Le consultant en cybersécurité freelance est devenu l'un des profils les plus recherchés du marché tech français. La transposition de la directive NIS2 en droit français (17 octobre 2024), la multiplication des incidents de ransomware et les obligations croissantes de conformité (DORA pour le secteur financier, HDS pour la santé) ont créé une demande structurelle forte qui dépasse largement l'offre disponible. Résultat : des TJM parmi les plus élevés du marché indépendant (600 à 1 500 €/j selon la spécialité), des carnets de commandes pleins et un levier de négociation inégalé. Mais choisir le bon statut, optimiser sa fiscalité et éviter les pièges spécifiques à ce secteur n'est pas trivial. Ce guide vous donne toutes les clés pour 2026.
Panorama du marché : le consultant cybersécurité indépendant en 2026
La demande pour les consultants en cybersécurité freelances a explosé sous l'effet conjugué de plusieurs facteurs structurels : la directive NIS2 impose aux organisations de la Zone UE de renforcer leur posture de sécurité d'ici 2025–2026, le secteur financier doit se conformer à DORA (Digital Operational Resilience Act) avant janvier 2025, et les incidents cyber (ransomware, phishing, supply chain attacks) se multiplient au point que les directions générales placent désormais la cybersécurité parmi leurs trois premières priorités.
Pour le freelance, ce contexte est exceptionnel. Les RSSI à temps partagé interviennent en parallèle pour trois à cinq ETI ou PME. Les pentesteurs enchaînent les missions courtes à forte valeur. Les architectes sécurité accompagnent les migrations cloud. Les consultants GRC (gouvernance, risques, conformité) pilotent les projets de certification ISO 27001 ou les évaluations NIS2. Dans tous les cas, la rareté des experts certifiés tire les TJM vers le haut — et le freelancing s'impose comme le modèle dominant pour les profils expérimentés.
TJM consultant cybersécurité freelance 2026 par spécialité
Les fourchettes ci-dessous reflètent les tarifs pratiqués en 2026 sur le marché français. Les missions en Île-de-France sont généralement 10 à 20 % plus élevées qu'en province, et les missions défense/OIV (opérateurs d'importance vitale) bénéficient d'une prime de 15 à 30 % liée à l'exigence de secret de la défense nationale.
| Spécialité | Junior (0–3 ans) | Confirmé (3–8 ans) | Senior / Expert |
|---|---|---|---|
| Pentesteur / Red Team | 500–700 €/j | 700–950 €/j | 950–1 200 €/j |
| Architecte sécurité (SSI) | 600–750 €/j | 750–1 000 €/j | 1 000–1 400 €/j |
| RSSI à temps partagé | 500–650 €/j | 700–1 000 €/j | 1 000–1 500 €/j |
| Consultant GRC / NIS2 / ISO 27001 | 450–600 €/j | 600–800 €/j | 800–1 100 €/j |
| Expert Cloud Security (AWS/Azure/GCP) | 550–700 €/j | 700–950 €/j | 950–1 300 €/j |
| Analyste SIEM / SOC (Lead) | 400–550 €/j | 550–750 €/j | 750–900 €/j |
| Consultant RGPD / DPO externalisé | 350–500 €/j | 500–700 €/j | 700–950 €/j |
| Expert DevSecOps / AppSec | 500–700 €/j | 700–950 €/j | 950–1 200 €/j |
BNC ou BIC : quelle qualification fiscale pour le consultant cybersécurité ?
La grande majorité des consultants en cybersécurité exercent une activité de prestation intellectuelle relevant des bénéfices non commerciaux (BNC). C'est le cas du pentesteur qui rend un rapport d'audit, de l'architecte sécurité qui conçoit une politique SSI, du RSSI externalisé qui pilote la gouvernance sécurité, ou du consultant GRC qui accompagne une certification ISO 27001. Toutes ces prestations sont des conseils et services intellectuels : BNC par défaut.
Le BIC (bénéfices industriels et commerciaux) ne s'applique que si vous vendez des produits ou solutions packagées sans personnalisation substantielle : un outil de scan de vulnérabilités que vous avez développé et revendez en licence, des templates de politique de sécurité standardisés sur Gumroad, ou une solution SaaS de surveillance que vous commercialisez à l'abonnement. Dans le doute sur une activité mixte (conseil + revente de licences), un rescrit fiscal auprès de votre SIE est recommandé.
En pratique : si vous facturez principalement des journées d'expertise, des audits et des livrables sur mesure, vous êtes BNC. Ce régime est plus avantageux que le BIC pour les professionnels à faibles charges réelles : l'abattement forfaitaire de 34 % en micro-BNC est souvent supérieur aux frais réels d'un consultant qui travaille principalement depuis chez lui ou en télétravail chez le client.
Comparatif des 4 statuts pour un consultant cybersécurité
Voici les simulations pour un consultant cybersécurité exerçant en 2026, sans ARE, en tenant compte des règles fiscales et sociales en vigueur (PFU 31,4 %, IS 15 % jusqu'à 42 500 € de bénéfice, cotisations TNS avec abattement 26 % en cours d'intégration).
À 80 000 € de CA annuel
| Statut | Net annuel estimé | Points clés |
|---|---|---|
| Micro-BNC | ~52 900 € | Abattement 34 %, cotisations 23,1 % sur 52 800 €. Simple, plafonné à 83 600 €. |
| EI réel BNC | ~47 000–51 000 € | Dépend des frais réels. Intéressant si frais > 27 200 € (34 % de 80 k€). |
| EURL IS | ~44 000–48 000 € | IS 15 % sur bénéfice, dividendes soumis règle 10 % capital. Moins efficace qu'en SASU. |
| SASU IS | ~42 000–47 000 € | Dividendes flat tax 31,4 % sans SSI. Pertinent si CA > 95–100 k€ ou avec ARE. |
Verdict à 80 000 € CA : la micro-BNC gagne nettement si vos frais réels sont inférieurs à 27 200 €/an (34 % × 80 k€). C'est le cas de la majorité des consultants cybersécurité qui travaillent principalement en régie ou en télétravail avec peu d'investissements matériels lourds. Si vous avez des certifications coûteuses (OSCP, CISSP), du matériel de pentest onéreux et des abonnements plateformes importants, l'EI au réel peut devenir comparable.
À 120 000 € de CA annuel
| Statut | Net annuel estimé | Points clés |
|---|---|---|
| Micro-BNC | Non applicable | Plafond micro-BNC = 83 600 €. Basculement obligatoire au réel. |
| EI réel BNC | ~60 000–65 000 € | Cotisations TNS sur bénéfice net. Adapté si vous souhaitez rester simple. |
| EURL IS | ~62 000–67 000 € | IS 15 % jusqu'à 42 500 € + 25 % au-delà, mais dividendes soumis SSI. |
| SASU IS | ~66 000–74 000 € | Meilleure option : IS 15 %/25 % + flat tax 31,4 % dividendes sans SSI. |
Verdict à 120 000 € CA : la SASU IS s'impose au-delà de 95–100 k€ de CA. L'économie sur les dividendes (flat tax 31,4 % sans cotisations SSI vs. TNS ~45 %) compense largement les frais de gestion supplémentaires. Avec la stratégie ARE+SASU (voir ci-dessous), la SASU devient encore plus attractive dès 80 k€.
Frais déductibles spécifiques au consultant cybersécurité
En micro-BNC, aucun frais n'est déductible individuellement : l'abattement forfaitaire de 34 % est censé tout couvrir. En EI réel, EURL ou SASU, tous les frais professionnels ci-dessous sont déductibles à 100 % (sous réserve de justificatif).
Certifications et formations
Les certifications en cybersécurité sont l'un des postes de charges les plus importants et les plus justifiés fiscalement :
- OSCP (Offensive Security Certified Professional) : ~1 499 USD (lab + examen, Offensive Security). En constante demande pour les pentesteurs. Déductible comme formation professionnelle, auto-liquidation TVA extra-communautaire (USA) si vous êtes en SASU/EURL avec numéro TVA.
- CISSP (Certified Information Systems Security Professional) : ~699 USD examen ISC², plus ~1 500–3 000 € de formation préparatoire. La certification de référence pour les RSSI seniors.
- CEH (Certified Ethical Hacker) : ~1 999 USD (EC-Council). Reconnue pour les audits de type boîte noire.
- ISO 27001 Lead Auditor / Lead Implementer : ~1 500–2 500 € HT selon l'organisme (PECB, BSI, Bureau Veritas). Indispensable pour les missions de conseil GRC et certification client.
- CISM (Certified Information Security Manager) : ~575 USD, ISACA. Orienté management et gouvernance SSI.
- CompTIA Security+, CySA+, CASP+ : 350–500 USD chacune. Bonne base pour les profils junior à confirmé.
- CCSP (Certified Cloud Security Professional) : ~599 USD, ISC². Très demandé pour les missions cloud security.
Important TVA : Offensive Security, EC-Council, ISC², ISACA sont des organismes américains. Leurs factures n'incluent pas de TVA française. Si vous avez un numéro TVA intracommunautaire (obligatoire dès que vous dépassez 37 500 € de CA en régime réel), vous devez auto-liquider la TVA sur ces achats dans votre déclaration CA3 (lignes A4 + B2 + 20 pour les services B2B extra-communautaires). Effet trésorerie nul, mais obligation déclarative.
Plateformes de pratique et labs
- HackTheBox : ~14 €/mois (VIP) à ~28 €/mois (VIP+). Indispensable pour maintenir les compétences offensives. Société chypriote (UE) : TVA auto-liquidation B2B intracom (lignes A4+B2+20 CA3).
- TryHackMe : ~14 USD/mois. Société UK post-Brexit : auto-liquidation extra-communautaire (ligne 2A CA3).
- PentesterLab Pro : ~199 USD/an (Australie, extra-communautaire).
- Hack The Box Pro Labs (DANTE, OFFSHORE, RastaLabs) : ~490 USD par lab. Déductible comme formation continue.
- INE Security / eLearnSecurity : ~749–2 399 USD/an. Préparation WAPT, eMAPT, etc.
Outils professionnels
- Burp Suite Professional : 449 USD/an (PortSwigger, UK post-Brexit : ligne 2A CA3). L'outil de référence pour les tests applicatifs web.
- Cobalt Strike : 5 900 USD/an (Fortra, USA : ligne 2A CA3). Réservé aux Red Team certifiés et missions offensives avancées.
- Nessus Professional / Tenable : ~4 000–5 000 €/an. Scanner de vulnérabilités professionnel.
- Shodan API : ~449–1 099 USD/an (USA : ligne 2A CA3). Surveillance de la surface d'attaque.
- VirusTotal Intelligence : 10 000–30 000 USD/an (Google, Irlande UE : auto-liquidation intracom). Réservé aux SOC analysts avec budget threat intelligence.
- Maltego : ~5 000 €/an. OSINT et graphe de relations.
- SIEM (Splunk, Elastic SIEM, Microsoft Sentinel) : selon usage, de gratuit (tier cloud) à plusieurs k€/an pour des licences pro.
- VPN professionnel : NordVPN Teams, ProtonVPN Business (~100–200 €/an). Déductible pour les connexions sécurisées aux labs et clients.
Matériel et infrastructure
- Station de travail / laptop pentest : ThinkPad ou Dell Precision avec RAM 32 Go minimum (~1 500–2 500 € HT). Amortissable sur 3 ans en SASU/EURL/EI réel.
- Matériel réseau de test : routeurs, switches, Raspberry Pi, WiFi Pineapple, Flipper Zero (~200–800 € au total). Déductibles comme matériel de labo professionnel.
- Infrastructure cloud de test : instances AWS/Azure/GCP pour reproduire des environnements clients (~500–3 000 €/an selon usage). Déductibles, auto-liquidation TVA intracom (Irlande).
- NAS / stockage chiffré : Synology ou QNAP pour la conservation sécurisée des données de mission (~500–1 500 € HT, amortissable sur 5 ans).
Assurance RC Pro avec couverture cyber
La RC Pro d'un consultant cybersécurité est distincte de celle d'un consultant IT classique. Si vous réalisez des tests d'intrusion (pentests), vous avez besoin d'une garantie spécifique couvrant les dommages causés involontairement lors de vos missions offensives (mise hors service d'un serveur de production, destruction de données). Les tarifs sont significativement plus élevés qu'une RC Pro standard :
- Consultant GRC / RSSI externalisé (pas de pentest) : 400–900 €/an HT
- Consultant avec audits techniques (sans pentest offensif) : 800–1 800 €/an HT
- Pentesteur / Red Team (missions offensives) : 1 500–5 000 €/an HT selon le CA assuré
100 % déductible en EI réel, EURL ou SASU. Récupération de TVA à 100 % si vous êtes assujetti.
Leviers fiscaux spécifiques : CIR et JEI
La recherche en cybersécurité peut ouvrir droit au Crédit d'Impôt Recherche (CIR) si vos travaux répondent aux critères de R&D au sens de Frascati : nouveauté, créativité, incertitude scientifique, démarche systématique. En pratique :
- Éligible CIR : développement de nouvelles techniques d'exploitation de vulnérabilités inédites, recherche sur de nouveaux vecteurs d'attaque, développement d'outils de sécurité originaux avec incertitude technique réelle, participation à des programmes de bug bounty impliquant des recherches approfondies sur des vulnérabilités zero-day.
- Non éligible CIR : application de techniques d'attaque connues (scan de ports, SQL injection standard, OWASP Top 10 classique), pentests répétitifs selon une méthodologie fixe, configurations et durcissement système (hardening standard).
Si vous êtes SASU/EURL à l'IS avec des activités R&D réelles, le CIR est remboursable immédiatement pour les PME : 30 % des dépenses R&D (salaires chercheurs × 1,43, amortissement matériel R&D, sous-traitance agréée MESR). Un rescrit MESR préalable est fortement recommandé pour sécuriser la qualification — délai 3 mois, silence vaut acceptation (art. L80 B 3° LPF).
Le statut JEI (Jeune Entreprise Innovante) est accessible si au moins 15 % de vos charges sont des dépenses R&D et que votre société a moins de 8 ans. Il exonère de cotisations patronales sur les salaires R&D pendant 8 ans — très efficace dès votre premier recrutement technique.
Habilitation de sécurité et choix de la structure
Certaines missions pour des opérateurs d'importance vitale (OIV), des ministères ou des entreprises de défense requièrent une habilitation de sécurité nationale (Confidentiel Défense ou Secret Défense). Si vous exercez dans ce périmètre, la structure juridique peut influer sur l'obtention de l'habilitation :
- La SASU (ou SAS) est généralement la forme préférée car sa transparence actionnariale (registre des bénéficiaires effectifs au RBE) facilite les vérifications. Un seul associé, une structure lisible.
- L'EURL est également acceptée mais peut être plus scrutée dans certains secteurs très sensibles.
- La micro-entreprise ne pose pas de problème pour les habilitations personnelles, car l'habilitation est attachée à la personne physique, pas à la structure.
En pratique, l'habilitation ne modifie pas votre régime fiscal ou social. Elle peut simplement orienter le choix de structure si vous anticipez des missions défense à long terme — la SASU étant perçue comme plus professionnelle par les donneurs d'ordre institutionnels.
Stratégie ARE + SASU : le cas du consultant cybersécurité
La stratégie ARE+SASU est particulièrement efficace dans la cybersécurité car les TJM élevés permettent de générer rapidement des dividendes significatifs, non écrêtés par France Travail. Voici un cas concret :
Thomas, architecte sécurité senior, 45 ans, CDI 68 000 € brut/an, 7 ans d'ancienneté. Il négocie une rupture conventionnelle et crée une SASU sans se verser de salaire.
- Indemnité légale : 7 × (68 000 / 4) / 12 × 7 = ~9 917 € nets, exonérée IR et cotisations sociales.
- ARE après différé : ~3 060 €/mois (SJR ≈ 186 €/j, taux 57 %) pendant 18 mois = ~55 080 € nets.
- SASU sans salaire, CA cible 120 000 €/an : bénéfice ~90 000 € après charges, IS 15 % jusqu'à 42 500 € + 25 % au-delà ≈ IS total ~17 250 €. Bénéfice distribuable ~72 750 €.
- Dividendes en fin d'exercice : flat tax 31,4 % sur 72 750 € = ~49 800 € nets. Non écrêtés par France Travail car ce ne sont pas des rémunérations.
- Total sur 18 mois : ~55 000 € ARE + ~50 000 € dividendes + ~10 000 € indemnité = ~115 000 € nets.
À comparer avec la poursuite d'un CDI à 68 000 € brut, soit ~42 000 €/an net, soit ~63 000 € sur 18 mois. L'écart est de +52 000 € en faveur de la stratégie ARE+SASU — sans compter la liberté dans les missions et la valorisation des compétences sur le marché libre.
Requalification en CDI : les signaux d'alerte en cybersécurité
Le risque de requalification en contrat de travail (art. L1221-1 Code du travail) est réel dans la cybersécurité, notamment pour les missions RSSI externalisé ou SOC analyst sur le long terme. Les critères qui augmentent le risque :
- Client unique représentant > 80 % de votre CA sur une longue période — le signal le plus fort de dépendance économique.
- Adresse email @nomduclient.fr pour vos communications opérationnelles, accès aux outils internes (SIEM, EDR, ticketing) avec des droits équivalents à ceux d'un salarié.
- Présence physique imposée dans les locaux du client à des horaires fixes, participation aux réunions d'équipe de sécurité comme membre permanent.
- Mission de RSSI à temps plein chez un seul client : si vous êtes le « RSSI » opérationnel d'une entreprise, que vous gérez leurs équipes et répondez aux incidents 24/7, vous êtes dans une zone de risque élevée.
- Badge d'accès permanent aux locaux, accès aux systèmes critiques sans supervision : signaux classiques de lien de subordination.
Pour se protéger : diversifier les clients (idéalement 3 à 5), avoir un contrat de prestation de services précis avec des livrables définis (pas seulement « mise à disposition de compétences »), facturer à la mission ou au forfait plutôt qu'au temps passé pur, et utiliser votre propre matériel pour les missions offensives.
6 pièges spécifiques au consultant cybersécurité freelance
1. RC Pro sans couverture pentest offensif
C'est le piège le plus dangereux. Une RC Pro standard « consultant IT » exclut souvent explicitement les dommages causés lors de tests d'intrusion. Si vous provoquez involontairement une indisponibilité de production lors d'un pentest, vous pouvez être tenu responsable sur vos fonds propres. Vérifiez impérativement que votre contrat d'assurance inclut les « tests d'intrusion autorisés » et demandez une attestation spécifique à votre assureur. Sans cela, ne démarrez jamais une mission offensive.
2. Oubli de l'auto-liquidation TVA sur les outils SaaS étrangers
Burp Suite Pro (UK post-Brexit, ligne 2A CA3), Offensive Security OSCP (USA, ligne 2A), HackTheBox (Chypre UE, lignes A4+B2+20), TryHackMe (UK, ligne 2A), INE/eLearnSecurity (USA, ligne 2A) : tous ces achats nécessitent une auto-liquidation de la TVA française dans votre CA3 dès que vous avez un numéro TVA. L'effet sur votre trésorerie est nul (vous collectez et déduisez en même temps), mais l'oubli expose à un redressement sur 3 ans + pénalités de 40 % pour manquement délibéré.
3. Revenus de bug bounty non déclarés ou mal qualifiés
Les revenus de bug bounty (HackerOne, Bugcrowd, YesWeHack, Intigriti) sont imposables en BNC. HackerOne (USA) et Bugcrowd (USA) transmettent désormais les données de revenus aux administrations fiscales dans le cadre des échanges internationaux (directive DAC et OCDE). Déclarez chaque récompense comme recette BNC, au taux de change du jour d'encaissement pour les paiements en USD. Si vous exercez via une SASU, les paiements doivent impérativement être reçus sur le compte de la société, pas sur votre compte personnel.
4. Propriété intellectuelle des vulnérabilités découvertes
Lors d'un pentest, qui possède la propriété intellectuelle des vulnérabilités découvertes et des techniques d'exploitation développées spécifiquement pour la mission ? Si votre contrat ne le précise pas, la réponse est ambiguë. En pratique : clarifiez dans chaque contrat si les techniques développées sur mesure pour le client vous appartiennent (licence non exclusive) ou sont cédées au client. Évitez de vous retrouver dans une situation où vous ne pouvez plus utiliser une technique que vous avez entièrement développée dans le cadre d'une mission confidentielle.
5. Cotisations TNS EURL : le choc de régularisation N+1
Si vous optez pour l'EURL IS avec rémunération de gérant, les cotisations TNS sont provisionnées sur la base des revenus N-2 la première année, puis régularisées sur les revenus réels N+1. Avec un TJM de 800 €/j et une première année à 120 k€ de CA, vous pouvez recevoir un appel de régularisation URSSAF de 30 à 50 k€ en N+2. Provisionnez systématiquement 35 à 40 % de votre rémunération nette en EURL, ou passez en SASU pour éviter entièrement ce problème (cotisations calculées au fil de l'eau sur le salaire réel, pas de régularisation brutale).
6. Confusion entre pentest et activité de travail dissimulé
Quelques consultants commettent l'erreur de réaliser des audits de sécurité sans contrat écrit, sur simple accord verbal (« tu peux regarder mon SI, je te fais confiance »). Sans autorisation écrite et sans contrat de prestation, vous vous exposez à des poursuites pénales (art. 323-1 Code pénal, accès frauduleux à un système d'information, jusqu'à 2 ans d'emprisonnement), indépendamment de vos intentions. Sur le plan fiscal, une mission sans facturation est qualifiable de travail dissimulé par l'URSSAF (prescription 10 ans, pénalité 25 % de l'IS dissimulé, cotisations sociales reconstituées). Chaque mission, même gratuite, doit être formalisée par un contrat écrit avec périmètre, autorisation et livrables définis.
Stratégie par niveau de CA
| CA annuel | Statut recommandé | Pourquoi |
|---|---|---|
| < 40 000 € | Micro-BNC + ACRE | Simplicité maximale, cotisations réduites avec ACRE (25 % pendant un an), abattement 34 % généreux pour un profil débutant. |
| 40 000 – 83 600 € | Micro-BNC si frais < 34 % du CA | La micro reste gagnante tant que les frais réels sont inférieurs à l'abattement forfaitaire. Au-delà (certifications massives, matériel coûteux), basculez en EI réel. |
| 80 000 – 100 000 € | SASU IS (avec stratégie ARE) ou micro en fin de plafond | Zone charnière. Sans ARE : comparez micro vs SASU. Avec ARE : SASU sans salaire + dividendes = stratégie optimale. |
| > 100 000 € | SASU IS | IS 15 %/25 % + flat tax 31,4 % sur dividendes > cotisations TNS 45 %. Levier supplémentaire : PER, prévoyance DUE, épargne salariale. |
| > 150 000 € | SASU IS + holding | Le régime mère-fille permet de remonter les dividendes dans la holding à quasi 0 % d'IS (quote-part frais et charges 5 %). Levier puissant pour capitaliser et investir avant impôt. |
Questions fréquentes
Dois-je créer une SASU ou rester en micro pour mes premières missions cybersécurité ?
Si vous démarrez et que votre CA prévisionnel est inférieur à 60 000 €, commencez en micro-BNC. C'est simple, sans comptable, et vous basculerez vers la SASU le jour où votre CA dépasse régulièrement 80 000–90 000 €. L'exception : si vous avez des droits à l'ARE (rupture conventionnelle ou licenciement), créez directement la SASU — même avec 0 € de CA au démarrage, la structure est là pour distribuer des dividendes non écrêtés.
Ma RC Pro couvre-t-elle les missions de RSSI externalisé et de pentest en même temps ?
Pas nécessairement. Beaucoup d'assureurs ont des polices distinctes pour le « conseil en sécurité informatique » (RSSI, GRC) et les « tests d'intrusion offensifs ». Vérifiez que votre police couvre explicitement les deux, ou souscrivez deux couvertures. Des assureurs spécialisés comme Hiscox, AXA Professionnels, Allianz ou des courtiers spécialisés en cyber liability proposent des contrats adaptés aux consultants cybersécurité offensifs.
Puis-je déduire mes abonnements HackTheBox et certifications OSCP si je suis en micro ?
Non. En micro-BNC, l'abattement forfaitaire de 34 % est censé couvrir tous vos frais. Vous ne pouvez pas déduire de charge supplémentaire. Si vos frais réels (certifications, labs, matériel, RC Pro) dépassent 27 200 € sur 80 k€ de CA, basculez en EI au réel ou en SASU — l'économie fiscale sur les frais réels compensera largement les frais comptables supplémentaires (~500–2 000 €/an).
Le CIR est-il accessible en micro-entreprise ?
Non. Le CIR est réservé aux sociétés à l'IS ou aux entreprises au régime réel. Si vous avez des activités de R&D en cybersécurité (recherche de vulnérabilités inédites, développement d'outils de sécurité originaux), créez une SASU ou une EURL à l'IS pour en bénéficier. Le CIR peut représenter 30 % de vos dépenses R&D, remboursable immédiatement par l'État pour les PME.
Par où commencer en 2026 ?
Commencez par utiliser le simulateur DansTaPoche pour comparer micro-BNC, EI, EURL IS et SASU IS avec votre CA prévisionnel. Entrez votre chiffre d'affaires cible et observez le net mensuel par statut. Si vous êtes en phase de transition (rupture conventionnelle en cours, ARE à venir), consultez les articles rupture conventionnelle freelance et cumul ARE et dividendes SASU pour construire votre stratégie. Pour les aspects RC Pro et contrat de prestation, un avocat spécialisé en droit des affaires technologiques reste le meilleur investissement de début de carrière freelance dans la cybersécurité — les enjeux de responsabilité sont trop importants pour être improvisés.