Quelle est la différence entre auditeur cybersécurité et pentester ?

Deux métiers proches mais distincts. Le pentester teste la sécurité technique d'un système via simulation d'attaque (exploitation, reconnaissance, post-exploitation). L'auditeur évalue la **conformité méthodologique** d'un système ou d'une organisation par rapport à un référentiel (ISO 27001, NIS 2, PCI-DSS, DORA) : interviews, revue documentaire, tests de contrôle, constats d'écart, recommandations. Le pentester produit un rapport de vulnérabilités exploitables ; l'auditeur produit un rapport de non-conformités structurées. Les deux peuvent coexister dans une mission globale mais recouvrent des compétences différentes.

Quels sont les principaux types d'auditeurs cybersécurité ?

Quatre types dominants en France 2026. 1) Auditeur interne SI : salarié d'une grande entreprise, audite les périmètres internes (filiales, départements). 2) Auditeur externe de certification : organismes certificateurs (BSI, AFNOR, LSTI, PECB certified bodies) qui mènent les audits ISO 27001, 27701, 20000, 22301. 3) Auditeur tiers cabinet : Big Four (EY, Deloitte, KPMG, PwC, Mazars) et cabinets spécialisés qui réalisent des audits pour leurs clients. 4) Auditeur PASSI : Prestataire d'Audit de Sécurité des Systèmes d'Information qualifié par l'ANSSI, pour les OIV et le secteur public.

Qu'est-ce qu'un auditeur PASSI qualifié ANSSI ?

Un auditeur PASSI est un professionnel cybersécurité qualifié par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour réaliser des audits de sécurité selon le référentiel PASSI. Trois portées existent : Architecture (la plus rare), Configuration, Pentest technique. Les OIV (Opérateurs d'Importance Vitale) et le secteur public exigent des auditeurs PASSI pour leurs audits annuels obligatoires. Formation et examen spécifiques, exigence de 2 à 5 ans d'expérience préalable selon la portée. La liste officielle des prestataires qualifiés est publiée sur cyber.gouv.fr.

Quelles certifications passer pour devenir auditeur cybersécurité ?

Quatre certifications de référence en France 2026. 1) CISA (Certified Information Systems Auditor, ISACA, environ 760 $) : quasi-obligatoire en pratique pour les postes d'auditeur SI en cabinet ou Big Four. 2) ISO 27001 Lead Auditor (PECB ou BSI, environ 1 800 €) : certification dédiée à l'audit ISO 27001. 3) CRISC (Certified in Risk and IS Control, ISACA) : complément risque utile. 4) CISM (Certified Information Security Manager, ISACA) : orientée management, à viser à 5+ ans. Les auditeurs PASSI ajoutent la qualification ANSSI spécifique selon leur portée.

Quel salaire attendre en auditeur cybersécurité en France ?

Fourchettes 2026. Auditeur junior (0-2 ans) : 40-55 k€ bruts annuels (cabinet ou Big Four), 35-45 k€ (auditeur interne grande entreprise), 42-52 k€ (organisme certificateur). Confirmé (2-4 ans) : 55-70 k€. Senior manager (5-8 ans) : 75-100 k€ plus variable en Big Four. Associé ou partner (10+ ans) : 130-220 k€ plus bonus dans les Big Four. Auditeur indépendant PASSI : TJM 700-1 200 €. Les certifications CISA plus ISO 27001 Lead Auditor tirent structurellement la fourchette haute dès junior.

Métiers de la cybersécurité

Qu'est-ce qu'un auditeur cybersécurité ? Fiche métier

Fiche métier auditeur cybersécurité : types (interne, externe, PASSI), méthodologie ISO 19011, référentiels ISO 27001 NIS 2 DORA, certifications CISA, salaires.

Naim Aouaichia

23 avril 202613 min de lecture

Auditeur
Fiche métier
Audit SI
CISA
ISO 27001
PASSI
Conformité

Un auditeur cybersécurité est un professionnel qui évalue la conformité d'un système ou d'une organisation par rapport à un référentiel normatif (ISO 27001, NIS 2, DORA, PCI-DSS, PASSI, RGPD). Il mène des interviews, examine la documentation, teste des contrôles, identifie les écarts par rapport à la norme et produit un rapport structuré de non-conformités avec recommandations. Le métier se distingue du pentester (test technique offensif) et du consultant (conseil et mise en œuvre) : l'auditeur évalue méthodologiquement, il ne prescrit ni n'exécute. Quatre types dominent le marché français 2026 : auditeur interne SI (employé d'une grande entreprise), auditeur externe de certification (organismes BSI, AFNOR, LSTI), auditeur tiers en cabinet (Big Four, cabinets spécialisés), auditeur PASSI qualifié ANSSI (OIV et secteur public). Salaires juniors 40-55 k€ bruts en cabinet ou Big Four, 35-45 k€ en interne grande entreprise, progression senior 75-100 k€, partner Big Four 130-220 k€. La certification CISA est quasi-obligatoire. Cet article détaille la définition précise, les quatre types, la méthodologie ISO 19011, les référentiels audités, le quotidien d'un auditeur junior, les certifications et le profil qui réussit dans le métier.

1. Définition précise : qu'est-ce qu'un auditeur cybersécurité ?

L'audit cybersécurité est un processus méthodologique d'évaluation structuré, encadré par la norme ISO 19011 (lignes directrices pour l'audit des systèmes de management). Trois principes définissent le métier.

Évaluation, pas prescription

Un auditeur constate des écarts par rapport à un référentiel cible. Il ne prescrit pas la solution de remédiation dans le détail — c'est le rôle du consultant ou de l'équipe opérationnelle du client. L'auditeur peut recommander une direction, mais son livrable principal reste le rapport d'audit avec non-conformités identifiées et priorisées.

Indépendance et impartialité

L'auditeur ne peut pas auditer des éléments qu'il a lui-même mis en place (conflit d'intérêts). Cette règle distingue l'audit externe (indépendance structurelle) de l'audit interne (indépendance organisationnelle au sein de l'entreprise). Les auditeurs externes de certification appliquent des rotations obligatoires sur leurs clients (typiquement 7 ans maximum sur un même client pour un organisme certificateur).

Traçabilité et preuves

Chaque constat d'audit s'appuie sur une preuve documentée : document, capture d'écran, résultat de test, verbatim d'interview. Un rapport d'audit sans preuves traçables est sans valeur. Cette exigence de rigueur documentaire distingue l'audit des autres métiers cyber.

2. Les quatre types d'auditeurs en France

Auditeur interne SI

Employeur : grande entreprise, groupe bancaire, assurance, industriel, OIV. L'auditeur est salarié permanent de la direction de l'audit interne ou du département conformité.

Missions typiques : audit annuel des filiales, audit de contrôle interne, préparation aux audits externes de certification, suivi des plans d'action post-audit.

Salaire junior : 35-45 k€ bruts (légèrement en dessous du cabinet, mais stabilité forte et périmètre transverse intéressant).

Auditeur externe de certification

Employeur : organismes certificateurs accrédités COFRAC ou équivalents européens (BSI, AFNOR, LSTI, PECB certified bodies, DEKRA, Bureau Veritas, SGS).

Missions typiques : audit ISO 27001 initial, audit de surveillance annuel, audit de renouvellement triennal, audits croisés ISO 27701 (vie privée), 22301 (continuité), 20000 (services IT).

Spécificité : l'auditeur de certification ne peut pas conseiller le client sur la remédiation — il certifie ou ne certifie pas, point. Cette neutralité est protégée par les règles de la COFRAC.

Salaire junior : 42-52 k€ bruts.

Auditeur tiers en cabinet

Employeur : Big Four (EY, Deloitte, KPMG, PwC, Mazars), cabinets spécialisés (Wavestone pôle audit, Almond pôle audit, Digitemis, I-Tracing).

Missions typiques : audit pré-certification (préparation du client à ISO 27001), audit SOC 2 Type I et II, audit PCI-DSS, audit NIS 2 post-transposition, audit DORA (finance), due diligence cybersécurité pour M&A (fusion-acquisition).

Spécificité : le cabinet peut cumuler audit et conseil sur deux clients différents, mais jamais sur le même (obligation de séparation).

Salaire junior : 45-55 k€ bruts en Big Four, 42-50 k€ en cabinet spécialisé.

Auditeur PASSI qualifié ANSSI

Employeur : prestataire qualifié PASSI par l'ANSSI. En 2026, environ 40 prestataires qualifiés PASSI en France, avec trois portées distinctes :

Portée PASSI	Nombre d'acteurs qualifiés	Exigence expérience
Architecture	Très rare	5+ ans expérience architecture SI
Configuration	Petit nombre	3+ ans configuration de systèmes
Pentest technique	Le plus grand	2+ ans pentest encadré

Missions typiques : audit de sécurité obligatoire des OIV (Opérateurs d'Importance Vitale) annuel ou triennal, audit de configuration d'infrastructures sensibles, test d'intrusion pour le secteur public et les entités classifiées.

Salaire : équivalent au cabinet pour les portées Configuration et Pentest ; sur-rémunéré pour la portée Architecture (rare et haute exigence).

3. La méthodologie ISO 19011 : le socle commun des audits

Tous les types d'audit cybersécurité s'appuient sur la méthodologie ISO 19011 (Lignes directrices pour l'audit des systèmes de management), norme de référence internationale. Six phases structurent toute mission d'audit.

Phase	Durée typique	Livrables
1 — Planification	5-10 % du temps	Plan d'audit, équipe, référentiel cible
2 — Revue documentaire préalable	10-15 %	Analyse SMSI, PSSI, procédures, historique incidents
3 — Interviews et enquête terrain	30-40 %	Verbatims, preuves collectées, tests de contrôle
4 — Analyse des écarts	15-20 %	Identification des non-conformités, classification
5 — Rapport d'audit	15-20 %	Rapport structuré, synthèse exécutive, recommandations
6 — Restitution client	5-10 %	Réunion de clôture, plan d'action validé

Les trois types de constats standards en audit ISO :

Non-conformité majeure : écart significatif qui empêche l'atteinte d'un objectif du SMSI (Système de Management de la Sécurité de l'Information).
Non-conformité mineure : écart limité qui n'empêche pas l'atteinte de l'objectif mais doit être traité.
Opportunité d'amélioration : observation qui n'est pas une non-conformité mais pourrait renforcer la posture.

4. Les référentiels audités en France 2026

Les principaux référentiels audités par un auditeur cybersécurité junior.

Référentiel	Portée	Fréquence audit	Certification associée
ISO/IEC 27001:2022	SMSI complet	Tous les ans (surveillance) + triennal (renouvellement)	Oui, délivrée par organisme accrédité COFRAC
ISO/IEC 27701	Vie privée (extension 27001)	Similaire 27001	Oui
ISO/IEC 22301	Continuité d'activité	Annuel	Oui
NIS 2	Entités essentielles et importantes	Selon plan national (à préciser par CNIL/ANSSI)	Non, contrôle régulatoire
DORA	Finance UE	Annuel	Non, contrôle régulatoire
RGPD	Données personnelles	Selon plainte / contrôle CNIL	Non, contrôle régulatoire
PCI-DSS v4	Paiement par carte	Annuel si marchand / prestataire	Attestation de conformité
SOC 2 Type I et II	Principes trust services (US mais FR aussi)	Annuel	Rapport d'auditeur indépendant
PASSI	Audit OIV selon ANSSI	Annuel ou triennal selon OIV	Qualification ANSSI

Un auditeur junior se spécialise typiquement sur 1 ou 2 référentiels en première année (ISO 27001 le plus fréquent), puis élargit progressivement son champ.

5. Les activités quotidiennes d'un auditeur junior

Plan type d'une mission d'audit ISO 27001 initial (12-20 jours-hommes) en cabinet ou Big Four.

plan_audit_iso_27001_initial:
  duree_mission_jh: 15
  equipe: "1 senior manager + 2 auditeurs juniors"
  client: "ETI industrielle 350 salaries"
  referentiel: "ISO 27001:2022"
 
  jour_1:
    - "Reunion de lancement avec RSSI, DSI, DG"
    - "Validation du perimetre et du plan d'audit"
    - "Collecte des documents cles (PSSI, politiques, procedures)"
 
  jours_2_3_revue_documentaire:
    - "Analyse PSSI : alignement avec ISO 27002 controls"
    - "Revue politique gestion des incidents"
    - "Revue plan de continuite et resultats des tests"
    - "Revue registre des risques EBIOS RM"
 
  jours_4_8_interviews_terrain:
    - "Interview RSSI (2h)"
    - "Interview DSI et equipes infrastructure (2x2h)"
    - "Interview responsable RH (1h) sur gestion des acces"
    - "Interview responsable achats (1h) sur gestion tiers"
    - "Interview 3 utilisateurs business (1h chacun) - verification sensibilisation"
    - "Tests de controle : echantillons d'acces, logs, procedures"
 
  jours_9_10_tests_technique:
    - "Verification segmentation reseau (preuves capture)"
    - "Verification chiffrement BDD sensibles (queries)"
    - "Verification politique MFA appliquee (screenshots)"
    - "Echantillonnage logs SIEM sur derniere semaine"
 
  jours_11_12_analyse_ecarts:
    - "Consolidation des findings avec equipe"
    - "Classification : non-conformite majeure / mineure / opportunite"
    - "Priorisation et mise en forme preuves"
 
  jours_13_14_redaction_rapport:
    - "Redaction rapport complet 40-60 pages"
    - "Synthese executive 2 pages"
    - "Fiches non-conformite detaillees"
    - "Plan d'action recommande avec echeances"
 
  jour_15_restitution:
    - "Reunion de restitution client (2h) : RSSI + DSI + DG"
    - "Presentation findings, priorisation, plan d'action"
    - "Livraison du rapport final"
 
  repartition_junior_vs_senior:
    junior: "revue documentaire, interviews utilisateurs, tests de controle, redaction findings"
    senior: "pilotage, interview RSSI et DG, classification finale, restitution"

Un auditeur junior participe typiquement à 8 à 15 missions par an (missions de 10 à 25 j.h. chacune), en appui d'un senior manager. Le ratio senior/junior typique est 1 senior pour 2-3 juniors.

6. Certifications, salaires et carrière

Certifications de référence

Certification	Éditeur	Coût	Prérequis	Pertinence FR 2026
CISA (Certified Information Systems Auditor)	ISACA	≈ 760 $	5 ans d'expérience (dispense partielle possible)	Très forte, quasi-obligatoire
ISO 27001 Lead Auditor	PECB ou BSI	≈ 1 800 €	Aucun formel	Très forte pour audit 27001
CRISC (Certified in Risk and IS Control)	ISACA	≈ 760 $	3 ans d'expérience risque	Forte
CISM (Certified Information Security Manager)	ISACA	≈ 760 $	5 ans d'expérience management	Forte (niveau senior)
ISO 27701 Lead Auditor	PECB	≈ 1 500 €	Recommandé : 27001 LA préalable	Moyenne, forte si RGPD
PASSI qualification	ANSSI (porté par entreprise)	Variable	2-5 ans expérience selon portée	Très forte pour OIV / public

Ordre recommandé pour un junior : ISO 27001 Lead Auditor en premier (entrée plus rapide, moins d'expérience requise), puis CISA à 2-3 ans d'expérience. CISM à 5-7 ans pour viser manager senior. PASSI uniquement en rejoignant un prestataire déjà qualifié.

Trajectoire salariale

Niveau	Expérience	Cabinet / Big Four (IDF)	Auditeur interne grande entreprise (IDF)
Auditeur junior	0-2 ans	45-55 k€	40-48 k€
Auditeur confirmé	2-4 ans	55-70 k€	50-65 k€
Senior auditeur / senior consultant	4-7 ans	70-95 k€ + variable	65-85 k€
Senior manager Big Four	7-10 ans	90-130 k€ + bonus	80-100 k€
Associé / Partner Big Four	12+ ans	160-300 k€+ bonus	—
Directeur de l'audit interne	10+ ans	—	110-160 k€

Fourchettes Apec Cadres 2023-2024, Numeum, observatoires LinkedIn France. Les trajectoires Big Four sont régies par le principe « up or out » : avancement obligatoire tous les 2-3 ans, départ sinon. Les trajectoires auditeur interne offrent plus de stabilité avec plafond plus bas.

Bifurcations classiques après 5-8 ans d'audit

RSSI d'une PME ou ETI : les auditeurs seniors basculent fréquemment côté client après 5-10 ans. Voir Les étapes pour devenir RSSI : parcours et trajectoire.
Consultant GRC ou cyber indépendant : TJM 700-1 200 €. Voir Qu'est-ce qu'un consultant cybersécurité ?.
DPO (Data Protection Officer) : spécialisation RGPD, souvent en cabinet d'avocats ou entreprise.
Direction de l'audit interne : RAI d'un grand groupe, 110-160 k€ bruts.

7. Pour qui le métier d'auditeur convient-il ?

Traits qui fonctionnent

Rigueur documentaire extrême : tout constat s'appuie sur une preuve traçable. Tolérance élevée à la paperasse méthodologique.
Capacité d'écoute et de reformulation : les interviews clients représentent 30-40 % du temps. Savoir écouter sans juger, reformuler, confronter sans agresser.
Neutralité et indépendance : accepter de ne pas prescrire la solution, seulement constater l'écart.
Précision linguistique : le rapport d'audit est un document quasi juridique, chaque mot compte.
Résilience aux refus : un RSSI client confronté à un constat de non-conformité peut réagir défensivement. L'auditeur maintient sa position factuelle.

Traits qui signalent un mauvais match

Envie de construire et de concevoir la sécurité → plutôt security engineer ou consultant.
Envie de tester techniquement en exploitation → plutôt pentester.
Inconfort avec la paperasse et la rédaction méthodologique.
Besoin de résultats visibles à court terme (le rapport d'audit se matérialise sur 2-4 semaines).

Pour comparer avec les métiers voisins : Qu'est-ce qu'un consultant cybersécurité ? pour le conseil plus large, Qu'est-ce qu'un pentester ? pour l'évaluation technique offensive. Pour la bascule GRC (amont de la carrière auditeur), voir Peut-on travailler en GRC sans expérience cyber ?.

Points clés à retenir

Auditeur cybersécurité = évaluation méthodologique de la conformité d'un système à un référentiel. Constat, pas prescription.
Quatre types en France : interne SI, externe de certification (BSI, AFNOR, LSTI), tiers cabinet (Big Four), PASSI qualifié ANSSI (OIV et secteur public).
Méthodologie ISO 19011 : 6 phases (planification, revue documentaire, interviews, analyse, rapport, restitution). 3 niveaux de constats (majeur, mineur, opportunité).
Référentiels audités : ISO 27001:2022 dominant, NIS 2 en croissance, DORA pour finance, PCI-DSS, RGPD, PASSI pour OIV.
Certifications clés : ISO 27001 Lead Auditor en premier, CISA quasi-obligatoire à 2-3 ans, CISM à 5-7 ans. PASSI via prestataire déjà qualifié.
Salaires juniors 40-55 k€ selon employeur. Progression senior 70-100 k€. Partner Big Four 160-300 k€.
Bifurcations naturelles à 5-8 ans : RSSI PME, consultant indépendant, DPO, direction audit interne.

Pour l'ensemble des métiers cyber avec salaires et accessibilité par profil, voir Les métiers de la cybersécurité : guide complet. Pour les métiers voisins souvent confondus, voir Qu'est-ce qu'un consultant cybersécurité ? Fiche métier et Qu'est-ce qu'un pentester ? Fiche métier complète. Pour la bascule depuis profil juriste ou compliance qui mène souvent à l'audit, voir Peut-on travailler en GRC sans expérience cyber ?. Pour la trajectoire senior auditeur vers RSSI, voir Les étapes pour devenir RSSI : parcours et trajectoire. L'accompagnement cyber 6 mois intègre une préparation ISO 27001 Lead Auditor et une initiation à la méthodologie d'audit ISO 19011 pour les profils qui visent cette trajectoire.

Questions fréquentes

Quelle est la différence entre auditeur cybersécurité et pentester ?
Deux métiers proches mais distincts. Le pentester teste la sécurité technique d'un système via simulation d'attaque (exploitation, reconnaissance, post-exploitation). L'auditeur évalue la **conformité méthodologique** d'un système ou d'une organisation par rapport à un référentiel (ISO 27001, NIS 2, PCI-DSS, DORA) : interviews, revue documentaire, tests de contrôle, constats d'écart, recommandations. Le pentester produit un rapport de vulnérabilités exploitables ; l'auditeur produit un rapport de non-conformités structurées. Les deux peuvent coexister dans une mission globale mais recouvrent des compétences différentes.
Quels sont les principaux types d'auditeurs cybersécurité ?
Quatre types dominants en France 2026. 1) Auditeur interne SI : salarié d'une grande entreprise, audite les périmètres internes (filiales, départements). 2) Auditeur externe de certification : organismes certificateurs (BSI, AFNOR, LSTI, PECB certified bodies) qui mènent les audits ISO 27001, 27701, 20000, 22301. 3) Auditeur tiers cabinet : Big Four (EY, Deloitte, KPMG, PwC, Mazars) et cabinets spécialisés qui réalisent des audits pour leurs clients. 4) Auditeur PASSI : Prestataire d'Audit de Sécurité des Systèmes d'Information qualifié par l'ANSSI, pour les OIV et le secteur public.
Qu'est-ce qu'un auditeur PASSI qualifié ANSSI ?
Un auditeur PASSI est un professionnel cybersécurité qualifié par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour réaliser des audits de sécurité selon le référentiel PASSI. Trois portées existent : Architecture (la plus rare), Configuration, Pentest technique. Les OIV (Opérateurs d'Importance Vitale) et le secteur public exigent des auditeurs PASSI pour leurs audits annuels obligatoires. Formation et examen spécifiques, exigence de 2 à 5 ans d'expérience préalable selon la portée. La liste officielle des prestataires qualifiés est publiée sur cyber.gouv.fr.
Quelles certifications passer pour devenir auditeur cybersécurité ?
Quatre certifications de référence en France 2026. 1) CISA (Certified Information Systems Auditor, ISACA, environ 760 $) : quasi-obligatoire en pratique pour les postes d'auditeur SI en cabinet ou Big Four. 2) ISO 27001 Lead Auditor (PECB ou BSI, environ 1 800 €) : certification dédiée à l'audit ISO 27001. 3) CRISC (Certified in Risk and IS Control, ISACA) : complément risque utile. 4) CISM (Certified Information Security Manager, ISACA) : orientée management, à viser à 5+ ans. Les auditeurs PASSI ajoutent la qualification ANSSI spécifique selon leur portée.
Quel salaire attendre en auditeur cybersécurité en France ?
Fourchettes 2026. Auditeur junior (0-2 ans) : 40-55 k€ bruts annuels (cabinet ou Big Four), 35-45 k€ (auditeur interne grande entreprise), 42-52 k€ (organisme certificateur). Confirmé (2-4 ans) : 55-70 k€. Senior manager (5-8 ans) : 75-100 k€ plus variable en Big Four. Associé ou partner (10+ ans) : 130-220 k€ plus bonus dans les Big Four. Auditeur indépendant PASSI : TJM 700-1 200 €. Les certifications CISA plus ISO 27001 Lead Auditor tirent structurellement la fourchette haute dès junior.

Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

Questions fréquentes

Naim Aouaichia

À lire également

Les métiers de la cybersécurité : guide complet

Qu'est-ce qu'un consultant cybersécurité ? Fiche métier

Qu'est-ce qu'un pentester ? Fiche métier complète

Peut-on travailler en GRC sans expérience cyber ?

Les étapes pour devenir RSSI : parcours et trajectoire