Quels projets montrer pour trouver un job cyber en 2025

Portfolio exhaustif — pourquoi ça performe mal
───────────────────────────────────────────────
 
Recruteur ouvre GitHub user : voit 50 repos
  ├─ Essaie d'estimer pertinence (30 secondes)
  ├─ Click sur 2-3 au hasard
  ├─ Si pas d'accroche → close
  └─ Décision : "portfolio noise-heavy, profil peu mature"
 
vs Portfolio ciblé 5 repos
  ├─ Peut inspecter chacun (1-2 min)
  ├─ Comprend progression + qualité
  ├─ Storytelling cohérent stack/métier
  └─ Décision : "profil intentionnel, pertinent"

Portfolio Pentester 2025 — stack recommandée
─────────────────────────────────────────────
 
1. HackTheBox profile public + retired write-ups
   ├─ Rank minimum "Hacker" (top 30 %)
   ├─ 5-10 write-ups retired boxes Medium+
   ├─ Focus active directory si target DevSecOps/AD pentest
   └─ Site personnel ou GitHub pages pour héberger
 
2. Règles Sigma / YARA / Semgrep custom
   ├─ 10-30 règles qualité organisées par catégorie
   ├─ README : pourquoi + comment utiliser + validation
   ├─ Exemple : règles Kerberoasting Sigma avec 4738 Event ID
   └─ GitHub repo publiquement license MIT/Apache
 
3. Contributions outils offensifs open-source
   ├─ PRs sur BloodHound, Impacket, netexec, nuclei
   ├─ Documentation PRs d'abord (barrier entry basse)
   ├─ Escalader vers code features
   └─ Visible dans GitHub contributions graph
 
4. CVE assignée ou bug bounty report public
   ├─ CVE-YYYY-NNNNN via MITRE / vendor coordination
   ├─ HackerOne / YesWeHack profile public
   ├─ 1 CVE suffit pour démarquer (top 5 % candidats junior)
   └─ Write-up technique associé
 
5. Outil custom (optionnel niveau confirmé)
   ├─ Burp extension pour niche spécifique
   ├─ Script Python pour automation recon
   ├─ Fork enrichi d'un outil existant
   └─ 50+ stars idéal
 
Total temps investi : 400-800 heures sur 6-18 mois

Portfolio DevSecOps 2025 — stack recommandée
─────────────────────────────────────────────
 
1. Lab CI/CD sécurisé complet
   ├─ GitHub Actions template avec Semgrep + Trivy + Checkov
   ├─ gitleaks + Dependabot + CodeQL
   ├─ Multi-langage (Python + Go + Terraform)
   ├─ Exit codes + reports uploaded
   └─ README 500+ mots expliquant chaque étape
 
2. Règles Semgrep custom métier
   ├─ 15-30 règles .semgrep.yml organisées
   ├─ Catégories : web (XSS/SQLi/SSRF) + cloud (IAM) + crypto
   ├─ Tests unitaires sur exemples vulnerable/safe
   └─ Exportable pip install package
 
3. Cluster Kubernetes durci
   ├─ Lab EKS/GKE/minikube avec hardening complet
   ├─ Network Policies Cilium
   ├─ OPA Gatekeeper / Kyverno policies
   ├─ Pod Security Standards
   └─ Benchmark CIS Kubernetes score > 90 %
 
4. Infrastructure as Code sécurisée Terraform
   ├─ Module AWS / Azure / GCP durci
   ├─ Checkov passing + commentaires justifiant exceptions
   ├─ Secrets via AWS Secrets Manager / Vault
   └─ GitOps ArgoCD / FluxCD pattern
 
5. Articles techniques (optionnel)
   ├─ Medium / Dev.to / self-hosted
   ├─ 3-5 articles profondeur (1500-3000 mots)
   ├─ Sujets : incident post-mortem, outil review, pattern
   └─ Backlinks vers repos GitHub
 
Total : 300-600 heures sur 6-12 mois

Portfolio SOC / Blue Team 2025
───────────────────────────────
 
1. Home lab SIEM complet
   ├─ Docker compose : Wazuh / Elastic Security / Splunk free
   ├─ Sysmon v15 avec config Olaf Hartong
   ├─ Log sources : Windows AD + Linux + container + cloud
   ├─ Dashboards custom + alertes tuned
   └─ README + architecture diagramme
 
2. Règles Sigma custom + detection engineering
   ├─ 20-50 règles organisées par MITRE ATT&CK technique
   ├─ Validation via Atomic Red Team tests
   ├─ Convertibles vers Splunk SPL / KQL / EQL
   └─ Détection Kerberoasting, Certipy ESC1-8, Shadow Credentials
 
3. Write-ups blue team labs online
   ├─ BlueTeam Labs Online (BTLO) 10+ investigations
   ├─ CyberDefenders / LetsDefend cases
   ├─ TryHackMe SOC Analyst path completed
   └─ Write-ups publiés avec analyse forensique
 
4. Investigation forensics projects
   ├─ Volatility 3 plugins custom ou analyses approfondies
   ├─ PCAP analysis Wireshark avec findings
   ├─ Memory dumps analysis malware
   └─ Timeline events reconstruction
 
5. CTI / OSINT projects (bonus senior)
   ├─ Threat actor profiling documenté
   ├─ IOCs extraction automation Python
   └─ STIX/TAXII feed custom
 
Total : 300-500 heures sur 6-12 mois

Portfolio AppSec Engineer 2025
───────────────────────────────
 
1. SAST/DAST lab complet
   ├─ CI/CD avec Semgrep + CodeQL + SonarCloud
   ├─ DAST OWASP ZAP / Burp Enterprise
   ├─ Coverage métriques visibles (% vulns detected)
   └─ Benchmarks vs Juice Shop / DVWA / WebGoat
 
2. Règles Semgrep métier custom
   ├─ Règles orientées stack spécifique (Django / Rails / Express)
   ├─ Détection secrets hardcodés custom patterns
   └─ Publish pip package si maturité
 
3. Threat modeling workshops repo
   ├─ STRIDE templates pour N architectures type
   ├─ Case studies documented (e-commerce, SaaS B2B, API public)
   └─ Data flow diagrams Mermaid / draw.io
 
4. Revue code sécurité publique
   ├─ Analyses sécurité repos open-source notables
   ├─ Publications PRs fix vulnérabilités
   └─ Bug bounty reports déclassés
 
5. Contribution OWASP communauté
   ├─ Cheat Sheets amendments
   ├─ WSTG / MASTG contributions
   └─ Chapter Meetup local organizer

Portfolio Cloud Security 2025
──────────────────────────────
 
1. Labs AWS/Azure/GCP sécurisés
   ├─ Terraform modules par hyperscaler
   ├─ IAM fin-grained policies
   ├─ Network topology Zero Trust
   └─ Benchmark CIS AWS/Azure/GCP
 
2. CSPM scripts custom
   ├─ Prowler extensions / rules custom
   ├─ Scout Suite checks additionnels
   └─ AWS Security Hub custom integrations
 
3. OPA Gatekeeper / Kyverno policies
   ├─ Policies Kubernetes admission control
   ├─ Conftest rules Terraform
   └─ Templated governance
 
4. Secrets management patterns
   ├─ HashiCorp Vault setup complet
   ├─ AWS Secrets Manager + rotation Lambdas
   └─ External Secrets Operator Kubernetes
 
5. Incident response runbooks cloud
   ├─ Playbooks détection compromission
   ├─ Containment procedures automated
   └─ Post-mortem templates

Portfolio LLM Security 2025 — émergent
───────────────────────────────────────
 
1. Red teaming LLM demos
   ├─ Garak + PyRIT scans on open models
   ├─ Custom jailbreak benchmarks
   └─ Write-ups des findings
 
2. Guardrails implementation
   ├─ Lakera / Rebuff / NeMo Guardrails intégration
   ├─ Custom prompt injection classifiers
   └─ OWASP Top 10 LLM mapping complet
 
3. RAG security lab
   ├─ RAG multi-tenant isolation test
   ├─ Cross-tenant leakage red team
   └─ Embedding inversion demos
 
4. Article / talk technique
   ├─ Blog approfondi sur une technique attaque/defense
   ├─ Meetup AI Security local (émergent 2024-2025)
   └─ OWASP LLM Top 10 contribution
 
Niche récente, peu de candidats — portfolio même modeste
démarque fortement. 100-200 heures investies = différenciant.

Signaux recruteur inspection GitHub — priorité décroissante
────────────────────────────────────────────────────────────
 
1. README travaillé (critère rédhibitoire)
   ├─ Présent et lisible
   ├─ Explique quoi/pourquoi/comment
   ├─ Screenshots ou diagramme architecture
   └─ Quick start reproductible
   SIGNAL ABSENCE : profil disqualifié 80 % cas
 
2. Commit history régulière
   ├─ Régularité sur plusieurs semaines/mois
   ├─ Messages descriptifs (pas "update" ou "fix")
   ├─ Taille commits raisonnable (pas 50k lignes d'un coup)
   └─ Pattern montre apprentissage progressif
 
3. Stack technique alignée métier cible
   ├─ Langages + frameworks vs CV
   ├─ Outils métier pertinents (Semgrep, BloodHound, etc.)
   └─ Pas de stack contradictoire au poste ciblé
 
4. Structure projet cohérente
   ├─ Arborescence claire (src/, tests/, docs/)
   ├─ Conventions de nommage consistentes
   ├─ Tests présents (si applicable)
   └─ Configuration externalisée
 
5. Dépendances à jour
   ├─ requirements.txt / package.json / go.mod propres
   ├─ Pas de vulnérabilités évidentes
   └─ .tool-versions ou .nvmrc si applicable
 
6. Activity récente
   ├─ Last commit < 3 mois pour repo principal
   ├─ Graphe contributions actif derniers 12 mois
   └─ Repos abandonnés 2+ ans sans mention = négatif

# Nom du projet — Pitch 1 ligne
 
[![CI](badge)](url) [![License](badge)](url) [![Last commit](badge)](url)
 
**Screenshot principal ou GIF démo** (remplace 1000 mots)
 
## Why this project?
 
2-3 paragraphes expliquant le contexte, le problème résolu,
et pourquoi la solution est intéressante.
 
## Features
 
- Feature 1 avec stack utilisée (Python 3.11, FastAPI 0.115)
- Feature 2 avec détail technique
- Feature 3 avec métrique impact
 
## Architecture
 
Diagramme Mermaid / draw.io / ASCII de l'architecture.
 
## Quick start
 
```bash
git clone https://github.com/user/project.git
cd project
./install.sh

Longueur README par type de projet
───────────────────────────────────
 
Petit script / règle Sigma / write-up CTF    100-300 mots
Outil individuel (Python CLI, Burp extension) 300-600 mots
Lab complet (CI/CD, home lab SIEM, K8s)       600-1500 mots
Outil maintenu communauté (> 50 stars)        1500-5000 mots
                                               + docs/ folder
 
Règle : lisible en < 3 min sans défilement excessif

## Tradeoffs & learnings
 
### Tradeoffs
 
- **Performance vs security** : J'ai choisi de désactiver CORS strict
  sur les endpoints dev pour faciliter le workflow local, mais en
  prod le middleware `strict_cors` est activé et bloque tous les
  origins non-whitelistés. Compromis conscient.
 
- **Complexity vs flexibility** : Le DSL Sigma custom que j'ai
  implémenté supporte 80 % des cas OWASP. Les 20 % restants
  (correlations multi-events) nécessitent un vrai SIEM. Je n'ai
  pas voulu re-implémenter Splunk.
 
### Ce que j'ai appris
 
- **eBPF hooks** sont puissants mais difficiles à débugguer. J'ai
  passé 2 semaines sur un bug lié au filtering de syscalls avant
  de réaliser que le kernel < 5.15 ne supportait pas mon feature.
 
- **Prometheus scraping** à 5s intervals génère 2 GB/jour sur ce
  lab. J'ai dû migrer vers VictoriaMetrics pour rétention long terme.
 
### Ce que je ferais différemment
 
- Commencer par le **monitoring** avant les règles de détection.
  J'ai passé 30 % du temps à écrire des règles avant de réaliser
  que mes logs étaient incomplets.
 
- **Utiliser un projet communautaire** plutôt que réimplémenter :
  j'aurais dû partir de SOC Workshop ou DetectionLab au lieu de
  tout construire from scratch.

Avant transformation — projet scolaire brut
────────────────────────────────────────────
 
github.com/user/projet-crypto-m2-ucp
├── README.md (5 lignes : "TP crypto M2 UCP 2024")
├── main.py (code non-commenté)
└── rapport.pdf (30 pages auto-généré Word)
 
Signal recruteur : 0
 
 
Après transformation
─────────────────────
 
github.com/user/aes-educational-implementation
├── README.md (800 mots avec pourquoi, architecture, benchmarks,
│                comparaison PyCryptodome, pitfalls observés)
├── src/
│   ├── aes_core.py (AES from scratch, commenté, type-hinted)
│   ├── modes.py (ECB, CBC, GCM implementations)
│   └── pitfalls_examples.py (exemples vulnérables documentés)
├── tests/ (pytest, 95 % coverage)
├── benchmarks/ (perf vs PyCryptodome)
├── docs/
│   ├── theory.md (principes mathématiques)
│   └── attacks.md (padding oracle, timing attacks illustrations)
└── blog-post.md (Medium/self-hosted article 2000 mots)
 
Signal recruteur : démontre curiosité, profondeur, communication

5 étapes transformation projet scolaire
────────────────────────────────────────
 
1. RETIRER LE CONTEXTE SCOLAIRE
   ├─ Supprimer "TP UCP 2024" du nom
   ├─ Renommer projet (ex: "aes-educational-implementation")
   └─ README ne mentionne pas l'école
 
2. AJOUTER PORTÉE AU-DELÀ DU CADRE IMPOSÉ
   ├─ Features non-demandées par le TP
   ├─ Benchmarks vs implémentations industry
   └─ Documentation séparée théorie + pratique
 
3. TESTS + CI
   ├─ pytest + GitHub Actions
   ├─ Coverage reports
   └─ Linting (black, ruff, mypy)
 
4. BLOG POST ASSOCIÉ
   ├─ 1500-3000 mots article technique
   ├─ Medium / self-hosted / Dev.to
   └─ Backlinks vers repo
 
5. RÉFLEXION DOCUMENTÉE
   ├─ Section "Tradeoffs & learnings" README
   ├─ Pitfalls observés
   └─ Ce qu'on ferait différemment

Stratégies portfolio sans expérience pro cyber
───────────────────────────────────────────────
 
1. HOME LAB DOCUMENTÉ (high leverage)
   ├─ AD lab + Splunk/Wazuh + Sysmon
   ├─ Kubernetes + Falco + OPA
   ├─ RAG + guardrails LLM
   ├─ Write-up complet avec diagramme, configs, apprentissages
   └─ Investissement : 80-150 heures
 
2. WRITE-UPS HTB / TRYHACKME
   ├─ Retired machines, pas juste walkthroughs
   ├─ Ajouter : contexte, approches alternatives, mitigation
   │  perspective recruteur
   ├─ 10+ write-ups qualité > 50 write-ups bruts
   └─ Investissement : 5-10h par write-up profond
 
3. RÈGLES CUSTOM
   ├─ Sigma / YARA / Semgrep / Falco / osquery
   ├─ Contextualisées (ex: Kerberoasting cloud-native)
   ├─ Validation contre Atomic Red Team
   └─ Investissement : 20-50 heures pour 20 règles
 
4. CONTRIBUTIONS OPEN SOURCE
   ├─ Start small : doc PRs, typo fixes, translation
   ├─ Outils cibles : BloodHound, Impacket, Semgrep, nuclei
   ├─ Escalader progressivement vers code
   └─ Investissement : variable, 1-5 PRs en 3-6 mois
 
5. BLOG TECHNIQUE
   ├─ 1 article / mois (12 / an)
   ├─ Profondeur 1500-3000 mots, pas tutoriel copy-paste
   ├─ Thèmes : apprentissages deep, reviews outils, analyses
   └─ Investissement : 10-20h par article
 
6. CTFs COMPÉTITIFS
   ├─ CTFtime profile public avec participation régulière
   ├─ Équipes françaises débutants OK :
   │  - Phreaks 2600 (grande équipe)
   │  - Hackademint (étudiants)
   │  - Weekend CTFs
   ├─ Write-ups des challenges résolus
   └─ Investissement : 8-16h par week-end CTF

Plan portfolio 6 mois pour reconverti cyber
────────────────────────────────────────────
 
Mois 1 : FONDATIONS
  ├─ GitHub profile setup, README profile travaillé
  ├─ Linux / networking refreshers
  ├─ HackTheBox 5 machines easy + 3 write-ups
  └─ Blog post #1 : "Mon parcours reconversion cyber"
 
Mois 2-3 : SPÉCIALISATION
  ├─ Focus métier ciblé (pentester / DevSecOps / SOC)
  ├─ 1 projet lab majeur (AD lab, ou CI/CD security, ou SIEM)
  ├─ HackTheBox 10 machines medium + write-ups
  └─ Blog post #2 et #3 : technical deep dives
 
Mois 4 : CONTRIBUTION
  ├─ Première PR sur projet OSS (doc ou typo)
  ├─ 10-20 règles Sigma/YARA/Semgrep custom
  ├─ 1 CTF compétitif avec write-ups
  └─ Blog post #4
 
Mois 5 : VISIBILITÉ
  ├─ LinkedIn posts réguliers (progression)
  ├─ Meetup local OWASP / BarbHack attendance
  ├─ 1 présentation interne ou online
  └─ Blog post #5 et #6
 
Mois 6 : CANDIDATURES
  ├─ CV final prêt (voir Comment faire un CV cybersécurité)
  ├─ LinkedIn optimisé (voir Comment faire un LinkedIn)
  ├─ 3-5 projets pinned sur GitHub
  ├─ 15-30 candidatures ciblées / semaine
  └─ Blog post #7 : "6 mois de reconversion, bilan"
 
Budget temps : 15-20h / semaine = 400-500h total
Résultat : portfolio junior crédible, premier poste 2-4 mois après

Maintenance portfolio long terme
─────────────────────────────────
 
AJOUTER (continuer à produire)
  ├─ 1-2 nouveaux projets / an minimum (niveau confirmé)
  ├─ Contributions OSS réguliers
  ├─ Articles blog trimestriels
  └─ Conférences / talks annuels
 
ARCHIVER (sans supprimer)
  ├─ Projets > 2 ans si obsolètes technologiquement
  ├─ Projets expérimentaux non-aboutis
  ├─ Move hors "pinned" mais garder visible pour completude
  └─ Marquer explicitement "archived" dans GitHub settings
 
RETIRER (privé ou delete)
  ├─ Projets scolaires bruts sans transformation
  ├─ Projets démontrant stack obsolète conflictuelle
  ├─ Expérimentations embarrassantes code-qualité
  └─ Projets personnels non-professionnels (jeux hobby ?)
 
PIN (6 max)
  ├─ Mix : 1 projet phare + 1 contribution OSS + 2 projets
  │        storytelling + 1 article/blog source + 1 CVE/bug bounty
  └─ Review pins tous les 6 mois selon évolution carrière