C’est la question qu’on nous pose à la fin de presque tous les premiers échanges. Et c’est presque toujours la question qu’on nous pose en chuchotant, comme si parler d’argent était inconvenant.
Parlons d’argent.
Sur le marché français du recrutement cybersécurité, il existe une tradition étrange qui consiste à ne jamais publier ses tarifs. Allez sur les sites des cabinets concurrents, vous trouverez des pages “Notre méthode”, “Nos valeurs”, “Notre processus”, “Pourquoi nous”, parfois même “Notre manifeste”. Vous ne trouverez jamais “Combien ça coûte”. Le sujet est traité au téléphone, après un brief, après un café, après que la confiance ait été établie. La logique commerciale est compréhensible : un cabinet qui annonce ses tarifs publiquement perd sa marge de négociation. La logique client l’est moins : pourquoi devriez-vous passer trois rendez-vous avant de savoir si on est dans votre budget.
Cet article casse la tradition. On va vous donner les fourchettes réelles du marché 2026, expliquer pourquoi elles existent, dire à quoi vous payez vraiment, et surtout vous aider à savoir quand un cabinet vaut le coup et quand vous feriez mieux de recruter en interne. Parce qu’on n’est pas le bon partenaire pour tout le monde, et qu’on préfère le dire au début plutôt qu’à la fin.
Les trois modèles tarifaires du marché, en clair
Quand un cabinet vous fait une proposition commerciale en cybersécurité, vous tombez forcément sur l’un de ces trois modèles, ou un panachage des trois. Aucun n’est intrinsèquement meilleur que les autres. Chacun correspond à une situation différente.
Le pourcentage du salaire annuel brut
C’est le modèle historique et encore largement majoritaire. Le cabinet facture un pourcentage du salaire annuel brut du candidat embauché, généralement entre 18 % et 25 %. Sur le marché cyber spécifiquement, on est plus souvent autour de 20 à 25 %, parce que la chasse est plus longue et plus technique que sur des fonctions support.
Concrètement, pour un RSSI recruté à 120 k€ brut annuel, à un taux de 22 %, vous facturerez 26 400 € HT. Pour un analyste SOC junior à 45 k€ à 20 %, vous serez à 9 000 € HT. Pour un Cloud Security Engineer senior à 105 k€ à 23 %, vous serez à 24 150 € HT.
Le pourcentage exact dépend de plusieurs facteurs clés :
- la rareté du profil (un pentester habilitable Confidentiel Défense justifie 25 % parce que le vivier est minuscule, un consultant GRC junior se négocie à 18 %),
- l’exclusivité du mandat (un cabinet seul sur le poste accepte parfois de descendre de 2 ou 3 points),
- le volume (si vous engagez un cabinet sur trois postes simultanés, attendez-vous à une dégressivité)
- la rapidité d’engagement (un client connu qui ne renégocie pas chaque mandat obtient mécaniquement de meilleures conditions).
L’avantage de ce modèle pour vous : vous ne payez qu’en cas de succès, et le cabinet est mécaniquement aligné sur votre intérêt (chasser fort et bien pour fermer le mandat).
L’inconvénient : sur les profils très recherchés, le cabinet peut être tenté de pousser le candidat vers une fourchette haute, parce que ça augmente sa propre facturation. C’est un biais structurel qu’il faut connaître. Un cabinet sérieux le neutralise en discutant la fourchette en amont avec vous, pas après.
Le forfait fixe
Plus rare en cyber, mais en croissance. Le cabinet annonce un montant fixe quel que soit le salaire final négocié. Sur les profils cyber, on observe des forfaits entre 15 000 € et 40 000 € HT selon la difficulté, avec une médiane qu’on estime autour de 22 000 € pour un poste cadre confirmé (finalement, on en revient à des fourchettes similaires que précédemment mais avec moins de flexibilité).
L’avantage du forfait, c’est la prédictibilité. Vous savez exactement ce que vous payez avant de démarrer, indépendamment de la négociation salariale finale. Le cabinet ne peut pas être suspecté de pousser le salaire à la hausse pour augmenter sa marge. C’est un format qui plaît particulièrement aux DAF qui détestent la variabilité, et aux clients réguliers qui veulent budgéter sur l’année.
L’inconvénient : sur les profils où le salaire final dérape par rapport à la fourchette initiale (cas fréquent en cyber sur les profils ultra-recherchés), c’est le cabinet qui absorbe la déconvenue. Conséquence directe : les cabinets qui pratiquent le forfait sont souvent plus stricts sur la fourchette discutée en amont, et plus enclins à refuser un mandat dont le brief n’est pas mature. Ce qui n’est pas forcément un défaut.
Le succès pur, parfois appelé “no cure no pay”
Le cabinet ne facture rien tant qu’aucun candidat n’est embauché. Ni acompte ni frais de dossier. Quand le candidat est signé, la facturation se déclenche, généralement sur un modèle au pourcentage (18 à 22 % du salaire annuel).
C’est attractif sur le papier, c’est dangereux en pratique pour deux raisons. Premièrement, un cabinet qui ne facture rien à l’amorçage n’a aucun coût d’opportunité à diluer son énergie sur dix mandats simultanés au lieu de trois. Sur des chasses longues comme la cyber, ça veut dire que votre dossier passe en huitième priorité dès que le cabinet en signe un autre. Deuxièmement, ce modèle pousse à la quantité plutôt qu’à la qualité côté shortlist : on vous envoie des CV approximativement compatibles plus rapidement, en espérant qu’un sera signé. Vous perdez du temps en entretiens, le cabinet ne perd rien.
Le succès pur fonctionne bien sur des recrutements à fort volume et à profils relativement standards. Pour la cyber, où chaque mandat demande de la spécialisation et du temps, c’est un format qui produit en moyenne des résultats inférieurs aux deux autres. On ne le pratique pas chez Rehackt, et on vous recommande de l’éviter sauf cas très spécifique.
Les garanties : la partie du contrat que personne ne lit, et qui compte
Si vous deviez ne lire qu’un seul paragraphe de votre contrat avec un cabinet, ce serait celui sur la garantie de remplacement. C’est la clé qui détermine si votre prestataire est aligné avec vous sur le moyen terme, ou s’il facture et disparaît.
La pratique de marché en France tourne autour d’une garantie de 3 à 6 mois, déclenchée si le candidat quitte le poste de son propre fait ou est licencié pour cause non liée à un changement de périmètre côté employeur. Concrètement : si votre RSSI part au bout de 4 mois et que votre garantie est de 6 mois, le cabinet vous re-chasse un remplaçant sans facturer à nouveau ses honoraires. Si votre garantie est de 3 mois, vous repayez plein pot.
Sur les profils cyber, où le turn-over est élevé (on en a parlé en détail dans notre article sur le recrutement RSSI), la garantie de 6 mois est devenue la norme chez les cabinets sérieux. Méfiez-vous des contrats à 3 mois qui sont parfois proposés en compensation d’un tarif plus bas : sur un poste où la moyenne de durée en poste tourne autour de 3 ans, une garantie de 3 mois est presque cosmétique.
Quelques points à vérifier au-delà de la durée. Est-ce une garantie de remplacement (le cabinet rechasse) ou une garantie de remboursement (le cabinet vous rembourse une partie ou la totalité) ? La première est presque toujours préférable parce qu’elle vous évite de relancer un processus à zéro. Quel est le périmètre couvert (démission, licenciement, rupture conventionnelle, période d’essai non confirmée des deux côtés) ? Y a-t-il une clause d’exclusivité qui suspend la garantie si vous avez recruté en parallèle via un autre canal ? Quel est le délai accordé au cabinet pour exécuter la garantie (3 mois pour vous proposer un nouveau candidat est raisonnable, au-delà la garantie devient théorique) ?
Un cabinet qui rechigne à expliquer clairement ses garanties au moment de la signature rechignera encore plus à les exécuter au moment de la sortie de votre RSSI.
Ce que vous payez vraiment
Quand vous payez 22 000 € pour un recrutement cyber, vous payez en réalité quatre choses, dans des proportions très variables d’un cabinet à l’autre.
Du temps de chasse, qui représente la majorité du coût direct. Un recrutement RSSI demande typiquement entre 60 et 100 heures de travail consultant sur 4 à 6 mois : sourcing, approches LinkedIn et réseau, qualification, entretiens, débriefs avec vous, accompagnement de la négociation finale. Sur un poste plus standard comme un analyste SOC, on est plutôt entre 30 et 50 heures. Le coût horaire interne d’un consultant senior tourne autour de 100 à 150 €, avant marge cabinet.
De la base de candidats activable, qui est l’investissement de long terme du cabinet. Une bonne base cyber, c’est plusieurs centaines de profils qualifiés, mis à jour, dont on connaît la disponibilité, les attentes salariales, les contraintes géographiques. Cette base vaut plusieurs années de travail accumulé. C’est ce qui fait qu’un cabinet spécialisé chasse en quatre mois ce qu’un cabinet généraliste cyber-curieux mettra douze mois à trouver.
De la spécialisation technique, qui est la part la plus inégale entre cabinets. Un consultant qui sait parler à un pentester, comprendre la différence entre un OSCP et un OSWE, évaluer la qualité réelle d’un rapport de pentest produit en exemple par un candidat, vous fait gagner trois ou quatre tours d’entretien. Un consultant qui ne sait pas, vous fait perdre deux mois et plusieurs entretiens à shortlister des profils non pertinents. C’est le facteur de variation le plus important d’un cabinet à l’autre, et c’est aussi celui qui est le plus difficile à évaluer en amont.
Du risque commercial assumé par le cabinet, qui justifie le pourcentage final. Un cabinet refuse environ 15 à 20 % des mandats qu’il reçoit (au moins chez Rehackt) parce que les briefs ne sont pas mûrs, que la fourchette est sous le marché, que le contexte interne ne permet pas de réussir. Mais sur les 80 % qu’il accepte, il en échoue environ 15 à 25 %. C’est ce risque, mutualisé, qui se reflète dans la marge.
Si vous comprenez ces quatre composantes, vous pouvez juger une proposition commerciale. Un cabinet qui facture 25 % mais qui n’a pas de vraie spécialisation technique cyber n’est pas plus cher : il est mal positionné. Un cabinet qui facture 18 % avec une garantie de 3 mois et un succès pur n’est pas moins cher : il est moins exposé au risque.
Les vraies alternatives au cabinet, et quand elles ont du sens
Un cabinet n’est pas la solution par défaut. C’est une option parmi quatre ou cinq, qui se justifie dans certains contextes et pas dans d’autres. On va passer en revue les vraies alternatives, avec leurs coûts cachés.
Le recrutement interne pur est gratuit en apparence et coûte cher en réalité.
Comptez entre 4 et 10 jours-homme de DRH ou IT manager pour un recrutement cyber qui aboutit (sourcing, tri CV, premiers entretiens, coordination), sur une durée moyenne de 6 à 9 mois (durée plus longue qu’un cabinet parce que le sourcing actif sur LinkedIn cyber demande une expertise). À un coût-jour DRH d’environ 600 à 800 €, on est sur 3 000 à 8 000 € de coût interne caché. À cela s’ajoute le coût d’opportunité du poste vacant pendant 9 mois au lieu de 5 (différentiel de 4 mois où aucun travail cyber n’avance), qui est presque toujours plus important que les honoraires d’un cabinet. Le recrutement interne fonctionne bien pour les profils cyber juniors ou pour les entreprises qui ont déjà une marque employeur cyber forte (les pure-players cyber, certains grands groupes connus). Il fonctionne mal pour les profils seniors, les profils rares, et les entreprises non identifiées comme employeurs cyber par les candidats.
Les plateformes de freelance cyber (Malt, Comet, freelance.com, Free-Work) sont une vraie alternative, mais pour un usage différent.
Elles fonctionnent pour de la mission ponctuelle, du remplacement temporaire, du test de profil avant pré-embauche. Elles ne fonctionnent pas pour du CDI parce que leur modèle économique repose sur la facturation au TJM. Coût indicatif d’un RSSI freelance senior : 800 à 1 200 € HT par jour. Sur trois mois pleins, vous êtes déjà à 50 000-70 000 € HT, soit deux fois ce que coûterait un recrutement CDI via cabinet. En revanche, sur du RSSI à temps partagé (deux jours par semaine), c’est souvent le format le plus rentable pour une ETI.
Les ESN spécialisées cyber en placement (Wavestone, Almond, Synetis, Advens, Intrinsec, Devoteam, Squad) proposent du portage de profils cyber qu’elles ont en interne.
C’est plus cher que du recrutement direct (taux journalier facturé entre 700 et 1 100 € HT pour un consultant cyber senior, soit 150-250 k€ annualisés), mais vous ne portez pas le risque d’embauche et vous bénéficiez d’un ramp-up rapide. C’est le bon format quand vous avez besoin d’expertise cyber dans les 4 semaines, pour 6 à 18 mois, et que vous ne voulez pas internaliser le poste à terme. Ce n’est pas un substitut au recrutement, c’est un complément.
Les plateformes de cooptation (Trusty, Welcome to the Jungle Solutions, certains acteurs RH internalisés) facturent entre 5 000 et 15 000 € par embauche réussie, ce qui est sensiblement moins cher qu’un cabinet.
Elles fonctionnent sur les profils où le bouche à oreille est efficace, donc plutôt sur les communautés tech (développeurs, DevOps, parfois SOC). Elles fonctionnent mal sur les profils RSSI, GRC senior, ou cyber très spécialisés, parce que ces communautés sont plus discrètes et que la cooptation pure y est plus rare.
Le LinkedIn Recruiter en autonomie est un faux ami. Une licence Recruiter coûte 8 000 à 12 000 € par an, plus le temps interne pour l’utiliser.
Si vous recrutez deux ou trois personnes en cyber par an, ce n’est pas rentable. Si vous en recrutez dix ou plus, c’est pertinent à condition d’avoir un Talent Acquisition spécialisé cyber en interne (ce qui ajoute 60-80 k€ de salaire annuel chargé). Le seuil de rentabilité d’un Talent Acquisition cyber interne est rarement atteint en dessous de 15 recrutements cyber par an, c’est-à-dire dans des entreprises ayant déjà une équipe cyber de 30+ personnes.
Quand un cabinet vaut le coup, et quand il ne le vaut pas
On va finir par la partie la plus inconfortable de cet article, celle où on vous explique quand vous n’avez pas besoin de nous.
Un cabinet vaut le coup quand le poste est suffisamment senior ou rare pour que la durée de chasse interne dépasse 6 mois. Un RSSI, un Cloud Security Architect, un consultant GRC senior spécialisé NIS 2, un pentester habilité Défense, un Threat Intelligence Lead : pour ces profils, le coût d’opportunité d’un poste vacant pendant 9 mois écrase systématiquement les honoraires de cabinet.
Un cabinet vaut le coup quand vous n’êtes pas identifié comme employeur cyber. Si vous êtes une ETI industrielle, une mutuelle, une collectivité, un acteur santé, ou une entreprise dont la cyber n’est pas le coeur de métier, les bons candidats cyber ne pensent pas spontanément à postuler chez vous. Un cabinet apporte sa capacité à raconter votre projet à des candidats qui ne vous auraient jamais regardé.
Un cabinet vaut le coup quand vous ne savez pas évaluer techniquement le profil. Recruter un pentester sans avoir un pentester pour l’évaluer, c’est jouer à pile ou face avec 80 000 € annuels de salaire. Un cabinet spécialisé fait l’évaluation technique avant de vous présenter le candidat, et vous fait gagner trois tours d’entretien improductifs.
Un cabinet vaut le coup quand vous avez déjà raté un recrutement cyber dans les 24 derniers mois. Le coût total d’un recrutement raté en cyber dépasse presque toujours 200 000 € en cumulé (honoraires perdus, poste vacant, projets en retard, démotivation équipe). Faire l’investissement supplémentaire pour ne pas le rater une deuxième fois est presque toujours rationnel.
À l’inverse, un cabinet ne vaut pas le coup quand votre poste cyber est junior et votre marque employeur tech est déjà forte. Une scaleup connue qui recrute un analyste SOC N1 ou un alternant en sécurité applicative trouvera très bien en interne, à moindre coût. Quand votre besoin est temporaire et que vous voulez une expertise sous 4 semaines, un freelance ou une ESN sont mieux dimensionnés. Quand votre brief n’est pas mature et que vous n’avez pas répondu aux 7 questions qu’on liste dans notre guide du recrutement RSSI, aucun cabinet ne pourra vous aider tant que vous n’avez pas fait ce travail amont.
Un cabinet sérieux vous le dira au premier rendez-vous. C’est ce qu’on essaie de faire chez Rehackt, et c’est aussi pour cette raison qu’on refuse une partie des mandats qu’on reçoit. Recruter un client qui n’aurait pas dû passer par un cabinet, c’est lui faire payer un service dont il n’avait pas besoin. Ça finit toujours mal.
Pour aller au concret
Si vous préparez un recrutement cyber et que vous voulez savoir si un cabinet est la bonne option dans votre cas spécifique, écrivez-nous. Le premier échange est sans engagement et a un objectif simple : on vous dit honnêtement si on est le bon partenaire pour vous. Si oui, on vous propose un mandat aux conditions claires et discutées. Si non, on vous oriente vers le format qui correspond mieux à votre besoin (interne, freelance, ESN, autre cabinet plus pertinent que nous sur votre cas).
Parler d’argent ne devrait pas être tabou. Surtout pas sur un marché aussi tendu que la cybersécurité, où chaque mois de retard sur un recrutement coûte plus cher que la majorité des honoraires de cabinet.
Laisser un commentaire