Combien de temps pour passer de développeur à profil cybersécurité opérationnel ?

3 à 9 mois selon la spécialité. **DevSecOps** est le plus rapide (3-6 mois) parce que tu réutilises 70-80% de tes compétences dev (CI/CD, Docker, scripting, Git). **AppSec / SAST-DAST engineer** : 4-7 mois (OWASP Top 10, threat modeling, code review sécurité). **Pentest web** : 6-12 mois pour atteindre niveau facturable (OWASP, Burp Suite, OSCP/eJPT). **Cloud security** : 4-8 mois (AWS/Azure/GCP security services, IAM, posture). **AI/LLM security** : 6-12 mois (le marché 2026 est en pénurie, profil encore rare). Position : viser DevSecOps en première bascule, c'est le chemin le plus court avec ROI salaire correct dès la première mission.

Quels chemins en cybersécurité sont les plus naturels pour un développeur ?

Cinq chemins par ordre de proximité. **1) DevSecOps** : tu fais déjà du DevOps + tu apprends sécurité shift-left, SAST, DAST, supply chain (SBOM, Sigstore). Salaire FR senior 70-110k€. **2) AppSec engineer** : code review sécurité, threat modeling, formation devs. Salaire 60-95k€. **3) Cloud security engineer** : AWS Security Specialty, posture CSPM, IAM. Salaire 65-110k€. **4) Pentest web** : tu connais déjà comment ça casse côté code. Salaire freelance 600-1300€/jour HT. **5) AI/LLM security engineer** : émergent, profil rare en 2026, salaires 90-150k€ pour seniors. SOC analyst, forensic, GRC sont moins naturels pour un profil dev.

Faut-il une certification pour la transition ? Laquelle en priorité ?

Oui, mais pas n'importe laquelle. Pour DevSecOps : **Certified DevSecOps Professional (CDP)** par Practical DevSecOps (~1500-2000$, 30j d'accès labs) ou autodidacte + portfolio GitHub. Pour AppSec : **OWASP exam** non-cert mais recognized + **Burp Suite Certified Practitioner** (PortSwigger, gratuit + 99£ exam). Pour pentest : **eJPT** (eLearnSecurity / INE, ~250-400$, idéal débutant) puis **OSCP** (OffSec, ~1700-2500$, 90j labs, référence marché). Pour cloud security : **AWS Security Specialty** (300$, ~3 mois prep). Position : démarrer eJPT ou Burp Suite Certified Practitioner avant l'OSCP, moins cher, plus accessible, valide la compétence pour entrée 1ère mission.

Comment valoriser son passé dev dans un CV cybersécurité ?

Trois leviers concrets. **1) Reframe expérience** : « 5 ans dev backend Python » devient « 5 ans expérience hardening Python apps, gestion vuln dépendances pip, CI sécurisée GitHub Actions ». **2) Portfolio public** : GitHub avec writeups CTF (HackTheBox, TryHackMe), contributions OSS sécurité (semgrep rules, OWASP cheat sheets), bug bounty findings publics (HackerOne disclosed reports). **3) Certifications validatrices** : eJPT, Burp Suite Certified, AWS Security Specialty mentionnent que tu as **fermé le gap formel**. Recruteurs FR cherchent en 2026 des profils mixtes dev+sec, ton CV unique à condition de bien le narrer. Position : sans portfolio public démontré, le CV reste celui d'un dev qui « veut faire de la sécu », peu crédible.

Combien gagne un profil dev → cyber après 1, 3 et 5 ans en France ?

Ordres de grandeur 2026 marché FR (CDI hors freelance). **DevSecOps** : entrée 50-65k€/an (1 an), milieu 65-85k€ (3 ans), senior 85-110k€ (5 ans). **AppSec engineer** : 55-70k€ → 70-90k€ → 90-120k€. **Pentest web salarié** : 45-60k€ → 60-80k€ → 80-100k€ (freelance senior 900-1300€/jour HT). **Cloud security** : 60-80k€ → 80-100k€ → 100-130k€. **AI/LLM security** : 70-95k€ → 95-130k€ → 130-180k€ (pénurie marché). Région parisienne +10-15% vs province. Big tech / banque +15-25% vs PME tech. À comparer salaire dev backend senior FR 2026 : 55-90k€. La cybersécurité paye mieux à séniorité égale, mais demande certifs continues.

Reconversion cybersécurité

Développeur vers cybersécurité : roadmap 2026 et salaires

Reconversion développeur → cybersécurité 2026 : 60-80% des fondamentaux déjà acquis, 5 chemins possibles, plan 6 mois, certifs, salaires 45-110k€.

Naim Aouaichia

16 mars 202616 min de lectureMis à jour le 15 mai 2026

Reconversion
Développeur
DevSecOps
AppSec
Pentest
Carrière

Un développeur qui veut passer en cybersécurité maîtrise déjà 60-80% des compétences techniques nécessaires : code dans plusieurs langages, debug, Linux, Git, CI/CD, Docker, scripting, lecture de specs, automation. Les 20-40% manquants s'apprennent en 3 à 9 mois selon la spécialité avec un plan structuré : 3-6 mois pour DevSecOps (le chemin le plus court et ROI salaire correct dès la 1ère mission), 4-7 mois pour AppSec/SAST-DAST, 6-12 mois pour pentest web (OffSec OSCP, Burp Suite Certified), 4-8 mois pour cloud security (AWS Security Specialty), 6-12 mois pour AI/LLM security (marché 2026 en pénurie, profil rare). Salaires FR 2026 (CDI hors freelance) : DevSecOps senior 70-110k€/an, AppSec senior 90-120k€, cloud security senior 100-130k€, AI/LLM security senior 130-180k€. Comparer au salaire dev backend senior FR 2026 typique : 55-90k€. La cybersécurité paye mieux à séniorité égale mais demande certifs continues (OSCP, AWS Security, eJPT, Burp Suite Certified). Cet article documente la roadmap 6 mois pas-à-pas, les 5 chemins de spécialisation, les certifs à viser par ordre, le portfolio à construire, les salaires marché 2026, et les anti-patterns persistants, notamment le « dev qui se déclare cyber sans portfolio public ».

Pour la dimension financement de la formation : voir Financement formation cybersécurité. Pour le détail des métiers cyber : Métiers cybersécurité.

Le bon mental model : tu n'apprends pas la cybersécurité en partant de zéro

Erreur cognitive la plus fréquente quand un développeur démarre une reconversion cybersécurité : croire qu'il faut tout réapprendre. Faux. Tes 3-10 ans de dev t'ont donné des bases que les profils non-tech mettent 18-24 mois à acquérir :

Compétence dev déjà acquise	Application directe en cybersécurité
Code Python/JS/Go/Java	Scripts d'audit, exploit POC, automation
Debug / lecture stack trace	Reverse engineering, analyse vuln
Linux CLI	90% des outils sécurité (nmap, burp CLI, metasploit)
Git / GitHub	Forensic source, threat intel OSS, CI security
CI/CD pipelines	Shift-left security, SAST/DAST gating
Docker / Kubernetes	Container security, K8s audit, image scanning
HTTP / REST API	OWASP Top 10, Burp Suite, API pentest
SQL	SQLi exploitation, DB hardening
Lecture spec / RFC	OWASP standards, NIST docs, CVE/CWE
Automation scripts	Threat hunting, parser logs, IR automation

Ce que tu n'as pas encore :

Vocabulaire défensif structuré (OWASP, MITRE ATT&CK, NIST CSF, ISO 27001, threat modeling).
Réflexes adverses (penser comme un attaquant, kill chains, persistence, evasion).
Outillage spécialisé (Burp Suite Pro, Metasploit, BloodHound, Volatility, Wireshark avancé).
Notions infra/réseau profondes (TLS, BGP, DNS, AD, Kerberos) si tu venais du frontend ou data.
Compliance et governance (PCI DSS, RGPD, NIS2, DORA, si tu cibles entreprise régulée).

C'est ce delta de 20-40% qu'on cible. Pas un reset complet.

Les 5 chemins de spécialisation par ordre de proximité dev

Chemin	Proximité dev	Durée transition	Salaire senior FR 2026	Marché 2026
DevSecOps	⭐⭐⭐⭐⭐ Très proche	3-6 mois	70-110k€ CDI	Tendu, demande forte
AppSec engineer	⭐⭐⭐⭐⭐ Très proche	4-7 mois	90-120k€ CDI	Demande forte big tech
Cloud security	⭐⭐⭐⭐ Proche	4-8 mois	100-130k€ CDI	Hyper-tendu
Pentest web	⭐⭐⭐⭐ Proche	6-12 mois	80-100k€ CDI / 600-1300€/j freelance	Concurrentiel mid, niche senior
AI/LLM security	⭐⭐⭐⭐ Proche pour dev IA, ⭐⭐⭐ pour autres devs	6-12 mois	130-180k€ CDI	Pénurie aiguë
Mobile / reverse / malware	⭐⭐⭐ Variable	9-18 mois	90-130k€ CDI	Niche très spécialisée
Forensic / DFIR	⭐⭐ Moins proche	9-18 mois	70-100k€ CDI	Demande stable
SOC analyst	⭐⭐ Moins proche	6-12 mois	45-75k€ CDI	Volume, entrée
GRC / compliance	⭐ Très éloigné	12-24 mois	60-90k€ CDI	Stable, peu tech

DevSecOps : le sweet spot

Le chemin avec meilleur ratio durée/salaire/proximité dev. Tu transformes ta pratique CI/CD en pratique CI/CD sécurisée :

SAST : Semgrep, SonarQube, CodeQL.
DAST : OWASP ZAP, Burp Suite (CI mode).
Container security : Trivy, Grype, Snyk.
Supply chain : Sigstore Cosign, in-toto, SBOM (CycloneDX, SPDX).
IaC scanning : Checkov, tfsec, KICS.
Secrets detection : Gitleaks, TruffleHog, GitHub secret scanning.

Lectures essentielles : OWASP DevSecOps Maturity Model, OWASP SAMM v2.0, NIST SSDF SP 800-218 (juillet 2022), DORA Reports 2024.

AppSec engineer : le chemin code review

AppSec ressemble à du dev senior avec lunettes paranoïaques :

Code review sécurité (architecture + lignes code).
Threat modeling (STRIDE, LINDDUN, voir STRIDE).
Formation devs (champions program).
Métriques sécurité (DefectDojo, ThreadFix).
Coordination avec pentest et red team.

Big tech (Google, Meta, Stripe, Uber) recrutent massivement ce profil. Salaires FR 90-120k€ senior, 130-180k€ remote international.

Pentest web : exploiter ce que tu as construit

Ton background dev t'aide à comprendre comment ça casse parce que tu sais comment c'est construit. Avantage énorme sur les pentesters non-dev qui galèrent sur les exploits applicatifs complexes.

Stack à maîtriser : OWASP Top 10 2021, Burp Suite Professional (449$/an PortSwigger), OWASP ZAP, sqlmap, ffuf, gobuster, nuclei, JWT.io, Postman/Insomnia. Plus avancé : Metasploit, MITRE ATT&CK, Active Directory pentest (BloodHound, Rubeus, mimikatz pour AD natif), Kerberoasting.

Cloud security : la pénurie en 2026

Le marché 2026 manque brutalement de profils cloud security maîtrisant à la fois IAM, posture, runtime. Tarifs hauts : 100-130k€ senior FR, 150-220k€ US.

Stack : AWS Security Hub, GuardDuty, IAM Access Analyzer, Macie, Inspector ; Azure Defender for Cloud, Sentinel ; GCP Security Command Center. CSPM commercial : Wiz (Google offer juillet 2025 32 Md$), Prisma Cloud, Lacework. CNAPP : Sysdig, Aqua, Palo Alto Cortex.

AI/LLM security : le profil rare et payé

Émergent depuis 2023, encore en pénurie aiguë en 2026. Profil mixte dev IA + sécurité applicative idéal. Salaires 130-180k€ FR senior, 200-300k$ US.

Stack : OWASP Top 10 for LLM v2.0 (octobre 2024), MITRE ATLAS, prompt injection (Greshake et al. 2023), guardrails (NeMo Guardrails, Lakera Guard), red teaming LLM (PyRIT Microsoft, garak), RAG security, agent security.

Plan de formation 6 mois pour DevSecOps (le chemin le plus court)

Mois	Bloc	Objectif	Lectures / Pratique	Livrable
1	Fondamentaux sécu	OWASP Top 10 2021, threat modeling STRIDE, CIA triad	OWASP Cheat Sheets, Adam Shostack book	Threat model app perso
2	Outillage SAST/DAST	Semgrep, CodeQL, ZAP, Burp Community	Pipelines GitHub Actions sécurisées	Pipeline CI avec 5 gates sécu
3	Container + supply chain	Trivy, Grype, Cosign, SBOM CycloneDX	Hardening Dockerfiles, Sigstore	Image signée + SBOM publié
4	Cloud security AWS	IAM, Security Hub, GuardDuty, Inspector	AWS Security Specialty prep	Audit posture compte AWS
5	IaC + Kubernetes	Checkov, tfsec, KICS, kube-bench	Politiques OPA/Gatekeeper	Cluster K8s hardenisé
6	Portfolio + certifs	CTF DevSecOps, contributions OSS, blog tech	HackTheBox DevSecOps, TryHackMe	3 writeups + AWS Security Specialty

Volume horaire : ~10-15h/semaine pendant 6 mois = 240-360h. Compatible salariat dev en parallèle.

# Setup environnement DevSecOps reconversion
# Outils gratuits à installer dès semaine 1
 
# SAST
brew install semgrep
pip install bandit safety
 
# DAST
docker pull owasp/zap2docker-stable
brew install --cask burp-suite  # community edition gratuit
 
# Container security
brew install trivy grype
go install github.com/anchore/syft/cmd/syft@latest
 
# Supply chain
brew install cosign
go install github.com/in-toto/in-toto@latest
 
# IaC
brew install checkov tfsec
docker pull bridgecrew/checkov
 
# Secrets detection
brew install gitleaks trufflesecurity/trufflehog/trufflehog
 
# Verification
semgrep --version  # >= 1.50 en mai 2026
trivy --version   # >= 0.50

# Exemple pipeline GitHub Actions DevSecOps minimal
name: secure-build
on: [push, pull_request]
 
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
 
      - name: SAST avec Semgrep
        uses: returntocorp/semgrep-action@v1
        with:
          config: p/owasp-top-ten
        env:
          SEMGREP_TIMEOUT: 300
 
      - name: Secrets detection
        uses: gitleaks/gitleaks-action@v2
        env:
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
 
      - name: Dependency scan (npm)
        run: npm audit --audit-level=high
 
      - name: Container scan
        uses: aquasecurity/trivy-action@master
        with:
          image-ref: 'myapp:${{ github.sha }}'
          severity: CRITICAL,HIGH
          exit-code: 1
 
      - name: Generate SBOM
        uses: anchore/sbom-action@v0
        with:
          format: cyclonedx-json
          output-file: sbom.cdx.json
 
      - name: Sign with Cosign
        uses: sigstore/cosign-installer@v3
      - run: cosign sign --yes ghcr.io/${{ github.repository }}:${{ github.sha }}

Certifications cibles : ordre et coûts 2026

Certification	Émetteur	Coût 2026	Durée prep	Public visé	ROI marché
eJPT v2	eLearnSecurity / INE	~250-400$	1-2 mois	Pentest débutant	Bon pour 1ère mission
Burp Suite Certified Practitioner	PortSwigger	99£ exam, labs gratuits	1-2 mois	AppSec, pentest web	Très bon
AWS Security Specialty	AWS	300$ exam	2-4 mois	Cloud security	Excellent
Certified DevSecOps Pro (CDP)	Practical DevSecOps	1500-2000$	1-2 mois	DevSecOps	Bon
OSCP	OffSec	1700-2500$	3-6 mois	Pentest niveau pro	Référence
AZ-500	Microsoft	165$	2-4 mois	Azure security	Très bon
GCP PCSE	Google Cloud	200$	2-4 mois	GCP security	Bon
CEH	EC-Council	~1200$	2-3 mois	Marketing CV	Discutable techniquement
CISSP	(ISC)²	749$	6-12 mois	Senior management	Excellent (mais 5 ans XP requis)
OSWE	OffSec	1700$	3-6 mois	AppSec avancé	Excellent niche
OSEP	OffSec	1700$	3-6 mois	Red team	Excellent niche
GIAC GSEC / GCIH / GPEN	SANS	~5000-7000$	1-2 mois	Premium employer-paid	Très bon (cher)

Ordre recommandé pour dev → DevSecOps : Burp Suite Certified Practitioner (~99£, 1-2 mois) + AWS Security Specialty (300$, 2-4 mois). Total ~400$ + 4-6 mois prep, ROI immédiat.

Ordre recommandé pour dev → pentest : eJPT v2 (250-400$, 1-2 mois) puis OSCP (1700-2500$, 3-6 mois) après 6 mois pratique HackTheBox / TryHackMe.

Portfolio à construire : la pièce maîtresse de la transition

Sans portfolio public démontré, ton CV reste celui d'un dev qui « veut faire de la sécu ». Avec portfolio, tu débloques les entretiens techniques. 4 piliers à construire :

1. GitHub sécurité

Refactor 1-2 projets persos avec lentille sécu :

Activer Dependabot, CodeQL, secret scanning sur ton orga GitHub.
Publier des Semgrep rules custom pour ton stack favori.
Contribuer à OWASP Cheat Sheets, OWASP ZAP, Sigstore, Trivy.
README pédagogique : "How I migrated my Python app to a hardened CI/CD pipeline".

2. Writeups CTF

HackTheBox (~14$/mois VIP), TryHackMe (~14$/mois Premium), OffSec Proving Grounds (~99$/mois). Sélectionner 5-10 challenges, écrire writeups détaillés sur Medium / GitHub Pages / blog perso. Cible : machines easy/medium au début, puis hard quand tu progresses.

3. Bug bounty disclosed reports

S'inscrire HackerOne, Bugcrowd, YesWeHack (FR). Cibler programmes débutants (low-hanging fruit XSS, IDOR sur petites apps). Ne pas viser Google, Meta, Apple en première année, concurrence de top hunters mondiaux. Petites apps SaaS = meilleur ratio temps/réussite. 1-3 reports valides en 6 mois suffit pour CV crédible.

4. Blog technique

Medium, Dev.to, blog perso (Hashnode, Hugo, Astro). 1 article/mois, sujets concrets :

"Comment j'ai fait évoluer mon pipeline GitHub Actions en pipeline DevSecOps en 4 semaines"
"Stride threat modeling sur mon app Next.js : les 7 menaces que j'ai trouvées"
"Premier rapport bug bounty disclosed : XSS sur app SaaS"

Ce contenu fait office de CV vivant consultable par recruteurs et hiring managers.

Salaires marché FR 2026 (vue détaillée)

Profil	0-2 ans	3-5 ans	5-8 ans	8+ ans / lead	Source
DevSecOps junior → senior	50-65k€	65-85k€	85-110k€	110-140k€	Glassdoor + Hello Work + retours marché
AppSec engineer	55-70k€	70-90k€	90-120k€	120-160k€	Idem
Cloud security engineer	60-80k€	80-100k€	100-130k€	130-180k€	Idem
Pentest web salarié	45-60k€	60-80k€	80-100k€	100-130k€	Idem
Pentest web freelance	400-700€/j	700-900€/j	900-1300€/j	1300-2000€/j	LeHibou + Talent.io
AI/LLM security engineer	70-95k€	95-130k€	130-180k€	180-250k€	Pénurie marché
SOC analyst N1/N2	35-50k€	50-65k€	65-85k€	85-110k€	Volume
Forensic / DFIR	50-65k€	65-90k€	90-120k€	120-160k€	Niche
GRC / Risk analyst	45-60k€	60-80k€	80-110k€	110-150k€	Compliance

Variations géographiques : Paris/IDF +10-15% vs province ; Suisse +50-80% vs FR ; UK +15-30% ; remote US tech +50-100%. Big tech FR (Criteo, Doctolib, Datadog FR, Mirakl) +15-25% vs PME tech.

À comparer salaire dev backend senior FR 2026 typique : 55-90k€/an. La cybersécurité paye mieux à séniorité égale sur la plupart des spécialisations, mais demande certifs continues et veille permanente.

Erreurs fréquentes en reconversion dev → cybersécurité

Erreur	Symptôme	Fix
Pas de portfolio public	« Je veux faire de la sécu mais je n'ai rien à montrer »	GitHub + writeups CTF + bug bounty 1ers reports
Démarrer par OSCP sans bases	Échec exam à 1700$, démotivation	eJPT v2 d'abord, puis OSCP après pratique
Bootcamp 3 mois sans certif	Diplôme local non reconnu marché	Compléter par certif reconnue (Burp Cert, AWS Sec)
Quitter dev avant transition validée	Risque financier, perte filet sécurité	Transition en parallèle 6-9 mois, bascule à offre signée
Cibler red team / ransomware en 1ère mission	Hors scope, frustration	Démarrer DevSecOps, pivoter après 1-2 ans XP
Croire que CEH = pentester pro	Désillusion entretien technique	Compléter par OSCP ou TJC
Ne pas réseauter	Postulations à froid sans réponse	LinkedIn actif, meetups OWASP/local DefCamp, conf BSides
Pas de spé claire	Profil generic « cybersécurité » non identifiable	Choisir 1 chemin parmi les 5 ci-dessus
Hésiter entre 4 chemins en parallèle	Aucune progression sérieuse	1 chemin bloc 1, autres en exposure seulement
Sous-estimer la veille permanente	CV obsolète à 12 mois	2-3h/semaine veille (newsletters, Twitter, blogs)
Snobber les soft skills	Recrutement échoue malgré stack technique	Communication, vulgarisation devs, écrit clair
Demander niveau senior immédiatement	Salaire refusé, recrutement perdu	Accepter junior/mid 1ère année, monter vite

Communauté et veille : ressources francophones et internationales

Newsletters / blogs hebdo :

TLDR Sec (Clint Gibler, weekly).
Risky Business (Patrick Gray, podcast hebdo).
This Week in Security (Liana Parker, weekly).
ANSSI alertes (CERT-FR, hebdo).
TheCyberWire (daily, US-centric mais pertinent).

Communautés FR :

hackndo.com (pixis, AD pentest référence FR).
zonecyber.fr (forum FR).
Discord SecuriteCyber, Le Cercle des Cyberexperts.
Meetups OWASP Paris/Lyon/Toulouse.

Communautés internationales :

Bloody.io (Bloody, AD/Windows).
DEF CON groups (DC Paris, DC Brussels).
BSides locales (BSides Las Vegas, BSides London, BSides Lyon).

Conférences à viser :

LeHACK (Paris, ~juillet, 200-400€ entrée).
BlueHat IL (~décembre, Microsoft).
Black Hat USA / DEF CON (~août, ~2000-3000$ Black Hat trip complet US).
SSTIC (Symposium FR, Rennes, ~juin, ~150€).
FIC (Lille, janvier, ~entrée pro).

Pour aller plus loin

Métiers cybersécurité, vue d'ensemble des 15+ métiers et leurs spécificités.
Roadmaps cybersécurité, roadmaps détaillées par spécialité.
Financement formation cybersécurité, CPF, OPCO, Pôle Emploi, France Travail, plan de développement entreprise.
DevSecOps, la spécialité la plus accessible pour un dev en transition.
Pentest, chemin alternatif pour les devs attirés par l'offensif.
LLM Security, chemin émergent à fort potentiel salaire.
Glossaire cyber, vocabulaire structuré à acquérir en transition.
Sources externes : OWASP DevSecOps Maturity Model, OffSec OSCP, PortSwigger Web Security Academy, HackTheBox, AWS Security Specialty.

Points clés à retenir

Un développeur maîtrise déjà 60-80% des compétences techniques cybersécurité : code, debug, Linux, Git, CI/CD, Docker, scripting, lecture de specs. Pas un reset complet, 20-40% de delta à fermer.
5 chemins par ordre de proximité dev : DevSecOps (3-6 mois, 70-110k€ senior), AppSec (4-7 mois, 90-120k€), Cloud security (4-8 mois, 100-130k€), Pentest web (6-12 mois, 80-100k€ salarié, 600-1300€/j freelance), AI/LLM security (6-12 mois, 130-180k€).
DevSecOps = sweet spot : meilleur ratio durée/salaire/proximité dev. Stack à apprendre : Semgrep, CodeQL, Trivy, Cosign, SBOM, Checkov, Gitleaks.
Certifs ordre recommandé pour DevSecOps : Burp Suite Certified Practitioner (99£) + AWS Security Specialty (300$). Pour pentest : eJPT v2 (250-400$) puis OSCP (1700-2500$).
4 piliers portfolio : GitHub sécurité (refactor projets, contribs OSS), writeups CTF (HackTheBox/TryHackMe), bug bounty disclosed reports (HackerOne, Bugcrowd, YesWeHack), blog technique (1 article/mois).
Plan 6 mois DevSecOps : mois 1 fondamentaux + OWASP, mois 2 SAST/DAST, mois 3 container + supply chain, mois 4 cloud AWS, mois 5 IaC + K8s, mois 6 portfolio + AWS Security Specialty.
Volume horaire : ~10-15h/semaine pendant 6 mois = 240-360h. Compatible avec salariat dev en parallèle.
Salaires FR 2026 dev backend senior 55-90k€ vs DevSecOps senior 70-110k€ vs AI/LLM security senior 130-180k€. La cybersécurité paye mieux à séniorité égale.
Erreurs fréquentes : pas de portfolio public (signal CV faible), démarrer par OSCP sans bases (échec coûteux), quitter dev avant transition validée (risque financier), pas de spé claire (recrutement difficile).
Veille obligatoire 2-3h/semaine : TLDR Sec, Risky Business, ANSSI CERT-FR, communautés FR (hackndo, zonecyber, OWASP Paris).
Position 1 : viser DevSecOps en 1ère bascule sauf si appétence pentest/AI claire et bases déjà existantes. Position 2 : ne pas snober les certifs reconnues (eJPT, Burp Cert, AWS Sec), c'est le signal validatif que tu as fermé le gap formel.
Anti-pattern majeur : « bootcamp 3 mois et je suis cyber ». Trop court pour un dev qui vise un poste opérationnel crédible. Compter 6-12 mois avec portfolio + certif pour 1ère mission DevSecOps/AppSec/cloud security à 50-70k€ FR.

Questions fréquentes

Combien de temps pour passer de développeur à profil cybersécurité opérationnel ?
3 à 9 mois selon la spécialité. **DevSecOps** est le plus rapide (3-6 mois) parce que tu réutilises 70-80% de tes compétences dev (CI/CD, Docker, scripting, Git). **AppSec / SAST-DAST engineer** : 4-7 mois (OWASP Top 10, threat modeling, code review sécurité). **Pentest web** : 6-12 mois pour atteindre niveau facturable (OWASP, Burp Suite, OSCP/eJPT). **Cloud security** : 4-8 mois (AWS/Azure/GCP security services, IAM, posture). **AI/LLM security** : 6-12 mois (le marché 2026 est en pénurie, profil encore rare). Position : viser DevSecOps en première bascule, c'est le chemin le plus court avec ROI salaire correct dès la première mission.
Quels chemins en cybersécurité sont les plus naturels pour un développeur ?
Cinq chemins par ordre de proximité. **1) DevSecOps** : tu fais déjà du DevOps + tu apprends sécurité shift-left, SAST, DAST, supply chain (SBOM, Sigstore). Salaire FR senior 70-110k€. **2) AppSec engineer** : code review sécurité, threat modeling, formation devs. Salaire 60-95k€. **3) Cloud security engineer** : AWS Security Specialty, posture CSPM, IAM. Salaire 65-110k€. **4) Pentest web** : tu connais déjà comment ça casse côté code. Salaire freelance 600-1300€/jour HT. **5) AI/LLM security engineer** : émergent, profil rare en 2026, salaires 90-150k€ pour seniors. SOC analyst, forensic, GRC sont moins naturels pour un profil dev.
Faut-il une certification pour la transition ? Laquelle en priorité ?
Oui, mais pas n'importe laquelle. Pour DevSecOps : **Certified DevSecOps Professional (CDP)** par Practical DevSecOps (~1500-2000$, 30j d'accès labs) ou autodidacte + portfolio GitHub. Pour AppSec : **OWASP exam** non-cert mais recognized + **Burp Suite Certified Practitioner** (PortSwigger, gratuit + 99£ exam). Pour pentest : **eJPT** (eLearnSecurity / INE, ~250-400$, idéal débutant) puis **OSCP** (OffSec, ~1700-2500$, 90j labs, référence marché). Pour cloud security : **AWS Security Specialty** (300$, ~3 mois prep). Position : démarrer eJPT ou Burp Suite Certified Practitioner avant l'OSCP, moins cher, plus accessible, valide la compétence pour entrée 1ère mission.
Comment valoriser son passé dev dans un CV cybersécurité ?
Trois leviers concrets. **1) Reframe expérience** : « 5 ans dev backend Python » devient « 5 ans expérience hardening Python apps, gestion vuln dépendances pip, CI sécurisée GitHub Actions ». **2) Portfolio public** : GitHub avec writeups CTF (HackTheBox, TryHackMe), contributions OSS sécurité (semgrep rules, OWASP cheat sheets), bug bounty findings publics (HackerOne disclosed reports). **3) Certifications validatrices** : eJPT, Burp Suite Certified, AWS Security Specialty mentionnent que tu as **fermé le gap formel**. Recruteurs FR cherchent en 2026 des profils mixtes dev+sec, ton CV unique à condition de bien le narrer. Position : sans portfolio public démontré, le CV reste celui d'un dev qui « veut faire de la sécu », peu crédible.
Combien gagne un profil dev → cyber après 1, 3 et 5 ans en France ?
Ordres de grandeur 2026 marché FR (CDI hors freelance). **DevSecOps** : entrée 50-65k€/an (1 an), milieu 65-85k€ (3 ans), senior 85-110k€ (5 ans). **AppSec engineer** : 55-70k€ → 70-90k€ → 90-120k€. **Pentest web salarié** : 45-60k€ → 60-80k€ → 80-100k€ (freelance senior 900-1300€/jour HT). **Cloud security** : 60-80k€ → 80-100k€ → 100-130k€. **AI/LLM security** : 70-95k€ → 95-130k€ → 130-180k€ (pénurie marché). Région parisienne +10-15% vs province. Big tech / banque +15-25% vs PME tech. À comparer salaire dev backend senior FR 2026 : 55-90k€. La cybersécurité paye mieux à séniorité égale, mais demande certifs continues.

Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

Développeur vers cybersécurité : roadmap 2026 et salaires

Le bon mental model : tu n'apprends pas la cybersécurité en partant de zéro

Les 5 chemins de spécialisation par ordre de proximité dev

DevSecOps : le sweet spot

AppSec engineer : le chemin code review

Pentest web : exploiter ce que tu as construit

Cloud security : la pénurie en 2026

AI/LLM security : le profil rare et payé

Plan de formation 6 mois pour DevSecOps (le chemin le plus court)

Certifications cibles : ordre et coûts 2026

Portfolio à construire : la pièce maîtresse de la transition

1. GitHub sécurité

2. Writeups CTF

3. Bug bounty disclosed reports

4. Blog technique

Salaires marché FR 2026 (vue détaillée)

Erreurs fréquentes en reconversion dev → cybersécurité

Communauté et veille : ressources francophones et internationales

Pour aller plus loin

Points clés à retenir

Questions fréquentes

Naim Aouaichia

Par où commencer en cybersécurité : plan d'action en 5 phases

Les étapes pour travailler en GRC cybersécurité

Combien d'heures par semaine pour progresser en cyber ?

Questions fréquentes

Naim Aouaichia

À lire également

Par où commencer en cybersécurité : plan d'action en 5 phases

Les étapes pour travailler en GRC cybersécurité

Combien d'heures par semaine pour progresser en cyber ?