Consultant en cybersécurité : métier, études, salaire

⏳En résumé

👉 Le rôle du consultant

Le consultant en cybersécurité réalise différentes missions permettant d’aider les entreprises à sécuriser leur système d’information.

Parmi ces missions on trouve notamment les tests d’intrusion ou pentests qui consistent à hacker légalement l’infrastructure informatique de l’entreprise pour en trouver les faiblesses.

👉 Études et formation

Les consultants en cybersécurité ont un diplôme de niveau bac + 5 (école d’ingénieur ou master) dans le domaine de la cybersécurité ou de l’informatique.

👉 Salaire

Les salaires des consultants en cybersécurité sont généralement très attractifs.

débutant : 3500€ brut par mois

confirmé : 5000-6000€ brut par mois. Voire davantage après une dizaine d’années d’expérience.

👉 Employabilité

La France manque de professionnels de la cybersécurité, en particulier de consultants. Leur employabilité est donc excellente.

🔍 Zoom sur le métier de consultant en cybersécurité

Un métier qui varie en fonction du cabinet

Avant de commencer, il est important de préciser que le métier de consultant en cybersécurité varie beaucoup en fonction du cabinet de conseil pour lequel il travaille. Par exemple :

• certains cabinets proposent à leurs consultants des missions courtes (de 1 semaine à 1 mois) alors que d’autres les placent pendant de plus longues périodes chez leurs clients (parfois plus d’un an).
• la nature des missions varie en fonction du cabinet. Certains proposent à leurs consultants des missions très variées alors que d’autres les amènent à se spécialiser plus rapidement sur un sujet en particulier.‍

Qu’est-ce qu’un consultant en cybersécurité ?

Le consultant en cybersécurité réalise des missions de conseil en sécurité informatique pour différentes entreprises ou organisations.

L’objectif de ces missions est généralement préventif. Il s’agit le plus souvent de conseiller l’entreprise cliente pour qu’elle améliore la sécurité de son système d’informatique et soit mieux préparée en cas d’attaque cyber.

Dans le détail, ces missions peuvent-être :

Des audits. Parmi ces audits on trouve notamment :

• des audits d’intrusion (les fameux tests d’intrusion ou pentests)
• des audits d’architecture (comment le système informatique est-il conçu ? de quels équipements de protection est-il composé ? sont-ils conformes aux normes de sécurité ? etc.)
• des audits organisationnels (quelles sont les données sensibles de l’entreprise ? qu’est-il prévu si une cyberattaque se produit ? etc.)

D’autres prestations :

• des formations de sensibilisation aux risques cyber (en particulier des tests de phishing)
• des mises en conformité RGPD
• la création d’une politique de sécurité informatique pour l’entreprise

La liste ci-dessus n’est pas exhaustive car il existe presque autant de missions différentes que d’entreprises. Ainsi, comme un médecin qui examine son patient, l’un des rôles du consultant est de comprendre les faiblesses de chacune d’entre elles pour leur proposer la solution la plus adaptée à leurs besoins.

💼 Quelle carrière pour un consultant en cybersécurité ?

Quelles entreprises recrutent des consultants en cybersécurité ?

À part s’il travaille en freelance, le consultant en cybersécurité travaille généralement pour un cabinet de conseil. Ce cabinet l’envoie ensuite en mission chez différents clients.

Sopra Steria, Wavestone et Orange Cyberdefense sont trois exemples d’entreprises réputées dans ce domaine.

Les 4 grands cabinets d’audits et de conseil Deloitte, EY, KPMG et PwC (les "Big Four") recrutent aussi chaque année un grand nombre d’experts en cybersécurité.

De nombreuses autres entreprises proposent des postes dans ce domaine. Pour aider les clients et les employés à s’y retrouver, l’ANSSI a créé la qualification PASSI qui atteste de la qualité des prestations de ces sociétés.

Quels horaires ?

Les horaires de travail classiques du consultant sont 9h-18h. Ils peuvent cependant varier légèrement au cours de l’année car certaines missions plus urgentes peuvent demander un rythme de travail plus soutenu.

Au contraire, il y a aussi parfois des périodes de creux pendant lesquelles le consultant aura plus de temps, notamment pour pouvoir se former ou passer des certifications.

Quelle évolution de carrière ?

Au début de sa carrière, le consultant est généralement polyvalent : il réalise des missions sur des sujets très différents. Petit à petit, il peut être amené à se spécialiser dans un domaine particulier (comme les tests d’intrusion par exemple ou les audits d’architecture) et devenir un expert de ce sujet.

Cependant, si rester consultant pendant de nombreuses années permet de bénéficier d’une rémunération très intéressante (les salaires pouvant dépasser les 7 000€ mensuels brut), dans les faits, les cabinets de conseils subissent un turn-over important.

En effet, les consultants en cybersécurité sont régulièrement démarchés pour rejoindre d’autres entreprises du secteur de la cybersécurité pour se spécialiser dans un domaine particulier ou occuper un poste à forte responsabilité, comme manager d’une équipe cyber par exemple ou même parfois Responsable de la Sécurité des Systèmes d’Information (RSSI).

Avantages et inconvénients du métier de consultant en cybersécurité

✅ Les avantages :

• les missions sont très variées : chaque journée est différente.
• le métier de consultant en cybersécurité est très formateur. Les consultants juniors apprennent en général en binôme avec un consultant senior et acquièrent rapidement une vision à 360° des enjeux du monde de la cybersécurité.
• dans les cabinets de conseil, les équipes sont généralement jeunes. D’après l’ANSSI, 40% des consultants ont moins de 30 ans. Il est donc facile de s’y intégrer en sortie d’école.
• il est généralement possible de télétravailler une partie de la semaine.

❌ Les inconvénients :

• il faut aimer passer d’un sujet à l’autre et devoir parfois réaliser des missions qui nous intéressent moins.
• le métier de consultant peut être stressant. D’après l’ANSSI, en 2021, 60% des consultants spécialisés en cybersécurité jugeaient leur métier stressant ou très stressant.
• les cabinets de conseils peuvent parfois avoir une organisation très hiérarchisée. Cela se ressent plus ou moins en fonction du cabinet.

🤔 Comment devenir consultant en cybersécurité ?

Les études pour devenir consultant en cybersécurité

La majeure partie des consultants en cybersécurité ont fait un master ou une école d’ingénieur avec une spécialisation en informatique ou en cybersécurité.

Ce métier recrute donc principalement à bac + 5.

Pour qui ce métier est-il fait ?

Les qualités nécessaires pour devenir consultant en cybersécurité sont :

• être curieux et polyvalent. Les missions sont toutes différentes et il faut aimer passer d’un sujet à l’autre.
• aimer apprendre et suivre l’actualité cyber. Le consultant doit rester à jour car le monde de la sécurité informatique est en constante évolution.

Quelles compétences pour exercer ce métier ?

Le consultant doit bien sûr avoir des compétences en cybersécurité. Néanmoins, il est aussi primordial qu’il ait de bonnes capacités de communication et de pédagogie pour discuter avec son client, comprendre ses besoins et lui expliquer clairement ce qui serait le mieux pour lui.

Deux conseils pour un futur consultant en cybersécurité

Premièrement, il est important de pouvoir montrer à son futur employeur ses compétences dans le domaine de la cybersécurité. Pour cela, le fait de participer régulièrement à des CTF en ligne ou physiquement mettra votre profil en avant vis-à-vis des recruteurs.

Aussi, les recruteurs aiment poser des questions au sujet de l’actualité cyber. Avant un entretien, renseignez-vous au sujet des dernières nouvelles et restez curieux le reste de l’année !

Merci beaucoup à Thomas Girard, consultant en cybersécurité chez Mazars pour son aide à la rédaction de cet article. Un grand merci aussi à ses collègues Vangelis Hoareau et Tanguy Boisset pour leur relecture de cette fiche métier.

Deux images ont été réalisées à partir des illustrations de Pikisuperstar et Storyset sur Freepik.