Passer de junior à intermédiaire (confirmé) en cybersécurité demande typiquement 18 à 30 mois - mais la durée seule ne suffit pas. Un junior qui stagne à 36 mois est courant ; un qui évolue en 18 mois aussi. La différence n'est pas le temps mais 6 déclencheurs concrets : ownership d'incidents complexes, spécialisation volontaire, visibilité technique au-delà de l'équipe, certification ciblée, mentorat exercé, négociation active. Ce guide trace le plan 24 mois, détaille les signaux de transition observés par les managers, la progression salariale typique France 2026 (de ~42 k€ à ~65 k€), et les pièges qui maintiennent artificiellement au grade junior.
1. Ce que « intermédiaire / confirmé » veut vraiment dire
1.1 La définition n'est pas le nombre d'années
Le grille "junior = 0-2 ans, confirmé = 3-5 ans, senior = 5+ ans" est une moyenne RH, pas une vérité opérationnelle. Un profil peut être :
- Junior à 4 ans : toujours sous supervision, pas d'ownership, pas de spécialisation claire.
- Confirmé à 18 mois : ownership réel d'incidents / projets, spécialisation, reconnu technique.
Ce qui définit un confirmé :
- Autonomie sur les cas standards de son périmètre sans supervision rapprochée.
- Capacité de décision technique : choisir une approche, assumer le choix.
- Profondeur sur au moins un domaine (AD, cloud, AppSec, SOC L2, DFIR).
- Transmission : capable de former un junior, documenter, expliquer.
- Crédibilité externe : son avis pèse auprès des autres équipes / fournisseurs.
1.2 Vocabulaire marché 2026
Tour d'horizon des titres courants :
| Titre | Fourchette expérience | Caractéristique |
|---|---|---|
| Junior / Analyst I / L1 | 0-2 ans | Formé, fait avec supervision |
| Confirmé / Analyst II / L2 | 2-4 ans | Autonome, ownership cas standards |
| Senior / Analyst III / L3 | 4-7 ans | Réfère technique, mentorat, architecture |
| Lead / Staff / Principal | 7+ ans | Vision transverse, tech lead, stratégie |
| Manager / Head of | variable | Management humain, pilotage |
Ce guide cible la transition L1 → L2.
2. Les 6 déclencheurs du passage confirmé
Chaque déclencheur est observable et peut être travaillé volontairement.
2.1 Ownership d'incidents ou de projets complexes
Prendre en charge bout en bout un cas difficile : alerte critique, enquête DFIR, pentest d'un périmètre sensible, implémentation d'un guardrail. Ownership = "c'est moi qui pilote, je m'engage sur la résolution, j'appelle les renforts quand je bloque".
Signal net : à la réunion de restitution, c'est toi qui présentes - pas ton manager.
2.2 Spécialisation choisie
Cesser d'être un junior généraliste. Choisir une ligne :
- SOC : se spécialiser en threat hunting, SIEM engineering ou DFIR.
- Pentest : se spécialiser AD, web, cloud, mobile, ou IoT.
- AppSec : se spécialiser web Java, API, secure coding review, ou threat modeling.
- Cloud security : choisir AWS ou Azure ou GCP (le ou est essentiel avant de multiplier).
- LLM security (émergent 2026) : spécialisation à fort potentiel.
- GRC : se spécialiser ISO 27001, NIS2, DORA, AI Act.
La spécialisation ne ferme pas les portes - elle en ouvre : les recruteurs cherchent des profils identifiables.
2.3 Visibilité technique
Un junior invisible reste junior. Un junior qui publie devient confirmé plus vite :
- Writeups / articles techniques (blog perso, Medium, LinkedIn).
- Posts LinkedIn récurrents sur ses apprentissages.
- Talk interne : 15-30 min devant son équipe puis devant la cyber team.
- Talk externe : meetup local, conférence junior (Nuit du Hack Jr, OSSIR Junior, BarCamp).
- Contributions open source : tool perso, plugin Sigma / YARA, patch à une lib.
- CTF en équipe (voir article dédié Comment parler de ses labs et de ses CTF).
2.4 Certification ciblée - pas en collection
Un junior qui cumule 8 certifications sans spécialisation = suspect. Un junior avec 1-2 certifs pertinentes pour sa spécialisation = crédible.
Recommandations par spé (2026) :
| Spé | Certif charnière junior → confirmé |
|---|---|
| Pentest / Red team | OSCP (PEN-200), CRTP (Altered Security) |
| SOC / Blue Team | BTL1 (Security Blue Team), CYSA+ (CompTIA), GCIH / GCDA (SANS) |
| AppSec / DevSecOps | OSWE (AWAE), Burp Suite Pro, CNSP (ZeroPoint) |
| Cloud security | AZ-500, AWS Security Specialty, GCP ACE+Security |
| Kubernetes | CKS (Certified Kubernetes Security Specialist) |
| GRC / Audit | ISO 27001 Lead Auditor, CISA, CISSP (après 5 ans généralement) |
| DFIR | GCFA, GCFE (SANS) |
| LLM Security | Prompt Security (Lakera), AZ-500 + self-study OWASP LLM |
2.5 Mentorat exercé
Former un plus junior que soi, même informellement, est un déclencheur majeur :
- Onboarder un nouveau recruté sur ses premières semaines.
- Tenir une session hebdomadaire d'explication / revue.
- Pair programming / pair hunting sur un cas réel.
- Revue de writeup d'un junior.
Expliquer force à solidifier sa propre compréhension. Cela signale aussi aux managers que tu peux scaler.
2.6 Négociation active
Un junior qui n'a jamais négocié reste junior aux yeux de son employeur. Négocier :
- Scope : demander explicitement d'être lead sur un projet.
- Formation : budget certif, conférence annuelle.
- Titre : demander le changement de titre au moment opportun.
- Salaire : revue annuelle argumentée (contributions, marché, alternatives).
Pas besoin d'être agressif. Une négociation bien formulée = marqueur de sénioritude en soi.
3. Plan 24 mois - de l'embauche à l'intermédiarisation
3.1 Mois 1-6 - Ancrage
Objectif : être opérationnel sur les cas standards de son périmètre.
Actions :
- Onboarding strict : rencontrer toutes les personnes citées dans la doc, comprendre l'archi, lire les runbooks.
- Mettre en place un carnet de notes personnel structuré (Obsidian, Notion, Joplin). Indispensable pour capitaliser.
- Résoudre 50-100 tickets / alertes sans drama.
- Trouver un mentor informel dans l'équipe (1 senior qui accepte 30 min / semaine de Q&R).
- Lire toute la doc d'équipe (runbooks, playbooks, policy).
- Commencer un blog perso même s'il n'a que 3 articles à 6 mois.
Signal fin de période : tu es ajouté aux mailing lists confidentielles, on te confie de plus en plus.
3.2 Mois 6-12 - Autonomie
Objectif : réduire à ~0 les demandes de supervision sur cas standards, prendre un premier dossier complexe.
Actions :
- Prendre un projet : un chantier d'équipe qu'on te confie en mode lead. Ex. : migrer une règle SIEM, refaire un runbook, conduire un audit.
- Certification : passer la première certif charnière (voir 2.4).
- Publier 3-5 articles de blog ou posts LinkedIn structurés.
- Mentoring : onboarder le prochain nouveau de l'équipe.
- Entretien intermédiaire avec manager : aligner attente, plan de progression à 12 mois.
Signal fin : on te consulte spontanément avant une décision technique.
3.3 Mois 12-18 - Approfondissement
Objectif : spécialisation affirmée, visibilité au-delà de l'équipe.
Actions :
- Double down sur ta spé : cours approfondi, lab perso, writeup complexe.
- Talk interne : présenter un sujet en 15-20 min à la cyber team.
- Talk externe : meetup, conférence junior.
- Contribution open source (1-3 commits / issues acceptées à un outil utilisé au quotidien).
- CTF en équipe / red team exercise (internal ou externe).
- Commencer à poser les bases d'une négociation salariale : documenter les contributions.
Signal fin : tu reçois des InMail LinkedIn (non sollicité) de recruteurs.
3.4 Mois 18-24 - Transition
Objectif : faire reconnaître officiellement le passage confirmé.
Actions :
- Revue annuelle argumentée : dossier écrit avec contributions, métriques, feedback clients internes.
- Négociation : demande explicite de changement de titre + salaire (benchmark marché, ±15 %).
- Consolider visibilité externe : blog régulier, contributions, parfois premier talk en conférence reconnue.
- Deuxième certif ou certif avancée selon plan.
- Décision : rester pour évoluer (si l'entreprise suit) ou changer (si elle bloque - cf. §6).
Signal fin : titre officiel « Confirmé / L2 / Senior Analyst I ». Salaire aligné sur marché (±5 %).
4. Les erreurs qui maintiennent au grade junior
4.1 Le junior « exécutant »
Fait ce qu'on lui dit, ne propose rien, ne documente pas. Progresse lentement même en étant compétent.
Remède : proposer activement. Minimum 1 proposition d'amélioration par mois (un tuning de règle, une mise à jour de runbook, une idée d'automation).
4.2 Le junior « collectionneur de certifs »
Enfile 5 certifs sans spécialisation. Passe pour dispersé.
Remède : limiter à 2 certifs charnière sur les 24 premiers mois. Qualité > quantité.
4.3 Le junior « silencieux »
Aucun blog, aucune visibilité. Son travail existe mais personne ne le sait - y compris en interne.
Remède : minimum 1 post LinkedIn ou article blog par mois. Forcé. Publier un retex d'incident anonymisé, une note technique, une méthode apprise.
4.4 Le junior « marathon-HTB sans théorie »
Résout 100 boxes mais ne comprend pas Kerberos au niveau protocole. Plafonne en entretien technique approfondi.
Remède : 70 % pratique, 30 % théorie. Lire les papers, les RFC, les Microsoft docs en profondeur.
4.5 Le junior « immobile »
N'ose pas négocier, pas demander, pas poser de question difficile au manager. Subit.
Remède : demandes explicites mensuelles formalisées (écrites, mail ou 1:1). Si on ne demande pas, on n'obtient pas.
4.6 Le junior « multi-spécialiste »
"Je fais un peu de pentest, un peu de SOC, un peu de GRC." Sur CV ça paraît complet mais aucun recruteur n'est rassuré.
Remède : choisir une spé à 12-18 mois. Les autres domaines restent dans ton parcours mais en second rideau.
4.7 Le junior « sans mentor »
Personne vers qui escalader une question stupide. Apprend 3× plus lentement.
Remède : identifier un mentor interne ou externe. Discord (Zeroday, DefCon Paris), LinkedIn DMs polis, communautés (OSSIR, CESIN, CLUSIF junior).
5. Compétences à acquérir - le delta junior → confirmé
5.1 Hard skills
Un confirmé maîtrise :
- Minimum 1 langage de scripting (Python fortement recommandé).
- Linux et Windows à l'aise (ligne de commande, logs, services).
- Réseau en profondeur (TCP/IP, TLS, DNS, VPN, proxy).
- 1 spécialité à fond (AD, AWS, AppSec web, DFIR, etc.).
- Lecture de logs native (Sysmon, Zeek, CloudTrail, journaux web).
- SIEM ou équivalent (Splunk SPL, KQL, ES DSL selon stack).
- Threat intelligence et MITRE ATT&CK appliqués.
- Rédaction technique structurée (rapport, note interne, post).
5.2 Soft skills
Les soft skills séparent souvent plus nettement junior et confirmé que les hard skills :
- Communication technique : expliquer à niveau variable (exec, tech, junior).
- Rédaction : mail structuré, rapport lisible, doc utile.
- Priorisation : trier 20 alertes selon impact réel, pas selon ordre FIFO.
- Gestion d'incident : calme sous pression, communication claire, ownership.
- Gestion du temps : deep work + disponibilité d'équipe.
- Pushback constructif : savoir dire non avec argumentaire.
- Networking interne : connaître IT, legal, RH, métier - pour faire avancer.
5.3 Mindset
Trois réflexes observables :
- Curiosité : plonge dans les détails d'un incident plutôt que d'appliquer le runbook bêtement.
- Humilité calibrée : demande quand il faut, se débrouille sinon.
- Prise de recul : comprend que la sécurité sert le métier, pas l'inverse.
6. Rester ou partir pour progresser
À 18-24 mois, la question se pose. Critères de décision.
6.1 Rester si
- L'équipe offre des projets techniques ambitieux.
- Plan de progression validé par le manager (écrit, daté).
- Budget formation / certif / conférence réel (pas 200 € symboliques).
- Mentorat effectif.
- Augmentation salariale annuelle ≥ inflation + 3-5 %.
- Titres cohérents (passage L1→L2 annoncé, date fixée).
6.2 Partir si
- Pas de projet ambitieux disponible (équipe en mode maintenance).
- Manager dit "on verra" depuis 12 mois sur le titre.
- Salaire inférieur de 15 %+ au marché sans plan de rattrapage.
- Pas de certif financée / pas de temps pour apprendre.
- Plafonné techniquement (personne au-dessus de ton niveau pour t'apprendre).
- Culture bloquée ("on fait comme ça depuis 10 ans").
6.3 Impact carrière du changement
Changer à 18-24 mois typiquement :
- Salaire : +10 à +25 %.
- Titre : passage à confirmé explicite.
- Scope : élargi (nouveau secteur, nouvelle stack, nouvelle équipe).
Rester plus de 3 ans au même grade L1 sans évolution = signal négatif pour les prochains recruteurs ("pourquoi il n'a pas évolué ?").
7. Négociation salariale confirmé - France 2026
7.1 Fourchettes par spécialité (CDI, Paris)
| Spécialité | Junior (1-2 ans) | Confirmé (3-5 ans) |
|---|---|---|
| SOC L1/L2 | 38-48 k€ | 48-62 k€ |
| Pentest | 42-52 k€ | 55-75 k€ |
| AppSec / DevSecOps | 42-55 k€ | 58-80 k€ |
| Cloud security | 45-55 k€ | 60-85 k€ |
| GRC / Audit | 40-50 k€ | 52-70 k€ |
| DFIR / Threat Hunt | 45-55 k€ | 60-80 k€ |
| LLM security | 45-58 k€ | 65-90 k€ |
Hors bonus et variable. Régions hors Paris : -10 à -20 %. Suisse : +30 à +60 %. UK : +20 à +40 %. Freelance : TJM 500-800 € (confirmé).
7.2 Dossier de négociation
Pour argumenter une revue de salaire au passage confirmé :
- 3-5 réalisations chiffrées de l'année (réduction MTTR, alertes résolues, vulnérabilités identifiées, projet livré).
- Indicateurs marché : Glassdoor, LinkedIn Salary, JoinRise, études HAYS/Robert Half.
- 2-3 alternatives crédibles (offres / shortlist cabinets).
- Plan 12 mois : ce que tu veux apporter à la nouvelle séniorité.
- Demande chiffrée claire : "je demande 62 k€ fixe + certif OSCP financée".
7.3 Pièges de négociation
- Demander sans dossier écrit.
- Négocier sur le volume horaire plutôt que le scope.
- Menacer de partir sans alternative réelle.
- Ne négocier que le salaire (oublier formation, congés, télétravail, équipement).
8. Signaux externes que tu es « devenu confirmé »
Checklist reconnue par les recruteurs :
- Titre officiel « Confirmé / L2 / Analyst II » (ou équivalent).
- Salaire dans la fourchette marché confirmé.
- Autonomie technique reconnue dans l'équipe.
- Spécialisation affichée sur LinkedIn et CV.
- 1 certification charnière.
- 5+ articles techniques publics.
- Mentorat d'au moins 1 junior exercé.
- 1 talk (interne ou externe) donné.
- Contribution open source (même modeste).
- Réception régulière d'InMails recruteurs.
- Lead sur au moins 1 projet ou chantier technique.
Si 8 sur 11 sont coches : tu es confirmé. Si 4 sur 11 après 3 ans : tu stagnes, agis.
9. Checklist 30 jours pour accélérer maintenant
Si tu es junior et que tu veux enclencher ta transition, ces 7 actions sur 30 jours :
- Définir ta spé : 1 paragraphe écrit de pourquoi cette spécialisation, pas d'autre.
- Identifier un mentor : contact pris, 1 session planifiée.
- Publier 1 article technique : blog perso ou Medium, 1500 mots minimum.
- S'inscrire à 1 certif charnière : date d'examen fixée.
- Prendre 1 projet en lead interne : discussion avec manager, scope écrit.
- Post LinkedIn hebdomadaire : 4 posts le premier mois.
- Mise à jour CV + LinkedIn : spé affichée, 2-3 réalisations chiffrées.
Coût : 10-15 h de travail en 30 jours. Bénéfice : enclenchement de la dynamique sur les 24 mois suivants.
10. FAQ
10.1 Combien de temps dure vraiment la transition ?
Médiane observée France 2026 : 24 mois. Fourchette réaliste : 18-36 mois selon efforts et environnement. Moins de 18 mois : rare mais possible pour profils très investis et entreprises grandissantes. Plus de 36 mois : signal d'environnement bloquant ou d'efforts insuffisants.
10.2 Faut-il absolument une certification pour passer confirmé ?
Non. Une certification accélère la reconnaissance externe (recruteurs) mais un profil avec portfolio public (writeups, contributions, projets) peut atteindre le grade confirmé sans certif. Les deux ensemble = idéal. Certification seule sans portfolio = junior qui paie des examens.
10.3 Le changement d'entreprise est-il obligatoire ?
Non. Si ton entreprise actuelle offre un vrai plan de progression, rester est souvent optimal (continuité projet, relations établies, connaissance domaine). Changer d'entreprise est nécessaire si l'employeur actuel bloque la progression - critères en §6.
10.4 Peut-on passer confirmé en restant généraliste ?
Très difficile en 2026. Le marché cyber valorise les profils spécialisés. Un "analyste cyber généraliste" plafonne rapidement. Il est toujours temps de choisir une spé - même à 18 mois.
10.5 Passer confirmé sans reconversion préalable à un autre IT ?
Oui. Beaucoup de juniors cyber débutent cyber-only (formation, bootcamp, alternance). La progression reste possible sans parcours dev / sysadmin préalable, à condition de compenser les lacunes (scripting, Linux admin, réseau) par auto-apprentissage intensif les 6 premiers mois.
10.6 Mon manager refuse de me changer de titre malgré mes contributions. Que faire ?
Trois étapes :
- Dossier écrit : mail structuré avec contributions, marché, demande claire.
- Échelon au-dessus : demander échange avec N+2 ou RH.
- Alternatives : activer le marché. Deux offres concrètes valent 100 conversations.
Si après ces trois étapes rien ne bouge : l'entreprise ne veut pas te reconnaître. Partir est probablement la bonne décision.
Passer de junior à confirmé cyber n'est pas un privilège qui se donne mais un palier qui se construit - par ownership, spécialisation, visibilité, mentorat, certification ciblée et négociation. Les 24 mois entre embauche junior et passage confirmé sont la période la plus rentable d'une carrière technique : chaque action valorisée compte double (reconnaissance + effet cumulatif). Les profils qui y investissent méthodiquement atteignent le grade confirmé avec salaire aligné marché, spécialisation identifiable, visibilité externe - prérequis pour la suite vers senior et au-delà. Ceux qui stagnent en junior passifs paient cette stagnation pendant 10-15 ans en rémunération et opportunités manquées.
