Gardien de la souveraineté numérique, pas technicien de l’urgence.
Idées reçues fréquentes
Il protège les systèmes en installant des antivirus, en bloquant des attaques en temps réel ou en « piratant pour le bien ».
Cette vision réductrice confond réaction immédiate et résilience structurelle. Elle oublie que la vraie sécurité ne se mesure pas en attaques repoussées, mais en capacités préservées, en libertés maintenues, et en infrastructure maîtrisée.
Ses missions
Le Consultant cybersécurité accompagne les organisations dans la conception et la mise en œuvre d’une posture de sécurité alignée sur leurs valeurs, leurs risques réels et leur capacité de maintien en conditions dégradées.
Il évalue les vulnérabilités techniques, humaines et organisationnelles, propose des mesures proportionnées (chiffrement, sauvegardes, gestion des accès, auto-hébergement), et forme les équipes à une culture de la vigilance sobre, pas de la paranoïa.
Il privilégie les solutions open source, auditables, auto-hébergées (ex. : NAS chiffré, rsync + Borg, DDEV en local) et refuse les promesses de sécurité « clé en main » qui créent de la dépendance.
Le sens du métier
Protéger non pas les données comme des actifs à sécuriser, mais les personnes comme des sujets à émanciper en leur rendant le contrôle sur leurs outils, leurs communications et leurs archives.
Champ d’action
- Cartographier les actifs critiques (documents, contacts, bases de données)
- Évaluer les menaces réalistes (pas les scénarios hollywoodiens)
- Concevoir des stratégies de sauvegarde, de restauration et de continuité (ex. : 3-2-1 avec chiffrement)
- Auditer les outils et services : stockage cloud, messagerie, CMS, hébergement
- Recommender des alternatives souveraines et résilientes (Proton Mail, Tails, NAS, Raspberry Pi)
- Former aux bonnes pratiques : mots de passe, double authentification, gestion des permissions
- Documenter les procédures de réponse aux incidents (sans dramatisation)
Outils et terrains
GPG, VeraCrypt, BorgBackup, rsync, rclone, KeePassXC, Tails, Fail2Ban, OpenSSH, outils d’audit réseau (Nmap, Lynis), frameworks comme ISO 27001 ou ANSSI (avec adaptation pragmatique)
(Préférence marquée pour les outils libres, scriptables, offline-first, sans compte ni cloud centralisé)
Confusions fréquentes
Pas un pentester spectacle : il ne cherche pas à « casser » pour impressionner, mais à renforcer discrètement.
Pas un vendeur de solutions : il ne propose pas de « suite sécurité », mais des gestes reproductibles et transmissibles.
Pas un informaticien système : il ne gère pas l’infrastructure au quotidien, mais en garantit la résilience éthique.
Rémunération indicative (France, brut annuel)
– Junior (0–3 ans) : 40 000 € – 50 000 €
– Confirmé·e (3–6 ans) : 50 000 € – 70 000 €
– Senior / Lead (6+ ans, avec expertise en souveraineté ou sécurité éthique) : 70 000 € – 95 000 €+
(Les consultants indépendants spécialisés en sécurité pour acteurs culturels, associatifs ou éducatifs peuvent facturer moins, mais avec un impact plus aligné sur leurs valeurs.)
Où le rencontrer ?
Collectifs de défense des droits numériques, associations, médiathèques, éditeurs indépendants, écoles alternatives, structures de l’ESS, cabinets de conseil éthiques, hackerspaces engagés — et de plus en plus, dans des environnements auto-hébergés avec un NAS, une clé USB live et un Raspberry Pi en projet.
Autres appellations
Conseiller en sécurité numérique, Consultant en souveraineté technologique, Spécialiste en résilience numérique, Ingénieur·e sécurité éthique