Zeroday Cyber Academy

DevSecOps

Apprendre le DevSecOps : roadmap structurée 2026

Plan d'apprentissage DevSecOps 2026 : prérequis, stack ordonnée Semgrep/Trivy/Cosign, certifs CDP/AWS/CKS, salaires 50-110k€ en 6-12 mois.

Naim Aouaichia
16 min de lecture
  • DevSecOps
  • Roadmap
  • SAST
  • Container Security
  • Apprentissage
  • Cybersécurité

Devenir DevSecOps engineer opérationnel demande 3-6 mois si tu viens de dev/DevOps avec 2+ ans XP, 6-9 mois depuis sysadmin/ops, 12-18 mois depuis zéro tech. C'est le chemin le plus court depuis le développement vers la cybersécurité, meilleur ratio durée/salaire/proximité de toutes les spés cyber. Salaires CDI FR 2026 : junior 50-65 k€/an, mid 65-85 k€, senior 85-110 k€, lead 110-140 k€. Stack outillage 2026 ordonnée par priorité : SAST (Semgrep, CodeQL, SonarQube), secrets detection (Gitleaks, TruffleHog), SCA (Snyk, Dependabot, Trivy), container scan (Trivy, Grype, Docker Scout), IaC scan (Checkov, tfsec, KICS), supply chain (Cosign, Sigstore, SBOM CycloneDX/SPDX, in-toto), DAST (OWASP ZAP, Burp Suite CI). Frameworks à connaître : OWASP SAMM v2.0 (Software Assurance Maturity Model), OWASP DSOMM (DevSecOps Maturity Model), NIST SSDF SP 800-218 (Secure Software Development Framework, juillet 2022), BSIMM 14 (2024). Certifications par étape : AWS Cloud Practitioner (100$) → AWS Security Specialty (300$) → CDP Practical DevSecOps (~1500-2000$) → CKS Kubernetes Security (~395$). Cet article documente le plan 6-12 mois pas-à-pas, la stack ordonnée, les certifications et le portfolio public à construire, avec anti-patterns persistants (apprendre tous les outils sans pipeline complet, certif CEH inutile pour DevSecOps).

Pour le contexte général : voir Travailler en cyber : par où commencer. Pour les devs en transition : Développeur vers cybersécurité : roadmap 2026.

Le bon mental model : DevSecOps = shift-left + automatisation, pas tools soup

Erreur cognitive du débutant DevSecOps type 2026 : croire que c'est une collection d'outils à empiler dans la CI/CD. Faux. Le DevSecOps est :

  1. Un mindset shift-left : déplacer la sécurité le plus tôt possible dans le SDLC (Software Development Life Cycle), design, code, build, test, deploy, runtime.
  2. Une automatisation continue : pas un audit annuel, mais des gates intégrés à chaque commit/PR/déploiement.
  3. Une coopération dev-sec-ops : pas un département séparé qui vient bloquer, mais un embedded sec engineer qui aide l'équipe dev à livrer plus vite et plus sûrement.
  4. Une mesure continue : DORA metrics (Deployment Frequency, Lead Time, Change Failure Rate, MTTR) + métriques sécu (mean time to remediate, vuln density, % builds with security gates).

Ratio mesuré chez Microsoft 2014 : 1$ investi en sécu design/code phase économise 100$ en correction post-prod. C'est ce delta qui justifie économiquement DevSecOps.

Plan d'apprentissage DevSecOps 6-12 mois (depuis dev)

MoisBlocObjectifOutils / LecturesLivrable
1Fondamentaux sécurité applicativeOWASP Top 10 2021, threat modeling STRIDE, CIA triadOWASP Cheat Sheets, Adam Shostack book, OWASP ASVS v4Threat model d'une app perso
2SAST + Secrets detectionSemgrep, CodeQL, SonarQube basics, GitleaksSemgrep docs, GitHub Advanced SecurityPipeline avec Semgrep + Gitleaks gating
3SCA + Container securityTrivy, Grype, Dependabot, Snyk ContainerTrivy docs, OpenSSF guideImage Docker avec Trivy + SBOM CycloneDX
4Supply chain securityCosign, Sigstore Rekor, in-toto, OpenSSF ScorecardSLSA framework v1.0 (octobre 2023), CNCF supply chain whitepaperImage Docker signée Cosign + attestation SLSA
5Cloud security AWSIAM, Security Hub, GuardDuty, Inspector, MacieAWS Security Specialty study guideAudit posture compte AWS perso
6IaC + Kubernetes securityCheckov, tfsec, KICS, kube-bench, OPA GatekeeperOWASP IaC Top 10, CIS Kubernetes BenchmarkCluster K8s minikube hardenisé
7-8Portfolio + 1ère certifArticles techniques, contribs OSS, AWS Security SpecialtyAWS Skill Builder, Practical DevSecOps platformAWS Security Specialty + 2 articles publiés
9-10DAST + API securityOWASP ZAP, Burp Suite CI, Postman, OWASP API Top 10 2023OWASP API Cheat Sheet, ZAP docsPipeline avec ZAP scan automatique
11-12CDP / CKS + recherche emploiCertif CDP ou CKS + postulationPractical DevSecOps CDP, KodeKloud CKSCDP ou CKS obtenue + postulations actives

Volume horaire : 10-15h/semaine pendant 6 mois = 240-360h pratique en parallèle d'un emploi dev. Multiplier par 2 pour profil non-dev en transition.

# Setup environnement DevSecOps en 30 minutes
# Outils gratuits ou freemium
 
# SAST
brew install semgrep            # Semgrep CE gratuit
pip install bandit safety       # Python-specific
 
# Secrets detection
brew install gitleaks
brew install trufflesecurity/trufflehog/trufflehog
 
# SCA + Container scan
brew install trivy
brew install anchore/grype/grype
go install github.com/anchore/syft/cmd/syft@latest
 
# Supply chain
brew install cosign
brew install slsa-verifier
go install github.com/in-toto/in-toto@latest
 
# IaC scan
brew install checkov
brew install tfsec
docker pull bridgecrew/checkov
 
# Kubernetes security
brew install kube-bench
brew install kube-score
go install sigs.k8s.io/kind/cmd/kind@latest  # local k8s
 
# DAST
docker pull owasp/zap2docker-stable
brew install --cask burp-suite
 
# Vérifications
semgrep --version    # ≥ 1.50 mai 2026
trivy --version      # ≥ 0.50
cosign version       # ≥ 2.4
checkov --version    # ≥ 3.x

Stack outillage par couche (ordonnée)

CoucheOutils référence 2026Alternative OSSAlternative commercial
Threat modelingOWASP Threat Dragon v2.4, pytmLINDDUN GO cardsIriusRisk (~50-200€/user/mois)
SASTSemgrep CECodeQL (GitHub), SonarQube CECheckmarx, Veracode
Secrets detectionGitleaks, TruffleHoggit-secrets (AWS)GitHub Advanced Security
SCA / Dependency scanTrivy, GrypeOWASP Dependency-CheckSnyk, Mend (ex-WhiteSource)
Container scanTrivy, GrypeAnchore Engine, ClairSnyk Container, Sysdig Secure
IaC scanCheckov, tfsec, KICSTerrascan, Snyk IaCBridgecrew (Palo Alto)
Supply chain signingCosign (Sigstore)in-toto, slsa-verifierChainguard Enforce
Container runtimeFalco, Sysdig OSS, TraceeKubesharkSysdig Secure, Aqua Enforcer
K8s admission controlOPA Gatekeeper, Kyverno-Datree, Kyverno Enterprise
Cloud posture (CSPM)Prowler, ScoutSuiteCloudSploitWiz, Prisma Cloud, Lacework
DASTOWASP ZAPnikto, w3afBurp Suite Pro (~449$/an), Invicti
API securityOWASP ZAP, PostmanRestAssured tests42Crunch, Salt Security
SBOM generationSyft (CycloneDX/SPDX)Trivy SBOMAnchore Enterprise
Vulnerability mgmtDefectDojo OSSFaraday CEThreadFix, ServiceNow VR

Position : démarrer Semgrep + Trivy + Gitleaks + Cosign + Checkov + ZAP = stack DevSecOps complète en open source, suffisant pour 80% des PME-ETI 2026. Ajouter outils commerciaux quand maturité acquise et budget disponible.

# Pipeline GitHub Actions DevSecOps complet, exemple production
name: secure-pipeline
on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main]
 
permissions:
  contents: read
  security-events: write  # SARIF upload
  id-token: write          # Cosign keyless OIDC
 
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
 
      # 1. SAST avec Semgrep
      - name: Semgrep SAST
        uses: returntocorp/semgrep-action@v1
        with:
          config: |
            p/owasp-top-ten
            p/security-audit
            p/secrets
 
      # 2. Secrets detection
      - name: Gitleaks scan
        uses: gitleaks/gitleaks-action@v2
        env:
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
 
      # 3. Dependency scan (npm/pip/etc.)
      - name: Trivy filesystem scan
        uses: aquasecurity/trivy-action@master
        with:
          scan-type: fs
          severity: CRITICAL,HIGH
          exit-code: 1
          format: sarif
          output: trivy-fs.sarif
      
      - name: Upload SARIF
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: trivy-fs.sarif
 
      # 4. Build container
      - name: Build image
        run: docker build -t myapp:${{ github.sha }} .
 
      # 5. Container scan
      - name: Trivy container scan
        uses: aquasecurity/trivy-action@master
        with:
          image-ref: 'myapp:${{ github.sha }}'
          severity: CRITICAL
          exit-code: 1
 
      # 6. SBOM generation
      - name: Generate SBOM
        uses: anchore/sbom-action@v0
        with:
          image: myapp:${{ github.sha }}
          format: cyclonedx-json
          output-file: sbom.cdx.json
 
      # 7. Image signing avec Cosign keyless
      - name: Login to GHCR
        uses: docker/login-action@v3
        with:
          registry: ghcr.io
          username: ${{ github.actor }}
          password: ${{ secrets.GITHUB_TOKEN }}
 
      - name: Push image
        run: |
          docker tag myapp:${{ github.sha }} ghcr.io/${{ github.repository }}:${{ github.sha }}
          docker push ghcr.io/${{ github.repository }}:${{ github.sha }}
 
      - name: Cosign install
        uses: sigstore/cosign-installer@v3
 
      - name: Cosign sign keyless
        run: cosign sign --yes ghcr.io/${{ github.repository }}:${{ github.sha }}
 
      - name: Cosign attest SBOM
        run: |
          cosign attest --yes --predicate sbom.cdx.json \
            --type cyclonedx ghcr.io/${{ github.repository }}:${{ github.sha }}
 
      # 8. IaC scan si Terraform/K8s manifests présents
      - name: Checkov IaC scan
        uses: bridgecrewio/checkov-action@master
        with:
          directory: .
          framework: terraform,kubernetes,dockerfile
          quiet: true

Frameworks de référence DevSecOps

FrameworkAnnéeMaintenu parUsage
OWASP SAMM v2.0révision 2020OWASP FoundationModèle maturité 5 fonctions, 5 niveaux
OWASP DSOMMcontinu, ~2024OWASP FoundationDevSecOps Maturity Model spécifique
NIST SSDF SP 800-218juillet 2022NISTSecure Software Development Framework
BSIMM 142024 (Synopsys)SynopsysBuilding Security In Maturity Model
OWASP ASVS v4.0.32024OWASP FoundationApplication Security Verification Standard
OWASP Top 10 20212021OWASP FoundationTop 10 risques web (révision 2025-2026 attendue)
OWASP API Security Top 10 20232023OWASP FoundationTop 10 API
OWASP Top 10 for LLM v2.0octobre 2024OWASP FoundationTop 10 LLM-specific
SLSA v1.0octobre 2023OpenSSFSupply chain levels framework
OpenSSF Best PracticescontinuOpenSSFBadge best practices OSS
CIS BenchmarkscontinuCISHardening guides 80+ produits
MITRE ATT&CK EnterprisecontinuMITRETTPs adverses
MITRE ATLASjuin 2021, MAJ 2024MITRETTPs IA/ML adverses

Lectures essentielles 2026 :

  • « DevSecOps in 100 PaaS » (anonyme communauté, 2024), pratique condensée.
  • « Threat Modeling: Designing for Security » Adam Shostack (Wiley 2014, 624 pages), référence threat modeling.
  • « Practical DevSecOps » Anant Shrivastava et al. (Practical DevSecOps platform).
  • NIST SP 800-218 (~30 pages, lecture rapide), référentiel US qui structure la pratique.

Certifications DevSecOps par étape (ordre 2026)

ÉtapeCertificationPrixDurée prepReconnaissance marché
1 (entrée)AWS Cloud Practitioner100$1-2 moisExcellente baseline
2 (entrée web)Burp Suite Certified Practitioner99£1-2 moisTrès bonne (web sec)
2bis (entrée code)GitHub Advanced SecurityGratuit (auto-formation)1 moisBonne (GitHub stack)
3 (cloud spé)AWS Security Specialty300$2-4 moisExcellente (cloud)
3bisAZ-500 Microsoft Azure Security165$2-4 moisTrès bonne (Azure)
3terGCP Professional Cloud Security Engineer200$2-4 moisBonne (GCP)
4 (DevSecOps spé)Certified DevSecOps Professional (CDP)~1500-2000$1-2 moisBonne (DevSecOps spécifique)
4bisPractical DevSecOps Expert (CDX)~2000$1-2 moisBonne (avancé)
5 (Kubernetes)CKS - Certified Kubernetes Security~395$2-3 moisExcellente (K8s-heavy)
5bisCKA + CKAD bundle (prerequisite CKS)~795$ bundle2-3 moisTrès bonne
6 (senior)GIAC GCSA - Cloud Security Automation~7000$ employer-paid1-2 moisExcellente (premium)
6bisGIAC GWEB - Web Application Defender~7000$1-2 moisExcellente (premium)

Ordre recommandé démarrage : AWS Cloud Practitioner (100$) → AWS Security Specialty (300$) → Burp Suite Certified Practitioner (99£) → CDP ou CKS selon orientation. Total ~700-2700$ sur 12 mois.

Portfolio public DevSecOps : 4 piliers

Pilier 1 : Pipeline GitHub Actions complet public

2 projets persos avec :

  • Pipeline CI/CD complète (Semgrep + Trivy + Cosign + SBOM + IaC scan).
  • README détaillé expliquant chaque gate sécu et son objectif.
  • Tests sécu (Bandit, Safety pour Python ; npm audit, ESLint sec-rules pour JS).
  • Image Docker signée Cosign keyless sur GHCR.
  • Attestation SBOM CycloneDX publiée via cosign attest.

Pilier 2 : Custom Semgrep rules

5-10 règles publiées sur ton GitHub :

# Exemple custom Semgrep rule pour FastAPI
rules:
  - id: fastapi-jwt-no-verify
    pattern: jwt.decode($TOKEN, options={"verify_signature": False})
    message: |
      JWT decode without signature verification creates auth bypass risk.
      Use jwt.decode(token, key, algorithms=['RS256']) instead.
    severity: ERROR
    languages: [python]
    metadata:
      cwe: "CWE-345"
      owasp: "A02:2021 Cryptographic Failures"

Pilier 3 : Articles techniques

1 article/mois, sujets denses :

  • « Comment j'ai migré ma CI vers DevSecOps en 4 semaines (avec métriques) ».
  • « Cosign keyless signing : pourquoi c'est mieux que GPG en 2026 ».
  • « SBOM CycloneDX vs SPDX : choisir pour son écosystème ».
  • « Threat modeling STRIDE sur app Next.js : 7 menaces trouvées en 2h ».

Hébergement : Medium, Dev.to, Hashnode, Astro blog perso. Lien depuis CV + LinkedIn.

Pilier 4 : Contributions OSS

1-3 PR mergées sur projets DevSecOps reconnus :

  • Semgrep registry : nouvelle règle communautaire.
  • Trivy : amélioration parser ou règle.
  • OWASP ZAP : extension passive scan.
  • OpenSSF Scorecard : nouveau check.
  • Sigstore : amélioration documentation.
  • Checkov : nouvelle policy Terraform/K8s.

Erreurs fréquentes en apprentissage DevSecOps

ErreurSymptômeFix
Empiler 12 outils sans pipeline completTools soup, aucune intégration1 outil/couche, intégration end-to-end
Apprendre sans projet pratiqueThéorie, blocage en entretien2 projets persos avec pipeline complet
Skip threat modelingOutils sans contexte risqueOWASP Threat Dragon ou pytm sur projet perso
CEH en 1ère certif1200$ valeur faible DevSecOpsAWS Security Specialty (300$)
Pas de portfolio GitHub publicCV junior filtré au tri RHPipeline + 2 articles + 1 contrib OSS minimum
Démarrer Kubernetes avant fondamentauxComplexité sans basesOS/code/CI d'abord, K8s mois 6+
Ignorer cloud securityProfil incomplet, 50% des pipelines en cloudAWS Cloud Practitioner + Security Specialty
Snyk sans TrivyVerrouillage commercialTrivy OSS gratuit fait 80% du job
SonarQube comme seul SASTVieillissant, faux positifsSemgrep + CodeQL plus modernes 2026
Pas de signing supply chainIgnorer SLSA / SigstoreCosign sur tout image Docker pushée
Pipeline sans gates bloquantsDétection sans correctionExit-code 1 sur CRITICAL
Pas de DASTCouverture 50% incompleteOWASP ZAP en CI minimum

Marché DevSecOps FR 2026 : qui recrute, quels salaires

Type entrepriseProfil recherchéSalaire juniorSalaire senior
Big tech FR (Criteo, Doctolib, Datadog FR, Mirakl, Talend)Ex-dev avec AWS Sec + CKS60-80 k€95-130 k€
Banque/assurance (BNP, SG, AXA, Crédit Agricole)Polyvalent + GRC sensibilité50-65 k€85-110 k€
ESN cyber dédiée (Wavestone, Almond, Synacktiv)Ex-dev + audit profil mixte48-60 k€80-100 k€
ESN généraliste (Capgemini, Sopra Steria, Atos)Junior formé en interne40-55 k€70-95 k€
Startup cyber FR (Sekoia, Filigran, HarfangLab)Autonome, full-stack DevSecOps50-65 k€80-110 k€
Public/défense (Orange Cyberdefense, Thales Cyber)Habilité, méthodique45-58 k€75-100 k€
Pure player cyber US (CrowdStrike, Wiz, Snyk FR offices)Anglophone, premium65-85 k€110-180 k€
Industrie (Airbus, Total, EDF)OT-aware DevSecOps50-65 k€85-110 k€

Variations 2026 :

  • Paris/IDF : +10-15% vs province.
  • Cloud security DevSecOps (AWS Sec + CKS) : +15-25% vs DevSecOps généraliste.
  • AI security DevSecOps (LLM pipelines) : pénurie aiguë, +25-40% vs DevSecOps cloud.
  • Remote international : +30-50% si anglais excellent + senior.

Pour aller plus loin

Points clés à retenir

  • 3-6 mois depuis dev/DevOps avec 2+ ans XP, 6-9 mois depuis sysadmin/ops, 12-18 mois depuis zéro tech. DevSecOps = chemin le plus court depuis dev vers cybersécurité.
  • Salaires CDI FR 2026 : junior 50-65 k€, mid 65-85 k€, senior 85-110 k€, lead 110-140 k€. Paris/IDF +10-15%, big tech +15-25%, cloud security DevSecOps +15-25%.
  • Stack outillage 2026 : Semgrep (SAST), Trivy (SCA + container), Gitleaks (secrets), Cosign (supply chain signing), Checkov (IaC), OWASP ZAP (DAST). Démarrer ces 6 = 80% des pipelines.
  • Frameworks à connaître : OWASP SAMM v2.0, OWASP DSOMM, NIST SSDF SP 800-218 (juillet 2022), BSIMM 14 (2024), SLSA v1.0 (octobre 2023), OWASP ASVS v4.0.3.
  • Plan 6 mois : mois 1 OWASP + threat modeling, 2 SAST + secrets, 3 SCA + container, 4 supply chain, 5 cloud AWS, 6 IaC + Kubernetes. Volume 10-15h/sem = 240-360h.
  • Certifs ordre recommandé 2026 : AWS Cloud Practitioner (100$) → AWS Security Specialty (300$) → Burp Suite Certified Practitioner (99£) → CDP (~1500-2000$) ou CKS (~395$). Total ~700-2700$ sur 12 mois.
  • Portfolio 4 piliers : pipeline GitHub Actions complet public (2 projets), custom Semgrep rules (5-10 règles), articles techniques (1/mois), contribs OSS (1-3 PR mergées Semgrep/Trivy/ZAP/Checkov).
  • Big tech FR qui recrutent : Criteo, Doctolib, Stripe FR, Datadog FR, Mirakl, Talend. Salaires juniors 60-80 k€ vs 50-65 k€ ESN. Profil tendu : DevSecOps + AWS Sec + CKS.
  • Anti-pattern n°1 : empiler 12 outils sans pipeline complet (tools soup). Maturité = vélocité de livraison sécurisée, pas nombre d'outils.
  • Anti-pattern n°2 : CEH en 1ère certif (1200$, technique faible, non DevSecOps). AWS Security Specialty (300$) bat largement.
  • Anti-pattern n°3 : pas de portfolio GitHub public. CV junior DevSecOps filtré au tri RH dans 70-80% des cas. Portfolio en place AVANT postulation massive.
  • Position : démarrer DevSecOps en CDI ESN cyber (Wavestone, Almond) ou cabinet conseil pour formation technique encadrée, basculer big tech ou freelance après 3-4 ans XP avec certifs AWS Sec + CKS.

Questions fréquentes

  • Combien de temps pour devenir DevSecOps opérationnel en 2026 ?
    **3-6 mois** si tu viens de dev/DevOps avec 2+ ans XP, **12-18 mois** depuis zéro tech (apprendre code + DevOps + sécurité en parallèle), **6-9 mois** depuis sysadmin/ops avec scripting. Le découpage type pour un dev en transition : 1 mois OWASP Top 10 + threat modeling, 2 mois SAST/DAST/SCA outils, 1 mois container + supply chain (Trivy, Cosign, SBOM), 1 mois cloud security AWS, 1 mois IaC + Kubernetes (Checkov, kube-bench), 1 mois portfolio + 1ère certif. Total 240-360h pratique sur 6 mois en parallèle d'un emploi dev. Position : DevSecOps est le chemin le plus court vers la cybersécurité pour un développeur, meilleur ratio durée/salaire/proximité de toutes les spés cyber.
  • Quelle stack outillage DevSecOps maîtriser en priorité ?
    Sept catégories d'outils par ordre d'apprentissage. **(1) SAST** : Semgrep (référence 2026, OSS + Cloud), CodeQL (GitHub), SonarQube (legacy mature). **(2) Secrets detection** : Gitleaks, TruffleHog, GitHub Secret Scanning. **(3) Dependency scan / SCA** : Snyk, Dependabot (GitHub natif), Trivy (multi-format), Grype. **(4) Container scan** : Trivy, Grype, Snyk Container, Docker Scout. **(5) IaC scan** : Checkov, tfsec, KICS, Terrascan. **(6) Supply chain** : Cosign (signing), in-toto (attestations), SBOM CycloneDX/SPDX, Sigstore Rekor. **(7) DAST** : OWASP ZAP, Burp Suite (CI mode). Position : démarrer Semgrep + Trivy + Gitleaks + Cosign suffit pour 80% des pipelines DevSecOps de PME-ETI 2026. Ajouter cloud + Kubernetes + IaC ensuite.
  • Quelles certifications DevSecOps en priorité 2026 ?
    **Ordre recommandé** : (1) **AWS Cloud Practitioner** (100$, 1-2 mois prep) en baseline cloud, (2) **AWS Security Specialty** (300$, 2-4 mois) pour cloud security DevSecOps, (3) **Certified DevSecOps Professional (CDP)** Practical DevSecOps (~1500-2000$, 30j accès labs) pour formalisation, (4) **CKS** (Certified Kubernetes Security Specialist, ~395$, 2-3 mois prep) pour Kubernetes-heavy, (5) **GIAC GCSA** (Cloud Security Automation, ~7000$ employer-paid) en certif premium. Position : éviter CEH (1200$, technique faible). AWS Security Specialty bat CDP en valeur perçue marché et coût. CKS devient quasi-obligatoire si tu cibles plateformes cloud-native (Datadog, Doctolib, Stripe FR, Mirakl) en 2026.
  • Comment construire son portfolio public DevSecOps en 2026 ?
    Quatre piliers concrets. **(1) Pipeline GitHub Actions sécurisé public** : 2 projets persos avec CI/CD complète (Semgrep + Trivy + Cosign + SBOM), montrable en entretien. **(2) Custom Semgrep rules** : 5-10 règles publiées sur ton GitHub pour patterns de ta stack favorite (FastAPI, Next.js, Django). **(3) Article technique** : 1 par mois, type « Comment j'ai migré mon CI vers DevSecOps en 4 semaines » sur Medium/Dev.to/blog perso. **(4) Contribution OSS** : 1-3 PR mergées sur Semgrep, Trivy, OWASP ZAP, Sigstore, OpenSSF Scorecard. Total ~80-120h sur 3 mois pour avoir un portfolio crédible. Sans portfolio public, le CV junior DevSecOps est filtré au tri RH dans 70-80% des cas. Position : portfolio en place AVANT de postuler massivement, pas après.
  • DevSecOps junior FR 2026 : quelles entreprises et quels salaires ?
    Salaires CDI FR 2026 : **junior 0-2 ans** 50-65 k€/an, **mid 2-4 ans** 65-85 k€, **senior 5-8 ans** 85-110 k€, **lead 8+ ans** 110-140 k€. Paris/IDF +10-15%, big tech (Criteo, Doctolib, Datadog FR, Mirakl, Talend) +15-25%, banque/assurance +5-10%. **Entreprises qui recrutent juniors** : Criteo, Doctolib, Stripe FR, Datadog FR, Capgemini Cyber, Sopra Steria, Wavestone Cybersecurity, Orange Cyberdefense, Sekoia, Filigran, HarfangLab, Almond. **Profils tendus marché** : DevSecOps avec maîtrise Kubernetes + cloud (AWS Security Specialty + CKS) → +15-25% salaire vs DevSecOps généraliste sans cloud. Freelance senior 800-1100€/jour HT, lead 1100-1400€/j. Position : démarrer en CDI ESN ou cabinet conseil (Wavestone, Almond) pour formation technique, basculer big tech ou freelance après 3-4 ans XP.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également