Le bootcamp Zeroday Cyber Academy dure 6 mois dans son format complet, structuré en 5 phases (cadrage, fondamentaux, spécialisation, projet de capstone, placement) avec un coach senior dédié par apprenant (1-1 hebdomadaire 30-60 min), pas de pédagogie de masse, pas de groupe de 30 stagiaires anonymes. Format hybride : sessions live hebdo (1-2 par semaine, 90 min) + travail asynchrone guidé (8-12h/sem) + 5-7 livrables projets + revue de portfolio public obligatoire (GitHub + writeups + 1-2 articles techniques publiés en cours de bootcamp). Méthodologie 70% pratique / 30% théorie, pas de cours magistraux longs, labs et CTF dès le sprint 1. Trois chemins disponibles : Bootcamp DevSecOps (6 mois complet, ex-dev → DevSecOps senior), Bootcamp DevSecOps Autonomie (3 mois autodidacte encadré, profils 2+ ans XP IT autonomes), Bootcamp LLM Security (6 mois sur la spé IA security en pénurie aiguë 2026, salaires 70-200 k€). Stack outillage marché : Discord privé, GitHub portfolio, TryHackMe Premium fourni, HackTheBox VIP selon spé, AWS sandbox dédié, Burp Suite, Semgrep, Trivy, Cosign, outils transférables après bootcamp, pas de plateforme propriétaire fermée. Accompagnement 3 mois post-bootcamp inclus : refonte CV + LinkedIn + portfolio, prépa entretien technique, mock interviews, négociation offres, onboarding 1ère mission. Cet article documente la méthodologie 5 phases, les rituels hebdomadaires, la stack pédagogique, les livrables, l'accompagnement post-bootcamp, et les différences entre les 3 chemins, sans bullshit marketing.
Pour les autres ressources liées : voir Reconversion cybersécurité sans 5 ans d'études et Comment apprendre la cyber en parallèle d'un emploi.
Le bon mental model : un bootcamp n'est pas une formation, c'est un changement de trajectoire
Erreur cognitive du futur reconverti type 2026 : choisir un bootcamp comme on choisit une formation classique, comparer le prix horaire ou le nombre d'heures de cours. Faux raisonnement. Un bootcamp réussi se mesure à 3 critères de sortie :
- Niveau réel atteint, capacité à passer un entretien technique cyber junior et le réussir.
- Portfolio public démontré, GitHub + 5-10 writeups + 1-2 articles techniques visibles par recruteurs.
- Mission décrochée à 6-12 mois, CDI, alternance ou 1ère mission freelance après bootcamp.
Conséquence pratique : un bootcamp à 9 k€ qui produit ces 3 résultats vaut largement plus qu'un bootcamp à 6 k€ qui ne produit qu'un certificat. Le coût d'opportunité d'un bootcamp inefficace = 12-18 mois de salaire perdu (40-65 k€) + budget formation gaspillé.
Les 5 phases du bootcamp Zeroday Cyber Academy
Phase 1, Cadrage et baseline (semaines 1-2)
Objectif : poser le projet personnel de chaque apprenant + valider le niveau de départ.
Activités :
- Entretien initial 1h avec coach senior : objectif final (CDI alternance, freelance, salaire cible), spé visée (DevSecOps, AppSec, pentest, AI security), contraintes (temps disponible, financement).
- Test diagnostic : OWASP Top 10 + Linux basics + scripting Python + threat modeling intro.
- Plan personnalisé écrit : feuille de route 6 mois, livrables ciblés, certifs cibles (Security+, AWS Sec Spec, eJPT, OSWE selon spé).
- Setup environnement technique : Discord, GitHub privé, TryHackMe Premium, AWS sandbox, Notion partagé.
Livrable phase 1 : plan personnalisé validé + threat model d'une app perso + 1ère machine TryHackMe complétée.
Phase 2, Fondamentaux universels (semaines 3-8)
Objectif : assurer les bases qui s'appliquent à toutes les spés cyber.
Activités :
- OWASP Top 10 2021 + lectures dirigées (Adam Shostack threat modeling, OWASP ASVS v4.0.3).
- Réseau et système : modèle OSI, TCP/UDP, DNS, HTTP/HTTPS, TLS 1.2/1.3 handshake, Linux Bash, Docker.
- Threat modeling : STRIDE, LINDDUN v3.0 (KU Leuven, décembre 2023), OWASP Threat Dragon v2.4 ou pytm.
- MITRE ATT&CK Enterprise (matrice complète) + ATLAS (juin 2021, MAJ 2024).
- Premier writeup CTF publié (1500-2500 mots).
- Lecture obligatoire de 5 newsletters cyber (TLDR Sec, Risky Business, ANSSI alertes).
Livrable phase 2 : 5-10 machines TryHackMe complétées + 3 writeups publiés + premier article technique LinkedIn 1500+ mots.
Phase 3, Spécialisation (semaines 9-18)
Objectif : approfondir la spé visée jusqu'à niveau junior crédible.
Spécialisations disponibles :
| Chemin | Stack approfondie | Certif cible | Salaire entrée FR 2026 |
|---|---|---|---|
| DevSecOps | Semgrep, Trivy, Cosign, AWS Security Hub, GitHub Actions sécurisées, Checkov | AWS Security Specialty (300$) | 50-65 k€ junior |
| AppSec | Burp Suite Pro, OWASP ZAP, threat modeling avancé, OWASP API Top 10 2023 | Burp Suite Practitioner (99£) | 55-70 k€ |
| Pentest web | Burp Suite Pro, sqlmap, ffuf, BloodHound (AD basics) | eJPT v2 (250-400$) | 38-50 k€ |
| Cloud security | AWS IAM, Security Hub, GuardDuty, Inspector, Wiz / Prisma | AWS Security Specialty (300$) | 60-80 k€ |
| AI/LLM security | OWASP LLM Top 10 v2.0 (octobre 2024), MITRE ATLAS, prompt injection, NeMo Guardrails, garak, PyRIT | Pas de certif établie 2026 | 70-95 k€ (pénurie) |
Activités phase 3 :
- 4-6 livrables progressifs sur la spé visée.
- 1 sprint review live / 2 semaines avec coach + cohorte.
- Premier projet portfolio public majeur (pipeline DevSecOps complet, audit AppSec d'un projet OSS, writeup AD pentest, etc.).
- Préparation certif spécialisée + révisions encadrées.
Livrable phase 3 : projet portfolio majeur publié + certif spé obtenue.
Phase 4, Capstone et portfolio (semaines 19-22)
Objectif : produire un livrable signature qui sert de carte de visite pour les recruteurs.
Exemples de capstone :
- DevSecOps : pipeline GitHub Actions complet end-to-end (SAST + DAST + container scan + supply chain signing + déploiement K8s sécurisé) sur un projet open source ou perso. Documentation + article technique 3000+ mots.
- AppSec : threat model complet d'une app SaaS (50+ menaces identifiées, 30+ mitigations proposées) + audit code review structuré sur 2-3 KLOC OSS + rapport pro.
- Pentest : 3 disclosed reports HackerOne / Bugcrowd / YesWeHack + 1 lab pro (HackTheBox Pro Lab Dante ou Offshore) complété intégralement.
- AI/LLM security : audit complet d'une app LLM perso ou OSS (prompt injection, RAG poisoning, agent abuse) + write-up détaillé + propositions guardrails (NeMo Guardrails, Lakera).
Livrable phase 4 : capstone publié + soutenance live 30 min devant cohorte + retours croisés.
Phase 5, Placement et 1ère mission (semaines 23-26 + 12 sem post-bootcamp)
Objectif : décrocher la 1ère mission cyber.
Activités semaines 23-26 (fin bootcamp) :
- Refonte CV ATS-friendly avec angle reconversion cyber.
- Refonte LinkedIn complète (titre, bannière, recommandations, posts).
- Liste 50 entreprises cibles personnalisée (ESN cyber, big tech FR, startup cyber).
- Mock interviews techniques : 3-5 sessions avec coach senior + 1-2 avec experts externes du réseau Zeroday.
- 50-100 candidatures actives.
Activités 12 semaines post-bootcamp (mois 1-3 hors curriculum) :
- 1-1 hebdo allégé avec coach (30 min) sur entretiens en cours.
- Introductions chaudes vers RSSI / Hiring Managers FR cyber via réseau Zeroday.
- Partenariats ESN cyber actifs : Wavestone Cybersecurity, Almond, Synacktiv (selon spé), Orange Cyberdefense.
- Négociation offres : revue contrat, négo salaire, clauses non-concurrence.
- Onboarding 1ère mission + plan formation continue post-bootcamp.
Livrable phase 5 : 1ère mission cyber signée (CDI, alternance ou freelance) + plan annuel cyber post-bootcamp.
Rituels hebdomadaires structurants
| Rituel | Fréquence | Durée | Format | Livrable |
|---|---|---|---|---|
| 1-1 mentor / coach senior | Hebdomadaire | 30-60 min | Visio Calendly | Action items + objectifs semaine |
| Session live cohorte | Hebdomadaire | 90 min | Discord / Zoom | Q&A live + démo apprenants |
| Sprint planning | Bi-hebdomadaire (début sprint) | 30 min | Notion partagé | Plan sprint personnel validé |
| Sprint review + retro | Bi-hebdomadaire (fin sprint) | 60 min | Discord cohorte | Demo livrable + feedback croisé |
| Office hours coach | Quotidien (4h fenêtre) | À la demande | Discord async + ping | Réponses bloquantes < 24h |
| Live workshops experts externes | Mensuel (1-2x) | 90 min | Visio | Sujets émergents (AI security, NIS2, AI Act) |
| Lecture / podcast obligatoire | Hebdomadaire | 1-2h | Async | Notes Notion + 1 takeaway communauté |
Discipline pédagogique :
- Discord répond < 4h en heures ouvrées sur questions techniques bloquantes.
- 1-1 jamais annulé sans replanning 24h max.
- Sprint review obligatoire sauf cas force majeure documenté.
- Calendar shared entre coach et apprenant pour rapidité scheduling.
Stack outillage utilisée pendant le bootcamp
# Communication et tracking
# - Discord privé (canaux dédiés cohorte + 1-1 coach)
# - Calendly pour bookings 1-1 / sprint reviews
# - Notion partagé (plan, retros, notes)
# - GitHub privé (portfolio + projets en cours)
# Plateformes pratique inclues dans tarif
# - TryHackMe Premium (~14$/mois fourni 6 mois)
# - HackTheBox VIP selon spé (~14$/mois fourni 3 mois)
# - PortSwigger Web Security Academy (gratuit)
# - AWS sandbox dédié (limit 50$/mois)
# Stack DevSecOps phase 3
brew install semgrep gitleaks trivy cosign checkov
docker pull owasp/zap2docker-stable
# Stack AppSec phase 3
brew install --cask burp-suite # Community gratuite suffit
brew install nmap sqlmap
# Stack pentest phase 3
# Kali Linux VM + OffSec Proving Grounds Practice (~17$/mois)
# Stack AI/LLM security phase 3
pip install openai anthropic langchain
pip install garak # Leon Derczynski LLM red teaming
# NeMo Guardrails par NVIDIA pour défense
pip install nemoguardrails
# Vérifications environnement
semgrep --version # ≥ 1.50 mai 2026
trivy --version # ≥ 0.50Position : Zeroday n'utilise aucune plateforme propriétaire fermée. Tous les outils enseignés sont marché-réels et transférables, tu sors du bootcamp avec une stack que tu utiliseras en mission. Pas d'investissement perdu en tooling proprio post-bootcamp.
Critères de validation par phase
Pas d'examen QCM ni de certificat purement administratif. Validation par livrable + soutenance à chaque phase :
| Phase | Critère 1 | Critère 2 | Critère 3 | Validé par |
|---|---|---|---|---|
| 1 - Cadrage | Plan personnalisé validé | Threat model app perso | 1ère machine TryHackMe | Coach senior |
| 2 - Fondamentaux | 5-10 machines complétées | 3 writeups publiés | 1 article LinkedIn 1500+ mots | Coach + peers |
| 3 - Spécialisation | Projet portfolio majeur publié | Certif spé obtenue | 5-7 livrables intermédiaires | Coach + jury cohorte |
| 4 - Capstone | Capstone publié et documenté | Soutenance live 30 min | Article technique 3000+ mots | Coach + 1-2 experts externes |
| 5 - Placement | 50-100 candidatures actives | 5-10 entretiens passés | 1ère offre signée à 12 sem | Coach + suivi mensuel |
Discipline : un livrable validé signifie qu'il est public (GitHub, Medium, blog) et accessible aux recruteurs. Pas de validation sur livrable interne caché.
Comparatif des 3 chemins Zeroday
| Critère | DevSecOps | DevSecOps Autonomie | LLM Security |
|---|---|---|---|
| Durée | 6 mois | 3 mois | 6 mois |
| Format | Hybride live + async | Async encadré + 2-4 sessions live/mois | Hybride live + async |
| Coach senior dédié | 1-1 hebdo | 1-1 bi-mensuel | 1-1 hebdo |
| Public cible | Ex-dev débutant cyber | 2+ ans XP IT autonomes | Dev IA / data scientist |
| Sortie typique | DevSecOps junior 50-65 k€ | Mid avec spé renforcée | AI/LLM security junior 70-95 k€ |
| Tarif indicatif | Premium accompagnement | Réduit (autodidacte encadré) | Premium accompagnement |
| Certif cible | AWS Security Specialty (300$) | AWS Security Specialty (300$) ou OSWE | Pas de certif établie 2026 |
| Placement post-bootcamp | 3 mois inclus | 1 mois inclus | 3 mois inclus |
| CPF éligibilité | Oui (RNCP) | Oui (RNCP) | Oui (RNCP) |
Position : DevSecOps = sweet spot reconversion ex-dev classique. Autonomie = optimisation budget pour profils avec XP IT. LLM Security = pari sur marché en pénurie aiguë 2026 (salaires 130-200 k€ senior, profils rares).
Erreurs fréquentes en choix bootcamp cybersécurité 2026
| Erreur | Symptôme | Fix |
|---|---|---|
| Choisir bootcamp non-RNCP | Diplôme local invisible marché | France Compétences vérification |
| Pas de portfolio public obligatoire | Bootcamp à diplôme sans preuve | GitHub + writeups + articles obligatoires |
| Certificat interne sans certif marché | CV junior filtré au tri RH | Bootcamp qui prépare Security+ / eJPT / AWS Sec |
| Cohorte 30+ stagiaires sans coach individuel | Pédagogie de masse, peu de feedback | 1-1 hebdo avec coach senior dédié |
| Pas de placement post-bootcamp inclus | Lâché à la fin = abandon mission | 3 mois suivi minimum inclus |
| Outils propriétaires fermés | Investissement perdu post-bootcamp | Stack marché transférable |
| Pas de taux placement publié | Aucune garantie résultat | Demander stats avant signature |
| Pas de mock interviews | Refusé aux entretiens techniques | 3-5 mock interviews minimum |
| Pas de réseau / partenariats ESN | Candidatures froides peu retours | Introductions chaudes + partenariats |
| Bootcamp court < 3 mois | Trop superficiel | 6 mois minimum pour niveau junior |
| Tarif < 5 k€ premium accompagnement | Souvent pédagogie de masse | Vérifier ratio coach/apprenant |
| Pas de communauté alumni | Réseau pro pauvre post-bootcamp | Discord alumni + meetups |
Pour aller plus loin
- Travailler en cyber : par où commencer, orientation préalable au bootcamp.
- Suis-je fait pour la cybersécurité, test 30 jours d'aptitude avant inscription.
- Reconversion cybersécurité sans 5 ans d'études, voies courtes incluant bootcamps RNCP.
- Apprendre la cyber en parallèle d'un emploi, méthodes pour ex-emploi temps plein.
- Décrocher sa première mission cybersécurité, plan 90 jours post-bootcamp.
- Apprendre le DevSecOps : roadmap structurée 2026, focus chemin DevSecOps.
- Roadmap progression cybersécurité 2026 : 5 niveaux, progression long terme post-bootcamp.
- Sources externes : France Compétences (vérif RNCP), Mon Compte Formation, Baromètre ANSSI/CyberCercle, (ISC)² Cybersecurity Workforce Study 2024.
Points clés à retenir
- Les bootcamps Zeroday Cyber Academy durent 6 mois (format complet) avec coach senior dédié 1-1 hebdomadaire, pas de pédagogie de masse.
- 5 phases pédagogiques : (1) cadrage 2 sem, (2) fondamentaux universels 6 sem, (3) spécialisation 10 sem, (4) capstone portfolio 4 sem, (5) placement 4 sem fin bootcamp + 12 sem post-bootcamp inclus.
- Méthodologie 70% pratique / 30% théorie. Pas de cours magistraux longs. Labs et CTF dès sprint 1. Validation par livrable + soutenance, pas par QCM.
- 3 chemins disponibles : Bootcamp DevSecOps (6 mois ex-dev), Bootcamp DevSecOps Autonomie (3 mois autodidacte encadré), Bootcamp LLM Security (6 mois spé pénurie aiguë 2026).
- Stack outillage marché 2026 : Discord, GitHub, TryHackMe Premium, HackTheBox VIP, AWS sandbox, Burp Suite, Semgrep, Trivy, Cosign, NeMo Guardrails. Aucun outil propriétaire fermé.
- Rituels hebdo structurants : 1-1 mentor (30-60 min), session live cohorte (90 min), sprint planning + review bi-hebdo, office hours quotidien Discord, workshops experts mensuels.
- Certifs préparées et partiellement financées : Security+ (370$), eJPT (250-400$), Burp Suite Practitioner (99£), AWS Security Specialty (300$), AWS Cloud Practitioner (100$).
- Accompagnement post-bootcamp 3 mois inclus : refonte CV / LinkedIn / portfolio, mock interviews, 50-100 candidatures actives, partenariats ESN cyber (Wavestone, Almond, Synacktiv), introductions chaudes.
- Validation par livrable public obligatoire : GitHub portfolio + 5-10 writeups CTF + 2-3 articles techniques 1500-3000 mots publiés en cours de bootcamp.
- Anti-pattern à éviter : bootcamps non-RNCP, certificats internes sans certif marché reconnue, cohortes 30+ sans coach individuel, pas de placement post-bootcamp inclus, outils propriétaires fermés.
- Le seul vrai KPI pédagogique : % apprenants qui décrochent une 1ère mission cyber salariée ou freelance dans 6-12 mois post-bootcamp. Tout le reste est secondaire.
- Position : un bootcamp réussi se mesure à 3 critères de sortie, niveau réel atteint (passe entretien technique junior), portfolio public démontré (visible recruteurs), mission décrochée à 6-12 mois. Coût d'opportunité d'un bootcamp inefficace = 12-18 mois de salaire perdu (40-65 k€) + budget formation gaspillé.
