Zeroday Cyber Academy

Reconversion cybersécurité

Portfolio cybersécurité 2026 : 12 projets pour se démarquer

12 projets concrets à mettre dans un portfolio cybersécurité en 2026 : home lab, write-ups CTF, règles Sigma, BloodHound, bug bounty, Python automation.

Naim Aouaichia
14 min de lecture
  • Portfolio
  • Projets
  • GitHub
  • Write-up
  • CTF
  • Home lab
  • Bug bounty
  • Reconversion
  • Roadmap
  • Parcours apprentissage
  • Red Team
  • Blue Team
  • Sigma
  • Personal branding

Un portfolio cybersécurité bien construit pèse en 2026 autant qu'un diplôme ou une certification dans la décision d'un recruteur, particulièrement pour les profils juniors, autodidactes ou en reconversion. Les études Apec Cadres Cybersécurité 2024 et les retours des cabinets de recrutement spécialisés (Hays Technology, Michael Page, Smilers) convergent : face à deux profils équivalents sur le CV, celui qui présente un GitHub vivant, 3-5 projets aboutis et 5-10 write-ups techniques publiés décroche l'entretien. Cet article détaille 12 projets concrets à intégrer dans un portfolio cybersécurité, répartis en 4 familles (home lab, blue team, red team, transverse), avec la structuration GitHub et CV attendue, les erreurs fatales à éviter et une timeline réaliste de construction sur 8-12 mois.

Pourquoi un portfolio cyber pèse plus qu'une certif en 2026

La tension structurelle du marché cyber en France (15 000 postes non pourvus selon Numeum, 65 000 en UE selon ENISA) ne profite pas également à tous les profils. Les candidats juniors se heurtent à une concurrence paradoxale : beaucoup d'offres mais aussi beaucoup de candidats, tous diplômés ou certifiés. Le portfolio devient le critère discriminant.

Trois raisons expliquent sa montée en poids :

  1. Les certifications ne différencient plus. Security+, CEH, CySA+, BTL1 sont devenues standard en 2024-2026. Un recruteur en voit 30 sur 30 CV. Elles passent du statut de signal à celui de case à cocher.
  2. Les formations se valent statistiquement. Entre deux Bac+3 ou deux titres RNCP équivalents, le programme académique ne départage plus. Seule la pratique individuelle fait la différence.
  3. Les outils d'évaluation candidats sont démocratisés. Tests techniques en ligne, challenges CTF-interview, demandes d'explication pas-à-pas de projets — le candidat qui ne peut pas raconter techniquement ce qu'il a fait est écarté en 15 minutes.

Famille 1 — Home lab et infrastructure (3 projets)

Le home lab est la brique fondatrice : il démontre l'autonomie, l'acharnement et le sérieux technique. Un portfolio sans home lab documenté est un signal négatif fort.

Projet 1 — Home lab documenté multi-OS

Un environnement de labo reproductible, avec documentation complète. Configuration type :

  • 1 hyperviseur : Proxmox sur mini-PC ou VMware Workstation sur machine perso.
  • 1 contrôleur de domaine Windows Server 2022 + Active Directory.
  • 2-3 postes Windows 10/11 joints au domaine, Sysmon activé avec config SwiftOnSecurity.
  • 1 serveur Linux Ubuntu avec auditd, Zeek et Suricata.
  • 1 pfSense ou OPNsense en coupure réseau.
  • 1 stack SIEM : Security Onion 2.x ou ELK autonome.

Le repo GitHub associé contient : schéma réseau (draw.io ou Excalidraw), fichier Ansible ou Vagrant de déploiement si reproduction automatisée, captures Kibana des logs ingérés, README détaillant chaque composant et la raison de sa présence.

Projet 2 — GOAD déployé avec chaîne d'attaque documentée

GOAD (Game of Active Directory) est le lab AD vulnérable open-source par Orange Cyberdefense. Le projet consiste à :

  • Déployer GOAD Light ou Full via Vagrant + Ansible.
  • Exécuter 8-10 attaques de référence (Kerberoasting, AS-REP Roasting, NTLM Relay, ACL abuse, Unconstrained Delegation, RBCD, DCSync, Golden Ticket, ADCS ESC1/ESC8).
  • Rédiger un write-up par attaque : contexte, commande exacte, résultat, artefact observable côté défense.
  • Publier l'ensemble sur un blog ou un repo GitHub dédié.

Projet 3 — Stack SIEM custom avec règles et dashboards

Installation d'un SIEM maison au-delà du simple « j'ai suivi un tuto » :

  • Déploiement Wazuh ou Elastic Security SIEM (gratuit open-source).
  • Ingestion multi-sources : Windows Event Log, Sysmon, Linux auditd, Zeek, Suricata, logs applicatifs.
  • Écriture de 10-15 règles de détection custom couvrant des techniques ATT&CK précises.
  • Création de 3-5 dashboards Kibana : heatmap MITRE ATT&CK, top alertes 24h, enrichissement IOC, vue ADCS.
  • README expliquant l'architecture, les choix de conception et les détections implémentées.

Famille 2 — Projets Blue Team / SOC (3 projets)

Pour tout candidat visant SOC, detection engineering ou DFIR, cette famille est la colonne vertébrale du portfolio.

Projet 4 — Repo GitHub de règles Sigma

Créer un repo sigma-rules-personal ou équivalent avec :

  • 20-30 règles Sigma originales (pas de fork brut du repo SigmaHQ).
  • Chaque règle adresse une technique MITRE ATT&CK précise (T1059.001, T1078, T1547.001, T1021.001, etc.).
  • README racine expliquant la méthodologie (génération via Atomic Red Team, validation via Sysmon, traduction multi-SIEM).
  • Sous-dossier writeups/ avec 5-10 write-ups détaillés par règle : contexte technique, exemple de trace, faux positifs connus.
title: Rundll32 Internet Connection Pattern
id: 8f4e1c9b-3d4a-4e7f-a2b1-5c6d8e9f0a1b
status: experimental
description: Detects rundll32.exe spawning with network-related command-line arguments, a behavior commonly associated with initial access and C2 staging via DLL side-loading.
author: Security Research (personal portfolio)
date: 2026/04/23
tags:
  - attack.defense_evasion
  - attack.t1218.011
  - attack.command_and_control
logsource:
  product: windows
  category: process_creation
detection:
  selection_process:
    Image|endswith: '\rundll32.exe'
  selection_args:
    CommandLine|contains:
      - 'http://'
      - 'https://'
      - 'javascript:'
      - 'mshtml,RunHTMLApplication'
  condition: selection_process and selection_args
falsepositives:
  - Rare legitimate admin scripts, exclude by parent process or signed DLL path
level: high

Projet 5 — Investigation DFIR complète sur scénario rejoué

Choisir un scénario d'attaque réaliste (ransomware Conti, APT29 via phishing, BazarLoader → Ryuk, Log4Shell chaîné), le rejouer en home lab via Atomic Red Team ou Caldera, puis :

  • Ingérer les logs dans le SIEM personnel.
  • Reconstruire le timeline complet de l'attaque (initial access → persistence → lateral movement → exfiltration).
  • Rédiger un rapport d'incident professionnel de 10-15 pages : résumé exécutif, timeline, IOC extraits, recommandations de remédiation.
  • Publier le rapport expurgé en PDF sur le GitHub + article blog associé.

Projet 6 — Dashboards et visualisations SOC

Construction de tableaux de bord opérationnels lisibles par un non-technicien :

  • Heatmap MITRE ATT&CK couvrant la détection du home lab (techniques couvertes vs non couvertes).
  • Dashboard « Top 10 alertes semaine » avec drill-down par technique.
  • Dashboard « threat intelligence enrichment » croisant alertes internes et feeds MISP ou OpenCTI.
  • Dashboard ADCS dédié post-BlackHat 2021 Certipy.
  • Repo GitHub avec les JSON Kibana exportables et captures d'écran annotées.

Famille 3 — Projets Red Team / Offensive (3 projets)

Pour les candidats visant pentest, red team, bug bounty ou consulting offensif.

Projet 7 — Write-ups HackTheBox ou TryHackMe structurés

Objectif : 10-15 write-ups rédigés proprement sur des machines retirées (HTB) ou des rooms publiques (TryHackMe).

Règles à respecter :

  • Ne jamais écrire sur une machine active HackTheBox (interdit par les CGU).
  • Rédiger chaque write-up en plus de 1 000 mots, avec captures annotées.
  • Expliquer la démarche mentale, pas juste les commandes réussies (« j'ai essayé X qui a échoué parce que Y, puis pivoté vers Z »).
  • Catégoriser par niveau (Easy, Medium, Hard) et par OS/techniques (Linux, Windows, AD, web).
  • Publier sur un blog personnel + lien GitHub avec le code utilisé.

Projet 8 — Portfolio bug bounty

Démarrer sur VDP (Vulnerability Disclosure Programs) puis programmes rémunérés :

  • YesWeHack (français, idéal démarrage), Intigriti (européen), HackerOne (international), Bugcrowd (US).
  • Objectif réaliste junior : 2-5 soumissions valides en 6-12 mois, dont idéalement 1-2 avec Hall of Fame public.
  • Publier uniquement les rapports autorisés post-triage (programmes comme OWASP, Shopify, GitLab permettent souvent la publication).
  • Citer sur le CV les Hall of Fame et acknowledgments (même sans CVE assignée, c'est un signal de crédibilité).

Projet 9 — Outil offensif custom en Python

Développer un outil utile à la communauté, même modeste :

  • Énumérateur SMB ou LDAP custom avec sortie formatée BloodHound.
  • Wrapper autour d'Impacket pour automatiser un chain d'attaque (password spray → AS-REP → Kerberoast → BloodHound).
  • Parser de capture Wireshark pour extraire les credentials NTLMv1/v2.
  • Module custom pour CrackMapExec / NetExec.
  • Template Nuclei original pour une CVE récente.

Le repo doit respecter les standards open-source : README.md avec installation + usage + exemples, LICENSE (MIT ou Apache 2.0 recommandé), requirements.txt, issues et PR acceptés.

# smb-enum-plus
 
> Python 3 enumeration tool combining Impacket SMB reconnaissance
> with BloodHound-compatible JSON output for red team assessments.
 
## Features
- Null-session enumeration (users, shares, groups)
- SPN extraction with Kerberoastable flag
- BloodHound JSON export (users, groups, computers)
- Progressive throttling to avoid detection
 
## Installation
pip install -r requirements.txt
 
## Usage
python smb_enum_plus.py -u '' -p '' -t 10.10.10.10 -o results/
 
## Roadmap
- [x] Null session enumeration
- [x] BloodHound JSON export
- [ ] Kerberos pre-auth check integration
- [ ] Async network I/O
 
## License
MIT

Famille 4 — Projets transverses et soft power (3 projets)

Ces projets s'adressent à tous les profils cyber et boostent massivement la visibilité.

Projet 10 — Blog technique personnel

Un blog régulier est un multiplicateur d'impact. Plateforme recommandée 2026 : Hashnode (gratuit, SEO-friendly), Ghost (self-host), Hugo ou Next.js (pour les profils techniques qui veulent prouver leur DevOps).

  • Fréquence réaliste : 1-2 articles par mois sur 12 mois = 12-24 articles.
  • Sujets qui marchent : CVE analysis, write-ups techniques, retour de certification, analyse d'un APT récent, explication d'une technique ATT&CK.
  • Longueur moyenne efficace : 1 500-3 000 mots, avec captures d'écran et schémas.
  • Intégrer Google Analytics ou Plausible pour mesurer l'audience.
  • Lien systématique dans la signature LinkedIn et le CV.

Projet 11 — Participation CTF en équipe avec classement public

Rejoindre ou monter une équipe CTF visible :

  • Plateformes principales : CTFtime (classement international), FranceCTF (classement français), Hack The Box teams.
  • Compétitions cibles France 2026 : 404 CTF (organisé par Airbus/ANSSI), Hackropole (CTF ANSSI SSTIC), European Cybersecurity Challenge (team France via ANSSI), FCSC (France Cybersecurity Challenge).
  • Objectif réaliste junior : 3-5 CTF par an avec position top 100 France.
  • Documenter les contributions sur un GitHub équipe ou personnel : write-ups des challenges résolus, scripts custom développés.

Projet 12 — Contributions open-source cyber

Contribuer à des projets open-source reconnus produit deux signaux forts : capacité à lire du code existant, aisance collaborative.

Projets accessibles aux juniors avec issues labellées « good first issue » :

  • SigmaHQ (règles de détection).
  • Nuclei templates de ProjectDiscovery.
  • OWASP ZAP add-ons.
  • Wazuh rules.
  • MISP feeds et modules.
  • Velociraptor artifacts.
  • Kali Linux packaging.
  • OpenCTI connectors.

Objectif réaliste : 2-5 PR mergées sur 12 mois, quelle que soit leur taille. Une PR qui corrige une typo dans une règle Sigma est pédagogiquement équivalente à une nouvelle fonctionnalité.

Comment structurer le GitHub et le CV

Arborescence GitHub recommandée

RepoContenuVisibilité
<username>.github.io ou profil READMEPrésentation personnelle, projets phares, stackPublique
homelab-documentationSchémas, configs Ansible/Vagrant, capturesPublique
sigma-rules-personal20-30 règles Sigma + write-upsPublique
htb-tryhackme-writeupsWrite-ups machines retiréesPublique
cyber-tools-pythonOutils custom offensifs ou défensifsPublique
blog-sourceSource Markdown du blog perso (Hugo/Next.js)Publique
Forks actifsContributions open-source en coursPublique

README de profil GitHub

Un profil GitHub réussi utilise le trick du repo <username>/<username> dont le README apparaît sur la page profil. Contenu type :

  • Pitch en 3 lignes (qui, quoi, quoi cherche).
  • Stack technique (SIEM maîtrisés, langages, outils).
  • Projets phares avec liens directs.
  • Lien blog, LinkedIn, TryHackMe/HTB, CTFtime.
  • Stats GitHub (via github-readme-stats).

Présentation sur le CV et LinkedIn

  • Section Projets avant Formation pour tout candidat junior ou reconverti.
  • 2-3 projets nommés sur le CV avec URL GitHub courte (bit.ly ou lien direct si pas trop long).
  • LinkedIn : épingler 3 publications qui pointent vers les meilleurs projets / write-ups.
  • Headline LinkedIn : remplacer « étudiant en cybersécurité » par « Blue Team | Detection Engineering | Home lab AD + Sigma rules » — plus opérationnel.

Erreurs fatales à éviter

ErreurImpactCorrection
GitHub sans README racineCandidat jugé « pas abouti »README clair en 5 minutes
15 projets entamés à 20 %Signal d'inachèvementEn finir 3, archiver le reste
Write-ups copiés d'autres blogsCrédibilité détruite si découvertRéécriture personnelle obligatoire
Home lab sans schéma ni captures« Tuto suivi » sans preuveAjouter draw.io + Kibana screenshots
CV junior sans section projetsNoyé dans la masseProjets en tête du CV
Blog sans nouveau post depuis 8 moisInactivité visibleSoit republier, soit retirer
Certifications listées sans projetsSignal « bachoteur »Équilibrer avec 3-5 projets
Forks sans commits personnelsTromperie impliciteCleanup du profil GitHub
Publications LinkedIn génériquesBruit sans valeur1 publication originale/mois
NDA bug bounty violéBlacklist communautéNe publier que ce qui est autorisé

Timeline réaliste de construction

Une construction de portfolio depuis zéro à portefeuille complet prend 8-12 mois avec 6-10h/semaine dédiées en plus de l'apprentissage technique.

MoisProjets à démarrer / finirObjectif visible
1-2Home lab basique + 1er write-up HTBRepo homelab-documentation publié
3-4Stack SIEM + 5 règles Sigma + 2-3 write-upsRepo sigma-rules-personal v0.1
5-6GOAD déployé + 5 attaques rédigées + blog lancé3-5 articles blog live
7-81er rapport bug bounty + CTF équipe + 1er outil PythonHall of Fame + profil CTFtime
9-10Investigation DFIR complète + dashboards Kibana + 2 PR open-sourcePortfolio équilibré Red + Blue
11-12Polissage README + 10 articles blog cumulés + 30 règles SigmaPortfolio présentable en entretien

Points clés à retenir

  • Un portfolio vivant pèse plus qu'une certification pour un candidat junior ou en reconversion en 2026.
  • 5-10 projets aboutis suffisent largement, viser la qualité et la finition plutôt que le volume.
  • 4 familles à équilibrer : home lab / Blue Team / Red Team / transverse.
  • GitHub public obligatoire avec README soignés, profil vivant, topics bien choisis.
  • Blog technique mensuel ou bimensuel : différenciateur massif, 5-15 articles sur 12 mois.
  • CTF et bug bounty en complément pour signaler l'activité communautaire.
  • Contributions open-source (Sigma, Nuclei, Wazuh, MISP) : ROI carrière exceptionnel par rapport à l'effort.
  • Section Projets en tête du CV, devant Formation, pour tout profil junior.
  • Timeline réaliste : 8-12 mois à 6-10h/semaine pour un portfolio présentable.

Pour aller plus loin

Questions fréquentes

  • Combien de projets faut-il dans un portfolio cybersécurité junior ?
    Entre 5 et 10 projets documentés suffisent pour un candidat junior, à condition qu'ils soient réellement finis et bien présentés. La qualité prime largement sur la quantité : 5 projets aboutis avec README détaillé, captures d'écran, schémas d'architecture et write-up technique pèsent plus lourd que 20 repos à moitié démarrés. Un recruteur cyber cherche trois signaux dans un portfolio : capacité à finir ce qui est commencé, capacité à expliquer ce qui a été fait, curiosité technique authentique. Un portfolio idéal junior combine 2 projets de home lab (Blue ou Red selon orientation), 2 write-ups CTF ou HackTheBox rédigés proprement, 1 projet de detection engineering ou de tool offensif en Python, et éventuellement 1-2 contributions open-source sur projets cyber reconnus.
  • GitHub privé ou public pour un portfolio cyber ?
    Public obligatoire. Un portfolio GitHub privé est invisible à un recruteur et n'a strictement aucune valeur de démonstration. Les éventuels projets sensibles (pentest client, bug bounty sous NDA, réponse à un CTF à venir) doivent soit rester totalement hors GitHub, soit être anonymisés et généralisés avant publication. Les recruteurs cyber valorisent particulièrement les profils GitHub « vivants » : commits réguliers sur 6-12 mois, README soignés, utilisation de topics (cybersecurity, blue-team, sigma-rules, red-team), interactions en issues et pull requests sur projets tiers. Un GitHub avec 15 commits sur 3 ans en mode forks collectés ne joue pas en faveur du candidat et peut même créer un signal négatif.
  • Un blog est-il indispensable dans un portfolio cybersécurité ?
    Non indispensable, mais fortement différenciateur. Un blog tenu à rythme mensuel ou bimensuel (5-15 articles sur 12 mois) démontre trois compétences recherchées : capacité à vulgariser, exposition délibérée, régularité. Les plateformes adaptées sont Hashnode, Ghost, Hugo, Jekyll, Next.js ou tout simplement Medium. Les sujets à privilégier sont techniques et non génériques : write-up d'une box HackTheBox, analyse d'une CVE récente, retour d'expérience sur une certification, explication d'une attaque AD en home lab. Éviter les articles « Top 10 tips to become a hacker » qui signalent le copiage de contenus Medium existants. Le blog peut remplacer en grande partie la nécessité d'un GitHub volumineux si la production écrite est solide.
  • Quels projets cyber mettre en avant quand on vient de finir une formation ?
    Trois projets minimum sortis de la formation à mettre en avant sur le CV et sur GitHub. 1) Le projet final ou mémoire de formation, si conséquent (mini-SOC, audit AD, pentest d'une infra volontairement vulnérable), accompagné du rapport expurgé et d'un README clair. 2) Un projet personnel initié en parallèle de la formation, démontrant une curiosité au-delà du programme (ex. déploiement GOAD + 5-10 write-ups d'attaques maison, 10 règles Sigma customisées). 3) Un ou deux write-ups CTF ou HackTheBox rédigés proprement, témoignant d'une pratique autonome. Le CV junior idéal après formation liste Formation + 3 projets cités nominativement avec URL GitHub + éventuelles certifications. L'ordre recommandé sur le CV : Projets, puis Formation, puis Expérience (même hors cyber), puis Certifications.
  • Comment valoriser les CTF et HackTheBox sur un portfolio ?
    Trois axes complémentaires pour valoriser les CTF et HTB. 1) Profil public traçable : compte HackTheBox avec ranking visible (Hacker, Pro Hacker, Elite Hacker sont des paliers lisibles par les recruteurs), profil CTFtime pour les CTF en équipe (SSTIC, 404 CTF, European Cybersecurity Challenge, CyberDefenders Blue Team CTF). 2) Write-ups rédigés : publier sur un blog personnel ou Medium 5-10 write-ups de box retirées HTB ou de challenges CTF publics, en respectant strictement les règles de non-publication pour les machines actives. 3) Participation en équipe documentée : apparaître dans un classement top 50 France d'un CTF national est un différenciateur fort. Éviter : copier un write-up existant, écrire un write-up sans expliquer la démarche (juste coller des commandes sans contexte), publier un write-up d'une machine encore active.
  • Le bug bounty est-il un bon projet de portfolio junior ?
    Oui pour les profils orientés pentest/red team, moyennement pour les profils blue team. Le bug bounty apporte trois éléments de portfolio : des preuves publiques de compétence (Hall of Fame HackerOne, Bugcrowd, YesWeHack), des CVE assignées si la vulnérabilité est significative, des rapports rédigés professionnellement (pour les programmes qui autorisent la publication après triage). Les plateformes recommandées pour débuter en 2026 : YesWeHack (FR, programmes francophones), HackerOne (internationale, volume), Bugcrowd (US), Intigriti (EU). Commencer par les programmes VDP (Vulnerability Disclosure Program, sans rémunération mais acceptent tous les profils). Attention : le bug bounty est chronophage et souvent frustrant en démarrage (0 soumission valide pendant 3-6 mois est normal). Ne pas en faire la pierre angulaire d'un portfolio junior, le positionner en complément.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également