Un technicien support IT qui veut basculer en cybersécurité dispose de cinq trajectoires qui valorisent directement son socle systèmes et réseau : SOC Analyst L1 (6-10 mois, la voie la plus directe), IAM (Identity and Access Management, pour spécialistes Active Directory), endpoint security (experts parc Windows / macOS), sysadmin security (administrateurs serveurs qui durcissent l'infrastructure), network security (profils réseau orientés segmentation et pare-feu). Les salaires juniors atteignent 32 à 52 k€ bruts annuels dès le premier poste, souvent à rémunération équivalente ou légèrement supérieure à l'ancien poste support, avec une trajectoire L2 à 18-24 mois portant à 42-55 k€. Cet article détaille chaque métier, les compétences spécifiques à ajouter au socle support, les certifications pertinentes et la stratégie d'accélération interne qui reste la plus efficace pour ce profil.
1. Les cinq métiers cyber qui valorisent un background support IT
| Métier | Durée bascule | Salaire junior (FR, brut) | Prérequis support |
|---|---|---|---|
| SOC Analyst L1 | 6-10 mois | 32-42 k€ (province) / 38-48 k€ (IDF) | Linux, Windows, réseau, ticketing |
| IAM junior | 6-10 mois | 35-45 k€ / 40-50 k€ | Active Directory, Azure AD / Entra ID, MFA |
| Endpoint Security | 9-12 mois | 35-45 k€ / 40-52 k€ | Gestion parc Windows / macOS, antivirus / EDR |
| Sysadmin Security | 9-15 mois | 40-52 k€ / 45-58 k€ | Linux serveur, Bash, hardening OS |
| Network Security | 12-18 mois | 38-50 k€ / 42-55 k€ | TCP/IP, VLAN, pare-feu, VPN |
Fourchettes issues des panels Apec Cadres Cybersécurité 2023-2024, grilles Numeum et observatoires salariaux LinkedIn France. Pour le profilage plus large des profils d'entrée en cyber, voir Entrer en cybersécurité en partant de zéro.
Ces cinq trajectoires s'inscrivent majoritairement côté blue team (défensif) — contrairement aux trajectoires d'un développeur qui penchent vers l'AppSec et l'offensif. C'est une force pour le marché français, où les postes défensifs dominent largement les postes offensifs en volume d'offres (ratio typique 4:1 selon les panels Apec).
2. SOC : la trajectoire la plus directe
Le SOC L1 (analyste premier niveau) est la bascule la plus naturelle d'un technicien support N2. Le poste consiste à trier les alertes d'un SIEM (Security Information and Event Management), investiguer les incidents de premier niveau, documenter et escalader vers le L2 si besoin d'approfondissement.
Ce que le support IT maîtrise déjà
- Systèmes d'exploitation Linux et Windows au niveau opérationnel quotidien.
- Diagnostic d'incident : hypothèse, test, validation, communication.
- Lecture basique de logs applicatifs et système.
- Ticketing structuré (ServiceNow, GLPI, Jira Service Management).
- Communication utilisateur et escalade hiérarchique.
Ce qu'il faut ajouter
- SIEM : maîtriser au moins un outil (Splunk, Microsoft Sentinel, Elastic Security, Chronicle, Wazuh) — requêtes, dashboards, corrélations de base.
- EDR (Endpoint Detection and Response) : CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Cortex XDR.
- MITRE ATT&CK : la cartographie des techniques adversariales, référentiel quasi obligatoire côté blue team.
- Détection engineering : écriture de règles Sigma (format standard cross-SIEM) et YARA (pattern matching binaires).
- Forensique basique : chain of custody, artefacts Windows (Event Logs, Prefetch, MFT), artefacts Linux (auditd, syslog, timeline).
Exemple concret de règle Sigma qu'un SOC L1 en montée vers L2 doit savoir lire et adapter au contexte client :
# Regle Sigma : detection d'un kerberoasting via demande TGS RC4.
# Technique offensive classique pour extraire les hash des comptes de service
# et les casser offline. MITRE ATT&CK T1558.003.
title: Kerberoasting Activity - TGS Request with RC4 Encryption
id: 7e23f234-4e96-4128-9f23-b0e3c4a4a1b2
status: experimental
description: |
Detecte une demande TGS Kerberos avec chiffrement RC4_HMAC,
signal de kerberoasting si combinee avec une enumeration de SPN.
references:
- https://attack.mitre.org/techniques/T1558/003/
- https://www.trustedsec.com/blog/art-of-the-detection-kerberoasting/
author: soc-junior-reconversion
date: 2026/04/23
logsource:
product: windows
service: security
detection:
selection_tgs:
EventID: 4769
TicketOptions: "0x40810000"
TicketEncryptionType: "0x17" # RC4_HMAC
filter_trusted_accounts:
TargetUserName|startswith:
- "krbtgt"
- "HealthMailbox"
condition: selection_tgs and not filter_trusted_accounts
falsepositives:
- Applications legacy necessitant encore RC4 (a documenter par ticket)
level: high
tags:
- attack.credential_access
- attack.t1558.003La capacité à lire, adapter et maintenir ce type de règle est exactement ce qui différencie un SOC L1 qui progressera vers L2 d'un SOC L1 qui stagnera.
Certifications pertinentes SOC
- CompTIA Security+ (≈ 400 €) : jalon standard, reconnu par les services RH.
- CompTIA CySA+ (≈ 420 €) : spécialisée blue team / SOC.
- Microsoft SC-200 (Security Operations Analyst) : pertinente si contexte Microsoft / Sentinel.
- GIAC GCIA (Intrusion Analyst) à moyen terme, 18-24 mois post-bascule.
- GIAC GCIH (Incident Handler) pour la trajectoire L2 → L3.
3. Les quatre autres trajectoires pour un profil support
IAM (Identity and Access Management)
Profil cible : technicien ou administrateur Active Directory confirmé, exposition MFA, SSO, provisioning utilisateur.
Sujets à maîtriser : Active Directory avec tiered admin model, Azure AD / Entra ID, conditional access, PIM (Privileged Identity Management), MFA et passkeys FIDO2, identity governance (SailPoint, Saviynt, Microsoft Entra Governance), lifecycle joiners-movers-leavers.
Certifications marché : Microsoft SC-300 (Identity and Access Administrator), puis CISSP ou CISM à moyen terme pour les postes plus seniors.
Endpoint Security
Profil cible : gestionnaire de parc Windows ou macOS, expérience antivirus / EDR, patch management.
Sujets : EDR (Defender for Endpoint, CrowdStrike Falcon, SentinelOne, Cortex XDR), hardening Windows via GPO, AppLocker, Defender Application Control, hardening macOS via profils MDM, patch management à grande échelle, device compliance (Intune, Jamf), incident response endpoint (isolation, collecte d'artefacts).
Certifications : Microsoft SC-200, certifications produits (CrowdStrike Certified Falcon Administrator, SentinelOne admin), GCFA (GIAC Certified Forensic Analyst) à moyen terme.
Sysadmin Security / Infrastructure Security
Profil cible : administrateur système Linux ou Windows Server avec 2+ ans d'expérience.
Sujets : hardening Linux (CIS Benchmarks, AppArmor, SELinux), hardening Windows Server (DISA STIG, secure baselines), logging avancé (auditd, Sysmon), gestion secrets en prod (HashiCorp Vault, Azure Key Vault), immutable infrastructure, backups immuables anti-ransomware, segmentation.
Certifications : GCUX (GIAC Unix Security Administrator), RHCA Security, MCSA / MCSE orientés Windows Server security.
Network Security
Profil cible : technicien réseau avec exposition pare-feu, VPN, VLAN.
Sujets : firewalls next-generation (Palo Alto, Fortinet FortiGate, Cisco Firepower), VPN IPsec et SSL VPN, NAC (Network Access Control), segmentation (VLAN classique, microsegmentation type Illumio ou Cisco ACI), NDR (Network Detection and Response : Darktrace, Vectra, Corelight, Arkime).
Certifications : Palo Alto PCNSE, Fortinet NSE 4 puis NSE 7, Cisco CCNP Security, GCIA (Intrusion Analyst).
4. Ce qu'il faut ajouter au socle support pour basculer
Compétences à acquérir au-delà du bagage support, classées par ordre de priorité et d'urgence pour une bascule SOC L1 :
| Compétence à ajouter | Durée d'acquisition | Ressource principale |
|---|---|---|
| MITRE ATT&CK framework | 1-2 semaines | attack.mitre.org, training gratuit officiel |
| Un SIEM maîtrisé (Splunk / Sentinel / ELK) | 4-8 semaines | Splunk Fundamentals (gratuit), Microsoft Learn SC-200, TryHackMe SOC Level 1 |
| Détection engineering (Sigma, YARA) | 3-4 semaines | sigmahq.io, règles open-source, Sigma Converter |
| EDR (Defender, Falcon, SentinelOne) | 2-4 semaines | Labs vendor, Microsoft Learn, essais gratuits |
| Python intermédiaire | 2-3 mois | docs.python.org, scripts d'automation personnels |
| CompTIA Security+ | 2-4 mois | Professor Messer (gratuit), Sybex Study Guide, QCM CompTIA |
Python intermédiaire est l'investissement au meilleur retour sur effort pour un profil support. Il débloque l'accès aux postes SOC L2, DevSecOps et security engineering à moyen terme. Pour le détail du socle technique complet, voir Quelles bases techniques avant de se lancer en cybersécurité ?.
5. Stratégie d'accélération : la bascule interne reste la voie royale
Comme pour les développeurs, la bascule interne est la trajectoire la plus rapide et la moins risquée. Elle est souvent encore plus accessible pour un profil support, parce que la valeur transverse est immédiate pour l'équipe sécurité : connaissance du parc, de l'Active Directory, du ticketing et des processus métier.
Méthode à appliquer
- Identifier le RSSI ou le responsable SOC de l'entreprise et demander un entretien de 30 minutes, pas un entretien RH formel.
- Proposer des livrables concrets avant de demander un poste : enquête sur les 20 derniers incidents support pour en classifier 3-5 comme relevant potentiellement de la sécurité, écriture d'une première règle Sigma pertinente pour le contexte, rapport d'audit light d'une configuration AD sensible.
- Basculer progressivement : négocier 20-30 % du temps sur des tâches sécurité pendant 3-6 mois (tri d'alertes, documentation de runbooks SOC, support de projet EDR), puis évaluer la bascule complète avec le RSSI.
Quand la bascule interne n'est pas possible
- PME sans équipe sécurité structurée, ni RSSI, ni budget dédié.
- Parc entièrement externalisé avec le périmètre sécurité chez l'infogéreur.
- Management hostile ou indifférent à l'évolution de profil.
- Taille d'entreprise trop petite (moins de 50 personnes sans obligation réglementaire).
Dans ces cas, un bootcamp blue-team-oriented (6-9 mois) devient la bonne option. Les critères de sélection sont détaillés dans Bootcamp cybersécurité : pour qui, pour quoi, comment le choisir.
6. Trajectoire salariale sur 5 ans
| Métier | Junior (0-2 ans cyber) | +2 ans | +5 ans |
|---|---|---|---|
| SOC L1 → L2 → L3 | 35-45 k€ | 45-55 k€ (L2) | 60-80 k€ (L3 / architecte) |
| IAM junior → senior | 38-48 k€ | 48-58 k€ | 65-85 k€ |
| Endpoint Security | 38-48 k€ | 48-60 k€ | 65-80 k€ |
| Sysadmin Security | 42-55 k€ | 55-70 k€ | 75-95 k€ |
| Network Security | 40-52 k€ | 52-68 k€ | 70-90 k€ |
Fourchettes indicatives Apec et Numeum 2023-2024. Les différentiels entre métiers s'accentuent après 5 ans d'expérience cyber : un sysadmin security senior ou un architecte SOC atteint des niveaux de rémunération proches d'un développeur senior en AppSec.
Points clés à retenir
- Cinq trajectoires qui valorisent le socle support : SOC L1 (la plus directe), IAM, endpoint security, sysadmin security, network security.
- SOC L1 accessible en 6-10 mois pour un support N2 expérimenté. Bascule interne = 6 mois avec risque minimal.
- Certifications clés : CompTIA Security+ puis CySA+ ou SC-200 selon orientation. GIAC à moyen terme.
- Python intermédiaire = meilleur ROI compétence à ajouter pour débloquer SOC L2, DevSecOps et security engineering.
- Salaires juniors : 32-52 k€ selon métier. Progression +5 ans : 60-95 k€ selon spécialisation.
- Ne pas stagner en SOC L1 plus de 3 ans : plan de progression à construire dès le 6e mois post-bascule.
Pour un cadrage global de la reconversion, voir le guide reconversion pillar. Pour les développeurs qui cherchent leur propre trajectoire, voir Quel métier cyber viser quand on vient du développement ?. Pour l'étape par étape d'une transition structurée, voir Les vraies étapes d'une reconversion en cybersécurité. L'accompagnement cyber 6 mois inclut un cadrage spécifique pour les profils support : focus blue team (SIEM, SOC, détection engineering), validation du projet avec CEP et préparation certification CompTIA Security+ intégrée.
