Zeroday Cyber Academy

Reconversion cybersécurité

Ordre logique pour apprendre la cybersécurité en 2025

Ordre logique pour apprendre la cybersécurité : graphe de dépendances des 8 couches, pourquoi l'ordre compte, erreurs classiques, arbre de décision par profil.

Naim Aouaichia
14 min de lecture
  • Reconversion
  • Apprentissage
  • Parcours
  • Prérequis
  • Roadmap
  • Débutant
  • Fondamentaux

L'ordre logique pour apprendre la cybersécurité en 2025 suit un graphe de dépendances techniques strict en 8 couches : couche 0 fondamentaux IT (réseau, OS, programmation), couche 1 fondamentaux sécurité (crypto, authentification, modèles CIA et Zero Trust), couche 2 sécurité système & réseau (hardening, firewalls, segmentation), couche 3 sécurité applicative (OWASP Top 10, API, auth flows), couche 4 sécurité cloud & infrastructure moderne (IAM, Kubernetes, CI/CD), couche 5 détection & réponse (SOC, IR, forensics, CTI), couche 6 offensive (pentest, red team, exploitation), couche 7 spécialisation métier (AppSec, DevSecOps, Cloud Sec, pentester, GRC, IAM, IR). Chaque couche conditionne techniquement les suivantes — sauter une couche produit des gaps non détectables en autoformation mais visibles en 20 minutes d'entretien technique. Cet article détaille chaque couche avec prérequis validés, compétences cibles, pièges de séquence classiques (aborder l'offensive sans fondamentaux, le cloud avant le réseau on-prem, les normes GRC avant la technique), et fournit un arbre de décision par profil de départ (développeur, admin sys, profil non-IT). Pour le plan chronologique 6 mois, voir Plan d'apprentissage cyber 6 mois.

1. Pourquoi l'ordre compte : le piège de l'apprentissage désordonné

La cybersécurité est un domaine à forte densité de dépendances techniques : comprendre Kubernetes sans réseau, OAuth2 sans HTTP, SSRF sans DNS, ou ISO 27001 sans notion d'architecture produit des apprenants qui empilent du vocabulaire sans modèle mental. C'est détectable en entretien technique en 20 minutes, invisible en lecture de CV.

1.1 Les trois pièges dominants observés

Retour d'expérience sur 3-5 ans d'accompagnement de reconversions cyber (cohortes communautaires, bootcamps cybersécurité français, LinkedIn Learning Insights 2024) :

Piège de séquenceFréquence observéeCoût en mois de retard
Démarrer offensive TryHackMe sans socle Linux / réseau / HTTP40-60 % des abandons 1re année+4 à +6 mois
Passer AWS / Azure / GCP avant comprendre TCP/IP et VPN25-35 % des profils cloud débutants+3 à +5 mois
Viser GRC en pensant éviter la technique (ISO 27001 seul)15-25 % des reconversions « seniors »+6 à +12 mois
Accumuler des certifications (Sec+, eJPT, SSCP) sans pratique10-20 %+4 à +8 mois
Sauter la programmation en pensant que le SOC n'en a pas besoin20-30 %+3 à +6 mois

1.2 La règle du graphe de dépendances

Le principe directeur : ne jamais aborder une couche N sans avoir consolidé au moins 80 % des compétences de la couche N-1. Cette règle tolère des incursions anticipées (lire un article sur Kubernetes pendant la couche 2 pour garder la motivation), mais pas un saut complet de couche. Pour les prérequis techniques détaillés, voir Prérequis techniques cybersécurité.

2. Couche 0 — Fondamentaux IT (3-6 mois)

Sans cette couche, aucune autre couche n'est accessible de manière réelle. C'est le filtre le plus strict du parcours.

2.1 Compétences cibles couche 0

DomaineÀ valider
RéseauModèle OSI 7 couches, TCP/IP, routage, DNS, DHCP, NAT, VLAN, VPN (IPSec, OpenVPN, WireGuard)
LinuxShell bash, permissions UNIX (chmod, chown, setuid), cron, systemd, iptables/nftables, journaux syslog, package managers (apt, dnf), SSH
WindowsActive Directory (domaine, forêt, OU, GPO), services, Event Viewer, PowerShell basics, WMI, CMD avancée
ProgrammationPython 3 (variables, listes, dictionnaires, classes, requests, argparse, socket), Bash scripting
Protocoles applicatifsHTTP/1.1 et HTTP/2 en profondeur, headers, méthodes, cookies, status codes
Architecture ITClient-serveur, reverse proxy, load balancer, CDN, base de données relationnelle vs NoSQL

2.2 Ressources recommandées couche 0

Couche 0 — Parcours 3-6 mois
─────────────────────────────
OverTheWire Bandit (linux + shell)              3 semaines
Practical Networking (YouTube, ~20h)            mois 1-2
LinuxJourney.com (parcours complet)             mois 1-3
LinuxCommand.org (William Shotts livre gratuit) mois 2-4
The Linux Command Line (Shotts)                 mois 2-4
TCP/IP Illustrated Vol.1 (Stevens, extraits)    mois 3-5
Python Crash Course (Matthes, 3e éd.)           mois 3-6
Microsoft Learn AD fundamentals                  mois 4-6
Roadmap.sh Computer Science (sections 1-4)       tout au long

2.3 Signaux de bascule couche 0 → 1

  • Écrire un script Python de 30-50 lignes qui parse une capture tcpdump et extrait les flags TCP anormaux.
  • Expliquer en 5 min la résolution DNS complète (récursion vs itération, glue records, TTL) et dessiner l'échange paquet par paquet.
  • Installer et configurer une VM Linux headless avec SSH durci (fail2ban, clé seulement, port non-standard, user non-root) en < 30 min.
  • Faire une énumération Active Directory de base avec net user, net group, nltest /dclist: et comprendre les résultats.

3. Couche 1 — Fondamentaux sécurité (2-4 mois)

Objectif : acquérir le vocabulaire et les modèles mentaux partagés par tous les métiers cyber, sans spécialisation.

3.1 Domaines couche 1

DomaineConcepts à maîtriser
ModèlesCIA (Confidentialité / Intégrité / Disponibilité), DAD inverse, AAA (Authentication / Authorization / Accounting), Zero Trust
Crypto applicativeHash (MD5 cassé, SHA, bcrypt/argon2/scrypt pour mdp), HMAC, symétrique AES-GCM, asymétrique RSA et ECDSA, TLS handshake, PKI basics, JWT structure
AuthentificationFacteurs (savoir/avoir/être), MFA, WebAuthn, SSO via SAML et OIDC, OAuth2 (flows courts)
Modèles d'attaqueMITRE ATT&CK (tactics + techniques), Cyber Kill Chain Lockheed, STRIDE, DREAD
Normes clésISO 27001 (survol), NIST CSF, OWASP Top 10 2021 (vue d'ensemble)
Menace actuellePanorama ANSSI (rapport annuel), ENISA Threat Landscape, threat actors majeurs (APT28, Lazarus, Lapsus$)

3.2 Livrables de validation couche 1

  • Diagramme STRIDE d'une application fictive (ex: e-commerce basique) avec 5-10 menaces identifiées et contre-mesures.
  • Implémenter en Python un mini-serveur d'authentification avec bcrypt + session HMAC, sans framework.
  • Présenter en 15 min le déroulé d'un TLS 1.3 handshake avec tous les messages ClientHello → Finished.
  • Lire et résumer le dernier panorama de la menace ANSSI en 500 mots.

4. Couche 2 — Sécurité système & réseau (2-4 mois)

DomaineCompétences cibles
Hardening LinuxCIS Benchmarks Linux, SELinux / AppArmor basics, audit logs, LUKS, nftables avancé, fail2ban
Hardening WindowsCIS Benchmarks Windows, Local Security Policy, BitLocker, Windows Defender + ASR rules, Event Viewer avancé
Sécurité réseauFirewalls stateful / stateless, segmentation (VLAN, zones DMZ), reverse proxy + WAF, DDoS mitigation, DNSSEC
Active DirectoryTiers 0/1/2, GPO sécurité, Kerberos (tickets, delegation types), LAPS, Protected Users group
VPN & mobilitéIPSec site-à-site, OpenVPN / WireGuard, ZTNA, mTLS

4.1 Labs couche 2

  • CIS Benchmarks Linux appliqué à une VM Debian / Ubuntu, scan Lynis, score ≥ 80 %.
  • Lab Active Directory 3 machines (DC + 2 postes) avec politique GPO + LAPS déployés.
  • Configuration pfSense ou OPNsense avec segmentation VLAN, IDS Suricata activé.
  • Certification optionnelle : CompTIA Security+ (~400 €, 2-3 mois prépa) — passage marché français quasi-obligatoire, validant principalement la couche 1 + portions couche 2.

5. Couche 3 — Sécurité applicative (3-6 mois)

C'est la couche la plus dense et la plus rentable en terme d'employabilité : l'AppSec, DevSecOps et pentester web y passent 60-80 % de leur temps. Voir la Roadmap AppSec Engineer pour la spécialisation défensive, Roadmap pentest web pour la spécialisation offensive.

5.1 Compétences cibles

Couche 3 — Domaines à maîtriser
────────────────────────────────
OWASP Top 10 2021       ─► 10 catégories comprises + exploit pratique par catégorie
OWASP API Top 10 2023   ─► BOLA, BFLA, auth failures, mass assignment
Auth modernes            ─► OAuth2 PKCE, OIDC, SAML, mTLS, WebAuthn passkey
Headers sécurité         ─► CSP, HSTS, Referrer-Policy, Permissions-Policy, Cookie SameSite
Crypto applicative       ─► TLS en prod, certificate pinning, token storage, signature verify
SDLC sécurisé            ─► threat modeling, SAST/DAST/SCA basics, secrets management
Vulns serveur web        ─► SSRF, XXE, deserialization, SSTI, command injection, LFI/RFI

5.2 Labs couche 3

  • PortSwigger Web Security Academy : 100 % modules Apprentice + Practitioner (~200 labs).
  • OWASP Juice Shop : challenges niveaux 1-5 complétés.
  • DVWA + WebGoat + bWAPP : exercices classiques renforcement.
  • TryHackMe Web Fundamentals + Jr Penetration Tester path.

5.3 Signaux de bascule couche 3 → 4

  • Déployer une application Flask / Django / Express volontairement vulnérable, puis l'auditer soi-même en 5 heures et livrer un rapport de 10-15 pages.
  • Configurer un reverse proxy Nginx avec CSP strict, HSTS preload, et tests d'en-têtes sur securityheaders.com → A+.
  • Écrire 3-5 règles Semgrep custom qui détectent des vulnérabilités réelles sur un projet open source.

6. Couche 4 — Sécurité cloud & infrastructure moderne (3-5 mois)

Le cloud est une abstraction des couches précédentes : IAM = auth/authz, VPC = réseau, security groups = firewall, CloudTrail / Activity Logs = audit. Sans les couches 0-3 solides, la couche 4 se limite à exécuter des recettes sans comprendre pourquoi.

6.1 Domaines couche 4

DomaineCompétences cibles
IAM cloudPrincipal / resource / action, policies JSON, role assumption, STS, least privilege, permission boundaries
Réseau cloudVPC / VNet, subnets, security groups, NACLs / NSG, Peering, Transit Gateway, PrivateLink, VPN IPSec
Stockage sécuriséS3 bucket policies, encryption KMS, object lock, versioning, Azure Blob + SAS, GCS signed URLs
Secrets managementAWS Secrets Manager, Azure Key Vault, HashiCorp Vault, rotation automatique
Kubernetes securityRBAC, NetworkPolicies, Pod Security Standards, admission controllers, OPA / Kyverno, secrets encryption at rest
CI/CD sécuriséSAST (Semgrep, CodeQL), SCA (Trivy, Snyk), secrets scan (gitleaks, truffleHog), IaC scan (Checkov, Terrascan)
IaCTerraform hardening, Pulumi, CloudFormation, sops + age / PGP

6.2 Certifications pertinentes couche 4

  • AWS Certified Security Specialty (~300 $) : référentiel AWS prod.
  • Microsoft AZ-500 (~165 $) : équivalent Azure.
  • Google Professional Cloud Security Engineer (~200 $) : équivalent GCP.
  • CKS (Certified Kubernetes Security Specialist) (~395 $) : Kubernetes prod.

Une seule couverture hyperscaler + CKS suffit au niveau junior-confirmé. Pour la trajectoire DevSecOps complète, voir Roadmap DevSecOps / Étapes pour devenir DevSecOps.

7. Couche 5 — Détection & réponse (2-4 mois)

Couche essentielle pour tout profil cyber : même un pentester ou un DevSecOps doit comprendre comment son travail est détecté ou devrait l'être.

7.1 Domaines couche 5

DomaineCompétences cibles
SIEMSplunk SPL, Elastic EQL / ES
EDR / XDRCrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint — lecture d'alertes, investigation
DétectionRègles Sigma, Suricata, Snort, règles YARA, MITRE ATT&CK alignement
Incident ResponseCycle NIST SP 800-61, chaîne de custody, triage initial, containment, eradication, lessons learned
Threat IntelligenceIoC (hash, IP, domain), TTP, OSINT (Shodan, Censys, VirusTotal), threat feeds
Forensics basicsAcquisition image disque (dd, FTK), mémoire (volatility), timeline (log2timeline / plaso)

7.2 Labs couche 5

  • BlueTeam Labs Online : 20-30 investigations résolues.
  • TryHackMe SOC Analyst + CyberDefense paths.
  • SANS Holiday Hack Challenge (gratuit, annuel).
  • HackTheBox Sherlocks (nouveau, forensics + IR).

8. Couche 6 — Offensive (durée variable selon spécialisation)

Pour une progression pentester complète sur 8-10 ans, voir les roadmaps dédiées : Roadmap pentest généraliste, Roadmap pentest web. Synthèse des prérequis couche 6 :

  • Couches 0-5 solides (pas négociable).
  • Labs HackTheBox / Offensive Security Proving Grounds : 40-80 machines résolues.
  • eJPT puis OSCP comme certifications d'entrée.
  • Investissement temps hors mission : 10-15 h/semaine pendant plusieurs années.

9. Couche 7 — Spécialisation métier (ouverte, 2-5 ans)

À partir de la couche 7, la progression est verticale et métier-spécifique. Arbre de décision synthétique :

Profil de départ couche 0-5Métier cible couche 7
Développeur (Python, Java, Go, TypeScript)DevSecOps, AppSec Engineer, Cloud Security
Admin système / réseauPentester infra, SOC Analyst L2+, IAM Engineer
DevOps / SREDevSecOps (bascule naturelle), Cloud Security Engineer
Profil non-IT (juriste, audit, finance)Ingénieur GRC, Compliance Officer, CISO junior
Passionné offensif (écoles cyber, CTF players)Pentester, Red Teamer, Bug Bounty Hunter

Pour l'arbitrage détaillé : Quel métier cyber choisir selon profil et Métiers cyber pour développeurs.

10. Cinq erreurs classiques de séquence

À éviter absolument, classées par coût long terme :

  1. Attaquer HackTheBox / TryHackMe avant la couche 0 : le plus fréquent, 40-60 % des reconvertis tombent dedans. Coût : 4-6 mois de progression perdus en recettes copiées sans compréhension.
  2. Viser GRC / RSSI sans la partie technique (couches 0-4) : un GRC sans compréhension technique se fait contredire par les équipes ops et plafonne en auditeur junior. Coût : 6-12 mois de crédibilité perdue.
  3. Apprendre AWS / Azure / GCP sans maîtriser réseau classique (couche 0) : produit des architectes cloud cargo-cult. Coût : 3-5 mois à combler + risques d'architecture sur-permissive en prod.
  4. Empiler les certifications (Sec+, eJPT, SSCP, CCNA) sans pratique : le CV devient verbeux mais la maîtrise reste faible. Coût : 4-8 mois et quelques milliers d'euros mal investis.
  5. Sauter la programmation (Python / Bash) en pensant que SOC / GRC / audit n'en ont pas besoin : faux dès le SOC L2, bloquant en IR / CTI / DevSecOps. Coût : 3-6 mois.

11. Arbre de décision selon profil de départ

Profil développeur backend (Python / Java / Go)
────────────────────────────────────────────────
Couche 0 compressée à 1-2 mois (HTTP, Linux, DNS déjà acquis)
Couche 1-3 : 6-9 mois
Couche 4 : 3-4 mois (cloud hyperscaler + CI/CD)
Couche 5 : 1-2 mois (lecture, compréhension)
Couche 6 ou 7 : spécialisation DevSecOps / AppSec
Total avant premier poste : 12-15 mois
 
Profil admin système / réseau
──────────────────────────────
Couche 0 compressée à 1-2 mois (réseau + Linux + AD acquis)
Ajouter programmation (Python) en parallèle 2-3 mois
Couche 1-3 : 6-9 mois
Couche 4 : 3-5 mois (transition cloud)
Couche 5 : 2-3 mois
Couche 6 ou 7 : pentester infra / SOC L2 / IAM Engineer
Total avant premier poste : 14-18 mois
 
Profil non-IT (juriste, finance, commerce)
───────────────────────────────────────────
Couche 0 : 4-6 mois (aucun raccourci, socle complet)
Couche 1 : 2-3 mois
Couche 2 : 2-3 mois
Couche 3 : 3-5 mois (OWASP + crypto applicative)
Couche 4 : 3-5 mois (cloud basique, pas expert)
Couche 5 : 2-3 mois
Couche 7 : GRC junior ou SOC L1
Total avant premier poste : 18-24 mois minimum

Pour le détail chronologique d'une trajectoire 6 mois vs 12 mois vs 24 mois, voir Plan d'apprentissage cyber 6 mois et Temps pour devenir opérationnel en cybersécurité.

Points clés à retenir

  • 8 couches en ordre strict : fondamentaux IT → fondamentaux sécurité → sécurité système & réseau → sécurité applicative → cloud & infra moderne → détection & réponse → offensive → spécialisation métier.
  • Règle directrice : ne jamais aborder la couche N sans avoir 80 % de la couche N-1 consolidée.
  • Trois pièges qui coûtent le plus cher : TryHackMe sans fondamentaux IT (40-60 % des abandons), cloud sans réseau on-prem, GRC sans socle technique.
  • Durée totale couche 0 → 7 opérationnel junior : 12-15 mois pour un développeur, 14-18 mois pour un admin sys, 18-24 mois minimum pour un profil non-IT.
  • CompTIA Security+ en fin de couche 2 : passage marché utile, pas suffisant seul.
  • Spécialisation couche 7 choisie en fonction du profil de départ, pas d'une préférence abstraite.

Pour consolider ton choix métier avant d'entamer les couches, voir Guide complet de la reconversion cybersécurité.

Questions fréquentes

  • Par où commencer concrètement quand on découvre la cybersécurité ?
    Par la couche 0 « Fondamentaux IT » : réseau TCP/IP (modèle OSI, routing, DNS, HTTP, TLS), Linux en ligne de commande, Windows + Active Directory basics, programmation Python ou Bash. 3 à 6 mois à 10-15 h/semaine selon profil de départ. Sans ce socle, toutes les notions sécurité ultérieures restent superficielles. Un profil développeur backend compresse cette couche à 1-2 mois (DNS, HTTP, Linux déjà acquis). Un profil totalement hors IT démarre à zéro — compter 4-6 mois minimum avant d'aborder la cryptographie ou OWASP Top 10.
  • Peut-on sauter les fondamentaux et attaquer directement l'offensif avec TryHackMe ?
    Non. C'est l'erreur de séquence la plus fréquente chez les reconvertis (observée chez 40-60 % des abandons en première année). TryHackMe ou HackTheBox Easy exigent déjà une aisance avec la ligne de commande Linux, des headers HTTP, des sockets TCP, des requêtes DNS — notions considérées acquises par les plateformes. Sans ce socle, la résolution de machines se fait par recette copiée-collée sans compréhension, avec un plafond atteint en 2-3 mois. L'apprentissage redevient alors linéaire au prix de 4-6 mois de retard vs une séquence logique suivie dès le départ.
  • Faut-il apprendre la crypto avant OWASP Top 10, ou l'inverse ?
    La crypto applicative basique (hash MD5/SHA, bcrypt, symétrique AES, asymétrique RSA, TLS handshake) se traite en couche 1 juste après les fondamentaux IT — avant OWASP Top 10 qui s'appuie dessus (session cookies avec HMAC, JWT signatures, TLS pinning). Inversement, la crypto mathématique avancée (courbes elliptiques, zero-knowledge proofs, post-quantum) est inutile à ce stade et peut attendre une spécialisation crypto délibérée au palier 3-4. Règle pratique : savoir expliquer en 5 minutes pourquoi bcrypt protège mieux que SHA-256 pur pour stocker un mot de passe suffit pour passer à OWASP.
  • L'ordre change-t-il selon le métier cyber visé (pentester, DevSecOps, GRC) ?
    Les couches 0 (fondamentaux IT) et 1 (fondamentaux sécurité) sont universelles et non négociables pour tous les métiers cyber. La divergence commence en couche 2-3 : un futur pentester renforce sécurité système + réseau offensif + OWASP offensif, un DevSecOps renforce CI/CD + IaC + cloud security, un GRC renforce normes (ISO 27001, NIS 2, DORA) + gouvernance + audit. Mais un GRC qui saute les couches 0-1 fait un junior inefficace, incapable de challenger techniquement les équipes ops — même sur un poste a priori documentaire. Aucun raccourci métier ne fonctionne sans le socle complet.
  • Combien de temps pour parcourir les 8 couches ?
    Entre 12 et 24 mois à 15-20 heures hebdomadaires jusqu'à un niveau opérationnel junior (couches 0 à 5 consolidées + couche 6 ou 7 selon métier visé). Un profil développeur ou DevOps compresse à 9-15 mois, un profil admin système à 12-18 mois, une reconversion totale à 18-24 mois minimum. Les couches 6-7 (offensive avancée, spécialisation métier senior) continuent ensuite pendant 3-5 ans après le premier poste. La discipline de séquencer plutôt que de butiner au hasard économise 6-12 mois sur la trajectoire globale.
  • Peut-on apprendre le cloud security avant le on-prem / réseau classique ?
    Techniquement oui, humainement non recommandé. Le cloud security (AWS, Azure, GCP) s'appuie sur des abstractions qui réutilisent les concepts réseau (VPC = réseau, security groups = firewall stateful, routing tables = routing, IAM = authentification/autorisation). Apprendre AWS sans comprendre ce qu'est un NAT, une route statique ou une séparation réseau produit des pratiques cargo-cult : appliquer des recettes sans comprendre pourquoi. Résultat observé : architectures cloud sur-permissives et non-auditables. L'ordre logique : réseau classique couche 0, puis cloud en couche 4 sur base solide.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également