de classification 2025 intègre désormais un coefficient 170 “Consultant expert en risques numériques” (niveau 3.3, position 3.3). Le Haut Comité Juridique de la Place Financière de Paris a émis un avis le 12 mars 2026 sur la responsabilité civile du consultant en risque cyber, renforçant son devoir de conseil.

3. Spécialités et sous-métiers

Le champ du conseil en risque cyber se fragmente. Cinq spécialités émergent nettement en 2026 :

  • Risk Management IT & Quantitatif : modélisation FAIR, analyse Monte-Carlo, calcul de Single Loss Expectancy (SLE) et Annualized Loss Expectancy (ALE). Outils : RiskLens, Safe Security.
  • Conformité & Réglementaire : accompagnement NIS 2, DORA, RGPD, certification SOC 2 Type II. Rédaction de rapports d’écart de conformité (gap analysis) pour les autorités de tutelle.
  • Analyse de Maturité Cyber : audits selon les référentiels NIST CSF 2.0 (intégrant gouvernance), CMMC (pour les sous-traitants Défense), et EBIOS RM (méthode ANSSI).
  • Assurance Cyber & Transfert de Risque : évaluation des souscriptions, revue des formulaires de déclaration de sinistre, conseil sur les clauses de couverture auprès des courtiers (Marsh, Aon, WTW).
  • GRC & Pilotage de la Conformité : déploiement de plateformes de gouvernance (ServiceNow GRC, RSA Archer), tableaux de bord de risque en temps réel pour le comité d’audit.

Le CNPP (Centre National de Prévention et de Protection) distingue un sixième profil : le consultant en résilience cyber, centré sur la continuité d’activité et les plans de reprise suite à incident. Chaque spécialité exige une maîtrise distincte des textes et des outils.

4. Stack technique et outils 2026

Le Cyber Risk Consultant n’est pas un technicien pur, mais il manipule des outils de modélisation, de gestion de risques et de reporting. La stack 2026 inclut des plateformes GRC, des moteurs d’analyse quantitative et des connecteurs API vers les SIEM et les solutions de Threat Intelligence.

Comparatif des outils principaux du Cyber Risk Consultant en 2026
Outil / ÉditeurFonction principaleType de licenceAdoption estimée France (2026)
ServiceNow GRC (ServiceNow)Gouvernance risque & conformité, workflows automatisésPropriétaire SaaS23% des ETI
RSA Archer (Dell/OpenText)GRC enterprise, mapping réglementaire multi-textesPropriétaire on-prem/cloud18% des grands comptes
RiskLens (FAIR Institute)Analyse quantitative FAIR, Monte-CarloSaaS propriétaire12% des cabinets conseil
EBIOS RM Studio (ANSSI)Mise en œuvre de la méthode EBIOS Risk ManagerOpen source libre42% des OIV
Safe Security (SAFE)Plateforme de Cyber Risk Quantification (CRQ) temps réelSaaS propriétaire9% des entreprises du CAC 40
OneTrust GRCConformité Privacy, DSAR, cartographie des traitementsSaaS propriétaire15% des directions juridiques

La maîtrise du langage SQL pour interroger les bases de vulnérabilités et du Python pour les scripts de calcul de scénarios est désormais mentionnée dans 65% des fiches de poste (source : APEC, fiche métier consultant risques numériques, mars 2026). L’API MITRE ATT&CK (v15) et le framework VERIS (Vocabulary for Event Recording and Incident Sharing) font partie de la culture commune.

5. Grille salariale détaillée 2026

Les rémunérations varient fortement selon le statut, la région, la spécialité et la taille du cabinet. Le salaire médian France 2026 est de 55 000 € brut annuel (fixe + variable). Les données proviennent de l’enquête annuelle Robert Half 2026 et du Baromètre des salaires APEC 2026.

Grille salariale Cyber Risk Consultant France 2026 (EUR brut/an, hors prime exceptionnelle)
Niveau d’expérienceSalaire fixe médian (25e-75e percentile)Variable annuel cibleFourchette totale (fixe + var. médian)
Junior (0-2 ans, Master ou école d’ingé)38 000 € (35 000 – 42 000 €)2 000 – 5 000 €40 000 – 47 000 €
Confirmé (3-5 ans)52 000 € (47 000 – 58 000 €)5 000 – 10 000 €52 000 – 68 000 €
Senior (6-10 ans)70 000 € (62 000 – 80 000 €)10 000 – 20 000 €72 000 – 100 000 €
Expert / Manager (10+ ans, équipe 5+ personnes)90 000 € (80 000 – 110 000 €)15 000 – 30 000 €95 000 – 140 000 €

La prime d’astreinte (risque majeur, gestion de crise) peut ajouter 3 000 à 8 000 € par an. Les cabinets Wavestone, Deloitte (Risk Advisory), PwC (Cybersecurity & Privacy) et Sopra Steria (CyberRisk) offrent des packages supérieurs de 8% à 15% à la médiane. Le statut cadre est quasi systématique (96% des offres APEC, avril 2026).

6. Formations et diplômes reconnus

La voie royale reste le diplôme d’ingénieur (grade Master). France Compétences enregistre 14 formations spécifiques au “risk management cyber” dans le RNCP (niveau 7). Les écoles suivantes proposent des parcours dédiés :

  • INSEAD : certificat exécutif en Cyber Risk Management (12 jours, 15 000 €), non éligible CPF.
  • École Polytechnique (executive) : Mastère Spécialisé “Cybersecurity & Risk Management” (RNCP niveau 7, reconnu par CTI).
  • Université Paris Dauphine : Master 2 “Gestion des Risques et Cybersécurité” (RNCP 37297).
  • IMT Atlantique : Mastère Spécialisé “Cybersécurité des Systèmes Industriels” (mention Risques OT).
  • EFREI Paris : Bachelor Cybersécurité (RNCP niveau 6) + MSc Risk Management (RNCP niveau 7).
  • CESI : Executive Bachelor “Analyste en Cybersécurité” (RNCP niveau 6) avec bloc Risk Assessment.

Le CPF peut financer partiellement des certifications courtes (CISSP, CRISC, ISO 27001 LI). À vérifier sur moncompteformation.gouv.fr. Les titres RNCP “Consultant en Sécurité des Systèmes d’Information” (niveau 7) délivrés par ENI ou AFPA sont reconnus mais moins spécialisés en risque business. L’APEC indique que 72% des recruteurs exigent a minima un Bac+5 (Master ou équivalent).

7. Reconversion vers ce métier

Trois profils sources de reconversion sont fréquents en 2026 :

  • Juriste droit du numérique / DPO : maîtrise du RGPD, des textes sectoriels. Complément nécessaire : formation en analyse quantitative du risque (FAIR) et certification CRISC. Volume de reconversions estimé : 1 200 personnes par an (source : CNB, enquête 2025).
  • Auditeur financier / Risk Manager assurance : compétences en calcul actuariel, matrices de pertes. Besoin de formation à la menace technique (MITRE ATT&CK) et aux réglementations cyber. Le Baromètre de l’APEC (février 2026) note que 18% des consultants risquent viennent de l’audit financier.
  • Administrateur réseau & sécurité : très technique mais souvent peu formé à la quantification du risque et à la gouvernance. Cursus de 6 à 12 mois (ex : Mastère Spécialisé EPITA en management cyber) + VAE possible pour le RNCP 37297. Salaire de sortie médian : 42 000 €.

La validation des acquis de l’expérience (VAE) via France Compétences est possible pour le titre “Manager des Risques Numériques” (RNCP 37301). Environ 340 dossiers VAE ont été déposés en 2025 pour ce champ (source : DREES).

8. Exposition au risque IA

Le score CRISTAL-10 de 79.0 % classe le Cyber Risk Consultant parmi les métiers les plus exposés à la substitution par l’IA générative. L’étude Eloundou et al. (2024) estime que 62% des tâches des analystes de risques sont exposables aux LLMs. La décomposition du score CRISTAL-10 s’appuie sur dix critères : répétitivité (82), accès à des bases de données structurées (91), génération de textes normatifs (88), nécessité de synthèse (75), créativité stratégique (44), interaction humaine complexe (38), prise de décision nuancée (42), connaissance tacite (29), responsabilité légale (67), adaptabilité terrain (56).

Les outils d’IA comme ChatGPT-5, Claude 4 ou Copilot GRC rédigent déjà des rapports de conformité préliminaires, des cartographies de risque génériques et des plans d’action standardisés. L’ILO (2025) prévoit une réduction de 18% à 24% des postes de consultant junior sur la période 2026-2030, compensée par une hausse des missions à forte valeur ajoutée (scénarios de crise, arbitrage budgétaire, conseil au COMEX). La DARES anticipe une évolution du métier vers le “validateur IA” (le consultant vérifie et ajuste les sorties des modèles génératifs).

9. Marché de l’emploi

Le BMO (Besoin en Main-d’Œuvre) France Travail 2026 recense 5 410 intentions d’embauche pour le métier “Consultant en risques cyber” (code métier non ROME, intégré au pôle 14327 M1). La tension (rapport offres/demande) atteint 3.8 (très forte). Les régions les plus dynamiques sont :

  • Île-de-France (51% des offres, Paris, Nanterre, La Défense).
  • Auvergne-Rhône-Alpes (14%, Lyon, Grenoble, Échirolles).
  • Occitanie (9%, Toulouse, Montpellier).
  • Provence-Alpes-Côte d’Azur (8%, Sophia Antipolis, Marseille).
  • Nouvelle-Aquitaine (7%, Bordeaux, Mérignac).

Les secteurs les plus recruteurs : conseil & SSII (43%), banque & assurance (31%), industrie & énergie (15%), services publics (11%). Le Cabinet Wavestone a publié un plan de 450 recrutements en cybersécurité pour 2026 (dont 80 postes risk). Capgemini prévoit 350 embauches en cyber advisory. Deloitte France recrute 200 consultants en risk cyber. Le marché est donc très porteur avec un délai de recrutement moyen de 3,5 semaines (source : France Travail, données mars 2026).

10. Certifications et labels

Les certifications sont un accélérateur de carrière fort. Voici les plus cotées en 2026 :

  • CRISC (Certified in Risk and Information Systems Control, ISACA) : 490 € l’examen, renouvellement 3 ans (45 CPE/an). 58% des offres senior la mentionnent (source : APEC, 2026).
  • CISSP (ISC)² : 749 $, reconnue pour le niveau stratégique (domaine Risk Management). Obligatoire pour certains postes de manager en cabinet conseil.
  • ISO/IEC 27001 Lead Implementer ou Lead Auditor (PECB, BSI) : compétence en gestion de projet SMSI. Prix : 2 500 € à 3 800 €.
  • Certification EBIOS Risk Manager (ANSSI) : 1 200 €, méthode française imposée aux OIV. 14% des consultants la possèdent (2025).
  • FAIR Certification (FAIR Institute) : Analyst (niveau 1, 1 200 $) ou Professional (2 500 $). En forte croissance.
  • CompTIA Security+ : 370 $, ticket d’entrée pour les juniors.

Le label Expert Cyber de l’ANSSI est délivré depuis 2024 pour les consultants justifiant de 5 ans d’expérience et d’une mission validée. Son obtention a doublé entre 2024 et 2026 (510 labellisés).

11. Évolution de carrière

Les voies d’évolution sont multiples et dépendent de la taille de la structure, de la spécialisation et de l’appétence commerciale. Voici les trajectoires typiques à 3 ans, 5 ans et 10 ans :

Évolutions à 3 ans (prise d’autonomie)

  • Chef de projet risque junior sur un déploiement NIS 2 (périmètre France).
  • Spécialiste conformité réglementaire (DSI / Direction Juridique).
  • Analyste quantitatif (fourchettes de pertes, modèles actuariels).
  • Consultant interne dans un grand groupe (TotalEnergies, BNP Paribas).
  • Préparation d’une certification CRISC ou FAIR (premier gap).

Évolutions à 5 ans (expertise reconnue)

  • Manager d’une équipe de 3 à 10 consultants (cabinet Wavestone, PwC).
  • Directeur des Risques Cyber (CRO adjoint) en ETI (11 000 postes cibles en France selon APEC).
  • Consultant indépendant avec un portefeuille de clients réguliers (TJM médian 850 € HT/jour).
  • Expert technique sur un secteur spécifique (santé, OT, aéronautique).
  • Auditeur cyber pour la Cour des comptes ou l’IGA (fonction publique).

Évolutions à 10 ans (leadership & stratégie)

  • Directeur Cyber Risk (CRO, Risk Officer) dans un groupe du CAC 40.
  • Partner ou Directeur Associé dans un cabinet de conseil (encaissement variable 100-200k€).
  • Créateur d’un cabinet conseil spécialisé (4 à 8 consultants).
  • Membre de comités d’audit ou d’experts (AFNOR, ANSSI).
  • Fonction publique dirigeante (ANSSI, DGA, Ministère de l’Économie).

12. Tendances 2026-2030

La prospective DARES Métiers 2030 (rapport “Les métiers de la cybersécurité en 2030”, publié en janvier 2026) identifie quatre grandes tendances pour le Cyber Risk Consultant :

  • Quantification obligatoire : les autorités (ACPR, ANSSI) imposeront un reporting des pertes cyber attendues en euros, pas en notes qualitatives. Le consultant devra produire des bilans chiffrés annuels.
  • IA augmentée : l’IA générative compilera les scénarios de menace standards. Le consultant deviendra le réviseur et le créateur de scénarios sur-mesure (inédits, chocs extrêmes).
  • Intégration cyber-assurance : 72% des contrats d’assurance cyber exigeront un audit de maturité préalable réalisé par un consultant certifié (source : FFA, Fédération Française de l’Assurance, mars 2026).
  • Géo-politisation des risques : le consultant devra intégrer les risques de sanctions, de dépendance technologique (cloud, semi-conducteurs) et de cyberespionnage d’État. La DGSE diffuse désormais des notes de cyber-menaces adressées aux risk managers.

L’étude CESIN 2026 anticipe que 34% des missions de conseil en risque incluront un volet “souveraineté numérique” d’ici 2028. Les cabinets ATOS (Eviden) et Thales recrutent des consultants spécialisés dans la conformité des infrastructures critiques. Le nombre de postes devrait croître de 9% par an jusqu’en 2030 (rythme supérieur à la moyenne des métiers du numérique). Le métier de Cyber Risk Consultant devient un pivot stratégique entre technique, finance, droit et géopolitique.