Qu'est ce qu'un GRC / Compliance Analyst ?

Le GRC Analyst (Governance, Risk, Compliance) - aussi appelé Compliance Officer dans certains contextes - est le profil qui structure la gouvernance sécurité, gère les risques et garantit la conformité aux normes et réglementations. Il fait le pont entre la sécurité technique (réalisée par AppSec, SOC, Pentest) et les exigences externes (certifications, lois, contrats clients).

C'est un rôle hybride entre tech, juridique et organisation. Indispensable dès qu'une scale-up signe des grands comptes ou opère dans un secteur régulé.

Pourquoi recruter un GRC Analyst ?

Les questionnaires sécurité des grands comptes, les certifications SOC2 / ISO 27001, et les exigences réglementaires (RGPD, NIS2, DORA, AI Act, HDS) prennent une charge énorme. Sans GRC dédié, c'est le CISO ou le CTO qui passe ses semaines à remplir des Excel sécurité - du gâchis de profil cher.

Le GRC Analyst absorbe cette charge avec méthode, construit les bons artefacts (politiques, procédures, evidences), et permet à l'équipe sécurité technique de rester focus.

Quel rôle joue le GRC Analyst ?

Le GRC Analyst est rattaché au CISO ou directement à la Direction Risques / Compliance dans les grands groupes. Il collabore avec le Legal, la Tech, les Opérations, et la Direction Commerciale (questionnaires clients). Il pilote les audits externes (auditors SOC2, ISO 27001, BSI) et orchestre les preuves.

Son terrain : politiques, procédures, risk assessments, evidence collection, vendor risk management, et la conduite de l'amélioration continue du SMSI (Système de Management de la Sécurité de l'Information).

Quelles sont les missions du GRC Analyst ?

• Maintenir le SMSI : politiques, procédures, contrôles, gap analyses.
• Conduire les certifications : SOC2, ISO 27001, HDS, PCI DSS - préparation et audits.
• Piloter le risk assessment : identification, scoring, treatment plan, comité risques.
• Gérer le vendor risk management : évaluation des fournisseurs, due diligence.
• Répondre aux questionnaires sécurité clients (SIG, CAIQ, custom).
• Gérer la conformité : RGPD, NIS2, DORA, AI Act, mappings sectoriels.
• Sensibiliser : training awareness, communication interne sécurité.

Quelles compétences clés ?

• 3-7 ans d'expérience en GRC, audit IT, conseil sécurité ou consulting Big4
• Maîtrise des frameworks : ISO 27001, SOC2, NIST CSF, NIST 800-53, OWASP ASVS
• Connaissance fine du RGPD et des réglementations sectorielles (NIS2, DORA, AI Act, HDS)
• Bonne compréhension de la tech (sans être ingénieur) : pouvoir évaluer un contrôle technique
• Outils GRC : Vanta, Drata, Secureframe, OneTrust, ServiceNow GRC
• Capacité à rédiger des politiques claires et actionnables

Les soft skills

Rigueur extrême, organisation, communication écrite claire (les politiques doivent être lisibles), patience (les audits prennent du temps), capacité à dialoguer avec la tech (sans technophobie) et avec le legal (sans dogmatisme).

Quel salaire pour un GRC / Compliance Analyst ?

Junior 40K€-55K€, confirmé 55K€-75K€, senior/lead 75K€-100K€. Head of GRC / Compliance dans une scale-up régulée (fintech, santé, défense) : 100K€-130K€+.

Comment évolue la carrière d'un GRC / Compliance Analyst ?

Évolution vers Lead GRC, Head of GRC, DPO (Data Protection Officer), ou CISO à terme. Bascule possible vers le conseil (cabinet Big4, boutique sécurité) à un niveau Manager / Senior Manager. Certains se mettent freelance en consultant SOC2 / ISO 27001 (TJM 600-900€).