- Tension maximale du marché : la cybersécurité est le seul secteur IT où la demande dépasse l'offre de plus de 40 % en 2026.
- NIS2 + DORA : la transposition française (Loi Résilience) est attendue au premier trimestre 2026 et concerne 15 000 entreprises (vs 500 sous NIS1), avec des sanctions jusqu'à 10 M€ ou 2 % du CA mondial.
- TJM 2026 : 450-1 400 €/jour selon la spécialité. Pentester (650-1 000 €), Architecte sécurité (700-1 200 €), RSSI de transition (900-1 400 €), profils OT/SCADA au-delà de 1 000 €.
- Certifications CISSP, OSCP, CEH, ISO 27001 Lead Auditor : prime TJM de 15 à 30 % par rapport à un profil non certifié.
Depuis fin 2024, plus une semaine ne passe sans qu'un grand groupe français ne fasse la une après une cyberattaque. Banques piratées, hôpitaux paralysés, collectivités prises en otage, données clients volées : le cyber-risque n'est plus un sujet IT, c'est devenu une priorité stratégique de comité exécutif. Et avec lui, le marché des consultants cybersécurité indépendants est entré dans une phase de tension structurelle qui n'a pas d'équivalent ailleurs dans la tech.
En 2026, deux directives européennes en particulier — NIS2 et DORA — bouleversent les obligations de cybersécurité de milliers d'entreprises en France. Combinées à la pénurie chronique de profils RSSI et à l'industrialisation des attaques par ransomware, elles créent un appel d'air massif pour les freelances cyber. Tour d'horizon des opportunités, des TJM, et de la meilleure façon de se positionner cette année.
1. Pourquoi le marché cyber est en surchauffe
L'explosion des cyberattaques
Selon le panorama annuel de la cybermenace publié par l'ANSSI, les incidents traités en France ont progressé de plus de 30 % en 2025 par rapport à 2024. Les ransomwares restent l'arme principale, mais les attaques par l'IA générative (phishing massif, deepfakes, vol d'identité) se multiplient. Plus inquiétant : 60 % des incidents ciblent désormais les TPE/PME et les collectivités, qui étaient largement épargnées il y a encore 3 ans.
NIS2 : 15 000 entreprises françaises concernées
La directive européenne NIS2 (Network and Information Security 2), adoptée en décembre 2022, est entrée en vigueur le 16 janvier 2023, avec une date limite de transposition fixée au 17 octobre 2024. La France a accumulé du retard : la transposition passe par la Loi Résilience (projet PRMD2412608L), votée à l'unanimité en commission spéciale à l'Assemblée nationale en septembre 2025, avec une promulgation attendue au premier trimestre 2026.
Le changement d'échelle est massif :
- Périmètre : passage de 500 à environ 15 000 entités régulées en France
- Secteurs concernés : 18 secteurs stratégiques (énergie, transport, santé, finance, eau, alimentation, fournisseurs numériques, etc.)
- Sanctions : jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes
- Responsabilité personnelle des dirigeants en cas de manquement — c'est l'élément qui change tout
Cette responsabilité personnelle des dirigeants a un effet psychologique massif. Les PDG et DG, jusqu'ici peu impliqués sur la sécurité opérationnelle, exigent maintenant des audits, des feuilles de route et des reportings réguliers. Le besoin de consultants externes est exponentiel.
DORA : le big bang pour la finance
Le règlement DORA (Digital Operational Resilience Act), entré en application le 17 janvier 2025, impose au secteur financier européen un cadre de résilience numérique extrêmement strict : tests TLPT (Threat-Led Penetration Testing), gestion des risques ICT, surveillance des prestataires tiers, signalement obligatoire des incidents. Les banques, assurances, sociétés de gestion d'actifs, et même les prestataires critiques (cloud, fintech, éditeurs SaaS) sont tous concernés.
Concrètement, chaque grande banque française doit aujourd'hui mener des audits TLPT tous les 3 ans, cartographier ses prestataires critiques, et tracer chaque incident en moins de 4 heures. Pour les freelances cyber spécialisés finance, c'est une source de missions longues — souvent 9 à 18 mois — bien rémunérées.
L'AI Act : la cyber rencontre l'IA
L'AI Act européen, déployé progressivement entre 2025 et 2027, ajoute une couche supplémentaire : les systèmes d'IA "à haut risque" doivent désormais être documentés, audités et traçables, y compris sur leur volet sécurité. Un nouveau profil émerge — le consultant IA-sécurité — capable d'évaluer les risques d'attaques adversariales sur des modèles ML, la robustesse des LLM contre le prompt injection, et la conformité globale d'une chaîne IA.
2. Les TJM cybersécurité par profil en 2026
Voici les fourchettes consolidées 2026, à partir des données ANSSI, Hays France, Malt et Free-Work. Chiffres en €/jour HT, marché France, télétravail majoritaire ou hybride.
| Profil | Junior (0-3 ans) | Confirmé (3-7 ans) | Senior / Expert (7+ ans) |
|---|---|---|---|
| Analyste SOC | 350-450 € | 450-600 € | 600-800 € |
| Pentester / Auditeur offensif | 450-600 € | 650-850 € | 850-1 100 € |
| Consultant GRC (NIS2/DORA) | 500-650 € | 650-850 € | 850-1 200 € |
| Architecte sécurité | — | 700-900 € | 900-1 200 € |
| DevSecOps | 500-650 € | 650-800 € | 800-1 000 € |
| RSSI de transition | — | — | 900-1 400 € |
| OT/SCADA Security | — | 800-1 000 € | 1 000-1 400 € |
| Consultant IA-Sécurité | — | 750-950 € | 950-1 300 € |
À retenir : l'écart entre un junior et un expert dépasse +80 % en cybersécurité. Mais c'est la spécialisation qui fait vraiment la différence : un pentester généraliste plafonne autour de 850 €/jour, un spécialiste OT/SCADA part de 1 000 € minimum.
3. Les 5 spécialisations qui paient le plus en 2026
RSSI de transition
Le profil le plus rare et le mieux payé du marché. Le RSSI de transition est appelé en urgence — souvent après un incident majeur — pour reprendre en main la sécurité d'une organisation pendant 6 à 18 mois. Il pilote la mise en conformité (NIS2, DORA, ISO 27001), gère les relations avec l'ANSSI, supervise les équipes internes, et prépare le recrutement du RSSI permanent.
TJM 2026 : 900 à 1 400 €/jour. Les profils ex-RSSI grand compte avec certifications CISM ou CISSP dépassent fréquemment 1 200 €. Missions souvent longues (12 mois et plus), démarrage en moins de 2 semaines.
Consultant GRC spécialisé NIS2 / DORA
Le consultant GRC (Gouvernance, Risque, Conformité) ne touche pas au code : il pilote des audits, rédige des politiques de sécurité, accompagne des certifications ISO 27001, ISO 27701, ou prépare des entreprises à la mise en conformité NIS2/DORA. C'est le profil le plus demandé par les directions juridiques et conformité en 2026, car il combine compréhension technique et capacité à dialoguer avec des comités exécutifs.
TJM 2026 : 850 à 1 200 €/jour pour un senior. Une certification ISO 27001 Lead Auditor ou Lead Implementer apporte une prime de 20 % en moyenne.
OT/SCADA Security (cybersécurité industrielle)
Sécuriser les usines, les barrages, les hôpitaux, les réseaux d'eau : ces missions touchent au monde physique et exigent une double expertise IT et industrielle (Modbus, OPC-UA, PLC Siemens/Schneider, segmentation IT/OT). Les profils sont rarissimes — souvent moins de 200 freelances en France maîtrisent réellement le sujet.
TJM 2026 : 1 000 à 1 400 €/jour. Les missions sont à forte criticité, souvent en site industriel avec déplacements, et durent 6 à 12 mois.
Architecte sécurité Cloud
La généralisation du multi-cloud (AWS + Azure + GCP) a fait exploser le besoin d'architectes sécurité capables de concevoir des Landing Zones sécurisées, des stratégies Zero Trust, des architectures IAM complexes, et des pipelines de sécurité automatisés. Compétences clés : SASE, SSE, CSPM, CIEM, certifications cloud (AWS Security Specialty, Azure Security Engineer).
TJM 2026 : 900 à 1 200 €/jour pour un senior certifié multi-cloud.
Pentester certifié OSCP
Le pentester reste un grand classique, mais en 2026 la barre s'est élevée. Les clients exigent désormais des certifications reconnues (OSCP, OSEP, GPEN) et une vraie capacité à rédiger des rapports lisibles par des dirigeants non techniques. Les missions courtes (1 à 3 mois) restent la norme, mais les pentests réguliers en mode "Red Team continu" se multiplient — souvent associés à des tests TLPT pour les banques DORA.
TJM 2026 : 700 à 1 100 €/jour pour un OSCP certifié senior.
4. Les certifications cyber qui font monter le TJM
En cybersécurité plus qu'ailleurs, la certification est un signal de confiance fort. Voici les 6 certifications les plus reconnues et leur impact sur le TJM en 2026 :
- CISSP (Certified Information Systems Security Professional) — la référence absolue pour les profils gouvernance et architecture. Prime TJM : +20 à +25 %
- OSCP (Offensive Security Certified Professional) — le standard or pour les pentesters. Certification 100 % pratique, exigeante. Prime TJM : +20 à +30 %
- CEH (Certified Ethical Hacker) — plus généraliste que l'OSCP, bien valorisée en ESN. Prime TJM : +15 %
- ISO 27001 Lead Auditor / Lead Implementer — indispensable pour les profils GRC et audit. Prime TJM : +20 %
- CISM (Certified Information Security Manager) — pour les profils management et RSSI. Prime TJM : +20 %
- CISA (Certified Information Systems Auditor) — pour les profils audit SI et conformité. Prime TJM : +15 à +20 %
Pour les profils spécialisés cloud, ajoutez les certifications constructeurs : AWS Certified Security Specialty, Microsoft Certified: Azure Security Engineer Associate, Google Professional Cloud Security Engineer. Elles ne remplacent pas les certifications "neutres" mais font la différence quand le client est engagé sur un cloud spécifique.
5. Comment se positionner en 2026 ?
Si vous êtes déjà cyber, montez en spécialisation
Le marché paie de plus en plus mal les généralistes et de plus en plus bien les spécialistes. Un "consultant cybersécurité" tout court plafonne autour de 700-800 €/jour. Un "consultant cybersécurité spécialisé DORA pour le secteur bancaire" ou un "architecte sécurité Azure avec certification CSPM" franchit facilement la barre des 1 000 €. La verticale métier ou la spécialisation produit est devenue le meilleur multiplicateur de TJM.
Si vous venez de l'IT classique, basculez via DevSecOps
Le DevSecOps est aujourd'hui la voie royale pour basculer du développement ou de l'infrastructure vers la cybersécurité. Les compétences sont en grande partie complémentaires (CI/CD, Kubernetes, infrastructure as code) et le marché demande désespérément des profils qui parlent les deux langues. Une certification DevSecOps Professional ou un parcours sur des outils comme SonarQube, Snyk, Aqua, Wiz, et vous pouvez prétendre à 700-900 €/jour en 6-12 mois.
Si vous débutez, visez le SOC avant la spécialisation
Le rôle d'analyste SOC reste la porte d'entrée la plus accessible. Les TJM sont modestes au départ (350-500 €), mais en 18 à 24 mois vous accumulez l'expérience nécessaire pour basculer vers le pentest, l'architecture ou le GRC. Visez les SOC qui forment réellement (équipes structurées, MITRE ATT&CK appliqué, vrais playbooks).
6. Quel statut juridique en cybersécurité ?
La cybersécurité a une particularité : les missions longues sont la norme. Quand une banque vous embarque sur un programme DORA ou un RSSI de transition prend ses fonctions, c'est rarement pour 3 mois. C'est souvent 12 à 24 mois renouvelables, avec une régularité de facturation comparable à un CDI cadre.
Cette régularité change la donne pour le choix du statut :
- Micro-entreprise : très vite dépassée. Un pentester à 850 €/jour atteint le plafond annuel BNC services (83 600 €) en moins de 5 mois.
- SASU / EURL : intéressante pour les profils à très haut TJM (au-delà de 1 100 €) avec missions longues récurrentes et envie de capitaliser. Mais elle implique des frais administratifs annuels (1 500-2 500 €/an de compta) et n'ouvre pas de droits à l'assurance chômage.
- Portage salarial premium : un compromis très efficace pour la plupart des profils cyber. Statut cadre, ouverture potentielle de droits ARE (dont le montant et la durée dépendent de l'historique, de l'âge et des règles France Travail), retraite cadre, frais professionnels déductibles, et simplicité administrative.
Pour un RSSI de transition à 1 200 €/jour sur 18 jours par mois (CA mensuel : 21 600 €), une société de portage premium avec frais plafonnés permet d'atteindre un net mensuel de l'ordre de 10 000 à 11 000 €, tout en conservant le statut de salarié cadre et l'ouverture des droits sociaux associés (retraite, prévoyance, ARE).
Combien je touche vraiment à mon TJM en portage ?
Notre simulateur 2026 calcule votre net mensuel à partir de votre TJM, vos jours facturés et vos frais professionnels. Conforme aux barèmes URSSAF 2026 (PMSS 4 005 €, arrêté du 22 décembre 2025), frais plafonnés à 600 €/mois.
Lancer la simulation gratuite →7. SmartWAY IT et la cybersécurité
SmartWAY IT accompagne des consultants cyber sur l'ensemble du spectre : pentesters, GRC, architectes, RSSI de transition, DevSecOps. Notre positionnement banking & finance est un atout particulier pour les profils alignés sur DORA, où nos partenaires ESN et clients directs recherchent activement des compétences spécialisées.
Notre offre pour les consultants cyber en 2026 :
- Frais de gestion 4 % du CA HT, plafonnés à 600 €/mois — particulièrement avantageux sur les TJM élevés (RSSI, OT/SCADA, GRC senior)
- Premier mois offert pour démarrer sans friction
- Paiement garanti le 1er du mois, indépendamment des délais de paiement client (souvent 60 jours dans le secteur bancaire)
- Carte MAY (cagnotte CSE) non imposable jusqu'à 300 €/mois sous conditions d'éligibilité URSSAF
- Frais professionnels optimisés : NTIC, télétravail, prospection, déplacements (très utile pour les profils OT/SCADA en mission sur site industriel)
- Garantie financière AXA, mutuelle Benefiz, prévoyance Malakoff Humanis
- Accès au réseau de missions exclusives via nos partenaires ESN et clients directs dans la banque, l'assurance et l'industrie