Devenir consultant analyse de risques cybersécurité freelance

L’analyste de risques cybersécurité conduit, formalise et présente l’analyse des menaces qui pèsent sur les actifs informationnels d’une organisation. Il ne « fait » pas la cybersécurité au quotidien : il aide à décider où mettre les efforts en arbitrant entre des dizaines de scénarios possibles, et à valoriser les conséquences pour la direction générale.

Concrètement, ses livrables sont rarement du code ou des configurations. Ils prennent la forme de cartographies (actifs / processus / menaces / parties prenantes), de scénarios documentés (« comment un attaquant X peut compromettre l’actif Y via le chemin Z »), de matrices de vraisemblance × gravité, de plans de traitement priorisés, et de rapports COMEX synthétiques (4 à 8 pages, lus en réunion de direction).

Selon le référentiel France Travail, ce métier s’inscrit principalement sous le code M1802 « Conseil et maîtrise d’ouvrage en SI », avec un fort recouvrement avec M1604 « Conseil en organisation et management ». À la différence du consultant GRC (généraliste audit + conformité + gouvernance), l’analyste de risques est un méthodologue : il maîtrise des cadres précis (EBIOS RM, ISO 27005, NIST 800-30, FAIR), sait animer des ateliers structurés avec 6-15 parties prenantes, et produit des analyses dont la qualité ne se mesure pas à la quantité de pages mais à la qualité des décisions qu’elles permettent.

En 2026, trois forces poussent la demande pour ce métier : (1) la réglementation (NIS2 art. 21 exige une « politique de gestion des risques » formalisée et auditable, DORA art. 6 exige un « cadre de gestion des risques liés aux TIC »), (2) la cyber-assurance qui exige une cartographie pour tarifer, (3) la maturité grandissante des directions générales qui réclament des chiffres comparables au reste du risque d’entreprise.

EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager) est la méthode publiée et maintenue par l’ANSSI. Successeur d’EBIOS 2010, elle a été refondue en 2018 pour intégrer une approche par scénarios stratégiques + scénarios opérationnels (vs l’approche classique « menaces × vulnérabilités » de la version précédente).

Les 5 ateliers EBIOS RM

Quand utiliser EBIOS RM en priorité

• Mission pour un Opérateur d’Importance Vitale (OIV) ou un Opérateur de Services Essentiels (OSE) — l’ANSSI recommande explicitement EBIOS RM.
• Mission pour une administration publique ou un opérateur lié au RGS (Référentiel Général de Sécurité).
• Mission pour un hôpital ou un acteur de santé concerné par HDS — EBIOS RM est compatible avec les exigences de l’ANS.
• Mission pour une PME / ETI française qui veut un référentiel reconnu par les autorités sans la lourdeur d’ISO 27001 complet.

EBIOS RM n’est pas seule sur le marché. Selon le contexte client, d’autres méthodes sont préférables ou complémentaires. Un analyste de risques senior doit savoir laquelle choisir et pourquoi.

En complément, deux référentiels servent à structurer le « comment attaquer » dans les scénarios opérationnels : MITRE ATT&CK (base de connaissance détaillée des techniques d’attaque adverse, standard de facto pour la modélisation) et Cyber Kill Chain de Lockheed Martin (modèle linéaire en 7 étapes, plus simple mais moins riche).

Au-delà de la méthode choisie, une mission d’analyse de risques suit un déroulé pratique relativement stable, qu’un freelance senior doit savoir adapter au contexte client. Voici la séquence type d’une mission EBIOS RM de 8 semaines pour un système critique.

1. Semaine 1 — Découverte client et cadrage — entretiens individuels avec sponsor, RSSI, métier propriétaire, équipe DSI. Lecture des documents existants (PSSI, schéma directeur, cartographie applicative, registre RGPD). Cadrage écrit du périmètre : ce qu’on analyse, ce qu’on n’analyse pas, qui sont les parties prenantes.
2. Semaine 2 — Atelier 1 + atelier 2 — animation d’un atelier collectif (8-15 personnes), formalisation du socle de sécurité, identification des sources de risque et objectifs visés. Le freelance anime, prend des notes structurées, pose les questions difficiles.
3. Semaines 3-4 — Atelier 3 + cartographie écosystème — modélisation des scénarios stratégiques. Travail souvent itératif en mode atelier + travail individuel. Le freelance produit un schéma de la chaîne d’attaque possible, identifie les parties prenantes critiques (fournisseurs, sous-traitants), et présente plusieurs scénarios alternatifs.
4. Semaines 5-6 — Atelier 4 (scénarios opérationnels) — travail technique avec l’équipe sécurité ou un expert technique en renfort. Modélisation MITRE ATT&CK des étapes d’attaque par scénario. Souvent l’atelier le plus exigeant techniquement.
5. Semaine 7 — Atelier 5 (traitement) — décision sur les options de traitement, estimation des coûts, priorisation, calendrier. Plan d’action présenté au sponsor pour validation préalable.
6. Semaine 8 — Restitution + livrables — production des livrables finaux : rapport principal (40-80 pages), synthèse COMEX (4-8 pages, vraiment lisible par un dirigeant), tableurs annexes (registre des risques, cartographie des actifs, plan de traitement). Restitution orale en COMEX ou comité sécurité.

Cette séquence est indicative : sur des grands périmètres (groupe de 50 000 personnes, 200 applications, multi-pays), elle peut prendre 4 à 9 mois et nécessiter une équipe de 2-4 consultants. Sur un périmètre très ciblé (un seul SI critique), 4 à 6 semaines suffisent souvent.

La grande mutation 2024-2026 du métier est l’intégration de la quantification financière. La méthode FAIR (Factor Analysis of Information Risk), standardisée par le Open Group et le FAIR Institute, permet de produire des fourchettes d’ALE (Annual Loss Expectancy) en euros, basées sur des distributions probabilistes et des analyses Monte Carlo.

Vocabulaire FAIR à maîtriser

LEF

— Loss Event Frequency — fréquence annuelle estimée d’un événement de perte

LM

— Loss Magnitude — magnitude (impact financier) estimée d’un événement

SLE

— Single Loss Expectancy — pertes attendues sur un événement unique (€)

ARO

— Annualized Rate of Occurrence — taux annuel d’occurrence estimé

ALE

— Annual Loss Expectancy = SLE × ARO — perte annuelle estimée (€)

Probable Loss Magnitude

— Distribution probabiliste des pertes (min / max / probable)

Threat Capability

— Capacité estimée d’un acteur de menace (high / medium / low)

Vulnerability

— Probabilité qu’une action de menace réussisse étant donné les contrôles

Pourquoi FAIR explose en 2026

• Cyber-assurance — les assureurs (AXA XL, Stoïk, Beazley, Hiscox, Allianz) exigent désormais une valorisation FAIR ou équivalente pour tarifer ou refuser une prime. Le marché de la cyber-assurance a triplé en France entre 2021 et 2025.
• DORA et risque opérationnel — DORA exige des entités financières d’intégrer le risque IT dans le risque opérationnel global. Le risque opérationnel se mesure en euros (Bâle III). FAIR fournit le pont méthodologique.
• Direction financière — les CFO et les comités d’audit veulent des indicateurs comparables à ceux des autres risques d’entreprise (crédit, marché, opérationnel). Présenter un risque cyber « critique en couleur rouge » sans valorisation €€ est de moins en moins accepté.
• Business case investissement — pour décider d’un investissement de 500 k€ dans un PAM ou un SOC managé, la direction veut comparer le coût au risque évité quantifié. FAIR est l’outil de référence.

L’analyste de risques cybersécurité combine trois familles de compétences souvent rares à trouver chez un même profil : maîtrise méthodologique, compréhension technique des attaques, et capacité d’animation d’ateliers stratégiques.

Savoir-être déterminants

• Animation d’atelier — savoir tenir une salle de 15 personnes avec des points de vue divergents (DSI, métier, juridique, RH, finance) pendant 3 heures sans perdre le fil. Compétence rare et déterminante.
• Curiosité métier — comprendre vraiment le métier du client (bancaire, santé, énergie, industrie) avant de parler cyber. Les meilleures analyses sont celles où l’analyste sait nommer les processus métier critiques mieux que certains responsables.
• Esprit de synthèse — savoir transformer 80 pages d’analyse en 4 pages COMEX lisibles par un dirigeant non technique. C’est l’art le plus difficile du métier.
• Rigueur intellectuelle — ne pas surestimer le risque pour faire vendre du conseil. Ne pas le sous-estimer pour faire plaisir au sponsor. L’honnêteté méthodologique est la base de la crédibilité long terme.

Les certifications en analyse de risques se segmentent en trois familles : par méthode, par gouvernance, par quantification. Une combinaison réfléchie est plus puissante qu’une accumulation.

Combinaisons gagnantes pour un freelance senior 2026 : EBIOS RM Lead + ISO 27005 RM + Open FAIR Practitioner (profil français complet, secteur public + privé) ou EBIOS RM Practitioner + Open FAIR Practitioner + CRISC (profil quantitatif, banque + assurance).

Les fourchettes ci-dessous sont compilées à partir de baromètres publics et des observations terrain BinchamTalent sur le marché français 2025-2026. Elles sont indicatives.

TJM en euros HT par jour. Sources : Free-Work, Malt, Apec Cadres, observations BinchamTalent 2025-2026.

Quatre facteurs poussent dans le haut de la fourchette : (1) habilitation Confidentiel Défense (CD) pour les missions sensibles, (2) certification EBIOS RM Lead reconnue (formation cabinet agréé ANSSI), (3) expérience concrète FAIR avec preuve de production de business cases CFO, (4) capacité à parler en direct au COMEX et au comité d’audit.

Plusieurs voies mènent au métier d’analyste de risques cyber. Aucun cursus universitaire ne forme directement à ce poste — on y arrive par la cybersécurité, le conseil, ou la gestion des risques.

Cursus universitaires et écoles

• Mastère Spécialisé Cybersécurité — Télécom Paris, EPITA, ESIEA, IMT Atlantique, INSA Lyon. Bonne porte d’entrée, à compléter par une certification EBIOS RM.
• Master Sécurité du Numérique — Sorbonne, Limoges (Cryptis), Rennes 1, Lille, Grenoble. Approche plus académique mais solide.
• MS Risk Management — HEC, ESSEC, Dauphine, EM Lyon. Bonne porte d’entrée si on vient du conseil ou de la finance et qu’on veut basculer en cyber.
• Diplôme d’ingénieur informatique généraliste — Polytechnique, CentraleSupélec, ENSIMAG, INSA, ESIEE. Reconversion vers les risques cyber après 2-3 ans en cybersécurité opérationnelle.

Formations méthodologiques

• EBIOS RM Practitioner (4-5 jours) — Devoteam, ALMOND, ALGOSECURE, Cabinets agréés ANSSI. Investissement 2 500-4 000 € HT. Très bon ROI.
• ISO 27005 Risk Manager (5 jours) — PECB, AFNOR, BSI. 2 000-3 500 € HT.
• Open FAIR Foundation + Practitioner (5+5 jours) — Online via Open Group, ou en présentiel via partenaires (rare en France). 3 000-5 000 € HT au total.
• CRISC (auto-formation + examen) — ISACA. Investissement modeste (1 500 € HT environ avec membership).

Ressources gratuites de référence

• Guide méthodologique EBIOS Risk Manager publié par l’ANSSI (PDF gratuit téléchargeable sur cyber.gouv.fr) — environ 100 pages, lecture obligatoire.
• Compléments EBIOS RM publiés par l’ANSSI (fiches méthodologiques par atelier, exemples sectoriels).
• Norme ISO/IEC 27005:2022 (payante mais investissement amorti pour un consultant senior).
• Documentation FAIR ouverte du FAIR Institute (livre blanc gratuit, webinaires, cas d’usage).

Le métier d’analyste de risques se prête à toutes les structures juridiques freelance. Le choix se fait principalement sur le TJM et la régularité des missions.

Le métier d’analyste de risques s’exerce dans trois contextes très différents. Voici la grille pour choisir.

• Freelance — meilleur ratio rémunération / liberté. Idéal après 6+ ans d’expérience terrain et au moins une certification méthodologique solide. Limitation : difficulté d’accéder aux missions secret défense / OIV stratégiques (qui exigent habilitation et passent souvent par cabinets PASSI).
• Cabinet PASSI ou Big 4 — Wavestone, Devoteam, Almond, ALGOSECURE, Synétis, Synaltic, Acial, Sopra Steria, Capgemini, ainsi que KPMG, EY, PwC, Deloitte. Accès aux missions les plus sensibles, formation continue, prestige du logo. Marges captées par l’employeur ; moins de liberté méthodologique.
• CDI client final — RSSI adjoint, Risk Manager cyber, équipe ERM IT d’une grande banque ou industrie. Stabilité maximale, vision long terme, accès aux décisions. Mais rémunération plafonnée et moins de diversité.

La carrière s’organise classiquement en quatre paliers, sur 10 à 15 ans.

1. Analyste junior (0-3 ans) — soutien d’un analyste senior sur les ateliers, prise de notes, rédaction des comptes-rendus, recherche bibliographique. Apprentissage d’une méthode (généralement EBIOS RM). TJM 450-650 €/j.
2. Analyste confirmé (3-7 ans) — anime ses propres analyses EBIOS RM de bout en bout sur des périmètres moyens. Premier scénario opérationnel sans aide. Capable de produire un rapport COMEX seul. TJM 700-1 000 €/j. Certifications : EBIOS RM Practitioner + ISO 27005 RM.
3. Analyste senior / Lead (7-12 ans) — pilote des programmes d’analyse complexes (multi-périmètres, multi-sites, multi-pays). Forme et encadre des analystes juniors. Présentations en COMEX. TJM 1 000-1 300 €/j. Certifications : EBIOS RM Lead + Open FAIR Practitioner + CRISC.
4. Expert / Méthodologue de référence (12+ ans) — référence sur une méthode spécifique (souvent EBIOS RM ou FAIR). Intervient en formation, en conférence (Assises de la Sécurité, FIC, Les Rencontres de la SSI). TJM 1 300-1 700 €/j. Très peu nombreux sur le marché.

Trois sorties classiques au-delà : (1) devenir Risk Manager cyber dans une grande banque ou industrie (CDI), (2) basculer en cabinet comme partner (Wavestone, Big 4), (3) lancer son propre cabinet d’analyse de risques avec 2-3 associés.

Cinq forces structurelles poussent la demande d’analystes de risques cybersécurité à des niveaux jamais atteints en 2026.

• NIS2 (art. 21) — obligation pour 10 000 entités françaises de formaliser leur gestion des risques cyber, avec auditabilité. Marché de mise en conformité sur 3-5 ans estimé à plusieurs milliards d’euros.
• DORA (art. 6 et art. 16) — exigences strictes pour 22 000 entités financières européennes : cadre de gestion des risques IT, tests de pénétration (TLPT), registre des risques. Forte demande FAIR pour valoriser.
• Cyber-assurance — le marché français de la cyber-assurance a triplé entre 2021 et 2025 (AMRAE, Argus de l’assurance). Les assureurs exigent désormais une analyse de risques formalisée et une quantification.
• Cyber-attaques santé et collectivités — Corbeil-Essonnes, Versailles, Brest, multiples mairies. Plan Ma Santé 2022 et soutien ANCT poussent une vague d’analyses de risques obligatoires. Méthode EBIOS RM dominante.
• Cyber Resilience Act (CRA) — pour les industriels mettant des produits connectés sur le marché UE. Exigences essentielles de cybersécurité tout au long du cycle de vie. Pousse les industries à conduire des analyses de risques produit.

Géographiquement, Paris concentre 55-65 % des missions, suivi de Lyon (industrie, banque mutualiste), Toulouse (aéronautique, défense), Nantes (santé, agroalimentaire), Bordeaux (administrations, vins). Les missions full remote représentent désormais 35-45 % du marché, sauf pour les missions OIV / défense / habilitation qui restent majoritairement en présentiel.

Dix étapes pratiques, dans l’ordre, pour lancer une activité de consultant analyse de risques freelance senior :

1. 1Valider une méthode d’ancrage : EBIOS RM Practitioner en priorité pour le marché français. Sinon ISO 27005 RM pour l’international.
2. 2Choisir une spécialisation sectorielle : finance (DORA), santé (HDS), OIV/OSE (NIS2), industrie (CRA), public (RGS). La verticalisation augmente le TJM de 15-25 %.
3. 3Constituer un dossier de compétences avec 3 à 5 missions détaillées : périmètre, méthode utilisée, livrables produits, indicateurs (nombre de scénarios, pages, sessions), valeur apportée au client.
4. 4Choisir et créer son statut juridique avec un expert-comptable spécialisé freelance (80-150 € HT/mois).
5. 5Souscrire une assurance Responsabilité Civile Professionnelle (RC Pro) — obligatoire pour la quasi-totalité des grands comptes.
6. 6Constituer une trésorerie de 4-6 mois (paiements à 60 jours en grand compte, parfois plus en secteur public).
7. 7Adhérer aux associations professionnelles : CESIN (RSSI), CLUSIF, AMRAE (management des risques), FAIR Institute (international).
8. 8Optimiser son profil LinkedIn autour de 3-5 mots-clés précis (ex. "Analyste EBIOS RM, secteur santé, HDS, NIS2") plutôt qu’une bio générique.
9. 9Publier son dossier sur BinchamTalent (sans commission ni intermédiaire) et 1-2 plateformes complémentaires.
10. 10Bloquer du temps pour la veille réglementaire (les textes UE évoluent vite) et la lecture des cas réels publiés par l’ANSSI, CESIN, FAIR Institute.

Le marché de l’analyse de risques cyber est étroit côté offre (peu de profils certifiés et expérimentés). Pour maximiser vos chances de trouver le bon profil rapidement :

• Précisez la méthode attendue — EBIOS RM, ISO 27005, NIST 800-30 ou FAIR. « Analyste de risques » sans précision méthodologique n’attire pas de profils seniors.
• Donnez le périmètre attendu — un système ciblé, une activité métier, un groupe entier, multi-pays. Le profil et le TJM diffèrent énormément.
• Indiquez le secteur — finance, santé, énergie, défense, industrie, public. L’expertise sectorielle pèse autant que la méthodologie.
• Soyez réaliste sur la durée — une analyse complète prend 6 à 12 semaines pour un périmètre ciblé, 4 à 9 mois pour un programme transverse. Une mission de 3 semaines pour « tout faire » est un drapeau rouge.
• Mentionnez l’habilitation requise — si vous travaillez en OIV / secteur défense, précisez si une habilitation Confidentiel Défense est nécessaire et déjà acquise par le candidat ou à obtenir.

BinchamTalent permet aux recruteurs vérifiés d’accéder aux dossiers de compétences publiés par les Talents, avec déblocage à l’unité (10 € HT par profil) ou abonnement Pro mensuel (100 € HT/mois, résiliable en 1 clic). Voir l’espace recruteur.

ALE

— Annual Loss Expectancy — perte annuelle estimée (FAIR)

AMRAE

— Association pour le Management des Risques et des Assurances de l’Entreprise

ANSSI

— Agence Nationale de la Sécurité des Systèmes d’Information

ARO

— Annualized Rate of Occurrence — taux annuel d’occurrence (FAIR)

CRISC

— Certified in Risk and Information Systems Control (ISACA)

CIA

— Confidentialité, Intégrité, Disponibilité — triade de sécurité

Cyber Kill Chain

— Modèle d’attaque linéaire en 7 étapes (Lockheed Martin)

DORA

— Digital Operational Resilience Act — règlement UE finance

EBIOS RM

— Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager (ANSSI)

ERM

— Enterprise Risk Management — gestion globale du risque d’entreprise

FAIR

— Factor Analysis of Information Risk — méthode de quantification

HDS

— Hébergeur de Données de Santé — certification ANS

ISO 27005

— Norme internationale de gestion des risques liés à la sécurité

ISO 31000

— Norme internationale de management du risque

LEF

— Loss Event Frequency — fréquence d’événement de perte (FAIR)

LM

— Loss Magnitude — magnitude d’une perte (FAIR)

MITRE ATT&CK

— Base de connaissance des techniques d’attaque adverses

NIS2

— Network and Information Security Directive 2 — règlement UE cybersécurité

NIST 800-30

— Guide US d’analyse de risques cyber

NIST 800-39

— Guide US de gouvernance du risque IT

OCTAVE

— Méthode d’analyse de risques Carnegie Mellon

OIV

— Opérateur d’Importance Vitale (au sens LPM)

OSE

— Opérateur de Services Essentiels (au sens NIS / NIS2)

PASSI

— Prestataire d’Audit qualifié par l’ANSSI pour la sécurité des SI

RGS

— Référentiel Général de Sécurité — administration publique

SLE

— Single Loss Expectancy — perte attendue sur un événement unique

TLPT

— Threat-Led Penetration Testing — exigé par DORA

Si vous explorez d’autres spécialisations proches de l’analyse de risques :

• Consultant GRC cybersécurité (freelance)
• Ingénieur cybersécurité (freelance)
• Consultant IAM/PAM (freelance)
• Ingénieur SOC (freelance)
• Architecte cloud (freelance)