Démarrer en cybersécurité quand on vient du développement, du sysadmin ou du support IT n'est pas une question de motivation, c'est une question de méthode. Sans plan, on consomme des dizaines d'heures de contenus dispersés sans jamais devenir opérationnel. Cet article structure ce démarrage en cinq phases concrètes, avec pour chacune un objectif vérifiable, un livrable, et un signal clair pour savoir quand passer à la suivante. La cible : un premier poste ou une première mission en 6 à 12 mois.
1. Vue d'ensemble : les 5 phases en un coup d'œil
| Phase | Durée typique | Objectif | Livrable / signal d'avancement |
|---|---|---|---|
| 1. Diagnostic | 1-2 semaines | Choisir UN métier cible précis | Métier identifié + plan écrit |
| 2. Fondations | 1-2 mois | Solidifier réseau, Linux, scripting | 5 labs réseau + 3 scripts Python ou Bash |
| 3. Spécialisation | 2-4 mois | Approfondir un domaine | 1 portfolio thématique + 10 challenges CTF résolus |
| 4. Portfolio | continu | Construire la preuve technique | GitHub actif + 3 write-ups publics |
| 5. Marché | 1-2 mois | Décrocher mission ou poste | CV cyber refondu + 5-10 entretiens passés |
Cette table n'est pas un calendrier rigide. Selon votre point de départ technique et votre temps disponible hebdomadaire, l'ensemble couvre 6 à 12 mois pleins.
2. Phase 1, Diagnostic : choisir un métier cible précis
La cybersécurité regroupe une quinzaine de métiers distincts. Tenter d'en couvrir plusieurs en parallèle = dispersion garantie. Cette première phase consiste à choisir un seul métier cible, pas un domaine vague.
Méthode
- Lister vos compétences existantes (langages maîtrisés, OS production utilisé, outils CI/CD touchés).
- Croiser avec les cinq grandes familles cyber.
- Choisir UN métier précis dans la famille la plus naturelle pour votre profil.
| Famille | Profil de départ idéal | Premier projet typique | Compétence pivot |
|---|---|---|---|
| Offensif (pentest, red team) | Développeur, sysadmin curieux | 5 machines HackTheBox compromises | Méthodologie offensive |
| Défensif (SOC, blue team) | Support IT, sysadmin | Lab SIEM (Security Information and Event Management) avec ELK | Lecture de logs structurée |
| AppSec / DevSecOps | Développeur | OWASP Juice Shop attaqué de bout en bout | OWASP Top 10 |
| Sécurité cloud | DevOps, admin système | Lab AWS avec misconfigurations IAM | IAM (Identity and Access Management) cloud |
| GRC (Governance, Risk, Compliance) | Profil hybride tech / organisationnel | Audit gap ISO 27001 sur application fictive | Référentiels (ISO, NIST CSF) |
Anti-pattern : « je verrai ce qui me plaît au fil du parcours »
Cette posture conduit à 6 mois de contenu généraliste, zéro projet livrable, et un retour au point de départ. Le marché paie la spécialisation. Choisir un métier précis dès le départ, quitte à l'ajuster après 2-3 mois, est statistiquement la décision qui produit le plus d'embauches.
3. Phase 2, Fondations : réseau, Linux, scripting
Quel que soit le métier cible, certaines compétences sont non négociables. Sans elles, le passage en phase 3 (spécialisation) est creux.
Les quatre fondations
- Réseau : TCP/IP (Transmission Control Protocol / Internet Protocol), modèle OSI (Open Systems Interconnection), DNS (Domain Name System), HTTP/HTTPS, ports courants, firewalls. À pratiquer avec Wireshark sur du trafic réel, pas seulement en lisant des slides.
- Linux : navigation, permissions, processus, services, journalctl, scripting Bash. Comprendre
/etc/,/var/log/,/proc/. - Programmation : Python au minimum. Lire et modifier du code existant, parser des logs, automatiser des tâches répétitives.
- Crypto appliquée basique : différence chiffrement symétrique vs asymétrique, hash (SHA-256, bcrypt), TLS handshake, certificats X.509.
Exemple, détection brute-force SSH en Python
Le type de script qu'un débutant cyber doit pouvoir écrire seul à la fin de la phase 2 :
# Détection brute-force SSH dans /var/log/auth.log
import re
from collections import Counter
PATTERN = re.compile(r"Failed password.+from (\d+\.\d+\.\d+\.\d+)")
counts = Counter()
with open("/var/log/auth.log") as fh:
for line in fh:
m = PATTERN.search(line)
if m:
counts[m.group(1)] += 1
suspects = [(ip, n) for ip, n in counts.items() if n > 10]
print(f"{len(suspects)} IP suspectes : {suspects}")Signal d'avancement de la phase 2
Vous pouvez monter un mini-lab (deux machines virtuelles Linux + Wireshark) et expliquer en 30 secondes ce qu'il se passe lors d'une connexion HTTPS. Si ce n'est pas le cas, n'avancez pas, la phase 3 sera incompréhensible.
4. Phase 3, Spécialisation : approfondir un domaine
Une fois le métier cible choisi (phase 1) et les fondations posées (phase 2), la phase 3 est la plus longue et la plus exigeante. C'est ici que se construit votre niveau opérationnel.
Pour un profil offensif
- OWASP Top 10 (édition 2021) en pratique sur OWASP Juice Shop ou DVWA.
- 30-50 machines HackTheBox / TryHackMe résolues, avec write-ups personnels.
- CVE (Common Vulnerabilities and Exposures) classiques étudiées : CVE-2021-44228 (Log4Shell), CVE-2017-5638 (Struts2), CVE-2014-6271 (Shellshock).
- CWE (Common Weakness Enumeration) maîtrisés : CWE-79 (XSS), CWE-89 (SQL injection), CWE-22 (path traversal).
Pour un profil défensif (SOC analyst)
- Architecture SIEM en profondeur, lab ELK ou Splunk.
- Détection : règles Sigma, MITRE ATT&CK, indicateurs de compromission.
- Lecture de logs : Windows Event Log, Apache, NGINX, journaux Linux, télémétrie EDR.
Pour un profil DevSecOps / AppSec
- OWASP Top 10 en pratique mais surtout côté défenseur (input validation, output encoding, durcissement des frameworks).
- SAST (Static Application Security Testing) / DAST (Dynamic Application Security Testing) : Semgrep, Bandit, ZAP, Burp Suite.
- Sécurité supply chain : SBOM (Software Bill of Materials), signature d'artefacts, gestion des secrets dans la pipeline.
5. Phase 4, Portfolio : construire la preuve technique
Le portfolio est la pièce qui distingue un candidat « théorique » d'un candidat « opérationnel ». Une candidature cyber sans portfolio démontrable produit un signal faible. Trois piliers :
- GitHub actif, 3 à 5 repos avec README structuré : labs perso, scripts d'audit, automatisation, documentation. Pas un fork inactif, pas un code copié sans compréhension.
- Write-ups publics, HackTheBox / TryHackMe machines avec démarche détaillée, ou analyse de CVE récente avec proof of concept reproductible.
- Profil plateformes, HackTheBox, TryHackMe, Root-Me avec progression visible (≥ 10 machines compromises pour un profil offensif, ≥ 15 challenges crypto/web pour un profil AppSec).
Comparatif portfolio vs certifications
| Élément | Crédibilité auprès des recruteurs cyber | Effort à produire |
|---|---|---|
| GitHub actif (3+ repos sérieux) | Élevée | Continu, 2-4 h/semaine |
| Write-up CVE analysée + PoC | Très élevée | 8-15 h par write-up |
| 10 machines HackTheBox + write-ups | Élevée | 30-60 h cumulées |
| Certification CEH (Certified Ethical Hacker) seule | Faible | 100+ h + 1 200 € |
| Certification OSCP (Offensive Security Certified Professional) | Élevée mais coûteuse | 300+ h + 1 600 € |
6. Phase 5, Mise sur le marché
Cette phase démarre avant la fin de la phase 3, pas après. Elle se prépare en parallèle de la spécialisation.
Actions concrètes
- CV ciblé sur le métier cible choisi en phase 1. Pas de CV « cybersécurité générique ». Un CV par métier précis (DevSecOps OU SOC OU pentester OU consultant cloud security).
- LinkedIn refondu : titre du profil aligné sur le métier cible, headline qui annonce votre positionnement, bannière personnalisée, posts techniques tous les 7-10 jours.
- Préparation entretien : 80 % des questions techniques cyber reviennent. Construire une bibliothèque personnelle de 50-80 questions par métier cible, avec réponses argumentées.
- Candidatures ciblées : 5-15 candidatures par semaine sur des postes alignés métier-niveau-secteur. Pas de spray-and-pray.
- Réseau : présence active sur LinkedIn, conférences techniques (Hack.lu, Pass the SALT, Le Hack à Paris), meetups OWASP locaux.
Indicateurs d'avancement
- 5 à 10 entretiens techniques passés dans le mois → vous êtes correctement positionné·e.
- 0 à 2 entretiens dans le mois → revoir CV et ciblage métier.
7. Cinq erreurs récurrentes qui tuent les reconversions
- Cibler « cybersécurité » sans préciser le métier. Les recruteurs trient en 30 secondes : un CV générique est éliminé.
- Collectionner les certifications sans pratique. Cinq certifications sans GitHub ni write-up valent moins qu'une certif + portfolio solide.
- Apprendre offensif et défensif et cloud et GRC en parallèle. Dispersion sur 12 mois = niveau superficiel partout.
- Négliger les fondamentaux (réseau, Linux, scripting) pour passer direct aux outils sexy. Les briques 1-2-3 craquent au premier entretien technique.
- Refuser le format payant par principe et apprendre 24 mois en autodidacte sans cadre. Les profils en reconversion qui réussissent en 6-12 mois ont presque tous bénéficié d'un cadre structuré (formation, accompagnement, mentorat) à un moment.
8. Points clés à retenir
- Sans plan, dispersion garantie : cinq phases structurées sont la différence entre 6-12 mois et 24+ mois.
- Choisir UN métier cible dès la phase 1, quitte à l'ajuster après 2-3 mois. Pas de cybersécurité générique.
- Fondations non négociables : réseau, Linux, scripting, crypto appliquée. Sans elles, la spécialisation est creuse.
- Portfolio > certifications. GitHub + write-ups + plateformes CTF battent une collection de certifs sans pratique.
- La phase 5 (marché) se prépare pendant les phases 3-4, pas après. Premier CV cyber dès le 4ᵉ mois.
Pour les profils tech qui veulent une trajectoire structurée et un cadre d'accompagnement individuel sur ces cinq phases, le parcours d'accompagnement Zeroday Cyber Academy couvre l'ensemble sur 6 mois avec mentorat, projets pratiques et préparation à la première mission.
