Un profil système et réseau qui veut basculer en cybersécurité dispose de cinq trajectoires qui capitalisent fortement sur son expertise infrastructure : Infrastructure Security (4-9 mois, la voie directe pour l'admin sys), Network Security (6-12 mois, pour l'ingénieur réseau), SOC L2 / L3 et threat hunting (9-15 mois, pivot blue team avancé), DFIR (Digital Forensics and Incident Response, 12-18 mois), Red Team / Pentest Infrastructure (12-18 mois, pour les profils Active Directory confirmés). Les salaires juniors atteignent 40 à 58 k€ bruts annuels dès le premier poste, au-dessus des fourchettes support IT et au niveau des fourchettes dev. À 5 ans d'expérience cyber, les profils sys/réseau atteignent 70-95 k€, parmi les plus hautes fourchettes post-reconversion. Cet article détaille chaque trajectoire, les compétences à ajouter, les certifications pertinentes, et pourquoi le profil sys/réseau est paradoxalement le mieux positionné sur les postes techniques avancés.
1. Les cinq métiers cyber qui valorisent un background sys/réseau
| Métier | Durée bascule | Salaire junior (FR, brut) | Prérequis sys/réseau |
|---|---|---|---|
| Infrastructure Security / Sysadmin Security | 4-9 mois | 45-58 k€ (province) / 50-65 k€ (IDF) | Linux server, Windows Server, scripting, AD |
| Network Security | 6-12 mois | 40-52 k€ / 45-58 k€ | TCP/IP, routage, VLAN, firewall, VPN |
| SOC L2 / L3 ou Threat Hunter | 9-15 mois | 48-60 k€ / 55-70 k€ | Troubleshooting, logs, réseau, services |
| DFIR (Digital Forensics and Incident Response) | 12-18 mois | 50-65 k€ / 55-75 k€ | Filesystems, mémoire, réseau, timeline |
| Red Team / Pentest Infrastructure | 12-18 mois | 45-58 k€ / 50-65 k€ | Active Directory, Linux avancé, scripting |
Fourchettes indicatives Apec Cadres Cybersécurité 2023-2024, Numeum et observatoires salariaux LinkedIn France. Pour le profilage d'entrée global, voir Entrer en cybersécurité en partant de zéro.
Ces cinq trajectoires se concentrent majoritairement sur les postes techniques avancés — par opposition aux profils dev qui dominent l'AppSec (voir Quel métier cyber viser quand on vient du développement ?) et aux profils support IT qui dominent les entrées SOC L1 et IAM (voir Quel métier cyber viser quand on vient du support IT ?). Le profil sys/réseau est structurellement avantagé sur tout ce qui touche à l'infrastructure, au post-exploitation et au forensique.
2. Les deux trajectoires cœur : Infrastructure Security et Network Security
Infrastructure Security : la voie la plus directe pour l'admin sys
L'Infrastructure Security est la bascule la plus rapide pour un administrateur système. Le poste consiste à durcir l'infrastructure, concevoir des baselines sécurisées, auditer les configurations, intégrer la sécurité dans les pipelines d'infrastructure-as-code.
Ce que l'admin sys maîtrise déjà
- Linux server : distributions, paquets, services systemd, cron, logs, utilisateurs.
- Windows Server : Active Directory, GPO, services, Event Viewer, PowerShell.
- Scripting : Bash, PowerShell, souvent Python ou Ansible.
- Gestion de parc : inventaire, patch management, sauvegardes.
- Troubleshooting : diagnostic méthodique, reproduction, tests.
Ce qu'il faut ajouter
- Baselines durcies standardisées : CIS Benchmarks Linux et Windows, DISA STIG, ANSSI recommandations d'hygiène SI.
- Tooling sécurité : Lynis, OpenSCAP, Wazuh agents, osquery pour visibilité temps réel.
- Détection côté host : auditd (Linux), Sysmon (Windows), règles de détection.
- Gestion secrets à l'échelle : HashiCorp Vault, Azure Key Vault, AWS Secrets Manager.
- Mindset offensif : MITRE ATT&CK, OWASP Top 10, scénarios de post-exploitation.
Exemple concret de pivot sysadmin vers cyber : un script PowerShell qui audite l'Active Directory pour identifier les cibles kerberoastables et AS-REP roastables, exactement le type de livrable qui démarque un admin sys en cours de bascule :
# Audit AD simple : comptes kerberoastables, AS-REP roastables,
# et comptes prives avec mot de passe ancien.
# Necessite RSAT ActiveDirectory ou PowerShell 7 avec module AD.
Import-Module ActiveDirectory
# 1. Comptes avec SPN definis + actifs (cibles kerberoasting)
$kerberoastable = Get-ADUser -Filter { ServicePrincipalName -ne "$null" } `
-Properties ServicePrincipalName, PasswordLastSet, Enabled |
Where-Object { $_.Enabled -eq $true } |
Select-Object SamAccountName, PasswordLastSet, @{
Name = "SPNCount"; Expression = { $_.ServicePrincipalName.Count }
}
Write-Host "Comptes kerberoastables (SPN + actif) :"
$kerberoastable | Format-Table -AutoSize
# 2. Comptes avec pre-auth desactivee (cibles AS-REP roasting)
$asreproastable = Get-ADUser -Filter {
DoesNotRequirePreAuth -eq $true -and Enabled -eq $true
} -Properties DoesNotRequirePreAuth |
Select-Object SamAccountName, DoesNotRequirePreAuth
Write-Host "`nComptes AS-REP roastables (pre-auth desactivee) :"
$asreproastable | Format-Table -AutoSize
# 3. Comptes prives avec mot de passe ancien (> 365 jours)
$ancientCreds = Get-ADUser -Filter { AdminCount -eq 1 } `
-Properties PasswordLastSet, AdminCount |
Where-Object { $_.PasswordLastSet -lt (Get-Date).AddDays(-365) } |
Select-Object SamAccountName, PasswordLastSet
Write-Host "`nComptes prives avec mot de passe > 365 jours :"
$ancientCreds | Format-Table -AutoSizeCertifications pertinentes Infrastructure Security
- CompTIA Security+ (≈ 400 €) : passage marché obligatoire.
- GCUX (GIAC Unix Security Administrator) pour Linux avancé.
- GCWN (GIAC Certified Windows Security Administrator) pour Windows.
- Offensive Security CPTS ou PNPT pour la dimension offensive appliquée à l'infrastructure.
- CISSP à 3-5 ans d'expérience pour les postes seniors.
Network Security : la voie directe pour l'ingénieur réseau
L'ingénieur réseau qui bascule en Network Security capitalise sur son expertise TCP/IP, routage, VLAN, pare-feu. Le poste consiste à concevoir, durcir et monitorer l'architecture réseau sous l'angle sécurité.
Sujets à maîtriser en fin de bascule
- Pare-feu next-generation : Palo Alto PAN-OS, Fortinet FortiGate, Cisco Firepower, Check Point. Règles applicatives, filtrage TLS, prévention d'intrusion intégrée.
- Segmentation avancée : VLAN, VRF, microsegmentation (Illumio, Cisco ACI, VMware NSX, Zero Trust Network Access).
- NAC (Network Access Control) : Cisco ISE, Aruba ClearPass, Forescout.
- NDR (Network Detection and Response) : Darktrace, Vectra, Corelight (Zeek enterprise), Arkime (ex-Moloch).
- IDS/IPS : Suricata, Snort 3, Zeek, écriture de règles personnalisées.
Certifications constructeur à privilégier
- PCNSE (Palo Alto Networks Certified Network Security Engineer) : la plus cotée en France.
- Fortinet NSE 4 puis NSE 7 : parcours graduel structuré.
- Cisco CCNP Security : pour les environnements Cisco.
- GIAC GCIA (Intrusion Analyst) pour la dimension détection.
- CompTIA Security+ en préalable marché.
3. Les deux trajectoires blue team avancées : SOC L2/L3 et DFIR
SOC L2 / L3 et Threat Hunting
Contrairement à un profil support IT qui entre naturellement en SOC L1, un profil sys/réseau confirmé peut viser directement un poste SOC L2 avec 9-15 mois de bascule. Le SOC L2 traite les incidents escaladés par le L1, mène des investigations techniques approfondies, écrit et maintient les règles de détection.
Le threat hunter va au-delà : il recherche proactivement des compromissions non détectées, développe des hypothèses à partir de la threat intelligence (CTI), chasse à la main via requêtes SIEM, logs host, logs réseau.
Ce qui distingue le SOC L2 du L1
- Capacité à lire une capture Wireshark en profondeur, identifier du tunneling, du C2 (command-and-control) déguisé.
- Capacité à analyser les artefacts Windows (Event Logs, Prefetch, MFT) et Linux (auditd, journalctl) avec précision.
- Écriture de règles de détection personnalisées (Sigma, KQL, SPL selon SIEM).
- Connaissance solide de MITRE ATT&CK par tactique et technique, pas juste par noms.
- Scripting Python ou PowerShell pour automatiser les enrichissements et les investigations.
Certifications SOC L2 / Threat Hunter
- CompTIA CySA+ en préalable.
- GIAC GCIA (Intrusion Analyst) : standard SOC L2.
- GIAC GCIH (Incident Handler) : très recherchée.
- GIAC GCFA (Forensic Analyst) : pivot naturel vers DFIR.
- SANS SEC555 ou SEC503 pour les profils réseau orientés détection.
DFIR : Digital Forensics and Incident Response
Le DFIR est la spécialité crise : intervention sur incident avéré pour investigation forensique, reconstruction complète de timeline, identification du point d'entrée initial et de l'étendue de la compromission, coordination de la remédiation.
Un profil sys/réseau avec 5+ ans d'expérience est structurellement bien positionné pour ce métier : compréhension native des systèmes compromis, capacité à lire des artefacts bas niveau, familiarité avec le troubleshooting en crise.
Sujets DFIR
- Forensique disque : analyse de MFT, ShellBags, Prefetch, Amcache, journaux USN.
- Forensique mémoire : Volatility, Rekall, MemProcFS ; dump de processus, recherche de code injecté.
- Forensique réseau : captures PCAP, analyse NetFlow, reconstruction de session.
- Timelining : plaso, log2timeline, corrélation multi-sources.
- Reverse engineering basique : identifier des malwares, analyser des scripts PowerShell ou VBA offusqués.
Certifications DFIR
- GIAC GCFA (Forensic Analyst) et GCFE (Forensic Examiner) : références du secteur.
- SANS FOR500 (Windows Forensics), FOR508 (Advanced IR), FOR572 (Network Forensics).
- CHFI (Computer Hacking Forensic Investigator) : reconnaissance RH mais moins technique.
4. La trajectoire offensive : Red Team / Pentest Infrastructure
Le profil sys/réseau confirmé est paradoxalement le mieux positionné pour le pentest interne Active Directory, souvent appelé pentest d'infrastructure. Les attaques les plus productives en entreprise passent par : compromission initiale faible, puis Kerberoasting, AS-REP roasting, relay NTLM, exploitation de délégations mal configurées, escalade via ACL, mouvement latéral via WMI ou PsExec.
Toutes ces techniques exploitent directement des concepts déjà connus d'un admin AD : SPN, pré-authentification Kerberos, ACL NTFS, délégation contrainte, trusts de forêts.
Certifications pentest infrastructure dans l'ordre
- eJPT v2 (INE, ≈ 250 €) : prise en main pratique du pentest.
- PNPT (TCM Security, ≈ 400 €) : spécialisée pentest interne AD.
- OSCP (≈ 1 600 €) : la référence marché, examen 24h.
- CRTO (Certified Red Team Operator, Zero-Point Security) : red team moderne Cobalt Strike / Outflank.
- OSEP (OffSec Experienced Penetration Tester) pour le post-exploitation avancé.
Portfolio minimum attendu
- 10+ machines HackTheBox Active Directory compromises avec writeups publics.
- Profil HackTheBox rang Guru ou plus.
- 2-3 outils personnels publiés sur GitHub (scripts de recon AD, wrappers Impacket).
- Participation à des CTF publics orientés AD (Splunk BOTS, DefCon, FCSC).
5. Ce qu'il faut ajouter au socle sys/réseau pour basculer
| Compétence à ajouter | Durée d'acquisition | Ressource principale |
|---|---|---|
| MITRE ATT&CK framework | 1-2 semaines | attack.mitre.org, training officiel |
| OWASP Top 10 compris | 2-3 semaines | PortSwigger Academy (gratuit) |
| SIEM (Splunk, Sentinel, ELK) | 4-8 semaines | Splunk Fundamentals, Microsoft Learn |
| Détection engineering (Sigma) | 2-4 semaines | sigmahq.io, règles open-source |
| Python intermédiaire | 2-3 mois | docs.python.org, scripts personnels |
| Active Directory offensif | 2-3 mois | HackTheBox Academy, THM AD Fundamentals |
| BloodHound et Impacket | 1-2 mois | Documentation officielle, labs AD |
| Une certification marché | 2-4 mois | CompTIA Security+ ou eJPT selon axe |
Pour le détail du socle technique général préalable, voir Quelles bases techniques avant de se lancer en cybersécurité ?. Un profil sys/réseau confirmé couvre déjà 70-80 % du socle technique et concentre sa bascule sur les outils et les certifs spécifiques.
6. Trajectoire salariale et stratégie d'accélération
| Métier | Junior (0-2 ans cyber) | +2 ans | +5 ans |
|---|---|---|---|
| Infrastructure Security | 48-58 k€ | 58-72 k€ | 75-95 k€ |
| Network Security | 42-52 k€ | 52-65 k€ | 70-88 k€ |
| SOC L2 → L3 → Threat Hunter | 48-60 k€ | 60-75 k€ | 75-95 k€ |
| DFIR | 50-65 k€ | 65-80 k€ | 85-110 k€ |
| Red Team / Pentest Infrastructure | 45-58 k€ | 58-75 k€ | 80-110 k€ |
Fourchettes Apec et Numeum 2023-2024. Les postes DFIR seniors et Red Team seniors figurent parmi les plus hautes rémunérations cyber en France, souvent à parité avec les architectes cybersécurité.
Stratégie d'accélération : bascule interne d'abord
La bascule interne reste la voie la plus rapide et la moins risquée, comme pour les profils dev et support. Spécificité sys/réseau : la valeur transverse pour l'équipe sécurité est immédiate dès la première semaine, parce que la compréhension du parc et de l'AD est rare dans les équipes cyber qui recrutent.
Méthode à appliquer
- Identifier le RSSI et le responsable du SOC ou de l'équipe sécurité infrastructure. Entretien café de 30 minutes, pas d'entretien RH formel.
- Proposer des livrables concrets : audit AD via script PowerShell comme ci-dessus, évaluation des règles pare-feu contre les bonnes pratiques NSA, premier rapport de threat hunting sur 7 jours de logs.
- Basculer progressivement : 20-30 % temps sécurité pendant 3-6 mois, puis 100 %.
Points clés à retenir
- Cinq trajectoires qui capitalisent sur l'expertise sys/réseau : Infrastructure Security, Network Security, SOC L2/L3, DFIR, Red Team / Pentest Infrastructure.
- Infrastructure Security = voie la plus rapide pour un admin sys : 4-9 mois, 45-58 k€ junior.
- Red Team AD accessible avec 12-18 mois de bascule structurée : OSCP + portfolio HTB AD + certifs intermédiaires.
- DFIR et Red Team mènent aux plus hautes rémunérations cyber post-reconversion : 85-110 k€ à 5 ans d'expérience.
- Python intermédiaire + MITRE ATT&CK + SIEM + une certification = kit minimum pour toutes les trajectoires blue team.
- Bascule interne > formation externe. La valeur transverse sys/réseau est immédiate pour les équipes sécurité.
Pour un cadrage global de la reconversion, voir le guide reconversion pillar. Pour les deux autres diptyques de trajectoire : Quel métier cyber viser quand on vient du développement ? et Quel métier cyber viser quand on vient du support IT ?. Pour l'étape par étape d'une transition structurée, voir Les vraies étapes d'une reconversion en cybersécurité. L'accompagnement cyber 6 mois propose un cadrage spécifique pour les profils sys/réseau avec focus Active Directory offensif, infrastructure hardening, préparation PNPT et introduction DFIR.
