Freelance cybersécurité : TJM, structure et clients 2026

Devenir freelance en cybersécurité en 2026 demande 3 ans minimum d'expérience avec spécialisation reconnue (5+ idéal pour TJM senior). Le marché paye 400-2500€/jour HT selon spé et séniorité : pentester web 400-1300€/j, pentester IA 1200-2500€/j (pénurie aiguë), AppSec senior 900-1200€/j, cloud security senior 1000-1400€/j, GRC senior 700-1200€/j, RSSI temps partagé 800-1400€/j. Sur 200 jours facturables/an, le chiffre d'affaires HT typique se situe entre 100 et 300 k€. Quatre options juridiques : micro-entreprise (plafond 77 700€ HT/an services 2026, charges ~22%), EI renforcée (depuis loi 14 février 2022, charges ~22%), SASU (charges ~45-65% rémunération + 30% flat tax dividendes, optimal CA > 100k€), portage salarial (ITG, Cadres en mission, Régie Portage prennent 8-12% commission, statut salarié conservé). Acquisition clients via 5 canaux : plateformes mid-market (LeHibou, Talent.io, Malt, Comet), réseau LinkedIn direct (60-70% des missions seniors), cabinets conseil partenaires (Wavestone, Almond, Synacktiv en sous-traitance), bug bounty premium (HackerOne, Bugcrowd, YesWeHack), conf et meetups (LeHACK, BSides, FIC, OWASP Paris). Cet article documente les TJM par spé, les structures juridiques comparées, l'acquisition clients pas-à-pas, les coûts cachés qui érodent la marge, et les anti-patterns persistants, notamment « passer freelance avant 3 ans XP » et « SASU dès la 1ère mission ».

Pour le contexte général : voir Travailler en cyber : par où commencer. Pour les profils dev en transition : Développeur vers cybersécurité : roadmap 2026.

Le bon mental model : freelance = entreprise solo, pas CDI déguisé

Erreur cognitive du futur freelance type 2026 : croire que c'est juste un CDI mieux payé sans patron. Faux. Le freelance est une entreprise solo avec ses propres mécaniques :

Conséquence : un freelance qui facture 200k€ HT/an avec 80 jours non facturés (40% utilisation) gagne moins net qu'un CDI à 90k€/an. La rentabilité freelance se construit sur utilisation > 60% jours facturables + TJM compétitif + charges optimisées.

TJM par spécialité 2026 (France HT/jour)

Données combinées Talent.io / LeHibou / Malt / Crème de la Crème + retours marché senior :

Variations géographiques 2026 :

• Paris / IDF : +10-15% vs province FR.
• Suisse Romande (Genève, Lausanne) : 1500-2500 CHF/jour senior, soit ~50-80% de plus que FR.
• Luxembourg : +20-40% vs FR (banques privées, CGFI).
• Belgique : -10% vs FR (sauf Bruxelles européen +10%).
• Remote US tech : 180-360 €/h senior (~1440-2880 €/jour), demande anglais excellent et profil rare.
• Allemagne (Berlin, Munich) : équivalent FR, +15-20% pour les profils très spécialisés.

# Simulation revenus freelance cyber 2026, script Python
def calculer_revenus_freelance(tjm, jours_factures, structure="sasu"):
    """
    Calcule revenu net annuel selon structure juridique.
    """
    ca_ht = tjm * jours_factures
    
    if structure == "micro":
        # Micro-entreprise : services 77 700€ plafond, charges ~22%
        if ca_ht > 77_700:
            return None, "Plafond micro dépassé"
        charges_sociales = ca_ht * 0.22
        impot_revenu = ca_ht * 0.10  # estimation flat 10%
        net = ca_ht - charges_sociales - impot_revenu
        return ca_ht, net
    
    elif structure == "ei":
        # EI renforcée : charges ~22%, IR sur bénéfice
        charges_sociales = ca_ht * 0.22
        benefice = ca_ht - charges_sociales
        impot_revenu = benefice * 0.20  # tranche moyenne
        net = benefice - impot_revenu
        return ca_ht, net
    
    elif structure == "sasu":
        # SASU : optimisation rémunération + dividendes
        # Approche optimale : remunérer SMIC pour validation trimestres
        # Le reste en dividendes (PFU 30%)
        frais_pro = 8000  # comptable, juridique, assurance, outils
        cotisations_president = 12000  # SMIC president
        charges_sociales_president = cotisations_president * 0.65
        ir_president = cotisations_president * 0.10
        
        benefice_societe = ca_ht - frais_pro - cotisations_president - charges_sociales_president
        impot_societe = benefice_societe * 0.25  # IS 25% > 38 120€
        dividendes_brut = benefice_societe - impot_societe
        pfu_dividendes = dividendes_brut * 0.30
        
        net_president = (cotisations_president - ir_president) + (dividendes_brut - pfu_dividendes)
        return ca_ht, net_president
    
    elif structure == "portage":
        # Portage salarial : commission 8-12%
        commission = ca_ht * 0.10
        salaire_brut = ca_ht - commission
        charges_salariales = salaire_brut * 0.22
        charges_patronales = salaire_brut * 0.42  # déjà déduites du CA
        ir = (salaire_brut - charges_salariales) * 0.20
        net = salaire_brut - charges_salariales - ir
        return ca_ht, net
 
# Exemple : pentester senior à 1100€/jour, 200 jours facturables
for structure in ["ei", "sasu", "portage"]:
    ca, net = calculer_revenus_freelance(1100, 200, structure)
    print(f"Structure {structure} | CA: {ca:,.0f}€ HT | Net: {net:,.0f}€")
 
# Output approximatif:
# Structure ei      | CA: 220,000€ HT | Net: 137,280€
# Structure sasu    | CA: 220,000€ HT | Net: 145,500€
# Structure portage | CA: 220,000€ HT | Net: 117,300€

Choix de structure juridique : matrice de décision

Le portage salarial : la voie sous-utilisée pour démarrer

Méconnu en cybersécurité 2026, le portage salarial est pourtant le meilleur démarrage pour passer freelance :

1. La société de portage (ITG, Cadres en mission, Régie Portage, Prium-Portage, Web Portage, FreelanceFR) te salarie sur la base de tes missions facturées.
2. Elle s'occupe TVA, comptabilité, juridique, tu factures ton client, elle te reverse en salaire.
3. Tu conserves statut salarié (sécurité sociale, mutuelle, prévoyance, retraite cadre, chômage).
4. Commission 8-12% du CA HT.
5. Possibilité de cumul avec ARE (chômage) si tu viens de quitter un CDI.

Avantages : zéro paperasse de gestion, RC Pro souvent incluse, focus 100% sur les missions. Inconvénient : commission qui réduit ton net de ~10% vs SASU optimisée. Position : portage salarial pendant 6-18 mois pour démarrer sans risque, basculer ensuite SASU si CA > 100 k€/an confirmé.

Acquisition clients : 5 canaux complémentaires

Canal 1 : Plateformes mid-market (volume, démarrage)

Pour démarrer et avoir des missions sans réseau, plateformes commission-based :

Canal 2 : Réseau LinkedIn direct (mid-senior, durable)

60-70% des missions seniors se signent via réseau direct, pas via plateformes. Stratégie LinkedIn freelance cyber :

• Profil optimisé : titre clair (« Freelance Cybersecurity – Pentest & Cloud Security »), bannière pro, expériences détaillées avec impact mesuré, recommandations 5+.
• Posts : 2-3/semaine, mix technique (1 article ressource) + opinion (1 prise de position) + projets (1 retour mission anonymisé).
• DM ciblés : 5-10 DM/semaine vers décideurs cyber d'entreprises cibles. Pas de pitch direct, conversation autour d'un post ou d'un sujet.
• Activité commentaires : commenter posts de RSSI/CISO/Security Engineering Leads de boîtes cibles avec valeur ajoutée technique.

ROI mesuré : 6-12 mois de visibilité régulière → 1-3 missions inbound/mois. Auto-renforçant : chaque mission permet 1-2 témoignages + 1-2 articles ressource.

Canal 3 : Cabinets conseil partenaires (volume, marges)

Sous-traitance de cabinets conseil ou cabinets cyber spécialisés :

• Wavestone (FR, ESN cyber leader) : missions audit, GRC, transformation cyber.
• Almond : audit cyber, conseil RSSI temps partagé.
• Synacktiv : pentest senior, recherche vuln avancée.
• Quarkslab : reverse engineering, audit produit.
• Devoteam Cyber Trust : audit + GRC.
• Orange Cyberdefense : SOC, MSSP, missions diverses.

Marge cabinet : 20-40% sur ton TJM facturé. Tu factures 1000€/j au cabinet, le cabinet facture 1300-1500€/j au client final. Avantage : pipeline mission stable, peu d'effort prospection. Inconvénient : marge réduite, dépendance cabinet.

Canal 4 : Bug bounty premium (revenus complémentaires)

Pour pentesters web / mobile confirmés, complément revenu freelance :

• HackerOne : programmes privés et publics, certains avec retainers 4.5 €-15k/mois.
• Bugcrowd : équivalent HackerOne, avec Bugcrowd University formation.
• YesWeHack (FR) : programmes FR/UE, gouvernement et entreprises FR.
• Intigriti (BE) : marché européen, programmes premium.
• Synack Red Team (US) : sélectif, retainers + bounties élevés.

ROI typique : 1k-50k€/an pour pentester confirmé qui consacre 5-10h/semaine. Top hunters HackerOne dépassent 450k €/an mais marché ultra-compétitif (top 100 mondial).

Canal 5 : Conférences et meetups (référencement organique)

Visibilité long terme via prise de parole communauté :

• LeHACK Paris (juillet, ~2000 participants).
• BSides Paris/Lyon/Toulouse (variées, communauté).
• FIC Lille (janvier, B2B, décideurs).
• SSTIC Rennes (juin, technique haut niveau).
• OWASP chapter Paris/Lyon (mensuel, communauté).
• DEF CON (Vegas, août, ~30k participants international).
• Black Hat USA (Vegas, août, top trainings).
• Insomnihack Genève (mars, suisse romande).

Stratégie : 1 talk/an minimum à conf reconnue + présence régulière meetups locaux. Conversion : ~1 mission tous les 6 mois en moyenne via cette voie, à valeur senior.

Erreurs fréquentes en passage freelance cyber

Coûts cachés annuels typiques freelance cyber

Net-net : sur 200 jours facturables × 1100€/j = 220 k€ HT, charges + frais + non-facturé érodent ~80-100 k€. Revenu net après IS/IR estimé 80-120 k€/an en SASU optimisée pour mid-senior. Toujours mieux qu'un CDI senior à 70-100 k€/an, mais l'écart est plus mince qu'il ne paraît.

Pour aller plus loin

• Travailler en cyber : par où commencer, pour cadrer la spé avant de viser freelance.
• Développeur vers cybersécurité : roadmap 2026, pour devs qui visent freelance après transition.
• Reconversion cybersécurité sans 5 ans d'études, compléter formation avant freelance.
• Métiers cybersécurité, détail des spés freelance-friendly.
• Financement formation cybersécurité, financer certifs/formations pendant freelance.
• Sources externes : LeHibou, Talent.io, Malt, Wavestone Insights, HackerOne, SASU vs EI INSEE, Portage salarial PEPS.

Points clés à retenir

• 3 ans XP minimum pour passer freelance cyber, 5 ans idéal pour TJM senior. Avant 3 ans XP, salariat dans boîte qui paye certifs/formation est plus rentable.
• TJM 2026 FR : pentester web 400-1300€/j, pentester IA 1200-2500€/j (pénurie), AppSec senior 900-1200€/j, cloud security senior 1000-1400€/j, GRC senior 700-1200€/j, RSSI temps partagé 800-1400€/j.
• Variations : Paris/IDF +10-15%, Suisse Romande +50-80% (1500-2500 CHF/j), Luxembourg +20-40%, US tech remote 180-360 €/h senior.
• 4 structures juridiques : micro-entreprise (plafond 77 700€ HT/an services 2026, charges ~22%), EI renforcée (loi 14 février 2022, charges ~22%), SASU (charges ~45-65% rémunération + 30% PFU dividendes, optimal CA > 100k€), portage salarial (commission 8-12%, statut salarié conservé).
• Position structure : portage salarial 6-18 mois pour démarrer sans risque, EI pour solo simple, SASU pour optimisation fiscale quand CA > 100 k€/an confirmé.
• 5 canaux acquisition : plateformes mid-market (LeHibou, Talent.io, Malt, Comet, Crème de la Crème), réseau LinkedIn direct (60-70% missions seniors), cabinets conseil (Wavestone, Almond, Synacktiv en sous-traitance), bug bounty premium (HackerOne, Bugcrowd, YesWeHack), conférences (LeHACK, BSides, FIC, OWASP).
• Coûts cachés annuels typiques : outils & licences 2400-4800€, certifs/formation 1500-3000€, comptable 1500-3000€, RC Pro 600-1500€, mutuelle/prévoyance 1500-3000€, période sans mission 30-60 jours/an non facturés.
• Net réel : sur 200 jours × 1100€/j = 220 k€ HT, charges + frais + non-facturé ~80-100 k€, net après IS/IR estimé 80-120 k€/an en SASU optimisée mid-senior.
• Anti-pattern n°1 : passer freelance avant 3 ans XP → revenus instables, repli forcé en CDI 12-18 mois après. Anti-pattern n°2 : SASU dès 1ère mission → comptable et IS inutiles, démarrer micro-entreprise ou portage. Anti-pattern n°3 : 100% missions via plateformes → marges réduites, dépendance.
• Discipline trésorerie : 3-6 mois de charges en réserve, acompte 30% client + paiement 30j max contrat, diversifier 2-3 clients minimum.
• Marché 2026 : pénurie aiguë sur pentest IA, cloud security, AI/LLM security senior. Mid-market saturé sur SOC analyst, IR junior, GRC junior. Cibler spé tendue avec pricing power.
• Position freelance cyber rentable = utilisation > 60% jours facturables + TJM compétitif + charges optimisées + diversification clients. Sinon CDI senior reste meilleur rapport effort/revenu/sécurité.