Un consultant cybersécurité en France gagne entre 38 k€ bruts annuels pour un profil junior en sortie de formation et plus de 180 k€ pour un RSSI de grand groupe, avec une médiane confirmée (3 à 5 ans d'expérience) autour de 58 k€. En freelance, le TJM (Taux Journalier Moyen) s'étage de 400 € pour un junior à 1 500 € et plus pour un expert pentest red team ou un RSSI en transition management. Cet article détaille les grilles 2026 par niveau d'expérience, par spécialité, l'arbitrage salariat contre freelance, et les facteurs qui pèsent réellement sur la rémunération : secteur, certifications, localisation, taille d'entreprise.
Panorama 2026 du marché cyber en France
Le marché de l'emploi cybersécurité reste structurellement tendu. L'étude (ISC)² Cybersecurity Workforce Study 2024 chiffre le déficit mondial de professionnels à 4,8 millions, en hausse de 19 % sur un an. En France, le baromètre CESIN 2024 (12e édition, enquête auprès de 400 RSSI) indique que 77 % des RSSI rencontrent des difficultés de recrutement, et 54 % estiment que la situation s'est dégradée sur les 12 derniers mois.
Cette tension se traduit par trois dynamiques de marché qui structurent la rémunération :
- Prime à la spécialisation rare : les profils cloud security (AWS, Azure, GCP), DevSecOps intégrés à des pipelines matures, et AI security (red teaming LLM, sécurité MLOps) commandent des surcotes de 10 à 25 % par rapport aux profils cyber généralistes équivalents.
- Segmentation par secteur : la banque, la défense, les opérateurs d'importance vitale (OIV) et les plateformes SaaS scale-up paient 15 à 30 % au-dessus du marché sur tous les niveaux, pour compenser les contraintes de clearance, de criticité ou d'astreinte.
- Plafonnement des hausses annuelles : après la bulle salariale 2022-2023 (progression annuelle 7 à 10 %), la hausse moyenne 2025 s'est stabilisée à 3 à 5 %. Les rattrapages massifs sur profils confirmés se raréfient ; les augmentations passent désormais par changement de poste ou évolution vers un rôle à plus forte exposition.
Grille de salaire par niveau d'expérience
Le niveau d'expérience reste le premier déterminant de la rémunération, devant la spécialité ou la certification. Les fourchettes ci-dessous couvrent la France entière, avec une variation de 5 à 10 % à la hausse pour la région parisienne et les grandes métropoles (Lyon, Toulouse, Nantes, Rennes).
| Niveau | Expérience | Fourchette brute annuelle | Médiane observée |
|---|---|---|---|
| Junior | 0 à 2 ans | 38 à 48 k€ | 42 k€ |
| Confirmé | 3 à 5 ans | 50 à 68 k€ | 58 k€ |
| Senior | 6 à 9 ans | 68 à 90 k€ | 78 k€ |
| Expert / Principal | 10 ans et plus | 88 à 120 k€ | 100 k€ |
| Manager / Lead | 8 ans et plus | 85 à 130 k€ | 105 k€ |
| RSSI / CISO | 10 ans et plus | 90 à 200 k€+ | 130 k€ |
Junior (0 à 2 ans) : en reconversion avec une formation certifiante (Bac+3 à Bac+5 reconnue RNCP, type RNCP 36390 pour les titres d'expert en sécurité des systèmes d'information), le premier poste typique est analyste SOC N1, auditeur GRC junior, ou consultant PSSI. La fourchette haute (46-48 k€) s'adresse aux profils avec un background dev ou sysadmin de 3 ans et plus, qui arrivent opérationnels sur les outils.
Confirmé (3 à 5 ans) : c'est le niveau où les spécialités commencent à faire diverger les trajectoires (voir section suivante). À ce stade, les certifications commencent à peser : un profil confirmé avec OSCP se négocie 4 à 7 k€ au-dessus d'un profil équivalent sans certification reconnue.
Senior et Expert : ces niveaux intègrent une dimension d'expertise reconnue (publications, interventions conférences type SSTIC, LeHack, FIC) ou de leadership technique (tech lead, architecte). Au-delà de 10 ans, les trajectoires divergent entre expertise pure et management ; les managers cyber avec équipe de 5+ personnes atteignent 110 à 140 k€ en ETI, plus en grand groupe.
Variations par spécialité
À niveau d'expérience égal, la spécialité crée des écarts significatifs. Le tableau suivant donne les fourchettes pour un profil confirmé (3 à 5 ans) en France, tous secteurs confondus.
| Spécialité | Fourchette brute annuelle | Rareté marché |
|---|---|---|
| Analyste SOC N1/N2 | 40 à 55 k€ | Modérée |
| Analyste SOC N3 / Threat Hunter | 58 à 78 k€ | Forte |
| Pentester | 52 à 75 k€ | Forte |
| Red Teamer | 65 à 95 k€ | Très forte |
| DevSecOps Engineer | 58 à 82 k€ | Très forte |
| Cloud Security Engineer | 62 à 88 k€ | Très forte |
| GRC / Auditeur ISO 27001 | 50 à 68 k€ | Modérée |
| CTI Analyst | 52 à 72 k€ | Modérée |
| Forensic / DFIR | 58 à 80 k€ | Forte |
| Architecte sécurité | 72 à 95 k€ | Forte |
| AppSec Engineer / Security Champion | 60 à 85 k€ | Forte |
| LLM / AI Security | 65 à 95 k€ | Très forte (émergente) |
Lecture stratégique : les profils en haut de classement (Red Team, DevSecOps, Cloud Security, AI Security) combinent trois caractéristiques qui expliquent la prime salariale : barrière d'entrée technique élevée (il faut coder, comprendre l'infra, connaître les pipelines), pénurie réelle de candidats qualifiés, et forte demande côté entreprise (cloud migration, conformité DORA, régulation IA).
Les profils GRC et SOC N1/N2 restent plus accessibles en reconversion mais leur plafond de verre salarial est plus bas en opérationnel pur. L'évolution salariale passe par le N3, le management, ou un pivot vers le conseil (Big 4 type Deloitte, EY, PwC, ou pure players comme Wavestone, Capgemini Invent).
Salariat contre freelance : l'arbitrage chiffré
Le passage en freelance concerne environ 18 % des consultants cybersécurité en France selon les dernières données Free-Work (2024). L'arbitrage se joue sur quatre axes : rémunération nette, couverture sociale, stabilité, et formation.
Fourchettes de TJM 2026
| Niveau | TJM bas | TJM médian | TJM haut |
|---|---|---|---|
| Junior (2 à 3 ans) | 400 € | 480 € | 550 € |
| Confirmé (3 à 5 ans) | 550 € | 680 € | 800 € |
| Senior (6 à 9 ans) | 750 € | 900 € | 1 100 € |
| Expert / Architecte | 900 € | 1 150 € | 1 400 € |
| Pentest senior / Red Team | 850 € | 1 100 € | 1 400 € |
| RSSI transition management | 1 200 € | 1 500 € | 2 000 € |
Équivalence salariat / freelance
Pour un freelance en SASU à l'IS avec dividendes, un TJM de 600 € sur 210 jours facturés par an génère environ 126 000 € de CA. Après charges sociales, fonctionnement et IS, la rémunération nette disponible s'approche de 70 à 80 k€ nets, contre 52 à 58 k€ nets pour un salarié cadre à 68 k€ bruts (confirmé médian).
Simulation SASU IS 2026 (hypothèses France, ordres de grandeur)
------------------------------------------------------------
CA annuel (600 € x 210 jours) : 126 000 €
Frais pro (compta, assurance, etc.) : 6 000 €
Rémunération dirigeant brute : 60 000 €
Charges sociales dirigeant : 24 000 €
Résultat avant IS : 36 000 €
IS (taux PME) : 5 400 €
Dividendes distribuables : 30 600 €
Flat tax 30 % sur dividendes : 9 180 €
---------------------------------------------
Net salarial dirigeant : 40 000 €
Net dividendes : 21 420 €
Net disponible total : 61 420 €Ces chiffres sont indicatifs et dépendent du régime conjugal, des autres revenus du foyer, et du choix entre rémunération dirigeant et dividendes. La comparaison nette à nette avec un cadre CDI doit également intégrer : absence de CP (25 jours ouvrables soit environ 10 % du brut), prévoyance et mutuelle cadre non employeur, cotisations retraite complémentaire AGIRC-ARRCO non cumulées au même rythme, pas d'intéressement/participation, et exposition au risque d'inter-contrat.
Quand le freelance devient rentable
L'équation de bascule pour un profil cyber confirmé est la suivante :
- TJM plancher 600 € avec taux d'occupation 80 % (soit 180 jours facturés).
- Épargne de précaution équivalente à 6 mois de charges fixes pour encaisser un inter-contrat.
- Réseau professionnel actif permettant de limiter la dépendance à une ESN/cabinet unique.
- Appétence pour la diversité de missions et la gestion administrative (devis, factures, URSSAF, comptabilité).
En dessous de ces conditions, le salariat en ESN spécialisée (Synetis, Almond, Intrinsec, Formind) ou chez un pure player offre plus de valeur perçue : formation continue, accès aux certifications payées, montée en compétence accompagnée.
Les facteurs qui font vraiment varier la rémunération
Au-delà de l'expérience et de la spécialité, cinq facteurs expliquent l'essentiel de la dispersion salariale à poste équivalent.
Secteur d'activité
La banque, la défense, l'énergie (OIV au sens ANSSI / LPM) et les grandes plateformes SaaS paient structurellement au-dessus du marché. À poste équivalent, un SOC analyst N2 dans une banque systémique touche 15 à 25 % de plus qu'en PME industrielle. Les raisons : criticité réglementaire (DORA, NIS2, TIBER-EU), obligations de résultat vis-à-vis du superviseur (ACPR, BCE), budgets cyber mieux structurés.
Taille d'entreprise
Les fourchettes évoluent de manière non linéaire. Une PME de 200 salariés paie moins qu'un ETI de 2 000 salariés, mais offre parfois plus de responsabilité effective à un profil jeune. Un grand groupe paie structurellement mieux sur les packages totaux mais spécialise fortement les postes.
Localisation
Paris intramuros commande une prime de 5 à 10 % par rapport à la grande couronne, qui commande elle-même une prime de 8 à 15 % par rapport aux métropoles régionales (Lyon, Toulouse, Nantes). À l'international, les salaires cyber français restent inférieurs à ceux de Londres, Amsterdam, Zurich, avec des écarts de 30 à 60 % sur les mêmes postes en équivalent brut.
Certifications
Les certifications à ROI salarial identifié en 2026 :
- OSCP / OSEP / OSCE3 (Offensive Security) : +5 à 10 k€ sur un profil pentest confirmé.
- CISSP / CISM (ISC2 / ISACA) : +8 à 15 k€ sur les profils management et GRC senior.
- AWS Security Specialty / GCP PCSE / AZ-500 : +5 à 12 k€ cloud security.
- GIAC GCIH / GREM / GCFA (SANS) : +5 à 10 k€ DFIR et IR.
- CEH (EC-Council) : impact salarial faible, utilité surtout pour les filtres RH.
- ANSSI CESTI / PASSI : pré-requis pour missions qualifiées, pas une prime individuelle directe.
Type d'employeur
Le différentiel entre ESN généraliste, pure player cyber, éditeur ou client final est significatif :
| Type d'employeur | Niveau de salaire | Formation | Autonomie |
|---|---|---|---|
| ESN généraliste (Capgemini, Sopra) | Médian marché | Variable | Faible à moyenne |
| Pure player cyber (Wavestone, Almond, Synetis) | +5 à 15 % | Élevée | Moyenne à forte |
| Big 4 conseil (Deloitte, EY, PwC, KPMG) | +10 à 20 % | Élevée | Moyenne |
| Éditeur / vendor cyber | +10 à 25 % | Spécialisée | Forte |
| Client final (RSSI interne, équipe SecOps) | Médian marché | Moyenne | Forte |
| Grand groupe (CAC 40, banque) | +15 à 30 % | Élevée | Moyenne |
Trajectoires d'évolution et plafond de verre
L'évolution salariale en cybersécurité suit trois trajectoires principales au-delà de 5 à 7 ans d'expérience. Chacune a son plafond et ses conditions.
Trajectoire expertise technique (IC, Individual Contributor) : Analyste senior → Expert → Principal Engineer → Fellow. Plafond en France autour de 130 à 150 k€ sauf dans les scale-up tech (OVH, Doctolib, Datadog, Scaleway) où les grilles IC dépassent 180 k€ sur les seniors. Le plafond monte à 200 k€+ chez les vendors US avec entités françaises (Palo Alto, CrowdStrike, Wiz, Datadog Security).
Trajectoire management : Tech Lead → Manager → Head of Security → RSSI. Plafond large, de 120 k€ pour un manager d'équipe de 5 personnes en ETI à 350 k€ pour un Group CISO d'un CAC 40. Nécessite des compétences non techniques fortes : pilotage budget, communication COMEX, gestion de carrière des collaborateurs.
Trajectoire conseil / freelance : Consultant → Senior Consultant → Manager → Partner (modèle cabinet). Plafond élevé chez les Big 4 ou pure players (200 à 400 k€ pour un Partner Cyber). Plafond en freelance pur autour de 300 à 400 k€ de CA annuel pour les profils RSSI de transition ou experts pentest rares.
Négocier son salaire : quelques repères concrets
La négociation en cybersécurité s'appuie sur trois leviers structurés et bien documentés :
- Benchmark chiffré : arriver en entretien avec la fourchette marché du poste, documentée par au moins deux sources croisées (Hays, Michael Page, APEC, Glassdoor). Citer les données donne de la légitimité à la demande.
- Package total, pas seulement le fixe : variable, intéressement, participation, PEE, PERCO, RTT, télétravail, budget formation (2 000 à 5 000 € par an chez les pure players), certifications payées. Un package 55 k€ fixe + 10 % variable + formation OSCP + 3 jours télétravail vaut mieux qu'un 60 k€ fixe sec.
- Scénarios chiffrés : si vous hésitez entre deux offres, construire un tableau comparatif incluant coûts de transport, temps de trajet monétisé, charges mutuelle non employeur. L'offre à 58 k€ à 15 minutes à vélo du domicile peut dominer une offre à 65 k€ à 1h15 de RER.
Points clés à retenir
- Un consultant cybersécurité confirmé (3 à 5 ans) gagne en médiane 58 k€ bruts annuels en France en 2026 ; les fourchettes complètes s'étalent de 38 k€ (junior) à 200 k€+ (RSSI grand groupe).
- Les spécialités DevSecOps, Cloud Security, Red Team et AI Security commandent une prime de 10 à 25 % par rapport aux profils cyber généralistes à expérience équivalente.
- Le TJM freelance rentable démarre à 600 € pour un confirmé, à condition de sécuriser un taux d'occupation supérieur à 75 % et d'avoir une épargne de précaution de six mois.
- Les certifications à ROI salarial identifié sont OSCP/OSEP, CISSP/CISM, AWS Security Specialty et GIAC GCIH. Les certifications éditeur ont un impact salarial plus faible.
- La progression salariale rapide passe désormais par le changement de poste (tous les 2 à 3 ans sur les 10 premières années) plutôt que par l'évolution interne.
Pour aller plus loin
Cet article fait partie d'un ensemble cohérent sur la carrière cyber. Pour approfondir :
- Quels métiers recrutent en cybersécurité - panorama détaillé des postes les plus demandés en 2026.
- Quel métier cyber choisir selon son profil - grille d'aide à la décision par background initial.
- Étapes pour devenir RSSI - parcours détaillé vers le rôle de CISO.
- Reconversion cybersécurité - guide complet - pillar page de référence pour cadrer son projet.
