Aller au contenu principal
FORTEMENT EXPOSÉ · SCORE 79.0%TECH / DIGITAL

Chercheur Cybersécurité

Verdict CRISTAL-10 v14.0 : Augment — l’IA assiste, le métier se transforme

Chercheur Cybersécurité - métier face à l’IA en 2026
79.0% exposition IAScore CRISTAL-10 v14.0

Chiffres clés 2026

39 600 €Salaire médian / an
8,0 kEffectif France
115Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Le security researcher, ou chercheur en cybersécurité, traque les vulnérabilités des systèmes informatiques avant que des attaquants ne les exploitent. Il analyse des logiciels, conduit des audits, étudie les menaces émergentes et publie ses découvertes pour faire progresser la sécurité collective. Le métier mêle expertise technique pointue, curiosité méthodique et veille permanente sur un paysage de menaces en mouvement constant. Au quotidien, le chercheur explore du code, simule des attaques, documente ses trouvailles et reste à l’affût des nouvelles techniques offensives. Il s’exerce chez les éditeurs de logiciels, dans les entreprises de cybersécurité, les centres de recherche ou en tant qu’indépendant. En France, on estime à environ 8 000 le nombre de professionnels gravitant autour de la recherche en sécurité, avec un salaire médian autour de 65 000 euros bruts annuels. La tension de recrutement est très forte : la cybersécurité connaît une pénurie structurelle de talents, et les profils capables d’identifier des failles inédites sont particulièrement convoités par les employeurs.

Impact IA sur le métier

Automatisable par l’IA

  • Veiller au respect de la loi Informatique et Libertés, gérer la liste des traitements de données à caractère personnel, faire l’interface avec la CNIL
  • Evaluer, prévenir, et gérer les risques et la sécurité
  • Tester un logiciel, un système d’informations, une application
  • Réaliser des audits de sécurité pour identifier les vulnérabilités
  • Analyser les logs pour identifier les tentatives d’intrusion

Reste humain

  • Sensibiliser et former les personnels aux consignes de sécurité et de prévention
  • Travail en journée
  • Zone internationale
  • Salarié secteur privé (CDI, CDD)
  • Travail en mode projet

Impact de l’IA sur ce metier

L’automatisation transforme le métier sur trois axes. D’abord, les scanners de vulnérabilités dopés par l’IA passent en revue des bases de code immenses et signalent les motifs suspects plus vite. Ensuite, l'analyse de logs assistée détecte des comportements anormaux dans des volumes de données impossibles à traiter à la main. Enfin, la veille sur les menaces se synthétise automatiquement. Trois activités restent humaines : la découverte de failles inédites, qui exige une créativité hors d’atteinte des outils, l'exploitation raisonnée d’une vulnérabilité pour en mesurer la gravité et l'interprétation stratégique du paysage des menaces. Côté outils, des plateformes comme Semgrep intègrent l’IA dans l’analyse statique, et les chercheurs s’appuient sur des assistants comme Claude pour comprendre du code obscur et accélérer leurs investigations.

Compétences clés

Expert en architectures systèmes-réseaux et en sécurité informatiqueIngénieur spécialisé en sécurité pour les systèmes informatiques et les communications, diplômé d’EurecomMaster mention informatiqueMise à jour de sécurité informatiqueGestion des incidents de sécuritéFormation en sécurité informatiqueAnalyse de risques en sécurité informatiqueConseil en sécurité informatique pour les entreprisesPiloter les fonctionnalités des équipements et systèmes de sécurité informatiqueRespecter les normes de sécurité informatique dans l’assistanceConfigurer des pare-feu et des systèmes de détection d’intrusionsRespecter les normes de sécurité informatique dans le développementMener des recherches sur les menaces émergentesOptimiser les processus de sécurité pour réduire les coûtsSuivre les évolutions juridiques du marché en termes de sécurité informatique afin de garantir la conformité du SI au droit individuel et collectifNégocier avec les fournisseurs de solutions de sécurité

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Grille salarialeFormations 2026ReconversionGuide IA

Carriere et formation

La carrière débute après un master ou un diplôme d’ingénieur en sécurité informatique, souvent par un poste d’analyste ou de pentester. Les premières années servent à maîtriser l’analyse de vulnérabilités, le reverse engineering et les méthodologies d’audit. Vers trois à sept ans, le chercheur se spécialise sur une famille de systèmes et publie ses travaux. L’évolution mène vers l'architecture sécurité, la direction d’une équipe de recherche ou la fonction de directeur des systèmes d’information. Le freelance et le bug bounty constituent d’autres trajectoires pour les profils les plus pointus.

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)27 720 €31 877 €0.70 × médian
Médian (3-7 ans)39 600 €45 540 €DARES+INSEE
Senior (8+ ans)49 500 €53 460 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
Convergence métier + Data Science + Conseil. Transformation, pas disparition.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Tendances 2026-2030

Trois tendances structurent le métier en 2026. La première est l'essor de la sécurité de l’IA elle-même : les chercheurs étudient désormais les failles propres aux modèles d’apprentissage, attaques par injection et empoisonnement de données. La deuxième est la généralisation du bug bounty, qui ouvre une voie de rémunération à la performance. La troisième est le renforcement réglementaire, avec des directives européennes qui imposent des audits de sécurité plus fréquents. La tension de recrutement reste haute, avec une progression salariale d’environ +15 % sur cinq ans.

Pourquoi envisager une reconversion

Plusieurs raisons peuvent pousser un security researcher à évoluer ou à se reconvertir. La première est l'intensité de la veille : suivre en permanence les menaces et les publications fatigue durablement. La deuxième est l'attrait du management, certains chercheurs souhaitant passer du terrain à l’encadrement d’équipes. La troisième est la recherche d’un impact plus large, en passant de la découverte de failles à la définition de l’architecture de sécurité d’une organisation entière. Le marché très porteur rend toutefois ces évolutions plus souvent des choix que des contraintes.

5 metiers cibles pour se reconvertir

Quatre cibles s’offrent au security researcher. La première est l'architecte sécurité informatique, prolongement naturel qui valorise la compréhension fine des failles pour concevoir des défenses. La deuxième est l'analyste en cybersécurité de haut niveau, pour qui préfère la défense opérationnelle. La troisième est la direction des systèmes d’information, voie managériale plus large. La quatrième est le conseil en cybersécurité, où l’expertise se monétise auprès de plusieurs clients. Toutes reposent sur un socle commun : la maîtrise technique des systèmes et la culture de la menace.

Questions fréquentes & sources

L’IA va-t-elle remplacer les chercheur cybersécurités ?
Non. Le verdict CRISTAL-10 v14.0 score 79.0% indique une transformation, pas une disparition. L’IA automatise les tâches répétitives mais l’humain garde le conseil stratégique, la validation et la relation client.
Quel salaire pour Chercheur Cybersécurité en 2026 ?
Médian estimé : 39 600 €/an brut. Junior (0-2 ans) : ~27 720 €. Senior (8+ ans) : ~49 500 €. Source DARES+INSEE 2025 extrapolation observatoire.
Quelle formation pour devenir chercheur cybersécurité ?
5 fiches RNCP disponibles (code ROME M1863). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Questions frequentes

Quelle formation pour devenir security researcher ?

Un master ou un diplôme d’ingénieur spécialisé en sécurité informatique constitue la voie classique. Une solide pratique technique et des certifications de cybersécurité renforcent le profil.

Quel salaire pour un chercheur en cybersécurité ?

Un débutant démarre autour de 42 000 euros, un confirmé atteint 58 000 euros, et un senior peut dépasser 82 000 euros. Les postes d’encadrement atteignent 95 000 euros.

Le métier est-il menacé par l’IA ?

Non. L’IA accélère l’analyse de code et la détection, mais la recherche de failles inédites, la créativité offensive et l’interprétation des menaces restent humaines. Le métier se renforce.

Quelle différence avec un analyste en cybersécurité ?

L'analyste surveille et défend les systèmes au quotidien, tandis que le chercheur explore en profondeur pour découvrir des vulnérabilités nouvelles et anticiper les attaques.

Le marché de l’emploi est-il porteur ?

Oui, très. La cybersécurité connaît une tension structurelle, et les profils de recherche capables d’identifier des failles sont particulièrement recherchés.

Vers quoi peut évoluer un security researcher ?

Il peut devenir architecte sécurité, responsable d’une équipe de recherche, ou directeur des systèmes d’information, avec une rémunération qui progresse nettement.

Metiers proches face a l IA

Analyse approfondie

Auditrice sécurité informatique : missions, salaires et perspectives en 2026

L’auditrice sécurité informatique évalue la résistance des systèmes face aux cyberattaques. Elle combine analyse technique, rédaction de rapports et conseil stratégique pour des organisations publiques et privées. En 2026, la pression réglementaire NIS2 et la multiplication des incidents font de ce métier une priorité absolue pour les DSI français.

Auditrice sécurité vs RSSI vs pentester vs analyste SOC

Ces quatre profils opèrent dans la cybersécurité mais avec des périmètres distincts. L’auditrice sécurité évalue des systèmes existants via des missions ponctuelles : elle produit un rapport d’écarts, des recommandations priorisées et un plan de remédiation. Le RSSI (Responsable Sécurité des Systèmes d’Information) pilote la politique de sécurité à temps plein au sein d’une organisation. Le pentester (testeur d’intrusion) se concentre sur l’exploitation offensive de vulnérabilités, souvent dans des délais courts. L’analyste SOC (Security Operations Center) surveille en continu les alertes et répond aux incidents en temps réel.

L’auditrice peut intervenir sur tous les domaines couverts par les autres profils, mais son angle est toujours celui de la conformité et de l’évaluation indépendante. Elle travaille fréquemment selon le référentiel PASSI ANSSI ou les normes ISO 27001 et ISO 27005.

ProfilPostureDurée missionLivrable principalRéférentiel clé
Auditrice sécuritéÉvaluation indépendante2 à 8 semainesRapport d’audit + plan de remédiationPASSI ANSSI, ISO 27001
RSSIManagement continuCDI / long termePolitique SMSI, tableaux de bordISO 27001, NIST CSF
PentesterOffensive / exploitation1 à 3 semainesRapport de test d’intrusionPTES, OWASP Testing Guide
Analyste SOCDéfensive / surveillanceAstreinte continueTickets incidents, rapports hebdoMITRE ATT&CK, NIST

La qualification PASSI ANSSI : le standard français de référence

La qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est délivrée par l’ANSSI. Elle certifie qu’un prestataire dispose des compétences, méthodes et moyens pour réaliser des audits dans un cadre de confiance. En 2026, environ 80 prestataires sont qualifiés PASSI en France.

La qualification couvre cinq domaines d’audit. Trois sont directement liés au travail terrain de l’auditrice.

L’audit organisationnel et physique examine les politiques de sécurité, les procédures internes, la gestion des accès et la sécurité des locaux. L’auditrice analyse les documents, mène des entretiens et compare les pratiques aux référentiels ISO 27001 et NIST CSF.

L’audit de code source consiste à relire les applications pour identifier des vulnérabilités logicielles : injections SQL, failles XSS, gestion défaillante des sessions. Les méthodologies OWASP Testing Guide et les listes OWASP Top 10 structurent l’analyse. Des outils comme Burp Suite Pro et des analyseurs statiques (SonarQube, Semgrep) complètent la revue manuelle.

L’audit de configuration vérifie le durcissement des systèmes : serveurs, équipements réseau, bases de données, hyperviseurs. L’auditrice compare les paramétrages aux benchmarks CIS (Center for Internet Security) et aux guides de l’ANSSI. Nmap, Nessus et Qualys sont les outils centraux de cette catégorie.

Méthodologies : OSSTMM, OWASP Testing Guide, PTES

Trois cadres méthodologiques structurent la pratique des audits de sécurité au niveau international.

L’OSSTMM (Open Source Security Testing Methodology Manual) fournit une approche scientifique des tests de sécurité. Il définit des métriques précises (RAV - Risk Assessment Values) et couvre six canaux : humain, physique, télécommunications, réseau de données, spectre électromagnétique et sans fil. L’OSSTMM est utilisé pour les audits les plus rigoureux nécessitant une mesure quantitative du niveau de sécurité.

L’OWASP Testing Guide (OTG) est la référence pour les audits d’applications web et mobiles. La version 4.2, publiée en 2020 et maintenue activement, liste 114 cas de test organisés en 11 catégories. Chaque cas de test documente l’objectif, les étapes de vérification et les outils recommandés. L’OWASP Top 10, mis à jour en 2021, reste la liste de vulnérabilités web la plus citée par les équipes de développement.

Le PTES (Penetration Testing Execution Standard) définit sept phases : interactions pré-engagement, collecte de renseignements, modélisation des menaces, analyse de vulnérabilités, exploitation, post-exploitation et rapport. Le PTES est particulièrement adapté aux missions de pentest qui accompagnent les audits de configuration ou de code.

Stack outils 2026 : Burp Suite Pro, Metasploit, Nmap, Nessus, Wireshark

L’auditrice sécurité professionnelle maîtrise un ensemble d’outils couvrant la découverte, l’analyse et l’exploitation contrôlée.

Burp Suite Pro (PortSwigger) est l’outil central pour les audits d’applications web. Son proxy intercept, son scanner actif et ses extensions (Intruder, Repeater, Sequencer) permettent de tester exhaustivement les points d’entrée d’une application. La version 2026 intègre des assistants IA pour prioriser les vulnérabilités détectées.

Metasploit Framework (Rapid7) est la plateforme d’exploitation la plus utilisée en audit offensif. Ses modules couvrent des milliers de CVE et permettent de valider l’exploitabilité réelle d’une vulnérabilité détectée lors d’un scan. L’utilisation de Metasploit dans un cadre PASSI nécessite une autorisation écrite préalable du commanditaire.

Nmap reste le scanner réseau de référence après 25 ans d’existence. Ses scripts NSE (Nmap Scripting Engine) automatisent la détection de services, versions et configurations vulnérables. La commande nmap -sV --script=vuln constitue souvent la première étape d’un audit de périmètre.

Nessus (Tenable) et Qualys VMDR sont les deux scanners de vulnérabilités commerciaux dominants. Nessus propose plus de 130 000 plugins. Qualys offre une architecture cloud et des tableaux de bord orientés conformité, adaptés aux audits ISO 27001. Les deux outils génèrent des rapports prêts à l’emploi pour les clients non techniques.

Wireshark analyse le trafic réseau en temps réel ou sur capture pcap. Il est indispensable pour auditer les protocoles, détecter des communications non chiffrées et comprendre le comportement réseau d’une application.

  • Kali Linux / Parrot OS : distributions dédiées aux tests de sécurité, embarquant 600+ outils pré-configurés
  • BloodHound : cartographie des chemins d’attaque dans les environnements Active Directory
  • Nuclei (ProjectDiscovery) : scanner de vulnérabilités basé sur des templates YAML, mis à jour quotidiennement par la communauté
  • Semgrep / SonarQube : analyse statique de code source pour les audits de code PASSI
  • MITRE ATT&CK Navigator : modélisation et documentation des tactiques et techniques adversariales

Salaires en France : junior 45K€, senior 70-110K€, lead 130-180K€

La cybersécurité affiche des niveaux de rémunération supérieurs de 20 à 40 % à la moyenne des métiers IT en France. L’auditrice sécurité bénéficie de cette tension du marché, accentuée par la pénurie de profils qualifiés estimée à 15 000 postes non pourvus en France selon les données ANSSI 2024.

En début de carrière (0 à 3 ans), une auditrice junior titulaire d’un Master ou d’une certification CEH peut viser 42 000 à 50 000 euros bruts annuels. Les cabinets PASSI comme Wavestone, Almond ou Orange Cyberdefense proposent des packages incluant primes de mission et participation. Paris concentre 60 % des offres mais les régions progressent avec le développement des agences locales.

Entre 3 et 8 ans d’expérience, le profil senior certifié OSCP ou CISSP atteint 70 000 à 110 000 euros. L’obtention de la certification OSCP génère en moyenne une revalorisation de 12 à 18 % selon les données LinkedIn France 2025. Les indépendants (freelance) facturent 700 à 1 200 euros par jour selon leur spécialité et leur réputation PASSI.

Au niveau lead ou expert (8 ans et plus), la fourchette 130 000 à 180 000 euros bruts est documentée pour les profils dirigeant des équipes d’audit ou des pratiques cybersécurité dans les grands cabinets de conseil. Les directeurs associés chez Wavestone ou Sopra Steria peuvent dépasser ces seuils avec intéressement.

NiveauExpérienceSalaire brut annuelTJM freelanceCertifications typiques
Junior0-3 ans42 000 – 50 000 €400 – 600 €/jCEH, OSCP en cours
Confirmé3-5 ans55 000 – 70 000 €600 – 800 €/jOSCP, CEH, ISO 27001 Lead Auditor
Senior5-8 ans70 000 – 110 000 €800 – 1 200 €/jCISSP, CISM, GIAC
Lead / Expert8+ ans130 000 – 180 000 €1 200 – 1 800 €/jCISSP, CISM, PASSI Référent

Formations : écoles, masters, certifications OSCP, CEH, CISSP, CISM et BTS SIO

Trois voies d’entrée coexistent pour devenir auditrice sécurité en France.

La voie académique classique passe par un Bac+5 en école d’ingénieurs (INSA, Centrale, IMT, ENSIBS) ou un Master universitaire spécialisé. Les masters "Sécurité des Systèmes d’Information" de Paris-Saclay, Lyon 1 ou de l’UPEC sont reconnus par le marché. Ces formations délivrent les fondamentaux réseau, cryptographie, développement sécurisé et législation (RGPD, NIS2).

Le BTS SIO (Services Informatiques aux Organisations) option SLAM ou SISR constitue une porte d’entrée en deux ans. Une poursuite en licence professionnelle cybersécurité puis en Master permet d’atteindre le niveau requis par les cabinets PASSI. Cette trajectoire est cohérente pour une reconversion depuis un BTS généraliste.

Les certifications professionnelles constituent le deuxième pilier de la crédibilité d’une auditrice.

  • OSCP (Offensive Security Certified Professional) : certification pratique de 24h en environnement réel, considérée comme la référence pour les profils offensifs. Tarif 1 499 USD incluant 90 jours de lab.
  • CEH (Certified Ethical Hacker) de l’EC-Council : certification théorique et pratique couvrant 20 domaines. Reconnue dans les appels d’offres publics et privés. Tarif formation officielle 2 000 à 4 000 EUR.
  • CISSP (Certified Information Systems Security Professional) de l’ISC2 : certification senior couvrant 8 domaines CISSP. Requiert 5 ans d’expérience et est reconnue mondialement. Standard pour les postes lead et RSSI.
  • CISM (Certified Information Security Manager) de l’ISACA : orientée management de la sécurité. Pertinente pour les auditrices évoluant vers des fonctions de pilotage stratégique.

L’ANSSI propose également des formations certifiantes via SecNumedu et des agréments de centres de formation reconnus. Le MOOC SecNumécadémie (gratuit, en ligne) est un point de départ accessible pour les profils en reconversion.

Reconversion vers l’audit sécurité : depuis dev, sysadmin ou réseau

La reconversion vers l’audit de sécurité est l’une des trajectoires les plus documentées dans la cybersécurité française. Trois profils sources dominent.

Le développeur logiciel dispose d’un avantage majeur pour l’audit de code source. La compréhension des patterns d’injection, des mécanismes d’authentification et des architectures applicatives réduit considérablement la courbe d’apprentissage. Une reconversion en 12 à 18 mois est réaliste avec OSCP + OWASP Testing Guide comme feuille de route.

L’administrateur système maîtrise les environnements Linux, Windows Server et Active Directory. Ces compétences sont directement exploitables dans les audits de configuration. L’ajout de compétences réseau (Wireshark, Nmap) et d’une certification OSCP ou CEH complète le profil en 12 mois en moyenne.

L’ingénieur réseau connaît les protocoles TCP/IP, les équipements Cisco/Juniper et la segmentation. Ces bases sont indispensables pour les audits de périmètre et les tests d’intrusion réseau. La transition vers l’audit de sécurité nécessite l’ajout de compétences applicatives (web, API) et méthodologiques (PTES, OWASP).

  • Durée typique de reconversion : 12 à 24 mois selon le profil source
  • Formations complémentaires recommandées : HTB Academy, TryHackMe, PortSwigger Web Security Academy (gratuit)
  • Réseaux utiles : CLUSIF, CESIN, Club de la Sécurité de l’Information Français, OWASP France Chapter

Risque IA sur le métier : niveau moyen, expertise contextuelle irremplaçable

L’automatisation par l’IA impacte l’audit de sécurité de façon sélective. Les outils de scan automatisé (Nessus, Qualys, Nuclei) existaient avant l’IA générative et couvraient déjà la détection de vulnérabilités connues. Les agents IA offensifs de 2025-2026 (PentestGPT, HackerBot) automatisent des phases de reconnaissance et de fuzzing, mais peinent sur les logiques applicatives complexes et les chaînes d’attaque multi-étapes.

Les tâches à risque d’automatisation partielle dans les 5 ans : scan de vulnérabilités standard, rédaction de rapports à partir de templates, tests de conformité ISO 27001 sur check-lists connues.

Les tâches résistantes à l’automatisation : compréhension du contexte métier d’un client, détection de vulnérabilités logiques (business logic flaws), négociation des recommandations avec les équipes techniques, témoignage en cas d’incident et audit organisationnel impliquant des entretiens humains.

Le niveau de risque est évalué à moyen : l’IA augmente la productivité de l’auditrice plus qu’elle ne remplace le poste. Les cabinets PASSI qui intègrent les outils IA dans leur workflow gagnent en capacité de traitement sans réduire leurs effectifs d’auditrices.

Directive NIS2 2023-2026 : impact sur la demande d’audits

La directive NIS2 (Network and Information Security 2) est entrée en vigueur en octobre 2024 dans l’Union européenne après transposition nationale. Elle étend considérablement le périmètre de NIS1 : de 300 entités concernées en France, on passe à environ 15 000 organisations soumises à des obligations de cybersécurité.

NIS2 impose aux entités "essentielles" et "importantes" des mesures concrètes : analyse de risques documentée selon ISO 27005, gestion des incidents avec notification à l’ANSSI sous 24h, continuité d’activité testée, sécurité de la chaîne d’approvisionnement (supply chain) et audits réguliers. Les sanctions atteignent 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles.

Cette réglementation génère une demande directe d’audits de conformité NIS2, d’évaluations de maturité ISO 27001 et de prestations PASSI. Les secteurs concernés en priorité : énergie, transports, santé, eau, infrastructures numériques, administrations publiques et secteur bancaire.

Pour les auditrices sécurité, NIS2 crée un marché structurel de plusieurs années. Les cabinets spécialisés (Wavestone, Almond, Conscio Technologies) recrutent activement des profils capables de conduire des audits de conformité NIS2 couplés à des audits techniques PASSI.

Marché France : Wavestone, Orange Cyberdefense, Sopra Steria, Almond, Conscio

Le marché français de la cybersécurité atteint 7,5 milliards d’euros en 2025 selon les données SEIIUM/Numeum. Les grands acteurs recrutent régulièrement des auditrices sécurité, mais les structures mid-size offrent souvent plus d’autonomie et de diversité de missions.

Wavestone est le cabinet de conseil en cybersécurité le plus reconnu en France. Sa practice sécurité compte plus de 400 consultants. Wavestone publie régulièrement le "Radar des prestataires PASSI" qui fait référence dans le secteur. Les packages d’entrée pour les consultants juniors incluent formation interne intensive et certification prise en charge.

Orange Cyberdefense, filiale cybersécurité d’Orange, est l’un des MSSP (Managed Security Service Provider) les plus importants d’Europe. L’entité propose des missions d’audit, de pentest, de SOC managé et de réponse à incidents. La taille de la structure offre une mobilité interne importante entre les spécialités.

Sopra Steria Security intègre l’audit de sécurité dans des prestations IT globales pour les grands comptes et le secteur public. La maîtrise des SI complexes (mainframes, ERP legacy) est un différenciateur recherché.

Almond est un cabinet indépendant spécialisé cybersécurité, qualifié PASSI. Sa taille (environ 200 consultants) permet une proximité client et une montée en compétences rapide. Almond publie des études de référence sur la posture de sécurité des entreprises françaises.

Conscio Technologies se distingue par une approche combinant audit de sécurité et sensibilisation des collaborateurs. La dimension "human factor" de la sécurité est un axe de différenciation pour les auditrices ayant des compétences en ingénierie sociale et en formation.

Évolutions de carrière : RSSI, head of audit, fondatrice de cabinet

L’auditrice sécurité dispose de trois trajectoires d’évolution principales après 5 à 8 ans d’expérience.

La transition vers le poste de RSSI est la plus courante. L’auditrice ayant évalué des dizaines de SMSI dispose d’une vision des bonnes pratiques que peu de profils internes peuvent égaler. Elle peut prendre en charge la politique de sécurité, le pilotage des risques ISO 27005 et la relation avec les instances de gouvernance (COMEX, CA). Les certifications CISSP et CISM sont les passeports standard pour cette évolution.

Le poste de Head of Security Audit ou Director of Cybersecurity au sein d’un cabinet est une évolution naturelle pour les profils ayant développé des compétences managériales. Ce rôle implique le développement commercial (réponses à appels d’offres, propositions PASSI), le pilotage d’équipes de 10 à 30 auditrices et la définition des méthodologies internes.

La création d’un cabinet indépendant spécialisé est une voie de plus en plus empruntée. Le statut PASSI est accessible aux structures de toute taille disposant des compétences et de l’organisation requises. Une auditrice senior avec un réseau solide peut constituer une équipe de 3 à 5 experts et viser un positionnement premium sur un ou deux domaines d’audit (cloud, OT/SCADA, santé).

Tendances 2026-2030 : LLM offensifs, IA défensive, threat intel automatisée

L’OWASP LLM Top 10 (publié en 2023, mis à jour en 2025) documente les dix risques principaux des systèmes basés sur des Large Language Models : prompt injection, fuite de données d’entraînement, hallucination de code sécurisé, accès excessif aux outils, dépendance à des plugins non audités. L’audit des systèmes IA devient une spécialité émergente que les cabinets PASSI commencent à proposer.

Les LLM offensifs représentent une menace documentée depuis 2024. Des outils comme WormGPT ou FraudGPT automatisent la génération de phishing, de code malveillant et d’ingénierie sociale à grande échelle. L’auditrice sécurité de 2026 doit comprendre ces vecteurs pour les intégrer dans ses modèles de menace (threat modeling) et ses recommandations.

L’IA défensive transforme les outils de détection. Les SIEM de nouvelle génération (Splunk AI, Microsoft Sentinel Copilot) intègrent des modèles de détection comportementale réduisant le temps de détection moyen (MTTD). Pour l’auditrice, cela signifie évaluer non seulement les contrôles techniques mais aussi la qualité des données d’entraînement et les biais des modèles de détection.

La threat intelligence automatisée via des plateformes comme MISP (Malware Information Sharing Platform) et des feeds enrichis par IA permet aux auditrices de contextualiser leurs findings avec les TTPs (Tactics, Techniques and Procedures) des groupes d’attaquants actifs documentés dans MITRE ATT&CK. Cette contextualisation augmente la valeur perçue des rapports d’audit par les équipes de direction.

  • Nouveaux périmètres d’audit 2026 : environnements OT/ICS (industrie, énergie), cloud multi-provider (AWS Security Hub, Azure Defender), API REST/GraphQL massivement exposées
  • Certifications émergentes : GREM (malware reverse), GCLOUD (cloud security), certifications CISA sur les systèmes de contrôle industriel
  • Réglementation à venir : CRA (Cyber Resilience Act EU, 2027) imposera des audits de sécurité sur les produits connectés dès la conception