Zeroday Cyber Academy

Reconversion cybersécurité

Les étapes pour travailler en GRC cybersécurité

Carrière GRC cybersécurité 2026 : 4 métiers, 4 trajectoires d'accès, certifications ISO/CISA/CISM, consulting vs in-house, régulations NIS 2/DORA/AI Act.

Naim Aouaichia
12 min de lecture
  • GRC
  • Gouvernance
  • Conformité
  • Risk Management
  • ISO 27001
  • NIS 2
  • DORA
  • AI Act
  • DPO
  • Audit

Travailler en GRC (Gouvernance, Risque, Conformité) cybersécurité en France en 2026 recouvre quatre métiers distincts — analyste GRC, lead auditor, DPO, responsable conformité SI — et quatre trajectoires d'accès possibles selon le profil de départ (juriste, auditeur, gestionnaire de projet, profil technique cyber bifurquant). La demande marché est structurellement supérieure à l'offre depuis la transposition de la directive NIS 2 en octobre 2024 (environ 15 000 entités essentielles et importantes en France), l'applicabilité de DORA en janvier 2025 (22 000 entités financières européennes) et la mise en application de l'AI Act prévue en août 2026. Les salaires GRC s'étalent de 38 k€ bruts en junior analyste à 170 k€ en direction conformité grand groupe, avec une progression typique sur 10-15 ans. Trois certifications drivent les candidatures : ISO 27001 Lead Implementer en entrée, CISA en confirmé, CISM en management senior. Cet article détaille les 4 métiers GRC, les 4 trajectoires d'accès, les certifications par palier, la différence consulting versus in-house, les régulations qui portent la demande, et une trajectoire complète chiffrée sur 15 ans.

1. Les quatre métiers qui composent la GRC cybersécurité

La GRC n'est pas un métier unique mais une famille de quatre métiers aux activités, référentiels et certifications partiellement distincts.

MétierActivité dominanteRéférentiels cœurCertification d'entrée
Analyste GRCBuild et suivi programmes conformité, risk register, gap analysisISO 27001, ISO 27005, NIS 2, EBIOS RMISO 27001 Lead Implementer
Lead Auditor ISO 27001 ou 27701Conduite audits internes et tierce partie, rapports, certificationISO 27001, ISO 19011, ISO 27701ISO 27001 Lead Auditor
DPO (Data Protection Officer)Conformité RGPD, registre des traitements, DPIA, autorité de contrôleRGPD, LIL, CNIL, ePrivacy, AI Act pour volets dataCIPP/E plus CIPM
Responsable conformité SI / Head of GRCPilotage transverse, reporting direction, coordination programmesISO 27001, NIS 2, DORA, AI Act, NIST CSF 2.0CISM plus CISA

Les quatre métiers se recouvrent partiellement — un analyste GRC confirmé peut conduire des audits internes, un responsable conformité peut piloter le volet RGPD en l'absence de DPO dédié — mais les certifications et les référentiels dominants diffèrent. Une carrière GRC longue passe typiquement par 2 à 3 de ces métiers successivement.

2. Les quatre trajectoires d'accès à la GRC

Profil initialDurée basculeAcquis transférablesMétier GRC naturel
Juriste, compliance officer, DPO hors cyber3-6 moisCadre légal, rédaction, RGPDDPO cybersécurité, analyste GRC
Auditeur interne (ISO qualité, audit financier)3-6 moisMéthodologie audit ISO 19011, rigueur preuveLead Auditor ISO 27001, analyste GRC
Gestionnaire de projet SI / consultant organisation4-8 moisGouvernance, reporting, pilotage transverseAnalyste GRC, responsable conformité SI
Profil technique cyber (SOC, DevSecOps, AppSec, pentest) bifurquant après 3-5 ans6-12 moisCompréhension technique fine, vocabulaire cyberResponsable conformité SI avec angle technique, auditeur SSI

Les deux premières trajectoires sont les plus rapides (3 à 6 mois) et concernent la majorité des reconversions GRC observées. La quatrième trajectoire (technique cyber bifurquant) est plus rare mais produit des profils très valorisés sur les marchés régulés (finance, santé, OIV) où la compréhension technique des contrôles est discriminante — un auditeur cyber qui comprend un CWE, un CVE, une CVSS, un SIEM, une revue de code, a plus de poids devant un RSSI technique qu'un auditeur pur GRC.

3. Certifications par palier de carrière

PalierExpérienceCertifications prioritairesCoût total examen
Entrée (junior)0-2 ansISO 27001 Lead Implementer (PECB)≈ 1 500 €
Entrée (junior)0-2 ansEBIOS Risk Manager (ANSSI)≈ 200 €
Confirmé2-5 ansCISA (Certified Information Systems Auditor, ISACA)≈ 760 $
Confirmé2-5 ansISO 27001 Lead Auditor (PECB ou BSI)≈ 1 800 €
Senior5-10 ansCRISC (Certified in Risk and IS Control, ISACA)≈ 760 $
Senior5-10 ansCISM (Certified Information Security Manager, ISACA)≈ 760 $
Direction10+ ansCISSP ((ISC)²)≈ 749 $
Spécialisation RGPD / dataTout palierCIPP/E plus CIPM (IAPP)≈ 1 100 $
Spécialisation cloudTout palierCCSP ((ISC)²)≈ 599 $

Séquence recommandée pour carrière GRC longue : ISO 27001 LI en première année, EBIOS RM en année 2, CISA en année 3-4, CRISC en année 5-6, CISM en année 7-8, CISSP en année 9-10. Les profils qui empilent CISA plus CISM plus CISSP ont l'ossature certification la plus lue par les boards français et internationaux.

4. Consulting GRC versus in-house : deux métiers quasi distincts

Les cabinets spécialisés GRC (Wavestone, Almond, Digitemis, Neosoft, Sia Partners) et les Big Four (EY, Deloitte, KPMG, PwC, Mazars) recrutent massivement des profils GRC, mais le métier y diffère significativement de l'in-house.

DimensionConsulting GRCIn-house GRC
Nombre de contextes vus en 5 ans15-30 clients1 entreprise
Progression hiérarchiqueAnalyst → Senior → Manager → SM → Director → PartnerAnalyste → Responsable → Directeur
Temps de travail hebdo typique40-60 h35-45 h
Voyage / déplacement clientFréquent (20-40 %)Rare
Culture dominanteLivrable, pitch commercial, grading annuelOpérationnel, relation interne
Salaire junior (0-2 ans)40-55 k€38-48 k€
Salaire manager (6-8 ans)70-95 k€60-80 k€
Salaire senior manager / directeur (8-12 ans)100-140 k€95-130 k€
Salaire partner / head of GRC grand groupe (12+ ans)200-400 k€ + parts130-170 k€

Les bascules consulting vers in-house sont fréquentes après 4-6 ans cabinet (« sortie de cabinet »), typiquement valorisées de 1 à 2 niveaux hiérarchiques sur le titre du poste cible. Les bascules in-house vers consulting sont plus rares après 30 ans, le rythme cabinet étant difficile à reprendre.

5. Les cinq régulations qui portent la demande GRC 2026

RégulationOriginePérimètreApplication
NIS 2 (directive UE 2022/2555)UE, transposée oct. 2024 en France≈ 15 000 entités essentielles et importantesObligations pleines 2025-2026
DORA (règlement UE 2022/2554)UE22 000 entités financières + prestataires TIC critiquesApplicable depuis janv. 2025
AI Act (règlement UE 2024/1689)UESystèmes IA à haut risque, modèles GPAIApplicable août 2026 (systèmes à risque inacceptable fév. 2025)
RGPD (règlement UE 2016/679)UEToutes entités traitant données personnelles UESocle permanent depuis 2018
LPM (Loi Programmation Militaire)FranceOpérateurs d'Importance Vitale (OIV)Socle permanent

Ces cinq régulations cumulées portent le marché GRC à une croissance YoY de +35-45 % des offres 2023-2025 selon Apec Cadres Cybersécurité et observatoires marché. Les entreprises ciblées qui créent le plus d'offres GRC : banques, assurances, énergie, télécom, santé, secteur public (ministères, AP-HP, agences), éditeurs logiciels et scale-ups en processus de certification ISO 27001 / SOC 2.

Exemple de cartographie de conformité multi-régulation maintenue par un responsable conformité SI (format YAML exploitable en repo GitHub) :

# compliance-map-v1.yml
# Cartographie conformite multi-regulation - entite europeenne
# services financiers, 1 200 salaries, NIS 2 essentielle, DORA en scope,
# ISO 27001 certifiee depuis 2022.
 
meta:
  entite: "EuroFin Services SA (fictif)"
  secteur: "services financiers B2B"
  effectif: 1200
  date_revue: "2026-04-23"
  responsable_conformite: "Responsable conformite SI"
  frequence_revue: "trimestrielle"
 
regulations:
  - nom: "ISO 27001:2022"
    statut: "certifiee"
    echeance_prochaine: "2027-06 (audit de renouvellement)"
    controles_couverts: 93
    ecarts_ouverts: 4
    owner: "Responsable conformite SI"
 
  - nom: "NIS 2 (transposition FR oct. 2024)"
    statut: "en deploiement"
    echeance_prochaine: "conformite pleine atteinte 2026-10"
    controles_specifiques: 10
    ecarts_ouverts: 6
    owner: "RSSI groupe plus Responsable conformite SI"
 
  - nom: "DORA (applicable janv. 2025)"
    statut: "en deploiement"
    echeance_prochaine: "registre des prestataires TIC critiques complet 2026-07"
    controles_specifiques: 28
    ecarts_ouverts: 11
    owner: "Responsable risque operationnel plus Responsable conformite SI"
 
  - nom: "RGPD"
    statut: "en regime de croisiere"
    echeance_prochaine: "audit CNIL possible a tout moment"
    registre_traitements: "a jour"
    dpia_ouvertes: 3
    owner: "DPO"
 
  - nom: "AI Act (applicable 2026-08)"
    statut: "scoping"
    echeance_prochaine: "cartographie systemes IA a haut risque 2026-07"
    systemes_en_scope: 2
    owner: "Responsable conformite SI plus CDO"
 
controles_transverses:
  - id: "CT-001"
    libelle: "Gestion des acces privilegies (PAM)"
    reglements_couverts: ["ISO 27001", "NIS 2", "DORA", "RGPD"]
    statut: "implemente"
    derniere_revue: "2026-02-15"
  - id: "CT-002"
    libelle: "Registre des incidents cyber"
    reglements_couverts: ["ISO 27001", "NIS 2", "DORA", "RGPD"]
    statut: "implemente"
    derniere_revue: "2026-03-01"

Ce type de cartographie multi-régulation est un livrable standard attendu d'un responsable conformité SI confirmé et constitue un excellent livrable de portfolio GitHub public pour une candidature à un poste senior GRC.

6. Trajectoire complète sur 15 ans

AnnéePoste typeRégion (brut annuel)Île-de-France (brut annuel)
An 1-2Analyste GRC junior38-48 k€42-55 k€
An 3-4Analyste GRC confirmé, Lead Auditor ISO50-62 k€55-68 k€
An 5-7Responsable conformité SI senior, auditeur senior cabinet60-80 k€65-90 k€
An 8-10Responsable GRC ETI, RSSI PME, manager cabinet75-100 k€85-110 k€
An 11-15Direction conformité SI grand groupe, partner cabinet, RSSI grand groupe110-170 k€130-200 k€

Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Les trajectoires consulting empilées sur 12-15 ans peuvent dépasser 250-400 k€ en fin de carrière partner Big Four ou Wavestone, au prix d'une exigence d'heures et de déplacements très supérieure.

7. Bifurcations possibles depuis la GRC

Après 7-10 ans de GRC, plusieurs bifurcations structurantes existent :

  • RSSI de PME ou ETI : la bifurcation la plus naturelle, avec compétences transverses déjà construites. Voir Les étapes pour devenir RSSI.
  • CISO de grand groupe coté US : trajectoire plus rare mais accessible après 12-15 ans avec CISM plus CISSP plus anglais courant. Voir Les étapes pour devenir CISO.
  • DPO senior grand groupe ou cabinet d'avocats : spécialisation RGPD pure, 90-130 k€ bruts annuels, souvent profil juriste à la base renforcé CIPP/E.
  • Partner cabinet GRC : Wavestone, Almond, Big Four, après 12-15 ans intra-cabinet. Rare mais très valorisé.
  • Consulting indépendant plus vCISO : TJM 900-1 500 € pour un profil GRC senior, reconverti en vCISO pour les PME et ETI sous pression NIS 2 / DORA.
  • Régulateur : ANSSI, CNIL, ACPR, AMF, ENISA. Salaires plafonnés publique (70-110 k€) mais impact structurel et réseau long terme.

Points clés à retenir

  • Quatre métiers distincts composent la GRC cybersécurité : analyste, lead auditor, DPO, responsable conformité. Une carrière longue traverse 2-3 de ces métiers.
  • Quatre trajectoires d'accès : juriste ou compliance, auditeur interne, gestionnaire de projet SI, profil technique cyber bifurquant. Les deux premières sont les plus rapides (3-6 mois).
  • Progression sur 15 ans de 38-55 k€ analyste junior à 110-200 k€ direction conformité ou RSSI grand groupe.
  • Séquence certification recommandée : ISO 27001 LI → EBIOS RM → CISA → CRISC → CISM → CISSP. Ossature CISA plus CISM plus CISSP lue par les boards.
  • Consulting versus in-house : deux métiers quasi distincts. Bascules consulting vers in-house fréquentes après 4-6 ans, valorisées d'1-2 niveaux.
  • Cinq régulations drivent la demande 2026 : NIS 2 (15 000 entités FR), DORA (22 000 entités UE), AI Act (août 2026), RGPD, LPM OIV. Croissance marché +35-45 % YoY 2023-2025.
  • Portfolio GRC senior : cartographie de conformité multi-régulation publiée en GitHub public, politique de sécurité SI, plan d'audit ISO 27001, registre des risques quantifié FAIR.

Pour un cadrage global reconversion, voir le guide complet reconversion cybersécurité. Pour la porte d'entrée junior GRC, voir Devenir analyste GRC sans expérience cyber. Pour la bifurcation direction cyber à long terme, voir Les étapes pour devenir RSSI et Les étapes pour devenir CISO. L'accompagnement cyber 6 mois propose un cursus spécifique GRC avec préparation ISO 27001 Lead Implementer intégrée, ateliers de construction de livrables senior (cartographie multi-régulation NIS 2 / DORA / AI Act, PSSI, plan d'audit ISO 27001) et coaching d'entretien Big Four et cabinets spécialisés.

Questions fréquentes

  • Quels sont les 4 métiers qui composent la GRC cybersécurité ?
    1) Analyste GRC (gouvernance, risque, conformité opérationnelle) : construction de risk registers, gap analysis, suivi des contrôles. 2) Lead Auditor ISO 27001 ou ISO 27701 : conduite d'audits internes et externes, rapports d'audit, certification. 3) DPO (Data Protection Officer) : spécialisation RGPD et vie privée, souvent couvert par juriste avec socle cyber. 4) Responsable conformité SI ou Head of GRC : pilotage transverse des programmes, reporting direction, coordination NIS 2, DORA, ISO 27001. Les quatre métiers se recouvrent partiellement mais reposent sur des activités et des certifications distinctes. Une carrière GRC longue passe typiquement par 2 ou 3 de ces métiers successivement.
  • Combien de temps pour accéder à un poste de direction GRC ?
    8 à 15 ans selon trajectoire. 3 à 5 ans analyste GRC, 3 à 5 ans responsable conformité SI, 2 à 5 ans direction GRC ou responsable conformité senior. Les profils issus de cabinet Big Four (EY, Deloitte, KPMG, PwC, Mazars) avec 6-8 ans en audit cyber externe accèdent plus rapidement à des postes de direction conformité chez leurs clients en sortie de cabinet. Les profils in-house progressent plus lentement mais avec une meilleure connaissance opérationnelle. Le palier direction conformité grand groupe (110-170 k€ bruts) demande quasi systématiquement CISM ou CISSP plus 10+ ans d'expérience documentée.
  • Quelles sont les certifications GRC à passer par ordre de priorité ?
    Trois paliers. Palier junior (0-3 ans) : ISO 27001 Lead Implementer (PECB, environ 1 500 €) puis EBIOS Risk Manager (ANSSI, environ 200 €). Palier confirmé (3-7 ans) : CISA (Certified Information Systems Auditor, ISACA, 760 $) et CRISC (Certified in Risk and IS Control, 760 $). Palier senior management (7+ ans) : CISM (Certified Information Security Manager, 760 $) puis CISSP ((ISC)², 749 $) pour viser les postes direction conformité ou RSSI. Spécialisation RGPD : CIPP/E plus CIPM (IAPP, environ 1 100 $ les deux). Les profils qui empilent CISA plus CISM plus CISSP ont l'ossature certification la plus lue par les boards français en 2026.
  • Consulting GRC (Big Four, Wavestone) ou in-house : quelle différence ?
    Deux métiers quasi distincts malgré le titre commun. Consulting : missions de 3 à 12 mois chez des clients variés, exposition à 15-30 contextes différents en 5 ans, montée en grade structurée (analyst, senior analyst, manager, senior manager, director, partner), culture du livrable et du pitch commercial, 40-60 h hebdo courantes. Salaires junior consulting 40-55 k€, manager 70-95 k€, senior manager 100-140 k€, partner 200 k€+. In-house : un seul contexte profond, progression sur 3-10 ans dans l'entreprise, vie perso plus cadrée, salaires junior in-house 38-48 k€, responsable conformité 60-80 k€, direction 110-170 k€. Les bascules consulting vers in-house sont fréquentes après 4-6 ans cabinet, valorisées sur le titre du poste cible.
  • Quelles régulations drivent la demande GRC en France 2026 ?
    Cinq régulations structurantes. 1) NIS 2 (directive UE 2022/2555, transposée oct. 2024) : environ 15 000 entités essentielles et importantes en France doivent structurer leur gouvernance cyber. 2) DORA (règlement UE 2022/2554, applicable janv. 2025) : 22 000 entités financières européennes concernées (banques, assurances, fintechs, prestataires TIC critiques). 3) AI Act (règlement UE 2024/1689, applicable août 2026) : gouvernance IA à haut risque. 4) RGPD (règlement UE 2016/679) : socle permanent, amendes record 2023-2024. 5) LPM (Loi de Programmation Militaire) pour les Opérateurs d'Importance Vitale (OIV). Ces cinq régulations cumulées portent le marché GRC à une croissance YoY plus 35-45 % des offres 2023-2025 selon Apec Cadres.
  • Quel salaire attendre dans la GRC selon l'ancienneté ?
    Junior analyste GRC (0-2 ans) : 38-55 k€ bruts selon région. Confirmé 2-4 ans : 50-68 k€. Responsable conformité SI senior 4-7 ans : 65-90 k€. Responsable GRC ou RSSI PME 7-10 ans : 85-110 k€. Direction conformité SI ou CISO grand groupe 10+ ans : 110-170 k€ plus bonus. Consulting GRC sur les mêmes paliers : légèrement plus élevé en moyenne (plus 10-15 %) mais chargé de plus d'heures. DPO senior grand groupe : 90-130 k€. Freelance GRC confirmé : TJM 600-900 €, senior 900-1 400 €. Sources : Apec Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également