Un consultant cybersécurité est un professionnel qui intervient en mission pour le compte d'un client final — entreprise privée, administration, OIV (Opérateur d'Importance Vitale) — soit comme salarié d'une ESN ou d'un cabinet, soit comme indépendant. Il facture son temps en jours-hommes à un Taux Journalier Moyen (TJM) négocié. Le métier couvre quatre grandes spécialités en France 2026 : consultant technique (pentest, DevSecOps, cloud security) avec 60-80 % du temps hands-on, consultant GRC et conformité (ISO 27001, NIS 2, DORA, RGPD), consultant stratégique (RSSI fractional, plan cyber 3-5 ans), consultant audit indépendant (auditeur SI certifié CISA). Salaires juniors 42-55 k€ bruts IDF, senior manager 75-105 k€, partner 120-200 k€ avec bonus. Indépendant en TJM 600-1 500 € selon spécialité. Cet article détaille les quatre types, les employeurs types (ESN, Big Four, cabinets spécialisés), les missions typiques, les compétences par spécialité, les salaires complets et les critères de compatibilité avec le métier.
1. Définition précise : qu'est-ce qu'un consultant cyber ?
Le consultant cybersécurité se distingue de l'ingénieur cybersécurité en interne (qui travaille pour un seul employeur) par trois caractéristiques structurantes.
Facturation au temps, pas au livrable
Le consultant facture typiquement à la journée ou au forfait-jours. Une mission est chiffrée en jours-hommes (j.h.) : 20 j.h. pour un audit ponctuel, 100 j.h. pour un accompagnement NIS 2, 200 j.h. pour un RSSI fractional sur 12 mois. Le TJM (Taux Journalier Moyen) varie de 600 à 1 500 € selon le niveau et la spécialité. Cette facturation au temps distingue fondamentalement le consultant du développeur en SaaS ou de l'auditeur salarié permanent.
Rotation client et contextes multiples
Un consultant enchaîne typiquement 3 à 8 clients différents par an selon la durée moyenne des missions. Il voit plus de contextes organisationnels en 3 ans qu'un salarié permanent en 10 ans. Cette exposition large à des systèmes d'information, des cultures d'entreprise et des problématiques variées est l'un des attraits principaux du métier — et l'une de ses contraintes (fatigue cognitive, relations client renouvelées en permanence).
Pression commerciale implicite
En ESN ou cabinet, le consultant est évalué sur son taux d'utilisation (pourcentage de jours facturés sur les jours ouvrés de l'année). Un taux inférieur à 70 % met la position en risque. En indépendant, la pression est encore plus directe : pas de mission = pas de revenu. Cette dimension commerciale distingue le consultant de l'ingénieur salarié classique.
2. Les quatre types de consultant cybersécurité
Quatre spécialisations dominent le marché français du consulting cyber en 2026, avec des compétences, employeurs et trajectoires distincts.
Consultant technique (pentest, DevSecOps, cloud security)
Profil : 60-80 % du temps hands-on sur outils (Burp Suite, Terraform, Semgrep, BloodHound selon spécialité). Activités typiques : pentest de 5-15 jours, audit de pipeline CI/CD, audit d'architecture cloud AWS ou Azure, tests d'intrusion sur application mobile.
Employeurs : ESN offensive pure (Synacktiv, Almond, Intrinsec, LEXFO, Tehtris) pour le pentest ; ESN mixte (Wavestone, Devoteam, Octo Technology) pour DevSecOps et cloud ; cabinets spécialisés (Digitemis, Hackuity) pour les niches.
Certifications dominantes : CompTIA Security+, OSCP, PNPT, AWS Certified Security Specialty, CKS selon spécialité.
Pour la fiche métier pentester spécifiquement, voir Qu'est-ce qu'un pentester ? Fiche métier complète.
Consultant GRC et conformité
Profil : audit ISO 27001, accompagnement NIS 2, DORA, RGPD, rédaction de PSSI (Politique de Sécurité des Systèmes d'Information), construction de registres de risques, gap analysis, formation-sensibilisation. Moins de 20 % du temps sur des outils techniques, 80 % sur méthodologie, rédaction, interviews.
Employeurs : Big Four (EY, Deloitte, KPMG, PwC, Mazars), cabinets conseil stratégique (Sia Partners, Wavestone, Devoteam), cabinets spécialisés GRC (Almond pôle GRC, Digitemis).
Certifications dominantes : ISO 27001 Lead Implementer puis Lead Auditor, CISA (ISACA), CRISC, CIPP/E pour le volet RGPD.
Pour la fiche métier GRC spécifiquement, voir Peut-on travailler en GRC sans expérience cyber ?.
Consultant stratégique
Profil : RSSI fractional (temps partagé entre 2-4 clients), accompagnement de direction générale, plan stratégique cyber 3-5 ans, arbitrage budget cyber, coordination post-incident, relations régulateurs (ANSSI, CNIL). 90 % du temps en réunion, communication, rédaction de documents direction.
Employeurs : cabinets conseil stratégique (Bain, BCG, Roland Berger volet cyber, Accenture Strategy), cabinets spécialisés senior (Wavestone, Synaq). Souvent freelances seniors après 10-15 ans de carrière cyber en interne.
Certifications dominantes : CISSP, CISM, MBA Cybersecurity ou MS management SI pour les postes grands cabinets.
Consultant audit indépendant
Profil : auditeur SI certifié exerçant pour plusieurs clients ou en appui des Big Four sur missions ponctuelles. Missions de certification ISO 27001 renouvellement, audits PCI-DSS, audits SOC 2, audits NIS 2 post-transposition.
Employeurs : organismes certificateurs (BSI, AFNOR, LSTI, PECB certified bodies), Big Four en mission ponctuelle, cabinets spécialisés audit (Bureau Veritas, SGS).
Certifications dominantes : CISA obligatoire, ISO 27001 Lead Auditor (PECB ou BSI), COBIT, certifications spécialisées selon référentiel.
3. Employeurs types : ESN, cabinets Big Four, cabinets spécialisés
Panorama des employeurs en 2026 par famille et positionnement.
| Famille | Exemples | Culture | Accessibilité junior | TJM consultants |
|---|---|---|---|---|
| ESN technique offensive | Synacktiv, Almond, Intrinsec, LEXFO, Tehtris, Hackuity, HeadMind Partners | Ingénierie, exigence technique forte | Moyenne (portfolio requis) | 500-900 € junior, 900-1 400 € senior |
| ESN mixte technique + conseil | Wavestone, Devoteam, Sopra Steria cyber, Capgemini cyber, Accenture cyber | Équilibre conseil + exécution | Très large | 450-800 € junior, 800-1 200 € senior |
| Big Four audit cyber | EY, Deloitte, KPMG, PwC, Mazars | Rigueur audit, reporting | Large avec bon CV école | 500-800 € junior, 900-1 400 € senior |
| Conseil stratégique | Bain, BCG, Roland Berger, McKinsey volet cyber | Formation continue, exigence intellectuelle | Restrictive (grandes écoles, MBA) | 900-1 500 € consultant, 1 500-3 000 € partner |
| Cabinets spécialisés cyber | Digitemis, Neosoft, I-Tracing, OT Group | Flexibilité, spécialisation niche | Moyenne-large | 500-900 € junior, 800-1 300 € senior |
| Indépendants portage salarial | Portage, EURL, auto-entreprise | Autonomie, pression commerciale directe | Requiert 3-5 ans d'expérience salariée | 600-1 500 € selon spécialité |
Choix de carrière implicite : commencer en ESN ou Big Four construit une marque personnelle et un réseau qui autorisent plus tard la bascule en indépendant à 4-7 ans d'expérience. Commencer directement en indépendant est possible mais expose à la volatilité commerciale sans filet.
4. Les missions typiques et leur durée
Pour objectiver ce que « faire du consulting » recouvre concrètement, aperçu de missions types par famille.
Missions technique
- Pentest web ou API : 5-15 j.h. par mission, 15-25 missions par an pour un consultant junior.
- Audit d'architecture cloud AWS : 10-20 j.h., 8-12 missions par an.
- Pentest Active Directory interne : 10-20 j.h., 10-15 missions par an.
- Revue de pipeline CI/CD : 5-15 j.h., 10-15 missions par an.
Missions GRC
- Mise en conformité ISO 27001 (accompagnement complet) : 80-200 j.h., 1-3 missions par an.
- Accompagnement NIS 2 (entité importante) : 40-120 j.h., 3-5 missions par an.
- Audit interne ISO 27001 : 10-20 j.h., 8-15 missions par an.
- Gap analysis RGPD : 15-30 j.h., 6-10 missions par an.
Missions stratégiques
- RSSI fractional 2-4 jours par mois sur 12 mois : 24-48 j.h. par an et par client.
- Plan stratégique cyber 3 ans : 40-80 j.h., 1-3 missions par an.
- Coordination post-incident majeur : 20-60 j.h. en urgence, 1-3 par an.
Missions audit
- Audit de certification ISO 27001 renouvellement : 5-15 j.h., 20-40 missions par an.
- Audit PCI-DSS : 10-30 j.h., 10-20 missions par an.
Un consultant junior mixte facture typiquement 180 à 210 j.h. par an (taux d'utilisation 80-95 % sur 230 jours ouvrés nets après congés), répartis sur 8 à 15 clients différents selon la longueur moyenne des missions.
5. Compétences et certifications selon type
Grille synthétique qui cartographie les compétences et certifications selon le type de consulting visé.
matrice_consulting_cybersecurite:
consultant_technique_pentester:
competences_cles:
- "pentest web + AD + réseau"
- "rédaction rapport français structuré 30-80 pages"
- "communication client technique et direction"
certifications_recommandees:
- "CompTIA Security+ (passage marché)"
- "eJPT v2 puis PNPT (accessibles)"
- "OSCP (référence marché, 12-24 mois préparation)"
employeurs_types:
- "Synacktiv, Almond, Intrinsec, LEXFO, Tehtris"
tjm_indicatif:
junior: "500-800 €"
senior: "900-1 400 €"
consultant_technique_devsecops:
competences_cles:
- "CI/CD sécurisés (SAST, SCA, DAST, IaC)"
- "cloud (AWS, Azure, GCP) + Kubernetes"
- "threat modeling"
certifications_recommandees:
- "CompTIA Security+"
- "AWS Certified Security Specialty OU AZ-500"
- "CKS (Kubernetes Security)"
employeurs_types:
- "Wavestone, Devoteam, Octo Technology, Zenika"
tjm_indicatif:
junior: "500-800 €"
senior: "900-1 300 €"
consultant_grc_conformite:
competences_cles:
- "ISO 27001, NIS 2, RGPD, DORA"
- "EBIOS Risk Manager"
- "rédaction PSSI, registres de risques, gap analysis"
certifications_recommandees:
- "ISO 27001 Lead Implementer puis Lead Auditor"
- "CISA (audit SI, référence mondiale)"
- "CRISC (gestion du risque)"
employeurs_types:
- "EY, Deloitte, KPMG, PwC, Mazars (Big Four)"
- "Wavestone, Sia Partners (mixte)"
- "Digitemis, Almond pôle GRC"
tjm_indicatif:
junior: "450-700 €"
senior: "800-1 200 €"
consultant_strategique_rssi_fractional:
competences_cles:
- "plan stratégique cyber 3-5 ans"
- "communication direction générale et board"
- "gestion budget, arbitrages, relations régulateurs"
certifications_recommandees:
- "CISSP (référence management cyber)"
- "CISM (management gouvernance)"
- "MBA Cybersecurity si grand cabinet"
employeurs_types:
- "Bain, BCG, Roland Berger (volet cyber)"
- "Wavestone, Synaq, Accenture Strategy"
- "Indépendant senior post 10-15 ans salariat"
tjm_indicatif:
consultant_confirme: "900-1 200 €"
consultant_senior_partner: "1 200-2 000 €+"
consultant_audit_independant:
competences_cles:
- "méthodologie ISO 19011"
- "référentiels ISO 27001, 27701, 22301, 20000"
- "gestion non-conformités, rapport audit"
certifications_recommandees:
- "CISA obligatoire"
- "ISO 27001 Lead Auditor (PECB ou BSI)"
- "COBIT"
employeurs_types:
- "BSI, AFNOR, LSTI (organismes certificateurs)"
- "Bureau Veritas, SGS"
- "Indépendants rattachés à un certificateur"
tjm_indicatif:
consultant: "600-1 000 €"
senior: "1 000-1 400 €"Un junior qui vise le consulting mixte peut construire un profil en 6-12 mois avec la combinaison CompTIA Security+ + ISO 27001 Lead Implementer + CISA en préparation. Cette combinaison couvre 80 % des demandes ESN mixte et Big Four pour un profil d'entrée.
6. Salaires et trajectoires de carrière
| Niveau | Expérience | Salaire brut annuel (IDF) | Alternative TJM indépendant |
|---|---|---|---|
| Consultant junior ESN mixte | 0-2 ans | 42-55 k€ | — |
| Consultant confirmé | 2-4 ans | 52-68 k€ | — |
| Senior consultant / manager | 4-7 ans | 65-85 k€ + variable | TJM 700-1 100 € |
| Senior manager / director | 7-10 ans | 85-120 k€ + variable | TJM 1 000-1 400 € |
| Partner / associé / principal | 10+ ans | 120-200 k€+ bonus et intéressement | TJM 1 400-2 000 € |
| Big Four junior | 0-2 ans | 45-58 k€ | — |
| Big Four senior manager | 7-10 ans | 90-130 k€ + bonus | — |
| Big Four partner | 12+ ans | 180-300 k€+ | — |
| Conseil stratégique consultant | 0-3 ans | 55-80 k€ + bonus | — |
| Conseil stratégique partner | 10+ ans | 250-500 k€+ | — |
Fourchettes Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France et estimations sectorielles conseil. Les écarts entre familles s'accentuent fortement avec l'ancienneté : un partner Big Four ou Conseil stratégique peut atteindre des rémunérations 3-5 fois supérieures à un manager ESN mixte.
Trajectoires classiques
- Voie ESN : junior → confirmé → manager → senior manager → directeur ou bascule indépendant à 5-7 ans.
- Voie Big Four : junior → senior → manager → senior manager → associé (« up or out » après 10-12 ans).
- Voie conseil stratégique : idem Big Four avec rémunérations plus hautes mais concurrence et sélectivité extrêmes.
- Voie indépendant : lancement typique après 3-7 ans en ESN ou cabinet, avec un carnet de clients pré-construit. Portage salarial les 12-24 premiers mois pour sécuriser le basculement.
Pour la trajectoire senior vers RSSI interne, voir Les étapes pour devenir RSSI : parcours et trajectoire.
7. Pour qui le métier de consultant convient-il ?
Le consulting attire par la variété, la rémunération progressive et la liberté d'indépendant. Il convient réellement à un profil précis.
Traits qui fonctionnent en consulting
- Adaptabilité rapide à des contextes nouveaux : nouveau client chaque 2-4 mois, cultures d'entreprise variées.
- Communication client fluide : vulgariser, écouter, restituer, reformuler, apaiser les tensions.
- Rigueur documentaire : rapports structurés, présentations, livrables professionnels.
- Résilience face à la pression commerciale : taux d'utilisation suivi, missions à gagner, clients à conserver.
- Autonomie dans l'organisation du temps : déplacements, horaires flexibles, gestion des imprévus.
Traits qui signalent un mauvais match
- Besoin de stabilité et de routine quotidienne.
- Difficulté à gérer le changement de contexte et la rotation client fréquente.
- Rejet des activités commerciales implicites (avant-vente, soutenance, relation client).
- Besoin d'appartenance forte à une équipe stable sur plusieurs années.
Pour un cadrage plus large des métiers cybersécurité et de la compatibilité par profil initial, voir Les métiers de la cybersécurité : guide complet. Pour la trajectoire pentester spécifiquement (souvent exercée en consulting technique), voir Qu'est-ce qu'un pentester ? Fiche métier complète. Pour la voie GRC qui domine le consulting audit, voir Peut-on travailler en GRC sans expérience cyber ?. Pour l'évolution long terme consulting → RSSI interne, voir Les étapes pour devenir RSSI.
Points clés à retenir
- Consultant cyber = intervient en mission pour un client final, via ESN, cabinet ou en indépendant. Facture au TJM en jours-hommes.
- 4 types principaux : technique (pentest, DevSecOps, cloud), GRC-conformité, stratégique (RSSI fractional), audit indépendant.
- Employeurs types : ESN techniques (Synacktiv, Almond), ESN mixtes (Wavestone, Devoteam), Big Four (EY, Deloitte), conseil stratégique (Bain, BCG), cabinets spécialisés.
- Salaires juniors 42-55 k€ IDF. Progression senior 85-130 k€. Partner Big Four ou conseil stratégique 180-500 k€+.
- TJM indépendant 600-1 500 € selon spécialité. Bascule indépendant typique après 3-7 ans salariat.
- Pression commerciale réelle : taux d'utilisation 70 %+ exigé en cabinet ou ESN. Convient aux profils adaptables, communicants, organisés.
- Certifications clés : CompTIA Security+ + ISO 27001 LI + CISA pour entrée mixte. Spécialisation selon type visé.
Pour l'ensemble des métiers cyber avec salaires et accessibilité par profil, voir Les métiers de la cybersécurité : guide complet. Pour comparer avec le métier de pentester qui est la forme technique pure du consulting, voir Qu'est-ce qu'un pentester ? Fiche métier complète. Pour un cadrage global de la reconversion cybersécurité, voir Le guide reconversion pillar. L'accompagnement cyber 6 mois prépare aux métiers consultants cyber avec préparation certifications intégrée (Security+ + ISO 27001 LI) et coaching entretien ESN et Big Four.
