Combien d'heures de labs faut-il avant un bootcamp cyber ?

Plancher minimum pour un candidat reconversion : 100-150 heures de labs avant l'entrée bootcamp, idéalement 200-300 heures pour les profils non-IT. Répartition recommandée : 40 heures PortSwigger Web Security Academy (gratuit, niveau OWASP Top 10), 40 heures TryHackMe parcours Pre-Security + Cyber Security 101 (15-20€ par mois si premium), 30 heures Root-Me catégories Web Server + Cracking + Programmation, 30 heures HackTheBox Starting Point + Tier I machines (15€ par mois VIP). Au-delà de 300 heures avant bootcamp tu rentres dans la zone de rendements décroissants : tu apprendras plus vite avec coach senior et roadmap structurée qu'en solo. Calibre ton effort sur 3-4 mois préparation, pas 12 mois.

TryHackMe ou HackTheBox pour commencer ?

TryHackMe pour démarrer (0 à 6 mois XP). Pédagogie pas-à-pas, parcours guidés (Pre-Security, Jr Penetration Tester, SOC Level 1), coût 14€ par mois en premium ou gratuit limité. HackTheBox pour progresser (6 mois et plus). Machines réalistes proches des CTF compétitifs, communauté plus mature, modules HTB Academy structurés (CPTS, CDSA, CWEE). Tarif 15€ par mois VIP machines retired ou 20€ par mois HTB Academy module unlock. Anti-pattern fréquent : sauter directement HTB en débutant, frustrer 80% des challenges, abandonner. Faux dilemme par ailleurs : un cyber sérieux a accès aux deux après 6 mois (29€ par mois cumulés, ROI évident vs salaire cible 38-58 k€).

Les labs gratuits suffisent-ils ou faut-il payer ?

Gratuit suffit pour les fondamentaux web/réseau (PortSwigger Web Security Academy 100% gratuit, OverTheWire Bandit, PicoCTF, Root-Me freemium, HTB Starting Point). Au-delà de 6 mois progression sérieuse : payer devient plus rentable que gratuit. Calcul économique : un mois TryHackMe premium à 14€ donne accès à 700 plus de rooms vs 50 free, économise 50-100 heures de recherche d'alternatives gratuites. Sur 6 mois préparation tu paies 80-150€ pour gagner 200-400 heures effectives. Vs salaire post-formation 3 200-4 800€ par mois net : ratio ridicule. Anti-pattern budget rigide : refuser de payer 15€ par mois en formation pré-bootcamp est une fausse économie.

Quel lab pour LLM Security et IA red team en 2026 ?

Marché immature en 2026, peu de labs structurés grand public. Stack recommandée : DeepLearning.AI Red Teaming LLM Applications cours gratuit Andrew Ng et Anthropic, Gandalf Lakera prompt injection challenge gratuit (8 niveaux progressifs), HackAPrompt 2024 dataset Schulhoff et al, Garak NVIDIA framework de scan offline (open-source), PyRIT Microsoft framework adversariel (open-source). En labs payants : Lakera AI Red Team Lab Pro à 50-100$ par mois, Microsoft AI Red Team Toolkit accessible via Azure crédits. Pour un audit LLM réel : monter ton propre lab avec Ollama + LangChain v0.3 + RAG vulnerable apps OWASP Vulnerable LLM. Compter 50-80 heures avant d'être à l'aise sur OWASP LLM Top 10 v2.0 octobre 2024.

Combien d'heures par jour de labs sans s'épuiser ?

Plage soutenable longue durée : 2-3 heures par jour, 5-6 jours par semaine, soit 12-18 heures par semaine. Au-delà de 4 heures par jour : burn-out garanti à 3-4 mois. Recherche en cognitive load (Sweller 1988, mise à jour Kalyuga 2007) montre que la pratique délibérée plafonne à 4 heures par jour pour les tâches cognitives complexes (Ericsson 1993, 2016). Découpage optimal : 1 heure le matin avant travail (cerveau frais, focus single-task), 1-2 heures le soir (révisions + writeups). Anti-pattern weekend warrior : 8 heures le samedi suivi de 0 heure semaine = perte massive de rétention par espacement défaillant. Préfère étalement régulier au crash sprint.

Faut-il faire des CTF compétitifs en plus des labs ?

Oui après 6 mois pratique solide. Avant : tu te frustres et tu abandonnes. CTF recommandés 2026 par niveau : débutant PicoCTF (annuel mars, gratuit, niveau scolaire excellent), 247CTF.com (challenges permanents, accessibilité), CTFlearn (entrée plate-forme). Intermédiaire : HackTheBox Battlegrounds, OverTheWire War Games, Root-Me niveaux haut. Compétitif : DEF CON CTF qualifs, Google CTF, FCSC France Cybersecurity Challenge ANSSI annuel, ICC ECSC qualifs nationales. Bénéfices concrets : pression temps simulée, exposition à exploitations enchaînées multi-vuln, networking communauté (recruteurs scrutent CTFTime.org rankings), portfolio démontrable au recruteur. Compte 8-15 heures par CTF intermédiaire.

Reconversion cybersécurité

Meilleurs labs pour apprendre la cybersécurité en 2026

Top 25 plateformes labs cyber 2026 par spé : web, pentest, DevSecOps, LLM Security, blue team. Tarifs, niveau, ROI. Comparatif et roadmap utilisation.

Naim Aouaichia

27 février 202624 min de lectureMis à jour le 15 mai 2026

Labs cybersécurité
TryHackMe
HackTheBox
PortSwigger Web Security Academy
Pentest
DevSecOps
LLM Security
Blue Team
CTF
Cloud Security
Reconversion

La cybersécurité est une compétence procédurale, pas déclarative : tu ne deviens pas pentester en lisant un livre, tu deviens pentester en cassant 200-400 machines et en écrivant les writeups. Les labs sont l'instrument numéro un de cet apprentissage en 2026, supérieurs à 80% des cours universitaires sur l'efficacité formation pratique. Cet article documente les 25 plateformes labs incontournables organisées en 7 spés (fondamentaux, web/AppSec, pentest, DevSecOps, LLM Security, blue team, CTF), avec tarifs 2026 (gratuit à 80€ par mois), niveau d'entrée requis, temps moyen avant valeur et la roadmap d'utilisation sur 6-18 mois pré-bootcamp ou auto-formation. Budget total optimisé : 30-150€ par mois selon ton stade, ROI imbattable vs salaire cible 38-68 k€ post-formation.

Pour les complémentaires lecture : meilleurs livres cybersécurité 2026. Pour le choix bootcamp en aval : bootcamp cybersécurité guide 2026.

Le bon mental model : labs = pratique délibérée, pas tutoriel passif

La majorité des candidats reconversion approchent les labs comme des tutoriels YouTube : ils suivent les étapes, copient les commandes, réussissent le challenge, n'apprennent rien à long terme. C'est l'illusion de la fluence (Bjork, 2011), la sensation de comprendre confondue avec la capacité réelle à reproduire en autonomie 3 mois plus tard.

La pratique délibérée selon Anders Ericsson (1993, mise à jour 2016 dans Peak: Secrets from the New Science of Expertise) requiert 4 ingrédients :

Tâche au-dessus du niveau actuel (zone proximale de développement, Vygotsky 1934), challenge difficile mais pas impossible.
Feedback immédiat et précis, savoir si la solution est juste, et pourquoi elle l'est.
Répétition espacée avec corrections, refaire la machine 7 jours plus tard sans regarder le writeup.
Concentration totale, pas de Discord, pas de Twitter, single-task 90 minutes minimum.

Les labs cyber bien conçus (PortSwigger, HTB Academy, TryHackMe parcours guidés) intègrent les 4 ingrédients. Les labs mal utilisés (résolution avec walkthrough ouvert dans l'autre fenêtre) intègrent zéro. La différence terrain entre 6 mois de bonne pratique et 6 mois de mauvaise pratique est un facteur 5-10.

Le théorème du writeup différé

Règle opérationnelle qui distingue les bons des mauvais apprenants : après avoir résolu un challenge avec aide, attendre 7 à 14 jours puis refaire la machine sans aucune aide ni notes. Si tu ne réussis pas, tu n'as pas appris, tu as seulement reconnu. Ce protocole double minimum la rétention long terme (Roediger et Karpicke, 2006, Test-Enhanced Learning).

Plateforme par plateforme : top 25 labs 2026 par spé

Sélection basée sur 4 critères : qualité pédagogique, fraîcheur du contenu (mises à jour 2024-2026), communauté active, ratio prix-valeur. Tarifs vérifiés mai 2026.

Tableau comparatif global

Plateforme	Spé	Niveau d'entrée	Tarif mensuel 2026	Heures avant valeur	Communauté	ROI sur 6 mois
TryHackMe	Polyvalent	Débutant	0€ free / 14€ premium	5 heures	4 millions users	Excellent
HackTheBox	Pentest	Intermédiaire	0€ free / 15€ VIP	20 heures	3 millions users	Excellent post-6 mois
HTB Academy	Pentest structuré	Débutant à expert	8-490€ par module	10 heures	Modulaire	Excellent
PortSwigger Web Security Academy	Web/AppSec	Débutant	Gratuit	5 heures	Officielle Burp Suite	Inégalé pour le prix
Root-Me	Polyvalent FR	Débutant à avancé	0€ free / 5€ premium	5 heures	Communauté FR forte	Très bon
OverTheWire	Linux/scripting	Débutant complet	Gratuit	2 heures	Cult classic	Très bon fondamentaux
PicoCTF	CTF débutant	Débutant complet	Gratuit	5 heures	Carnegie Mellon	Excellent
pwn.college	Binary expl/CTF	Intermédiaire	Gratuit	30 heures	Arizona State Univ	Inégalé pour binary expl
AWS Skill Builder	Cloud sec	Intermédiaire	30$ par mois individuel	15 heures	Officielle AWS	Bon en formation cloud
CyberDefenders	Blue team	Intermédiaire	0€ free / 25$ premium	10 heures	DFIR-focused	Excellent blue team
Blue Team Labs Online	Blue team	Intermédiaire	0€ free / 20$ premium	10 heures	DFIR/SOC	Très bon blue team
LetsDefend	SOC L1/L2	Débutant SOC	0€ free / 19$ premium	8 heures	SOC simulation réaliste	Inégalé pour SOC
Lakera Gandalf	LLM Security	Débutant	Gratuit	2 heures	Édité par Lakera	Très bon prompt injection
Garak / PyRIT	LLM Security	Avancé	Gratuit (open-source)	30 heures	NVIDIA / Microsoft	Excellent LLM red team

Ce tableau 14 lignes ne couvre pas l'intégralité, détaillons par spé ci-dessous.

Spé 1 : fondamentaux Linux et réseau

Tout cyber sérieux maîtrise Linux et TCP/IP avant d'aborder une vulnérabilité. C'est la marche zéro. Les labs ci-dessous sont gratuits et représentent 80-150 heures de travail incompressibles.

OverTheWire (gratuit)

OverTheWire propose des wargames sur SSH où chaque niveau requiert d'extraire un mot de passe pour passer au suivant.

Bandit (niveau 0 à 34) : couvre Linux CLI, permissions, scripting bash, regex, tar, ssh. Plancher absolu : un débutant qui ne peut pas faire Bandit niveau 25 n'est pas prêt pour un bootcamp.
Leviathan (niveau 0 à 7) : binary exploitation light.
Krypton (niveau 0 à 6) : crypto classique (Caesar, Vigenère, RC4).
Natas (niveau 0 à 33) : web app security débutant.

Compter 30 heures pour Bandit complet si bonne base Linux, 60-80 heures si débutant total.

Linux Journey (gratuit)

Linux Journey, pas un lab à proprement parler mais formation Linux structurée gratuite avec quiz. Couvre command line, processus, files système, networking. 15 heures de parcours, prérequis utile avant Bandit.

TryHackMe parcours Pre-Security (free + premium)

TryHackMe Pre-Security, parcours gratuit qui couvre 5 modules : Cyber Security Introduction, Network Fundamentals, How the Web Works, Linux Fundamentals, Windows Fundamentals. 40-60 heures, idéal premier mois.

Spé 2 : web et AppSec, la spé la plus accessible en reconversion

Le web est la porte d'entrée numéro un en cyber pour les reconvertis : surface d'attaque énorme, demande marché forte, transition douce depuis dev web. Les labs sont excellents dans cette spé.

PortSwigger Web Security Academy (100% gratuit)

PortSwigger Web Security Academy est la référence absolue pour OWASP Top 10 web 2021. Édité par les créateurs de Burp Suite. Couverture exhaustive :

SQL injection (16 labs)
XSS (cross-site scripting, 30 labs)
CSRF (cross-site request forgery, 12 labs)
SSRF (server-side request forgery, 7 labs)
XXE (XML external entity, 9 labs)
Authentication, Access control, Business logic (50+ labs)
HTTP request smuggling (15 labs avancés)
Web LLM attacks (nouvelle catégorie 2024, prompt injection web)
GraphQL, WebSockets, OAuth, JWT (catégories spécialisées 2025)

Total 250+ labs gratuits, mises à jour trimestrielles. Tarif unbeatable : zéro. Compter 80-120 heures pour boucler les 50 labs essentiels (Apprentice + Practitioner level), 200 heures pour Expert level.

HTB Academy modules web (8-30€ par module)

HTB Academy propose des modules web structurés payants par cube ou bundle. Modules essentiels :

Module	Niveau	Cubes	Tarif équivalent	Pertinence
Web Requests	Fundamental	10	8€	Essentiel base HTTP
JavaScript Deobfuscation	Easy	100	35€	Excellent web débutant
SQL Injection Fundamentals	Easy	100	35€	Compagnon PortSwigger
Cross-Site Scripting (XSS)	Easy	100	35€	XSS exploit chains
Server-Side Attacks	Medium	250	90€	SSRF/SSTI/désérialisation
Web Attacks	Medium	200	70€	Logique métier avancée
File Upload Attacks	Easy	100	35€	Bypass upload restrictions

Bundle CWEE (Certified Web Exploitation Expert) : 60-80 modules, 2 800€, tracker une certification web reconnue 2025-2026.

bWAPP, DVWA, OWASP Juice Shop, WebGoat (tous gratuits)

Apps vulnérables auto-hébergées en Docker pour test offline :

DVWA (Damn Vulnerable Web Application), classique 2010+, OWASP Top 10 web ancien. Base pédagogique mais daté.
OWASP Juice Shop, Single Page Application (SPA) Angular vulnérable, gamifié (challenges progressifs). 100+ challenges, mises à jour 2024-2026 incluent OWASP Top 10 v2021.
WebGoat, projet OWASP, Java, parcours guidés.
bWAPP (buggy Web Application), 100+ vulns documentées web et mobile.

Setup type :

docker run --rm -ti -p 3000:3000 bkimminich/juice-shop
docker run -d -p 80:80 -p 3306:3306 vulnerables/web-dvwa
docker run -d -p 8080:8080 -p 9090:9090 webgoat/webgoat

Compter 40-80 heures pour Juice Shop niveaux 1-4, excellent CV portfolio quand tu publies tes writeups GitHub.

Spé 3 : pentest infrastructure et machines réalistes

Le pentest infra (Active Directory, post-exploitation, lateral movement) demande des machines réalistes, c'est-à-dire ressemblant à des environnements production réels. Plateformes principales :

HackTheBox machines (15€ par mois VIP)

HackTheBox propose 300+ machines actives + retired (VIP requis pour retired). Niveaux Easy / Medium / Hard / Insane. Machines emblématiques 2024-2026 : Active Directory chains (Forest, Sauna, Resolute, Active), Linux escalation (Lame, Bashed, Mirai), Web exploitation (Bashed, Late, Headless), Reverse engineering (Reg, Smasher).

Stratégie progression :

Starting Point (10 machines guidées, gratuit free tier), démarrage absolu.
Tier I machines (Easy, walkthroughs IppSec sur YouTube), 3-5 par mois.
Tier II machines (Medium), 2-3 par mois.
Active machines (sans walkthrough), challenge réel.

IppSec (youtube.com/IppSec) est la référence walkthroughs HTB, 700+ vidéos, indexable via ippsec.rocks. Stratégie écueil : IppSec à regarder après avoir tenté la machine 4-8 heures, jamais avant.

TryHackMe parcours Jr Penetration Tester (premium)

Jr Penetration Tester path, 8 modules, 40-60 heures, parcours guidé pour débuter le pentest. Couvre Network Pivoting, Active Directory Basics, Privilege Escalation Linux/Windows. Plus pédagogique que HTB raw machines, idéal mois 3-6 parcours reconversion.

Offensive Security Proving Grounds (19$ par mois Practice)

Proving Grounds Practice, labs édités par OffSec (créateurs OSCP), 200+ machines de niveau OSCP, retours commentés sur les machines (qualité haute, peu de fluff). 19$ par mois Practice ou 100$ par mois Play (machines récentes).

VulnHub (gratuit)

VulnHub, 700+ VMs téléchargeables, héberge offline. Communauté, qualité variable. Excellent pour recréer setup OSCP sur ton hyperviseur (VirtualBox/VMware). Machines essentielles : Kioptrix series 1-5, FristiLeaks, SickOS 1.1 et 1.2.

# Exemple téléchargement et lancement Kioptrix 1
wget https://download.vulnhub.com/kioptrix/Kioptrix_Level_1.rar
unrar x Kioptrix_Level_1.rar
# Importer dans VirtualBox, lancer en réseau Host-only avec Kali en parallèle

Spé 4 : DevSecOps et cloud security

Spé moins mature côté labs grand public. Trois angles : pipelines CI/CD vulnérables, cloud (AWS/Azure/GCP), Kubernetes security.

CloudGoat (gratuit, open-source)

CloudGoat, Rhino Security Labs édite ce framework Terraform qui déploie 16+ scénarios AWS vulnérables réels (IAM privilege escalation, EC2 SSRF to instance metadata, S3 enumeration, Lambda exploitation). Coût AWS réel : 5-15$ par scénario (pas la plateforme, juste les ressources AWS provisionnées).

git clone https://github.com/RhinoSecurityLabs/cloudgoat.git
cd cloudgoat
pip3 install -r ./core/python/requirements.txt
./cloudgoat.py config profile
./cloudgoat.py create iam_privesc_by_rollback

flAWS et flAWS2 (gratuit)

flaws.cloud et flaws2.cloud, labs gratuits hébergés pour comprendre les défauts AWS classiques (S3 buckets publics, IAM policies trop permissives, EC2 metadata service v1). Niveau pédagogique excellent débutant cloud.

AWS Skill Builder Cloud Security (30$ par mois individuel)

AWS Skill Builder, formation officielle AWS, 600+ cours dont parcours Security spécialisé. Inclut Jam labs (challenges réalistes 2-3 heures). Préparation à la certification AWS Security Specialty (300$, salaire bonus +5-10 k€).

KubeGoat (gratuit, open-source)

Kubernetes Goat, projet de Madhu Akula, environnement Kubernetes vulnérable avec 20+ scénarios (RBAC misconfig, container escape, supply chain attacks).

git clone https://github.com/madhuakula/kubernetes-goat.git
cd kubernetes-goat
bash setup-kubernetes-goat.sh
bash access-kubernetes-goat.sh

Pwn College (gratuit, Arizona State Univ)

pwn.college, Arizona State University, créé par Yan Shoshitaishvili. Couvre binary exploitation, kernel exploitation, web hacking, software security. Niveau qui plafonne très haut (CTF compétitif). Gratuit, qualité universitaire, 1 000+ heures de contenu si tu pousses jusqu'au end-game.

Spé 5 : LLM Security et IA red team

Spé émergente 2024-2026, peu de labs structurés. Marché en pénurie aiguë : un AI red teamer junior se place à 50-68 k€ en 2026 (vs 38-58 k€ pentester web junior). Toute compétence sérieuse acquise 2026 = avance compétitive 12-24 mois.

Lakera Gandalf (gratuit)

Gandalf de Lakera, challenge prompt injection ludique, 8 niveaux progressifs. Le LLM (Gandalf) garde un mot de passe, ton job est de l'extraire malgré les défenses. Niveaux 1-4 faciles, 5-7 retors, 8 quasi-impossible. 2-5 heures, point d'entrée idéal LLM Security.

HackAPrompt 2024 dataset (gratuit)

HackAPrompt, Schulhoff et al, paper Ignore This Title and HackAPrompt: Exposing Systemic Vulnerabilities of LLMs through a Global Prompt Hacking Competition (EMNLP 2023). Dataset de 600 000 prompts adversariels, gold standard pour comprendre les patterns d'injection.

DeepLearning.AI Red Teaming LLM Applications (gratuit)

Red Teaming LLM Applications, cours Andrew Ng et collaborateurs Anthropic, 1 heure 30 minutes vidéo + labs pratiques. Couvre prompt injection, jailbreak, data leakage. Excellent point d'entrée méthodologique gratuit.

Garak (gratuit, NVIDIA)

Garak, Generative AI Red-teaming and Assessment Kit, framework NVIDIA open-source pour scanner LLM contre 100+ probes adversariels (prompt injection, malware generation, toxicity, hallucination, encoding attacks).

pip install garak
garak --model_type openai --model_name gpt-4o-mini --probes encoding
garak --model_type huggingface --model_name meta-llama/Llama-2-7b-chat-hf --probes promptinject

PyRIT (gratuit, Microsoft)

PyRIT, Python Risk Identification Tool, framework Microsoft pour automatiser red teaming LLM. Plus orienté entreprise que Garak, intégrations Azure OpenAI / OpenAI / Anthropic.

pip install pyrit
# Voir notebooks officiels Microsoft pour scénarios attack

Promptfoo (gratuit, open-source)

Promptfoo, testing framework LLM, intègre security plugins (PII detection, prompt injection probes, jailbreak detection). Pertinent en CI/CD pipeline LLM apps.

Spé 6 : blue team, SOC, DFIR et threat hunting

Spé sous-estimée par les reconvertis (95% se ruent sur le pentest). Pourtant marché blue team 2026 : 2 fois plus d'offres que pentest, salaires comparables (38-58 k€ junior SOC, 60-90 k€ senior threat hunter).

LetsDefend (0$ free / 19$ par mois Pro)

LetsDefend.io, simulation SOC L1 et L2 réaliste. Tu reçois des alertes SIEM, tu dois investiguer, déterminer si vrai positif ou faux positif, escalader. Pédagogie excellente, simulation la plus proche d'un SOC réel que j'ai testée. 100+ scénarios, mises à jour mensuelles.

Blue Team Labs Online (0$ free / 20$ par mois Pro)

Blue Team Labs Online, challenges DFIR (Digital Forensics and Incident Response), threat hunting, malware analysis. Cas réels anonymisés. Excellent post-LetsDefend.

CyberDefenders (0$ free / 25$ par mois Pro)

CyberDefenders, 200+ challenges blue team gratuits + 100+ premium. Forensics disk image, memory analysis, network forensics PCAP, log analysis. Référence DFIR débutant à intermédiaire.

Splunk Boss of the SOC (gratuit avec Splunk free)

Boss of the SOC v3, dataset Splunk avec scénarios d'investigation SOC réalistes. Gratuit, demande Splunk Enterprise free tier (500 MB par jour ingest).

TryHackMe SOC Level 1 path (premium)

SOC Level 1 path, parcours guidé 8 modules (40-60 heures) couvrant SIEM, threat intel, IDS, DFIR. Excellent compagnon LetsDefend.

Volatility 3 + memory dumps gratuits (open-source)

Volatility 3, framework de forensics mémoire référence. Combiné avec dumps mémoire gratuits (volatility-foundation samples) : excellent pour s'entraîner offline.

pip install volatility3
vol -f memory.dmp windows.pslist
vol -f memory.dmp windows.cmdline
vol -f memory.dmp windows.malfind

Spé 7 : CTF compétitifs et plateformes communautaires

Les CTF (Capture The Flag) compétitifs structurent les meilleurs hackers du monde. À aborder après 6 mois de pratique solide labs guidés.

PicoCTF (gratuit, Carnegie Mellon)

PicoCTF, édité par Carnegie Mellon University (CMU), CTF annuel mars (édition 2026 14-25 mars), challenges accessibles toute l'année post-event. Niveaux scolaire à intermédiaire. Gratuit, qualité universitaire CMU, point d'entrée numéro un CTF.

Root-Me (0€ free / 5€ par mois premium)

Root-Me.org, plateforme française historique, 500+ challenges classés en App-Web, App-Système, Cracking, Cryptanalyse, Forensics, Programmation, Réseau, Réaliste, Stéganographie. Communauté FR très forte. Tarif 5€ par mois imbattable.

CTFlearn (0$ free / 30$ par an Gold)

CTFlearn, plateforme communautaire challenges permanents, niveaux Easy/Medium/Hard. 600+ challenges actifs. Interface simple, idéal mobile.

CTFTime.org (gratuit, agrégateur)

CTFTime.org, agrégateur des CTF mondiaux, calendrier événements, rankings équipes/individuels. Référence à scruter mensuellement pour participer aux CTF les mieux notés.

247CTF (0$ free / 14$ par mois Pro)

247CTF.com, 100+ challenges permanents, plateforme jeune et bien conçue. Pertinent niveau intermédiaire.

CTF compétitifs 2026 à viser

CTF	Quand	Niveau	Format	Pertinence
PicoCTF 2026	Mars 14-25	Débutant	Jeopardy	Excellent point d'entrée
Google CTF	Juin annuel	Avancé	Jeopardy	Réputation forte
DEF CON CTF qualifiers	Mai-juin annuel	Expert	Jeopardy puis A-D	Le plus prestigieux mondial
FCSC France Cybersecurity Challenge	Avril-mai annuel	Tous niveaux	Jeopardy	ANSSI, recruteurs FR
ECSC qualifs nationales (ICC)	Avril-mai annuel	Avancé jeunes	Jeopardy puis A-D	Compétition européenne
HackTheBox Battlegrounds	Permanent	Intermédiaire	A-D	Bon entraînement

Stack outillage à monter chez toi en parallèle des labs

Au-delà des plateformes, ton lab personnel est ton terrain de jeu permanent. Setup minimal recommandé reconversion 2026 :

Élément	Spec recommandée	Coût 2026	Pertinence
Laptop	16-32 GB RAM, SSD 512+ GB	1 000-2 500€	Investissement obligatoire
Hyperviseur	VirtualBox (gratuit) ou VMware Workstation Pro	0-260€ par an	VirtualBox suffit
Kali Linux VM	dernière release (2026.1)	Gratuit	Distrib pentest référence
Parrot Security ou ThreatLink VM	Alternative à Kali	Gratuit	Optionnel
Windows 10/11 VM	Pour AD labs et privesc Windows	Licence Eval gratuit 90 jours	Refresh tous 90 jours
Docker Desktop	Containers labs	Gratuit personnel	Indispensable
Burp Suite Community	Web pentest	Gratuit	Pro à 449$ par an utile post-bootcamp
VS Code + extensions	IDE	Gratuit	Standard 2026
Obsidian ou Notion	Note-taking writeups	Gratuit	Pour mémoire long terme
GitHub Pro	Portfolio writeups	4$ par mois	Visibilité recruteur

# Setup hyperviseur recommandé reconversion 2026
# 1. VirtualBox 7.x : https://www.virtualbox.org/
# 2. Kali Linux VM préfaite : https://www.kali.org/get-kali/#kali-virtual-machines
# 3. Configuration recommandée : 4 vCPU, 8 GB RAM, 80 GB SSD
# 4. Réseau : NAT pour internet, Host-only pour labs internes
# 5. Snapshots avant chaque lab (rollback si corruption)

Roadmap utilisation labs sur 12 mois pré-bootcamp ou auto-formation

Plan structuré pour un candidat reconversion type (15 heures par semaine, soit 60 heures par mois). Total 12 mois = 720 heures pratique labs cumulées.

Mois 1-2 : fondamentaux Linux, réseau, web débutant (120 heures)

Linux Journey complet (15 heures)
OverTheWire Bandit niveau 0 à 25 (40 heures)
TryHackMe Pre-Security path (40 heures)
TryHackMe Cyber Security 101 (25 heures)

Outil principal : TryHackMe premium 14€ par mois.

Mois 3-4 : web et AppSec OWASP Top 10 (120 heures)

PortSwigger Web Security Academy Apprentice + Practitioner (80 heures)
TryHackMe parcours Web Fundamentals + Burp Suite (20 heures)
OWASP Juice Shop niveaux 1-3 (20 heures)

Outil principal : PortSwigger gratuit + TryHackMe premium 14€ par mois.

Mois 5-7 : pentest infrastructure et machines (180 heures)

HackTheBox Starting Point + 20 machines Easy (80 heures)
TryHackMe Jr Penetration Tester path (60 heures)
Root-Me catégories Web + Cracking (40 heures)

Outils principaux : TryHackMe + HackTheBox VIP (29€ par mois cumulés).

Mois 8-9 : spé au choix (120 heures)

Selon objectif :

Cloud DevSecOps : CloudGoat 5 scénarios + AWS Skill Builder Security path + KubeGoat (120 heures, 30-50€ AWS)
LLM Security : Gandalf + DeepLearning.AI red teaming + Garak/PyRIT setup + papers OWASP LLM Top 10 (80-100 heures, gratuit)
Blue team SOC : LetsDefend Pro + CyberDefenders + Splunk BOTS v3 (100-120 heures, 19$ par mois)
Pentest avancé : OffSec Proving Grounds + 30 machines HTB Medium + writeups (120 heures, 19$ par mois)

Mois 10-12 : CTF compétitifs + portfolio (180 heures)

PicoCTF édition 2026 (mars, 30-40 heures)
1-2 CTF compétitifs (FCSC France, HTB Cyber Apocalypse) (40-60 heures)
Writeups GitHub publiés sur 15-20 machines (60-80 heures)
LinkedIn portfolio + CV optimisé recruteur (40 heures)

À 720 heures cumulées labs, candidat solide pour bootcamp DevSecOps ou pentest, candidatures spontanées dev → sec en interne possibles.

Erreurs fréquentes et anti-patterns d'utilisation labs

Erreur	Symptôme	Fix opérationnel
Sauter les fondamentaux	Bloque sur `chmod`, ne comprend pas ARP, ne lit pas un fichier `.bash_history`	Reprendre Bandit niveau 0 à 20, Linux Journey, jusqu'à fluence ligne de commande
Lire les writeups trop tôt	0 rétention long terme, dépendance solution externe	Règle 2 heures minimum effort autonome, hint partiel seulement, jamais walkthrough complet
Pas de notes ni writeups personnels	Refait la même erreur 3 mois plus tard	Obsidian/Notion + 1 note par machine résolue (commandes utilisées, pièges, leçons)
Sauter OverTheWire vers HackTheBox	Frustration, abandon mois 2	Passer 30-50 heures Bandit avant toute autre plateforme
Tout faire en gratuit et lent	18 mois préparation au lieu de 6	Investir 30-60€ par mois 6 mois (180-360€ total) plutôt que perdre 12 mois
Pas de Discord ni communauté	Bloque seul, motivation chute	Rejoindre Discord TryHackMe + HackTheBox + serveur FR Root-Me, demander aide
Pas de portfolio GitHub	Recruteur ne peut pas vérifier compétence	Publier 15-20 writeups détaillés (sans flag/solution sensible si machine active)
Trop d'outils, pas assez d'approfondissement	Surface knowledge sans expertise	Choisir 3-4 plateformes max, devenir bon, étendre après

Tarification optimisée labs sur 12 mois reconversion

Stratégie budget calibrée pour un candidat reconversion qui doit optimiser dépense formation pré-bootcamp.

Mois	Plateforme prioritaire	Tarif mensuel	Cumulé
Mois 1-2	TryHackMe Premium	14€	28€
Mois 3-4	PortSwigger gratuit + TryHackMe	14€	56€
Mois 5-7	TryHackMe + HackTheBox VIP	29€	143€
Mois 8-9	HackTheBox + spé (LetsDefend Pro 19$ ou OffSec PG 19$)	35-40€	213-223€
Mois 10-12	HackTheBox + CTF gratuits + GitHub Pro 4$	19€	270-280€

Budget total 12 mois optimisé : 270-300€. Vs salaire post-formation 38-68 k€ par an : ratio 1 pour 130 à 250. Toute économie sous 200€ sur 12 mois est une fausse économie absolue.

Pour aller plus loin

Meilleurs livres cybersécurité 2026, complément lecture aux labs, bibliographie ordonnée par spé.
Bootcamp cybersécurité guide 2026, choix bootcamp post-labs, comparatif top 3.
Formation cybersécurité guide 2026, panorama 7 formats formation cyber.
Exemple roadmap élève bootcamp Zeroday, itinéraire détaillé Sophie L. cohorte 2025.
Labs pratiques bootcamp Zeroday, comment Zeroday utilise les labs en bootcamp.
Candidature bootcamp cyber 2026, comment valoriser tes labs dans ton dossier candidature.
Bootcamp cyber pour reconversion 2026, chemins reconversion spécifiques par profil.

Points clés à retenir

La cybersécurité est une compétence procédurale : 100-300 heures labs minimum avant un bootcamp pour un candidat reconversion sérieux.
TryHackMe pour démarrer (0-6 mois XP, 14€ par mois premium), HackTheBox pour progresser (post 6 mois, 15€ par mois VIP). Faux dilemme : un cyber sérieux a accès aux deux après 6 mois (29€ par mois cumulés).
PortSwigger Web Security Academy est la référence absolue OWASP Top 10 web 2021 et 100% gratuit, 250 plus de labs, mises à jour trimestrielles, nouvelle catégorie Web LLM Attacks 2024.
OverTheWire Bandit niveau 0 à 25 = plancher minimum Linux, ~40 heures. Sauter cette étape garantit la frustration mois 2.
HTB Academy propose des modules structurés payants (8-30€ par module) et la certification CWEE (Certified Web Exploitation Expert) reconnue 2025-2026.
OWASP LLM Top 10 v2.0 octobre 2024 définit 10 catégories LLM Security. Stack labs : Gandalf (gratuit), Garak NVIDIA (gratuit), PyRIT Microsoft (gratuit), DeepLearning.AI cours gratuit Andrew Ng et Anthropic.
Blue team labs sous-estimés : LetsDefend (19$ par mois), CyberDefenders (gratuit + 25$), Blue Team Labs Online. Marché blue team 2 fois plus d'offres que pentest 2026.
CloudGoat déploie 16+ scénarios AWS vulnérables réels via Terraform. Coût AWS 5-15$ par scénario.
Pwn College Arizona State University : 1 000 plus heures contenu binary exploitation gratuit niveau universitaire.
Plage soutenable longue durée : 2 à 3 heures par jour, 5 à 6 jours par semaine. Au-delà de 4 heures par jour : burn-out garanti à 3-4 mois (Ericsson 1993, 2016).
Théorème du writeup différé : refaire la machine 7-14 jours après résolution sans aide, sinon tu n'as pas appris (Roediger et Karpicke, 2006).
Budget optimal labs reconversion 12 mois : 270-300€ total (TryHackMe + HackTheBox + spé). Fausse économie sous 200€ sur 12 mois.
CTF compétitifs après 6 mois solides : PicoCTF mars 2026, FCSC France ANSSI, Google CTF juin, DEF CON CTF qualifs. CTFTime.org agrège les rankings.
Lab perso Docker + VirtualBox + Kali + Windows VM : indispensable. Laptop 16-32 GB RAM SSD 512 GB minimum (1 000-2 500€), pas en dessous.
Anti-pattern critique : la course aux points (top 100 HTB) avant 18 mois pratique = surface knowledge sans expertise. Recruteurs valident en entretien technique, pas en regardant rang plateforme.

FILES_CREATED: content/ressources/reconversion/meilleurs-labs-cybersecurite-2026.md, public/images/ressources/reconversion/meilleurs-labs-cybersecurite-2026-cover.webp

Questions fréquentes

Combien d'heures de labs faut-il avant un bootcamp cyber ?
Plancher minimum pour un candidat reconversion : 100-150 heures de labs avant l'entrée bootcamp, idéalement 200-300 heures pour les profils non-IT. Répartition recommandée : 40 heures PortSwigger Web Security Academy (gratuit, niveau OWASP Top 10), 40 heures TryHackMe parcours Pre-Security + Cyber Security 101 (15-20€ par mois si premium), 30 heures Root-Me catégories Web Server + Cracking + Programmation, 30 heures HackTheBox Starting Point + Tier I machines (15€ par mois VIP). Au-delà de 300 heures avant bootcamp tu rentres dans la zone de rendements décroissants : tu apprendras plus vite avec coach senior et roadmap structurée qu'en solo. Calibre ton effort sur 3-4 mois préparation, pas 12 mois.
TryHackMe ou HackTheBox pour commencer ?
TryHackMe pour démarrer (0 à 6 mois XP). Pédagogie pas-à-pas, parcours guidés (Pre-Security, Jr Penetration Tester, SOC Level 1), coût 14€ par mois en premium ou gratuit limité. HackTheBox pour progresser (6 mois et plus). Machines réalistes proches des CTF compétitifs, communauté plus mature, modules HTB Academy structurés (CPTS, CDSA, CWEE). Tarif 15€ par mois VIP machines retired ou 20€ par mois HTB Academy module unlock. Anti-pattern fréquent : sauter directement HTB en débutant, frustrer 80% des challenges, abandonner. Faux dilemme par ailleurs : un cyber sérieux a accès aux deux après 6 mois (29€ par mois cumulés, ROI évident vs salaire cible 38-58 k€).
Les labs gratuits suffisent-ils ou faut-il payer ?
Gratuit suffit pour les fondamentaux web/réseau (PortSwigger Web Security Academy 100% gratuit, OverTheWire Bandit, PicoCTF, Root-Me freemium, HTB Starting Point). Au-delà de 6 mois progression sérieuse : payer devient plus rentable que gratuit. Calcul économique : un mois TryHackMe premium à 14€ donne accès à 700 plus de rooms vs 50 free, économise 50-100 heures de recherche d'alternatives gratuites. Sur 6 mois préparation tu paies 80-150€ pour gagner 200-400 heures effectives. Vs salaire post-formation 3 200-4 800€ par mois net : ratio ridicule. Anti-pattern budget rigide : refuser de payer 15€ par mois en formation pré-bootcamp est une fausse économie.
Quel lab pour LLM Security et IA red team en 2026 ?
Marché immature en 2026, peu de labs structurés grand public. Stack recommandée : DeepLearning.AI Red Teaming LLM Applications cours gratuit Andrew Ng et Anthropic, Gandalf Lakera prompt injection challenge gratuit (8 niveaux progressifs), HackAPrompt 2024 dataset Schulhoff et al, Garak NVIDIA framework de scan offline (open-source), PyRIT Microsoft framework adversariel (open-source). En labs payants : Lakera AI Red Team Lab Pro à 50-100$ par mois, Microsoft AI Red Team Toolkit accessible via Azure crédits. Pour un audit LLM réel : monter ton propre lab avec Ollama + LangChain v0.3 + RAG vulnerable apps OWASP Vulnerable LLM. Compter 50-80 heures avant d'être à l'aise sur OWASP LLM Top 10 v2.0 octobre 2024.
Combien d'heures par jour de labs sans s'épuiser ?
Plage soutenable longue durée : 2-3 heures par jour, 5-6 jours par semaine, soit 12-18 heures par semaine. Au-delà de 4 heures par jour : burn-out garanti à 3-4 mois. Recherche en cognitive load (Sweller 1988, mise à jour Kalyuga 2007) montre que la pratique délibérée plafonne à 4 heures par jour pour les tâches cognitives complexes (Ericsson 1993, 2016). Découpage optimal : 1 heure le matin avant travail (cerveau frais, focus single-task), 1-2 heures le soir (révisions + writeups). Anti-pattern weekend warrior : 8 heures le samedi suivi de 0 heure semaine = perte massive de rétention par espacement défaillant. Préfère étalement régulier au crash sprint.
Faut-il faire des CTF compétitifs en plus des labs ?
Oui après 6 mois pratique solide. Avant : tu te frustres et tu abandonnes. CTF recommandés 2026 par niveau : débutant PicoCTF (annuel mars, gratuit, niveau scolaire excellent), 247CTF.com (challenges permanents, accessibilité), CTFlearn (entrée plate-forme). Intermédiaire : HackTheBox Battlegrounds, OverTheWire War Games, Root-Me niveaux haut. Compétitif : DEF CON CTF qualifs, Google CTF, FCSC France Cybersecurity Challenge ANSSI annuel, ICC ECSC qualifs nationales. Bénéfices concrets : pression temps simulée, exposition à exploitations enchaînées multi-vuln, networking communauté (recruteurs scrutent CTFTime.org rankings), portfolio démontrable au recruteur. Compte 8-15 heures par CTF intermédiaire.

Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

Questions fréquentes

Naim Aouaichia

À lire également

Meilleurs livres cybersécurité 2026 : 30 références par spé

Bootcamp cybersécurité 2026 : guide complet (choix, prix, ROI)

Formation cybersécurité 2026 : guide complet (types, prix, choix)

Exemple roadmap élève bootcamp Zeroday : 26 semaines détaillées

Labs pratiques bootcamp Zeroday : comment ils fonctionnent

Candidature bootcamp cyber 2026 : 7 étapes + dossier gagnant