Zeroday Cyber Academy

Reconversion cybersécurité

Travailler en cyber : par où commencer en 2026

Choisir sa spécialité cyber 2026 : 10 métiers comparés, arbre de décision selon profil, plan apprentissage, certifs et salaires 35-130k€ FR.

Naim Aouaichia
15 min de lecture
  • Reconversion
  • Orientation
  • Métiers cyber
  • Carrière
  • Apprentissage
  • Cybersécurité

Le marché cybersécurité français comptait 17 000 postes ouverts en 2024 selon le Baromètre ANSSI/CyberCercle, avec un délai moyen de recrutement de 9 mois sur les profils seniors. Pourtant, beaucoup d'aspirants se trompent en démarrant, moins de 10% des postes cyber 2026 sont en pentest, alors que c'est la spé la plus marketée. Le marché embauche massivement en SOC analyst (35-55k€ entrée), GRC / risk analyst (40-65k€), DevSecOps junior (50-65k€), AppSec engineer (55-70k€), cloud security junior (60-80k€). Cet article documente les 10 métiers cyber 2026 avec leurs prérequis, salaires et durées d'apprentissage ; un arbre de décision selon ton background (non-tech / sysadmin / dev / étudiant) ; un plan d'apprentissage 6-18 mois structuré ; les certifications à viser par ordre (Security+, SC-200, ISO 27001 LI, AWS Security, eJPT) ; les anti-patterns persistants, notamment « démarrer pentest sans bases », « bootcamp 3 mois sans certif reconnue », « tout apprendre en parallèle ». Budgets formation 2026 : 500-2000€/an autodidacte, 8-15k€ bootcamp privé (souvent finançable CPF/OPCO/France Travail), gratuit en université publique.

Pour le cas spécifique du dev qui passe en cyber : voir Développeur vers cybersécurité : roadmap 2026. Pour la dimension financement : Financement formation cybersécurité.

Le bon mental model : la cybersécurité n'est pas un métier, c'est 15 métiers

Erreur cognitive la plus fréquente : croire que « la cybersécurité » est un métier unique. Faux. C'est une famille de 15+ métiers distincts qui ont en commun un objectif (protéger l'information) mais des stacks techniques, prérequis, salaires, et marchés très différents.

Trois axes de différenciation :

AxePôle 1Pôle 2
PostureDéfensif (blue team, GRC, SOC)Offensif (red team, pentest)
SurfaceTechnique (DevSecOps, cloud, pentest)Gouvernance (GRC, audit, conformité)
MétierConstruction (AppSec, cloud security)Opération (SOC, IR, forensic)

Un GRC analyst senior et un pentester senior se croisent peut-être en réunion 1 fois par an, ils font deux métiers presque opposés. Un SOC analyst et un AppSec engineer ont 5% de stack en commun. Comprendre cette diversité est le premier pas pour choisir intelligemment.

Les 10 métiers cybersécurité 2026 : grille complète

MétierStackPrérequisDurée apprentissage zéro→juniorSalaire FR juniorSalaire FR seniorDemande marché 2026
SOC analyst N1/N2Splunk, Sentinel, ELK, EDR, KQLOS basics, réseau, calme9-15 mois35-50k€65-90k€Très forte (volume)
GRC / Risk analystISO 27001, EBIOS RM, NIS2, RGPDRédaction, juridique, méthodo6-12 mois40-55k€80-110k€Forte (NIS2 driver)
DevSecOps engineerSemgrep, Trivy, AWS, K8s, CI/CDBases dev/DevOps6-12 mois (ex-dev: 3-6)50-65k€85-110k€Très forte
AppSec engineerOWASP, Burp, threat modelingBases dev9-15 mois (ex-dev: 4-7)55-70k€90-120k€Forte big tech
Cloud security engineerAWS/Azure/GCP, IAM, CSPMBases cloud + ops9-15 mois60-80k€100-130k€Pénurie aiguë
Pentester webBurp, sqlmap, OWASP, AD, OSCPBases web + Linux18-30 mois45-60k€80-100k€ salarié, 600-1300€/j freelanceMid concurrentiel, senior tendu
Red teamerSliver, Mythic, AD adv, EDR evasion3-5 ans pentest préalablePas un entry-leveln/a100-180k€Niche, rare
Threat intel analystOSINT, MISP, ATT&CK, malwareVeille active, anglais9-15 mois45-65k€80-110k€Niche stable
DFIR analystVolatility, Plaso, EDR, IR runbooksVolume calme, méthodo12-18 mois50-65k€90-130k€Demande forte post-incident
AI/LLM security engineerOWASP LLM, ATLAS, prompt injectionBases dev IA + sécurité12-18 mois (ex-dev IA: 6-12)70-95k€130-180k€Pénurie aiguë

Variations géographiques : Paris/IDF +10-15%, Suisse +50-80%, UK +15-30%, US tech +50-150%.

Arbre de décision : quel chemin selon ton background

Profil A : Non-technique (compta, juridique, projet, RH, marketing)

Recommandé : GRC / risk analyst, DPO (Data Protection Officer), audit cyber, gestion de crise.

Pourquoi : ces métiers valorisent ta rédaction, ton sens du processus, ta capacité à comprendre les enjeux business. Tu ne pars pas de zéro, tes 5-15 ans de monde corporate sont un atout pour parler à des dirigeants, comprendre les contrats, lire des normes ISO.

Stack à apprendre :

  • ISO 27001:2022, ISO 27005:2022 (risk management).
  • EBIOS Risk Manager (méthode ANSSI obligatoire en SecNumCloud).
  • NIS2 directive (transposée FR octobre 2024, décret 2024-1126), DORA (UE 2022/2554, applicable 17 janvier 2025), RGPD.
  • Notions techniques : OWASP Top 10 (compréhension haut niveau), MITRE ATT&CK (matrice), CIA triad.

Certifs cible :

  • Certified DPO (CNIL ou organismes équivalents, 2-3 jours, ~1500€).
  • ISO 27001 Lead Implementer (PECB, ~1500€).
  • ISO 27005 Risk Manager (PECB, ~1500€).
  • En 2-3 ans : CISSP (749$, demande 5 ans XP).

Durée : 6-12 mois pour entrée GRC junior (40-55k€/an).

Profil B : Sysadmin / ops / réseau

Recommandé : SOC analyst N2/N3, cloud security engineer, IR/DFIR.

Pourquoi : tu as déjà la culture infra (Linux, Windows Server, Active Directory, réseau, virtualisation). Le saut vers la sécurité est court, tu ajoutes la lentille adverse à ce que tu fais déjà.

Stack à apprendre :

  • SIEM : Splunk Enterprise Security (référence enterprise), Microsoft Sentinel (Azure-native, demande forte 2026), Elastic Security (open source).
  • EDR : CrowdStrike Falcon, SentinelOne, Microsoft Defender XDR.
  • KQL (Kusto Query Language) pour Sentinel/Defender, SPL pour Splunk.
  • MITRE ATT&CK matrice complète.
  • Sysmon + Sigma rules.
  • Cloud : AWS GuardDuty, Azure Defender for Cloud, GCP SCC.

Certifs cible :

  • Microsoft SC-200 (165$, ~2 mois prep, indispensable Sentinel).
  • Splunk Core Certified User (gratuit) puis Power User (125$).
  • AWS Security Specialty (300$).
  • En 1-2 ans : GCIH (GIAC Certified Incident Handler, ~7000$ employer-paid).

Durée : 6-12 mois pour SOC N2 (45-65k€/an), 12-18 mois pour cloud security junior (60-80k€/an).

Profil C : Développeur

Recommandé : DevSecOps, AppSec, AI/LLM security. Voir article dédié Développeur vers cybersécurité : roadmap 2026.

Durée : 3-6 mois DevSecOps, 4-7 mois AppSec, 6-12 mois AI/LLM security.

Profil D : Étudiant Bac+2 à Bac+5

Recommandé : alternance ou stage en SOC analyst N1, GRC analyst, DevSecOps si formation tech.

Pourquoi : l'alternance est le meilleur ratio pour percer en cyber sans expérience, l'employeur paie ta formation et te transforme en collaborateur opérationnel pendant 1-2 ans. Master 2 cyber + alternance = salaire d'entrée 38-50k€ post-diplôme avec XP réelle.

Cursus recommandés FR :

  • M2 SSI Université Rennes 1 (excellent, public).
  • M2 SSI Université de Limoges (CryptoIS).
  • M2 Cybersécurité Sorbonne Université (avec École 42 + EPITA partenariats).
  • Mastère SecOps EPITA Paris.
  • M2 Cybersécurité CentraleSupélec (alternance, top école).
  • Cursus alternance Wild Code School Cybersécurité (~12 mois).

Certifs étudiants :

  • CompTIA Security+ (370$).
  • eJPT v2 (250-400$).
  • AWS Cloud Practitioner (100$).

Profil E : Reconversion totale (40+ ans, peu/pas de tech)

Recommandé : GRC, audit cyber, gestion de crise, DPO, formation cyber (formateur, vulgarisateur).

Pourquoi : tes 15-25 ans d'expérience pro précédente sont un actif, pas un handicap. Tu es plus crédible pour parler à un comex que pour pondre du Python en CI. Le marché valorise les profils mâtures sur les fonctions transverses cyber.

Plan : bootcamp privé 4-6 mois finançable CPF (~6-10k€) + alternance 6-12 mois ou direct entrée junior. Salaire entrée 40-55k€/an.

Plan d'apprentissage 12 mois (template universel)

Mois 1-3 : FONDAMENTAUX UNIVERSELS
├── OS basics : Linux (Bash, permissions, processes), Windows (Active Directory)
├── Réseau : OSI, TCP/IP, DNS, HTTP/S, TLS
├── Crypto basics : symétrique vs asymétrique, hash, signatures
├── OWASP Top 10 2021 (lecture + writeups)
├── MITRE ATT&CK matrice (lecture)
└── Lectures : "Computer Security" Anderson, OWASP Cheat Sheets

Mois 4-6 : SPÉCIALISATION (1 chemin parmi A-E ci-dessus)
├── Stack outillage spé (SIEM, Burp, Semgrep, ISO 27001…)
├── 5-10 labs pratiques HackTheBox / TryHackMe / Practical DevSecOps
├── 1ère certif (Security+, SC-200, eJPT, ISO 27001 LI…)
└── Portfolio public démarré (GitHub, Medium)

Mois 7-9 : APPROFONDISSEMENT + RECHERCHE EMPLOI
├── 2e certif spécialisée (AWS Security, OSCP en prep, CISSP study…)
├── Contributions OSS / writeups CTF / blog
├── Postulations massives (50-100 candidatures)
└── Préparation entretien technique (TJC, Pluralsight, OffSec)

Mois 10-12 : PREMIER POSTE + ONBOARDING
├── Signature CDI/alternance
├── Onboarding équipe
├── Continuation veille (TLDR Sec, Risky Business, ANSSI)
└── Plan année 2 (certif avancée, montée en compétence)

Volume horaire : 10-20h/semaine pour autodidacte avec emploi parallèle, 35-45h/semaine pour bootcamp temps plein.

# Setup labo personnel cybersécurité, gratuit ou peu cher
# Plateformes pratique
# - HackTheBox VIP : 14$/mois (machines retired sans VPN)
# - TryHackMe Premium : 14$/mois (parcours guidés débutant)
# - OffSec Proving Grounds Practice : 17$/mois (machines OSCP-like)
# - PortSwigger Web Security Academy : gratuit (référence web)
# - Microsoft Learn Security : gratuit
# - AWS Skill Builder : gratuit (parcours sécurité)
 
# Outillage local (Linux/macOS)
# Hyperviseur
brew install --cask virtualbox  # ou VMware Fusion 13 gratuit personnel
 
# VM Kali Linux
# Télécharger ISO sur https://www.kali.org/get-kali/
 
# Outils basiques
brew install nmap wireshark git python3 go
 
# Burp Suite Community (gratuit, suffit débutant)
brew install --cask burp-suite
 
# OWASP ZAP (alternative gratuite)
brew install --cask owasp-zap
 
# Containers pour labs
brew install docker
docker pull vulnerables/web-dvwa
docker pull bkimminich/juice-shop  # OWASP Juice Shop

Certifications à viser par ordre selon spé

SpécialitéCertif #1 (entrée)Certif #2 (1-2 ans XP)Certif #3 (3-5 ans XP)
SOC / défensifSecurity+ (370$) ou SC-200 (165$)GCIH (~7000$) ou Splunk Power UserCISSP (749$, 5 ans XP) ou GCFA
GRC / riskISO 27001 LI (~1500€)CISA (760$) ou CISM (760$)CISSP ou CRISC
DevSecOpsAWS Cloud Practitioner (100$)AWS Security Specialty (300$)CKS Kubernetes Security ou CDP
AppSecBurp Suite Practitioner (99£)OSWE (1700$)Black Belt Security Certification
Cloud securityAWS Security Specialty (300$)AZ-500 (165$) ou GCP PCSE (200$)CCSP (599$)
PentesteJPT v2 (250-400$)OSCP (1700-2500$)OSEP (1700$) ou OSWE (1700$)
AI/LLM securityOWASP LLM cheat sheet studyAI Pentester certs (émergent)Custom path
Threat intelSANS FOR578 (~7000$)GIAC GCTI (~7000$)CTI lead role
DFIRSANS FOR508 (~7000$)GCFA / GCIHCFA / advanced DFIR

Erreurs fréquentes en orientation cybersécurité

ErreurSymptômeFix
Démarrer pentest sans basesOSCP raté, frustration, dépenses inutilesBases OS/réseau/code d'abord, eJPT avant OSCP
Tout apprendre en parallèleAucune progression sérieuse, dispersion1 spé bloc 1, autres exposure seulement
CEH en première certif1200$ pour valeur technique faibleSecurity+ (370$) ou SC-200 (165$) à la place
Bootcamp 3 mois sans certifDiplôme local invisible marchéCompléter par certif reconnue (Security+, AWS Sec)
Ignorer alternance comme étudiantDette CPF + retard expérienceAlternance > école pure pour cyber
Postuler senior sans XPRefus systématiqueDémarrer junior, monter vite
Pas de portfolio public« J'ai fait un bootcamp » sans preuveGitHub + writeups + blog technique
Quitter emploi avant transition validéeStress financier, pressionTransition en parallèle 6-12 mois
Ne pas réseauterPostulations à froid, peu de retoursLinkedIn actif, OWASP Paris, BSides, conf
Snobber GRC car « pas tech »Marché grand, salaires corrects, accessibleGRC = excellent ROI pour profils non-tech
Suivre tendance « AI security » sans fondationsProfil incohérent, refus entretienBases sécu d'abord, AI security après 1-2 ans
Tout miser sur certif sans pratiquePapier sans valeur en entretien techniquePratique 60% / théorie 40%, certif valide pratique

Mapping entre profils cyber et entreprises qui recrutent

Type entrepriseMétiers cyber qui embauchentProfils ciblésSalaires entrée 2026
Big tech FR (Criteo, Doctolib, Datadog, Mirakl, Talend)DevSecOps, AppSec, cloud security, AI securityDev confirmés en transition60-90k€
Banque / assurance (BNP, SG, AXA, Crédit Agricole)SOC, GRC, audit cyber, IRSysadmin, juriste, profils mixtes40-65k€
ESN / cabinet conseil (Capgemini, Wavestone, Deloitte, Accenture)Audit cyber, GRC, mission clientÉtudiants Bac+5, juniors polyvalents38-50k€
Pure player cyber FR (Stormshield, Wallix, ITrust, Tehtris)R&D produit, pentest, threat intelProfils techniques avancés45-70k€
Pure player cyber US (CrowdStrike, Palo Alto, Wiz)Threat hunter, customer security, R&DSenior English-speaking90-180k€
Industrie / OT (Airbus, Total, EDF, ArcelorMittal)OT security, IR, GRC complianceProfils ingénieurs industriels50-75k€
Public / défense (ANSSI, Orange Cyberdefense, Thales, Atos)Audit, GRC, SOC souverainHabilités, profils sériés38-65k€
Startup cyber (Sekoia, Filigran, HarfangLab)DevSecOps, R&D, customer securityProfils tech autonomes50-80k€
Bug bounty / freelancePentester web, red teamerProfils 3+ ans XP autonomes600-1500€/j HT

Pour aller plus loin

Points clés à retenir

  • La cybersécurité = 15+ métiers distincts avec stacks, prérequis et marchés très différents. Pas un métier unique. Choisir selon background existant, pas selon image marketée.
  • Marché cyber FR 2024 : 17 000 postes ouverts (Baromètre ANSSI/CyberCercle), délai recrutement médian 9 mois sur seniors. Demande forte sauf entry-level pentest concurrentiel.
  • Moins de 10% des postes cyber 2026 sont en pentest, alors que c'est la spé la plus marketée (CTF, BlackHat, hoodies). Marché embauche surtout SOC, GRC, DevSecOps, AppSec, cloud.
  • Arbre de décision selon background : non-tech → GRC/DPO (40-55k€), sysadmin → SOC/cloud (45-65k€), dev → DevSecOps/AppSec (50-70k€), étudiant → alternance M2 cyber.
  • Durées d'apprentissage zéro→junior : GRC 6-12 mois, SOC N1 9-15 mois, DevSecOps depuis dev 3-6 mois (depuis zéro 18-24), pentest pro 18-30 mois.
  • Budget formation 2026 : autodidacte 500-2000€/an, bootcamp 8-15k€ (souvent finançable CPF/OPCO), Master 2 public gratuit ou peu cher, M2 privé 7-15k€/an.
  • Certifs entrée selon spé : Security+ (370$) / SC-200 (165$) pour SOC, ISO 27001 LI (~1500€) pour GRC, AWS Cloud Practitioner (100$) puis AWS Security Specialty (300$) pour DevSecOps, eJPT v2 (250-400$) pour pentest.
  • Plan 12 mois universel : mois 1-3 fondamentaux universels (OS, réseau, crypto, OWASP, ATT&CK), 4-6 spécialisation + 1ère certif, 7-9 approfondissement + 2e certif + recherche emploi, 10-12 onboarding 1er poste.
  • Volume horaire : 10-20h/semaine autodidacte avec emploi parallèle, 35-45h/semaine bootcamp temps plein.
  • Anti-pattern n°1 : démarrer pentest sans bases → OSCP raté à 1700$, frustration. Démarrer en spé alignée avec background, pivoter pentest après 2-3 ans XP si appétence confirmée.
  • Anti-pattern n°2 : CEH en première certif (1200$, technique faible). Préférer Security+ (370$) ou SC-200 (165$) qui valident techniquement.
  • Anti-pattern n°3 : tout apprendre en parallèle (SOC + pentest + cloud + AI). Aucune progression sérieuse. Discipline : 1 spé bloc principal, autres en exposure seulement.
  • Position : viser le métier où le marché embauche réellement, en alignement avec ton CV existant, avec certif reconnue qui valide ta pratique. Pas le métier que tu trouves « le plus cool ». Pivoter plus tard quand l'XP est acquise.

Questions fréquentes

  • Faut-il commencer par le pentest pour entrer en cybersécurité ?
    Non, c'est même souvent un mauvais choix initial. Le pentest est marketé partout (CTF, HackTheBox, BlackHat) mais représente moins de 10% des postes cyber en 2026 selon les chiffres ANSSI/Cybermalveillance. Le marché embauche surtout en SOC analyst, DevSecOps, GRC, AppSec, cloud security. Le pentest demande typiquement 18-24 mois de pratique pour un niveau facturable, certifs OSCP (1700-2500$, taux de réussite ~30% en first attempt), et expérience préalable. Démarrer SOC analyst N1 (35-50k€/an entrée) ou DevSecOps junior (50-65k€/an si background dev), pivoter pentest après 2-3 ans XP. Position : ne pas se laisser séduire par l'image glamour, viser le métier où le marché embauche réellement.
  • SOC analyst, DevSecOps, GRC ou AppSec : lequel pour débuter ?
    Dépend de ton background. **Profil non-tech (compta, juridique, projet)** : GRC / risk analyst (vocabulaire ISO 27001, NIS2, EBIOS RM, salaires 40-65k€ entrée). **Profil sysadmin / ops** : SOC analyst N1/N2 (Splunk, Sentinel, ELK, salaires 35-55k€ entrée) ou cloud security junior (60-80k€ entrée). **Profil dev** : DevSecOps junior (50-65k€) ou AppSec (55-70k€). **Profil étudiant pur** : SOC analyst N1 ou stage GRC, plus facile à percer. Le pentest et red team sont des spécialisations advanced, pas un entry-level réaliste sans 2-3 ans XP préalable. Position : choisir selon ton background existant, pas selon l'image que tu te fais d'un métier.
  • Combien de temps pour entrer en cybersécurité depuis zéro ?
    12-24 mois selon spé et background. **GRC analyst** entrée possible en 6-12 mois (bootcamp 3-6 mois + alternance 6 mois ou stage). **SOC analyst N1** : 9-15 mois (bootcamp + certif Splunk/Microsoft Sentinel). **DevSecOps depuis dev** : 3-6 mois (voir article dédié transition dev→cyber). **DevSecOps depuis zéro** : 18-24 mois (apprendre code + DevOps + sécurité en parallèle). **Pentest pro** : 18-30 mois minimum (OSCP demande 6-12 mois prep solide). Plus court possible si financement CPF + bootcamp temps plein 6 mois (~12-15k€ prix marché 2026). Plus long si autodidacte temps partiel.
  • Quel budget formation cybersécurité prévoir en 2026 ?
    Trois fourchettes selon ambition. **Autodidacte** : 500-2000€/an (HackTheBox 14$/mois, TryHackMe 14$/mois, OffSec Proving Grounds 99$/mois, certs eJPT 250-400$, livres 200-400€, ordinateur correct 1000-1500€). **Bootcamp privé court 3-6 mois** : 8-15k€ (souvent finançable CPF jusqu'à 5500-8000€, OPCO entreprise, France Travail si demandeur d'emploi). **Master 2 cyber FR** : 7-15k€/an école privée (Epitech, Hetic, IPI), gratuit ou très peu cher en université publique (Sorbonne, Rennes 1, Lille). **Master spécialisé alternance** (CentraleSupélec, Télécom SudParis) : gratuit pour l'étudiant, financé entreprise. ROI typique : 1ère année post-formation 35-65k€ selon spé, 60-110k€ après 3-5 ans.
  • Quelles certifications passer en premier sans expérience préalable ?
    Trois choix selon spé visée. **Pour SOC / défensif** : Microsoft SC-200 (165$, ~2 mois prep, idéal débutant Sentinel/Defender) ou CompTIA Security+ (370$, baseline 2 mois). **Pour GRC / risk** : ISO 27001 Lead Implementer (PECB, ~1500€, 5 jours formation + exam) ou Certified DPO (CNIL FR, 2-3 jours). **Pour DevSecOps / cloud** : AWS Cloud Practitioner (100$, baseline) puis AWS Security Specialty (300$, niveau associate avec 2-3 mois prep). **Pour pentest** : eJPT v2 (250-400$, 1-2 mois prep, parfait débutant). Position : éviter CEH (1200$, technique faible mais marketing fort) en première certif, préférer Security+, SC-200 ou eJPT qui valident techniquement. La certif sans pratique = papier sans valeur en entretien technique.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également