Zeroday Cyber Academy

Candidature, CV & Carrière

Comment parler de ses labs et de ses CTF - CV, LinkedIn, entretien

Valoriser HackTheBox, TryHackMe, Root-Me, CTF (FCSC, DEF CON, Google CTF) sur CV, LinkedIn, entretien : quoi mentionner, writeups, STAR, pièges à éviter.

Naim Aouaichia
15 min de lecture
  • Carrière
  • Portfolio
  • CTF
  • Labs
  • HackTheBox
  • TryHackMe
  • Entretien

Les labs (HackTheBox, TryHackMe, Root-Me, CyberDefenders, pwn.college) et les CTF (FCSC, picoCTF, DEF CON CTF, Google CTF) sont un différenciateur majeur pour un candidat cyber en 2026 - à condition d'en parler correctement. Lister 120 machines HTB résolues sans contexte n'impressionne personne. Raconter une seule box avec méthodologie, outils, blocage, déblocage et apprentissage impressionne tout recruteur technique. Ce guide explique ce qu'un recruteur cherche vraiment, les plateformes qui comptent, comment formuler sur CV / LinkedIn / entretien, la puissance des writeups comme multiplicateur, les pièges à éviter (triche, walkthrough recopié, inflation), et une progression recommandée par niveau.

1. Ce qu'un recruteur technique cherche vraiment

1.1 Pas du volume - de la profondeur

Un CV qui annonce "200 machines HackTheBox résolues" suscite de la méfiance (marathon guidé, walkthroughs ?). Un CV qui annonce "résolu Forest et Sauna en autonomie, writeup publié sur mon blog" avec un lien crédible vaut 10× plus.

Ce qui compte :

  • Méthodologie claire : comment tu attaques un problème inconnu.
  • Raisonnement : pourquoi tu as choisi cet outil, cette approche.
  • Persistance sur blocage : qu'as-tu fait quand tu étais bloqué 2 h.
  • Apprentissage extrait : qu'as-tu retenu de durable.

1.2 Signaux de profil sérieux

  • Writeups publiés (blog personnel, Medium, GitHub).
  • Constance (activité régulière plutôt que rush temporaire).
  • Profils publics liables (HackTheBox profile URL, Root-Me profile, GitHub).
  • Compétitions live (CTF en équipe, classement observable).
  • Contribution (résolution d'une box post-retirement, création de challenge communautaire).

1.3 Signaux qui inquiètent

  • Nombre énorme de boxes résolues sans aucun writeup public.
  • Plateformes uniquement guidées (parcours linéaire TryHackMe sans box libre).
  • Profil créé il y a 2 mois avec 80 résolutions (pattern de triche typique).
  • Aucune mention d'échec ou de difficulté dans le récit.

2. Les plateformes qui comptent en 2026

Toutes ne se valent pas. Hiérarchie pragmatique selon impression recruteur.

2.1 Très valorisées en offensif

  • HackTheBox : référence mondiale. Machines libres (non guidées). Les Seasons et ProLabs (Offshore, Rastalabs, Cybernetics, Dante, APTLabs) sont des scenarios d'entreprise complets.
  • HackTheBox Academy : cours structurés avec modules. Utile pour cadrer les fondamentaux.
  • pwn.college (ASU) : cours universitaires gratuits, reverse engineering et exploitation de haut niveau. Très respecté côté RE et pwn.
  • Root-Me : plateforme française historique, excellents challenges réseau, crypto, web, forensics. Reconnu en France.

2.2 Valorisées côté defensive / forensics

  • CyberDefenders : scenarios DFIR, threat hunting, PCAP analysis. Incontournable pour SOC/IR.
  • LetsDefend : SOC simulation.
  • Blue Team Labs Online (BTLO) : scenarios blue team variés.

2.3 Généralistes ou débutant

  • TryHackMe : parcours guidés très progressifs. Parfait pour débuter mais seul, sans complément, signal de junior. Les paths avancés (Offensive Pentester, SOC Analyst, Red Teamer) valent plus.
  • OverTheWire : wargames Linux (Bandit, Narnia, Behemoth) - classiques, toujours valorisés en fondamentaux.
  • PicoCTF (Carnegie Mellon) : CTF éducatif, archives accessibles toute l'année. Bon pour débutant + crédibilité académique.

2.4 Compétitions CTF live

Participation à des CTF live (pas en asynchrone) signale un niveau différent.

  • FCSC (France Cybersecurity Challenge) : CTF ANSSI/CIR, très respecté en France. Mentionner classement si pertinent.
  • DEF CON CTF Qualifier : finale = mondiale élite, qualifier = déjà fort signal.
  • Google CTF, Plaid CTF (Plaid Parliament of Pwning), Hack.lu CTF, 0CTF, CSAW CTF (NYU), NorthSec CTF : top tier mondial.
  • Nuit du Hack / Le HACK (France) : historiques, compétitif.
  • ECSC (European Cyber Security Challenge) : sélection nationale puis Europe.
  • CTFtime.org : tracker universel des CTF avec classement équipes - avoir un profil, rejoindre une équipe.

2.5 Spécialisées

  • Offensive Security Proving Grounds : machines style OSCP.
  • Vulnhub : VMs téléchargeables (moins suivi aujourd'hui).
  • RingZer0 (Canada) : challenges variés, communauté francophone.
  • HackTheBox Academy modules LLM Security et Cloud Security (émergents 2025-2026).
  • Wiz Prompt Airlines, Lakera Gandalf : challenges LLM security publics.

3. Les types de labs qui valorisent

Au-delà de la plateforme, quoi résoudre :

3.1 Boxes en autonomie

Boxes libres (sans walkthrough) résolues seul. Sur HTB : préférer Hard et Insane résolus avec writeup vs 50 Easy sans traces.

3.2 Scenarios end-to-end

ProLabs HTB (Offshore, Rastalabs), Cybernetics, Dante, APTLabs. Scenarios multi-machines proches d'un vrai environnement d'entreprise. Résolution complète = signal très fort.

3.3 CTF en équipe

Mention équipe + classement + challenge débloqué. "Contribution décisive au challenge Reverse #3 au FCSC 2025, équipe XYZ classée 12ème".

3.4 Challenges par spécialité

  • AD offensif : GOAD (Game Of Active Directory), HTB Professional path Certified Penetration Testing Specialist, labs Altered Security (CRTP, CRTE).
  • Cloud security : flaws.cloud, flaws2.cloud, cloudgoat, aztr-goat (Azure Goat), sadcloud.
  • Web : PortSwigger Web Security Academy (gratuit et excellent).
  • Reverse / pwn : pwn.college, crackmes.one, challenges DEF CON archives.
  • Malware analysis : CyberDefenders mal scenarios, Malware Traffic Analysis.

3.5 Homelab construit

Monter et documenter son lab (AD mini, SOC mini avec Wazuh, DFIR lab) vaut souvent autant qu'une plateforme commerciale - et prouve la capacité d'architecture.

4. Sur le CV - quoi mentionner, comment

4.1 Section dédiée ou intégrée ?

  • Profils early-career / reconvertis : section dédiée "Labs & CTF" sur la page 1, valorisée.
  • Profils confirmés/seniors : en ligne dans "Activités techniques" ou "Compétences". Ne doit pas dominer l'expérience pro.

4.2 Format efficace

Mauvais :

Hobbies : HackTheBox, TryHackMe, CTF.

Peu informatif. Ce niveau de détail ne sert à rien.

Moyen :

HackTheBox - profil Pro Hacker, 80+ machines résolues.

Signal plus clair mais encore faible (peut être bloaté par walkthroughs).

Bon :

HackTheBox - profil "zeroday-naim" (lien), Pro Hacker :
  Forest, Resolute, Sauna, Mantis (AD pentest en autonomie)
  Dante ProLab terminé (kill chain complète, writeup)
FCSC 2025 - équipe ZerodayCyber, 156/3200 (Reverse + Pwn)
Writeups : blog.naim-cyber.fr (12 articles techniques)

Lisible, vérifiable, spécifique.

4.3 Règles de rédaction

  • Nommer les challenges significatifs (pas juste la catégorie).
  • Préciser « en autonomie » si c'est le cas.
  • Donner un lien public (profil HTB, blog, GitHub).
  • Pas de mensonge : tout sera vérifié en entretien.
  • Maximum 4-6 lignes : le reste va sur le blog ou LinkedIn.

5. Sur LinkedIn

5.1 Section dédiée

Créer une section "Projects" ou utiliser "Featured" pour épingler :

  • Lien profil HackTheBox.
  • Lien blog writeups.
  • Lien GitHub avec repos pertinents.
  • Badge ou certification plateforme (HTB Pro Hacker, CyberDefenders, etc.).

5.2 Posts et visibilité

Publier 1-2 posts/mois après une résolution notable :

  • Résumé technique 5-7 paragraphes.
  • 1-2 captures d'écran utiles (non spoiler si box encore active).
  • Lien writeup complet sur blog perso.
  • Hashtags pertinents (#HackTheBox, #CTF, #CyberSecurity).

Ne pas faire :

  • "Happy to share that I resolved another HackTheBox machine 🚀" sans contenu.
  • Captures d'écran de boxes actives dévoilant les steps (contre les règles HTB).

5.3 Recommandations et collab

Rejoindre une équipe CTF avec visibilité LinkedIn (Zeroday Cyber Academy, Hexpresso, YoloSwag, Aperi'Kube, SoS, ESNA...). Un ancien ou capitaine peut recommander - très fort signal.

6. Writeups - le multiplicateur

Un writeup publié vaut 10 boxes résolues sans trace.

6.1 Pourquoi

  • Preuve de résolution réelle : un walkthrough copié ne tient pas à la rédaction.
  • Preuve de compréhension : rédiger force à clarifier.
  • Contenu réutilisable : autres candidats, recruteurs, futurs collègues y viennent.
  • SEO personnel : un bon writeup se référence, ramène des opportunités.

6.2 Qualité attendue

Un bon writeup contient :

  • Reconnaissance : commandes, observations, déductions.
  • Exploitation : chaîne complète, y compris impasses.
  • Post-exploitation : ce que l'attaquant peut faire.
  • Remédiation : comment corriger.
  • Apprentissage : 2-3 points à retenir.
  • Références : CVE, papers, outils.

Longueur typique : 1500-3000 mots. Captures utiles, pas décoratives.

6.3 Où publier

  • Blog perso (le meilleur - domaine vous appartient, SEO durable). Hugo, Astro, Next.js, 11ty.
  • Medium / Dev.to / Hashnode : plus facile mais vous ne contrôlez rien.
  • GitHub Pages : compatible Markdown, gratuit, suffisant au début.

Éviter : publier uniquement en Gist, post LinkedIn sans blog, notes Notion publiques sans URL stable.

6.4 Éthique HackTheBox

Les boxes retirées (indiquées "retired") peuvent avoir des writeups publics. Les boxes actives : interdit de publier - respecter les règles HTB, sous peine de ban et de signal négatif.

TryHackMe et Root-Me ont leurs propres règles - vérifier avant publication.

7. En entretien - comment raconter

7.1 Structure récit STAR adaptée

Situation : "Sur HackTheBox Forest (Medium, AD Windows), j'avais un accès anonymous au LDAP."

Tâche : "Objectif : obtenir le hash d'un compte à privilèges et escalader vers Domain Admin."

Action : "J'ai énuméré les comptes via rpcclient, identifié svc-alfresco sans pré-auth Kerberos, fait un AS-REP Roasting avec GetNPUsers.py, cracké le hash avec hashcat. Énuméré BloodHound pour trouver un chemin vers Exchange Windows Permissions abusable via WriteDACL sur Domain. Puis DCSync avec secretsdump."

Résultat : "Domain Admin en ~2h. J'ai publié un writeup sur mon blog, utilisé depuis en référence dans une formation interne."

7.2 Ce qu'il faut montrer

  • Méthode > outil. Dire "j'ai fait BloodHound" est insuffisant. Dire "j'ai interprété le path kingdom → ESM → DA pour comprendre l'abuse WriteDACL" montre la profondeur.
  • Blocage : "j'ai été bloqué 1h sur le timing Kerberos, j'ai fini par comprendre le clock skew requis." Avoir été bloqué est valorisant - ça prouve que tu ne mens pas.
  • Apprentissage durable : "depuis je vérifie systématiquement pré-auth Kerberos en énumération."

7.3 Ce qu'il faut éviter

  • Citer 15 boxes en 2 minutes (dispersion).
  • Lire un écran / des notes.
  • Décrire avec un jargon non maîtrisé ("j'ai fait Kerberoasting" - être capable d'expliquer le protocole derrière).
  • Prétendre avoir résolu en 30 min ce qui demande normalement 3h.

7.4 Questions piège fréquentes

  • "Décris précisément ce que fait GetNPUsers.py."
  • "Quelle différence AS-REP Roasting vs Kerberoasting au niveau protocole ?"
  • "Pourquoi RC4 facilite le crack et pas AES ?"
  • "Comment tu détecterais cette attaque côté blue team ?" (souvent demandé).

Prépare 2-3 boxes / CTF à fond plutôt que 10 survolés.

8. Homelab personnel - alternative ou complément

8.1 Pourquoi valorisant

  • Prouve capacité d'architecture (pas juste attaque).
  • Montre curiosité (monte les 2 côtés : attaque + défense).
  • Contrôle total : tu peux montrer setup, configs, GitHub.
  • Différenciant : 90 % des candidats font HTB, 10 % ont un lab structuré.

8.2 Stacks typiques

  • AD mini : 1 DC, 1 client, 1 membre serveur. Volontairement vulnerable (Kerberoastable, ASREProastable, delegated).
  • SOC mini : Wazuh / Security Onion / ELK, Sysmon Olaf Hartong config, 1-2 endpoints.
  • DFIR lab : KAPE, Volatility, sample dumps.
  • Cloud lab AWS : flaws.cloud local / cloudgoat / un compte perso strict IAM.
  • LLM security lab : une app RAG vulnerable, Lakera Gandalf clone local.

8.3 Documentation

Un lab sans doc = signal faible. Documenter :

  • Diagramme d'archi (Excalidraw, draw.io).
  • Configs as code (Ansible, Terraform).
  • README GitHub.
  • 1-2 writeups exploitations sur ce lab.

9. Progression recommandée selon niveau

NiveauObjectifStack recommandée
Débutant 0-3 moisFondamentaux Linux/réseau/webOverTheWire Bandit, TryHackMe Pre Security + Cyber Defense, Root-Me bases
Junior 3-6 moisAutonomie sur boxes simplesHackTheBox Starting Point, TryHackMe Offensive Pentester path, picoCTF archives
Intermédiaire 6-12 moisAD pentest, début spéHTB boxes Medium autonomie, TryHackMe Wreath, premier writeup public
Confirmé 12-24 moisProLab complet, CTF en équipeHTB ProLab (Offshore/Rastalabs), rejoindre équipe CTF, 5+ writeups, premier CTF live (FCSC, ECSC)
Senior 24+ moisSpé profonde, contributionpwn.college intégral, CRTP/OSCP, blog consolidé, contribution communauté (challenge, open source, conf talks)

Ne pas brûler les étapes. Un junior qui prétend faire de l'Insane HTB sans base CTF = pattern de triche détecté immédiatement.

10. Pièges et mauvaises pratiques

10.1 Triche et walkthroughs

Résoudre avec walkthrough = OK pour apprendre. Prétendre avoir résolu en autonomie = bannissement éthique immédiat si détecté (et ça se détecte en entretien technique).

Si tu as utilisé un walkthrough : le dire ("j'ai regardé IppSec à mi-chemin pour débloquer l'étape X"). Honnêteté > prétendue performance.

10.2 Plateformes « ferme à badges »

Certaines plateformes multiplient les badges artificiellement. Collectionner 300 badges Root-Me sans difficulté variée ou writeup = faible signal.

10.3 Comparer classement HTB à un score de poker

Le rang HTB dépend du timing des premières résolutions (first bloods), pas juste du nombre. Un Omniscient n'est pas automatiquement un senior réel - et un Pro Hacker peut être un vrai expert. Contextualiser.

10.4 Inflation d'exp CTF

Citer 15 CTF auxquels tu as participé passivement = faible. Citer 2 CTF où tu as résolu un challenge concret avec équipe = fort.

10.5 Mépriser le défensif

Un profil offensif qui mépriserait le Blue Team ("CyberDefenders c'est pour les débutants") est un red flag culturel. Les bons profils cyber 2026 sont purple : comprennent les deux côtés.

11. Plan d'action 30 jours pour qui démarre

Si tu veux commencer à valoriser tes labs/CTF dans ton prochain entretien :

Semaine 1

  • Créer profils publics : HackTheBox, Root-Me, TryHackMe, GitHub, CTFtime (team solo OK).
  • Créer un blog technique minimal (Astro ou Hugo sur GitHub Pages, 30 min setup).

Semaine 2

  • Résoudre 1 box HTB Easy en autonomie (pas de walkthrough complet).
  • Rédiger le writeup sur ton blog - 1500 mots minimum.

Semaine 3

  • Résoudre 1 box Medium ou 1 module HTB Academy.
  • Publier le writeup.
  • Mettre à jour LinkedIn : section Projects + Featured.

Semaine 4

  • Participer à un CTF live (le plus proche du moment) ou rejoindre une équipe française (Discord Zeroday, Hexpresso, Aperi'Kube).
  • Écrire un post LinkedIn sur ce que tu as appris.
  • Mettre à jour CV avec section Labs & CTF crédible.

Au bout de 30 jours : 2 writeups publics, 1 CTF live, profil en ligne crédible. Suffit pour un premier entretien junior sérieux.

12. FAQ

12.1 Faut-il être classé très haut sur HackTheBox ?

Non. Un rang Hacker ou Pro Hacker avec 2-3 writeups de qualité pèse plus qu'un Omniscient sans contenu public. La qualité de ton discours en entretien est prioritaire sur le rang.

12.2 Un CTF unique à mon actif, est-ce suffisant à mentionner ?

Oui, à condition d'avoir une histoire précise : quel challenge, quelle approche, ce que tu as appris. "FCSC 2025, challenge Reverse 'Snake', résolu en 3h avec une équipe de 4, apprentissage sur les obfuscations de bytecode Lua" pèse plus que 5 CTF cités sans détail.

12.3 Peut-on mentionner les cours HTB Academy / TryHackMe sur le CV ?

Oui, mais dans une section "Formations en ligne" séparée des labs. Préciser les modules significatifs ("Intro to Active Directory", "Attacking Kerberos") plutôt que lister 20 modules de fondamentaux.

12.4 Comment valoriser si je fais uniquement du Blue Team ?

CyberDefenders, LetsDefend, BTLO, Cyber Sec Labs blue track, exercices DFIR Ali Hadi, SANS challenges. Les recruteurs Blue Team ne comptent pas en "machines" mais en scenarios résolus avec raisonnement documenté. Un writeup DFIR détaillé (timeline, IoC, TTP mapping) pèse énormément.

12.5 Et si je n'ai que peu de temps pour les labs ?

Qualité > quantité. 1 box par mois bien exploitée (writeup, réflexion, partage) vaut plus que 10 boxes par semaine sans trace. Les recruteurs préfèrent un candidat qui montre constance et profondeur, même rythme modéré, qu'un candidat qui accumule sans assimiler.

12.6 Un lab sans CTF - ça suffit ?

Oui pour certains profils (Blue Team, AppSec, cloud, GRC). Un homelab documenté + blog technique vaut souvent autant qu'un score CTF. Choisis ce qui correspond à ton métier cible et ne te force pas sur du pwn/CTF si ce n'est pas ton angle.

Les labs et CTF sont un amplificateur de carrière cyber - à condition d'en parler avec méthode, profondeur et honnêteté. Les recruteurs techniques ne comptent pas les badges, ils évaluent la capacité à résoudre un problème inconnu, à documenter, à apprendre en continu. Un profil qui publie régulièrement, participe à des CTF en équipe et maintient un blog technique durable dépasse facilement un profil qui collectionne silencieusement. Le temps investi en labs se valorise doublement à l'embauche (salaire) et dans la durée (réputation technique). Commence petit, publie, raconte - ça suffit à faire la différence.

Découvrir l'accompagnement cyber

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également