Le GRC (Governance, Risk, Compliance) est la porte d'entrée cybersécurité la plus accessible pour les profils non-tech en reconversion : juristes, auditeurs internes, compliance officers, gestionnaires de projet, consultants organisation et profils qualité industrielle peuvent accéder à un poste d'analyste GRC junior en 3 à 6 mois avec une certification dédiée, contre 12 à 24 mois pour les autres métiers cyber (SOC, pentest, DevSecOps, AppSec). La demande marché est en forte croissance depuis la transposition de la directive NIS 2 en droit français (octobre 2024) et l'applicabilité de DORA (janvier 2025) — environ 15 000 entités essentielles et importantes en France sont concernées et doivent structurer leur conformité cyber. Salaires juniors : 38-55 k€ bruts selon région, progression rapide vers responsable conformité ou RSSI de PME à 75-100 k€ en 5-7 ans. Cet article détaille les profils compatibles, les compétences cyber spécifiques à ajouter, les référentiels à maîtriser, le portfolio démontrable sans code, les certifications prioritaires et la stratégie de recherche du premier poste GRC.
1. La réalité du marché : GRC en forte demande post NIS 2 et DORA
Le GRC cybersécurité bénéficie du contexte régulatoire le plus dynamique parmi tous les métiers cyber en France. Les régulations récentes imposent une structuration formelle de la gouvernance cyber chez des dizaines de milliers d'entreprises qui n'en avaient jamais eu l'obligation.
| Indicateur marché | Source | Valeur 2024-2026 |
|---|---|---|
| Entités concernées par NIS 2 en France | ANSSI estimation 2024 | ≈ 15 000 entités essentielles et importantes |
| Croissance offres GRC / conformité SI YoY | Apec Cadres 2023-2024 | +35-45 % |
| Ratio offres GRC junior / candidats | Apec 2024 | 1 pour 2 (favorable candidat) |
| Salaire analyste GRC junior province | Apec, Numeum 2024 | 38-48 k€ |
| Salaire analyste GRC junior Île-de-France | Apec 2024 | 42-55 k€ |
| Délai médian premier emploi GRC post-certification | Retours communautaires FR | 2-4 mois |
| Taux de télétravail 2+ jours/sem GRC | Apec 2024 | > 85 % |
2. Les cinq profils qui basculent naturellement en GRC
| Profil initial | Durée de bascule | Prérequis déjà acquis | Compétences à ajouter |
|---|---|---|---|
| Juriste, compliance officer | 3-6 mois | Cadre légal, rédaction, RGPD | Référentiels cyber (ISO 27001, NIS 2) |
| Auditeur interne (qualité, financier, ISO) | 3-6 mois | Méthodologie audit, rigueur doc | Sujets techniques cyber, vocabulaire |
| Gestionnaire de projet SI | 4-8 mois | Gouvernance, reporting, pilotage | Risk management, référentiels ISO 27005 |
| Qualité industrielle / DPO en poste | 4-6 mois | ISO, méthodologie, audit | Spécificités cyber (incidents, SIEM bases) |
| Consultant organisation / conduite du changement | 6-9 mois | Communication, vision transverse | Fondamentaux techniques cyber |
| Reconversion totale sans IT | 12-18 mois | Selon profil | Tout le socle cyber + GRC |
Les quatre premiers profils atteignent l'employabilité en moins de 6 mois avec une certification marché (typiquement ISO 27001 Lead Implementer). C'est le délai le plus court observé pour toutes les trajectoires cyber en reconversion. Pour les profils qui ne rentrent dans aucune de ces cinq catégories, la trajectoire passe plutôt par le SOC L1 ou une autre bascule technique, voir les articles dédiés : Quel métier cyber viser quand on vient du développement ? et Quel métier cyber viser quand on vient du support IT ?.
3. Les compétences cyber à ajouter au socle audit / juridique / gestion
Le socle audit, conformité ou gestion couvre déjà 70-80 % des compétences d'un analyste GRC junior. Les briques spécifiquement cyber à acquérir sont identifiables et relativement courtes à couvrir.
1. Vocabulaire et concepts fondamentaux cyber
CIA (Confidentiality, Integrity, Availability), AAA, Zero Trust, Defense in depth, SOC, SIEM, EDR, CVE, CVSS, MITRE ATT&CK, OWASP Top 10. Objectif : comprendre les conversations entre équipes techniques, pas forcément pratiquer. Durée : 4-6 semaines à 10 h hebdomadaires.
2. Référentiels cyber structurants
ISO 27001 (SMSI), ISO 27002 (contrôles), ISO 27005 (gestion du risque), NIST Cybersecurity Framework 2.0, CIS Controls v8. Lecture active des référentiels plus mise en pratique via mini-audit. Durée : 6-8 semaines.
3. Gestion du risque appliquée au SI
Méthodes : EBIOS Risk Manager (méthode ANSSI, standard en France), ISO 27005, FAIR (Factor Analysis of Information Risk). Savoir construire un registre de risques, calculer un score, prioriser. Durée : 3-4 semaines.
4. Notions techniques minimales
Comprendre sans nécessairement pratiquer : architectures réseau basiques, authentification et gestion des identités (IAM, MFA, SSO), cycle de vie d'un incident, chiffrement appliqué (TLS, VPN, PKI). Durée : 3-4 semaines.
5. Outils GRC professionnels
Familiarisation avec un ou deux outils du marché : Archer RSA, ServiceNow GRC, OneTrust, MetricStream, LogicGate. Les versions d'essai (free tier, demo) permettent une prise en main. Durée : 2-3 semaines.
Total d'acquisition : 18-25 semaines à 10-12 h hebdomadaires, soit environ 4-6 mois. Très en dessous des 12-24 mois des trajectoires techniques cyber.
4. Les référentiels et régulations à maîtriser en priorité
Le travail d'un analyste GRC consiste largement à appliquer et documenter des référentiels. Cinq priorités couvrent 80 % des sujets français en 2026.
| Référentiel ou régulation | Origine | Périmètre d'application | Priorité de maîtrise |
|---|---|---|---|
| ISO/IEC 27001:2022 | ISO / IEC | Système de management de la sécurité de l'information (SMSI) | Priorité 1 (socle) |
| NIS 2 (directive UE 2022/2555, transposée oct. 2024) | Union européenne | Entités essentielles et importantes (≈ 15 000 en France) | Priorité 1 |
| RGPD (Règlement UE 2016/679) | Union européenne | Données personnelles | Priorité 1 |
| NIST Cybersecurity Framework 2.0 | NIST (US) | Référence internationale | Priorité 2 |
| DORA (Règlement UE 2022/2554, applicable janv. 2025) | Union européenne | Entités financières (banques, assurances, crypto) | Priorité 2 si secteur finance |
| EBIOS Risk Manager | ANSSI | Gestion du risque cyber en France | Priorité 2 |
| Guide d'hygiène informatique ANSSI | ANSSI | Recommandations baseline pour les entreprises | Priorité 2 |
| ISO 27002, 27005, 27017, 27018 | ISO / IEC | Contrôles, risque, cloud, vie privée | Priorité 3 (spécialisation) |
| LPM (Loi de Programmation Militaire) | France | OIV (Opérateurs d'Importance Vitale) | Priorité 3 si secteur OIV |
| PCI-DSS v4 | PCI Council | Paiement par carte | Priorité 3 si commerce / banque |
La maîtrise ne signifie pas la mémorisation mot à mot — les analystes GRC expérimentés consultent les référentiels quotidiennement. L'essentiel est de comprendre la structure, savoir naviguer un référentiel, identifier un contrôle applicable à un contexte.
5. Le portfolio GRC : livrables démontrables sans code
Contrairement au pentest (HackTheBox) ou au DevSecOps (GitHub pipelines), le portfolio GRC repose sur des livrables documentaires démontrables en entretien. Quatre types de livrables minimum.
Livrable 1 — Registre des risques (risk register) complet
Construit sur une organisation fictive ou un cas anonymisé. Doit inclure : identifiants uniques, scénarios, scoring vraisemblance/impact, traitement (accepter, réduire, transférer, éviter), propriétaire du risque, échéance.
Livrable 2 — Gap analysis ISO 27001 ou NIS 2
Analyse d'écart entre l'état d'un système et un référentiel cible. Produit un plan de mise en conformité priorisé. Exemple de structure exploitable pour un livrable GitHub public :
# gap-analysis-nis2.yml
# Analyse d'ecart fictive : entreprise e-commerce 80 salaries,
# entite importante au sens NIS 2 (transposition francaise oct. 2024).
meta:
organisation: "SAS ExempleCommerce (fictif)"
secteur: "commerce en ligne B2C"
effectif: 80
categorisation_nis2: "entite importante (Annexe II)"
date_analyse: "2026-04-23"
auditeur: "Prenom Nom - Analyste GRC junior"
referentiel: "Directive NIS 2 + decret d'application FR 2024"
controles:
- id: "NIS2.A1"
exigence: "Analyse des risques cyber et politique de securite des SI"
etat_actuel: "pas de politique formalisee ni analyse de risque documentee"
ecart: "majeur"
priorite: "haute"
action_recommandee: |
Construire une politique de securite SI (directive de la direction),
mener une premiere analyse de risque EBIOS RM sur 4 actifs critiques
(site e-commerce, base clients, systeme paiement, ERP).
charge_estimee_jh: 15
echeance: "M+3"
- id: "NIS2.A2"
exigence: "Gestion des incidents"
etat_actuel: "tickets utilisateurs via helpdesk, pas de runbook incident cyber"
ecart: "moyen"
priorite: "haute"
action_recommandee: |
Rediger 5 runbooks (ransomware, intrusion AD, fuite de donnees,
phishing cible, denial of service), former l'equipe IT.
charge_estimee_jh: 10
echeance: "M+4"
- id: "NIS2.A3"
exigence: "Continuite d'activite et gestion de crise"
etat_actuel: "sauvegardes quotidiennes testees 1 fois par an"
ecart: "moyen"
priorite: "moyenne"
action_recommandee: |
Elaborer un PCA (plan de continuite) et un PRA (plan de reprise),
tester trimestriellement le PRA. Separer les sauvegardes immuables.
charge_estimee_jh: 8
echeance: "M+6"
synthese:
ecarts_majeurs: 5
ecarts_moyens: 8
ecarts_mineurs: 3
charge_totale_jh: 120
budget_externe_estime_eur: 45000
echeance_conformite_cible: "M+9"Ce type de livrable, même sur un cas fictif bien construit, vaut davantage en entretien qu'une certification isolée.
Livrable 3 — Politique de sécurité des SI rédigée (PSSI)
Document de 5-15 pages couvrant : périmètre, principes, rôles et responsabilités, classification de l'information, accès et identités, gestion des incidents, continuité. S'inspire de la trame ANSSI ou ISO 27001 Annexe A.
Livrable 4 — Compte-rendu d'un audit blanc
Audit complet d'une organisation fictive (ou d'un cas Kata) avec plan d'audit, entretiens simulés, tests de contrôle, rapport final structuré selon ISO 19011.
Ces quatre livrables publiés sur GitHub public (au format Markdown, PDF ou YAML) constituent un portfolio GRC démontrable et vérifiable par un recruteur avant entretien.
6. Les certifications GRC par ordre de priorité
| Certification | Éditeur | Coût total | Durée prépa | Reconnaissance FR 2026 |
|---|---|---|---|---|
| ISO 27001 Lead Implementer | PECB | ≈ 1 500 € (formation + examen) | 1-2 mois | Très forte (entrée) |
| ISO 27001 Lead Auditor | PECB ou BSI | ≈ 1 800 € | 2-3 mois | Très forte pour audit |
| CISA (Certified Information Systems Auditor) | ISACA | ≈ 760 $ + formation | 3-6 mois | Très forte, reference mondiale |
| CRISC (Certified in Risk and IS Control) | ISACA | ≈ 760 $ | 3-5 mois | Forte, gestion du risque |
| CISM (Certified Information Security Manager) | ISACA | ≈ 760 $ | 4-6 mois | Forte pour postes senior |
| EBIOS Risk Manager | ANSSI | ≈ 200 € examen (formation variable) | 1-2 mois | Forte en France |
| CIPP/E (privacy Europe) | IAPP | ≈ 550 $ | 2-3 mois | Forte pour DPO et RGPD |
Ordre recommandé pour un junior : ISO 27001 Lead Implementer en premier (entrée marché), puis CISA à 18-24 mois post-embauche pour consolider, puis CISM pour viser les postes de management conformité à 5-7 ans. Les profils 100 % orientés RGPD peuvent préférer CIPP/E en premier.
7. Stratégie de recherche et trajectoire salariale
Où candidater en priorité
- ESN spécialisées GRC et audit cyber : Wavestone, Almond (volet GRC), Neosoft, Digitemis, Sia Partners. Recrutent explicitement des profils juristes et auditeurs en bascule cyber.
- Grands groupes avec équipes conformité SI : banques et assurances (Société Générale, BNP Paribas, Crédit Agricole, AXA, Allianz), énergie (EDF, Engie, TotalEnergies), télécom (Orange, SFR, Bouygues Telecom).
- Secteur public : ministères (Direction Générale des Finances Publiques, Ministère de l'Intérieur), hôpitaux (AP-HP, CHU), agences (CNIL, ANSSI partenaires).
- PME et ETI régulées NIS 2 : très forte demande 2025-2026 chez les nouvelles entités concernées par la directive.
- Éditeurs GRC : OneTrust, ServiceNow (équipe GRC), Archer, Tenable (équipe compliance). Postes produit côté cyber.
Trajectoire salariale type
| Niveau | Expérience | Salaire brut annuel (province) | Salaire brut annuel (IDF) |
|---|---|---|---|
| Analyste GRC junior | 0-2 ans | 38-48 k€ | 42-55 k€ |
| Analyste GRC confirmé | 2-4 ans | 50-62 k€ | 55-68 k€ |
| Responsable conformité SI senior | 4-7 ans | 60-78 k€ | 65-85 k€ |
| Responsable GRC / RSSI de PME | 7-10 ans | 75-95 k€ | 85-110 k€ |
| Directeur conformité SI / RSSI grand groupe | 10+ ans | 95-130 k€ | 110-170 k€ |
Fourchettes Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Le ticket d'entrée GRC est légèrement inférieur à DevSecOps ou AppSec, mais la progression à 5-7 ans dépasse régulièrement ces métiers via les postes de direction conformité et RSSI.
Bifurcations possibles après 3-5 ans de GRC
- RSSI de PME ou ETI : trajectoire la plus naturelle, 75-95 k€ bruts annuels.
- Consulting indépendant : TJM 500-900 € pour un analyste confirmé, 800-1 400 € pour un senior.
- DPO (Data Protection Officer) : spécialisation RGPD, souvent chez grand groupe ou en cabinet d'avocats.
- Auditeur externe en cabinet Big Four (EY, Deloitte, KPMG, PwC, Mazars) : postes senior manager et direction à 10+ ans d'expérience.
- Direction conformité grand groupe : rare mais accessible après 12-15 ans et CISM plus MBA ou master complémentaire.
Pour cadrer la dimension reconversion + âge souvent corrélée (beaucoup de profils GRC basculent entre 30 et 50 ans), voir Se reconvertir en cybersécurité après 30 ans.
Points clés à retenir
- GRC = porte d'entrée cyber la plus accessible pour les profils non-tech : 3-6 mois de bascule pour juriste, auditeur, compliance officer, gestionnaire de projet.
- Forte demande 2025-2026 post NIS 2 (transposée oct. 2024) et DORA (janv. 2025). Environ 15 000 entités NIS 2 en France doivent structurer leur conformité.
- Peu de code requis : Excel avancé, outils GRC (Archer, ServiceNow, OneTrust), Python basique occasionnel.
- Cinq référentiels clés : ISO 27001:2022, NIS 2, RGPD, DORA (si finance), NIST CSF 2.0. EBIOS RM pour le volet risque français.
- Certification d'entrée : ISO 27001 Lead Implementer (≈ 1 500 €). Puis CISA à 18-24 mois post-embauche.
- Portfolio démontrable sans code : registre des risques, gap analysis, politique de sécurité SI, compte-rendu d'audit blanc. Publiés sur GitHub public en Markdown / YAML.
- Salaires juniors 38-55 k€. Progression +5 ans vers responsable conformité ou RSSI PME à 75-100 k€, direction conformité grand groupe à 110-170 k€.
Pour un cadrage global de la reconversion cybersécurité, voir Le guide reconversion pillar. Pour le profilage d'entrée général, voir Entrer en cybersécurité en partant de zéro. Pour les autres bascules par profil de départ, voir Quel métier cyber viser quand on vient du développement ? et Quel métier cyber viser quand on vient du support IT ?. L'accompagnement cyber 6 mois propose un cursus spécifique GRC avec préparation ISO 27001 Lead Implementer intégrée, ateliers de construction de livrables (risk register, gap analysis NIS 2, PSSI) et coaching d'entretien cabinet-type.
