Démarrer en cybersécurité depuis zéro en 2026 ne demande ni Bac+5 ni génie technique, mais une séquence d'actions ordonnées sur 18-24 mois : choisir la famille de métier (BUILD/BREAK/DEFEND/GOVERN), construire les fondamentaux Linux/réseau/Windows, passer Security+, monter un portfolio public, obtenir un premier poste à 35-50 k€. Le marché FR 2026 paie de 35 k€ junior SOC à 130 k€ specialist senior, avec ~5 000 postes débutants ouverts à un instant T. Le frein numéro 1 n'est pas la difficulté technique mais l'ordre des priorités, la majorité des candidats brûlent 6-12 mois sur des certifs sur-côtées (CISSP, CEH) ou des bootcamps marketing avant de toucher un terminal Linux. Cet article documente les 7 phases prioritaires d'une roadmap cyber débutant avec durées, livrables, certifications utiles et chiffres marché FR vérifiables.
Pour le contexte général : voir reconversion cybersécurité priorités 2026. Pour les financements : voir comment financer formation cybersécurité 2026.
Le bon mental model : tu n'apprends pas la cyber, tu apprends de l'IT durci
Beaucoup de débutants veulent « apprendre la cyber » sans comprendre que la cybersécurité n'est pas une discipline autonome, c'est une couche posée sur de l'IT solide. Sans Linux fluence, sans bases réseau (TCP/IP, DNS, HTTP), sans Windows Active Directory minimum, sans un peu de scripting, la cyber se réduit à des concepts vagues sans capacité d'action. Le piège classique : suivre 200h de cours OWASP Top 10 sans savoir lancer une VM Linux. Symptôme : profil théorique non recrutable.
Mythe roadmap débutant (médiatique 2024) vs Réalité roadmap (terrain 2026)
───────────────────────────────────────── ────────────────────────────────────
Bootcamp 3 mois → pentester embauché → 18-24 mois minimum + substrat IT
On commence par OSCP / certifs avancées → On commence par Linux Bandit + CompTIA Sec+
On choisit pentester par défaut (glamour) → On choisit selon affinité famille cognitive
Toutes les certifs cyber se valent → CISSP/CEH sur-côtés, Sec+/eJPT/SC-900 plus utiles
Pas besoin de pratique, juste lire → 200-500h pratique labs minimum
On vise un salaire 80 k€ dès le 1er poste → Junior FR 2026 = 35-45 k€, montée +5-10 k€/an
Position 1 : le candidat qui démarre la cyber sans avoir passé 100h sur un terminal Linux et configuré 5 services réseau (DNS, DHCP, HTTP, SSH, VPN) part avec un handicap structurel qu'il rattrapera difficilement. Investir les 4-8 premières semaines sur les fondamentaux IT plutôt que sur la cyber pure est contre-intuitif mais payant.
Position 2 : la mode 2024-2025 du « cyber accessible à tous en 6 mois sans IT » a produit des candidats inadaptés en grande quantité. Marchés FR 2026 saturés sur SOC N1 sans IT préalable. Pour s'en sortir : passer par helpdesk IT 12-18 mois si zéro IT, OU choisir une famille où ton substrat existant compte (GRC si XP métier réglementé, BUILD si dev existant).
Phase 1, Audit profil et choix de famille (semaines 1-2)
Avant tout investissement temps/argent, identifier ta famille cognitive cible parmi les 4 familles cyber 2026 (voir métiers cybersécurité priorités 2026).
Test des 4 familles en 1 semaine
| Jour | Exercice | Famille testée | Signal positif |
|---|---|---|---|
| J1-J2 | Déploie une app conteneurisée durcie sur k3s avec pipeline GitLab CI minimal | BUILD (DevSecOps, AppSec) | Tu es captivé par la chaîne build → deploy |
| J3 | Résous 5 challenges PortSwigger Web Academy (XSS, SQLi, IDOR) | BREAK (pentester, red team) | Tu es captivé par l'exploitation, écris un writeup spontanément |
| J4-J5 | Installe Wazuh ou Splunk Free, analyse 100 logs Windows Sysmon | DEFEND (SOC, IR, threat hunting) | Tu es captivé par la corrélation, tu cherches des patterns |
| J6-J7 | Lis NIST CSF 2.0 (publication février 2024, gratuit) + OWASP LLM Top 10 v2.0 (octobre 2024) | GOVERN (GRC, RSSI, compliance) | Tu es captivé par la structure normative, tu fais des matrices |
Position 3 : le métier que tu pratiques spontanément un week-end sans effort signale ta vraie famille. Choisir contre son tempérament cognitif (« je vais faire pentester pour le glamour même si j'aime structurer ») = burn-out garanti à 18-24 mois. Le différentiel d'engagement à 5 ans dépasse largement le différentiel salarial junior.
Audit profil de départ (5 dimensions, score 1-5)
| Dimension | Question | Score min cyber direct | Score min après détour |
|---|---|---|---|
| Code/script | Connais-tu Python ou Bash basique ? | ≥ 3 | ≥ 1 |
| Linux/CLI | À l'aise avec ssh, vim, sudo, systemctl ? | ≥ 3 | ≥ 1 |
| Réseau | Comprends-tu TCP/IP, DNS, HTTP, VPN ? | ≥ 3 | ≥ 1 |
| Windows | Connais-tu PowerShell, AD, GPO ? | ≥ 2 | ≥ 1 |
| Trésorerie | Mois de runway sans revenu ? | ≥ 6 mois | ≥ 12 mois |
Total < 12 : détour helpdesk IT 12-18 mois ou backend/SRE 24-36 mois recommandé. Total ≥ 18 : prêt cyber direct selon famille choisie.
Phase 2, Fondamentaux IT (mois 1-4, 200-300h)
Quel que soit le métier cyber visé, le socle IT est non négociable. Beaucoup de débutants veulent shortcut cette phase. C'est la principale cause d'échec.
Plan détaillé bloc par bloc
| Bloc | Sujet | Durée | Ressources | Livrable |
|---|---|---|---|---|
| 1 | Linux fluence | 4 semaines, 40-50h | OverTheWire Bandit 0-30, Linux Command Line (Shotts, gratuit en ligne), Linux Journey | Script bash provisioning serveur (50 lignes minimum) |
| 2 | Réseau TCP/IP | 3 semaines, 30-40h | TCP/IP Illustrated Vol.1 (Stevens), Wireshark labs, NetworkChuck YouTube | Diagramme architecture réseau commentée + 3 captures Wireshark expliquées |
| 3 | Windows + AD basique | 3 semaines, 30-40h | Microsoft Learn AD, Windows Internals (Solomon), HackTheBox AD intro | Lab VM Windows Server + 3 utilisateurs AD + 1 GPO |
| 4 | Python scripting | 3 semaines, 30-40h | Automate the Boring Stuff (Sweigart, gratuit), TryHackMe Python for Hackers | 3 scripts utiles (parser logs, scan port, énumération web) |
| 5 | Bash + automation | 2 semaines, 20-25h | OverTheWire Bandit advanced, Linux Foundation LFCS prep | 1 script automation infra (déploiement + monitoring basique) |
| 6 | Cloud basique (1 cloud) | 3 semaines, 30-40h | AWS Free Tier + AWS Skill Builder OU Azure Free + Microsoft Learn | Lab cloud avec 5 services déployés (compute, storage, network, IAM) |
# Lab IT débutant, semaine 1 (à savoir faire avant de toucher la cyber)
# 1. VM Ubuntu Server 22.04 LTS via VirtualBox
# 2. Connexion SSH depuis hôte
ssh-keygen -t ed25519 -C "lab@example.com"
ssh-copy-id ubuntu@192.168.56.10
ssh ubuntu@192.168.56.10
# 3. Configuration Apache + DNS dnsmasq + firewall ufw
sudo apt update && sudo apt install -y apache2 dnsmasq ufw
sudo ufw allow 22/tcp 80/tcp
sudo ufw enable
sudo systemctl enable --now apache2 dnsmasq
# 4. Premier script bash de monitoring
cat > /usr/local/bin/health-check.sh <<'EOF'
#!/bin/bash
echo "=== Health check $(date) ==="
df -h | awk '4.5 € > "80%" {print "WARN: disk", 0 €}'
free -h
systemctl status apache2 | grep Active
ss -tunlp | grep LISTEN
EOF
chmod +x /usr/local/bin/health-check.sh
echo "*/10 * * * * /usr/local/bin/health-check.sh >> /var/log/health.log" | crontab -Phase 3, Première certification cyber + lab maison (mois 4-6, 100-150h)
Phase critique : c'est là que beaucoup de débutants se perdent en empilant 4 certifs en 6 mois sans pratique. Une seule certification + 80h de lab maison = profil junior recrutable.
Première certification cyber 2026, choix selon famille
| Famille visée | Cert recommandée | Coût | Préparation | Impact embauche |
|---|---|---|---|---|
| DEFEND (SOC) | CompTIA Security+ SY0-701 | 353 € via voucher | 80-120h, 2-3 mois | Standard FR, débloque 80% postes SOC N1 |
| DEFEND (alternative) | Microsoft SC-900 (Security Fundamentals) | 148 € | 40-60h, 1-2 mois | Alignement Azure, plus rapide |
| BREAK (pentest entry) | INE eJPT (Junior Penetration Tester) | 180 € | 80-120h labs, 2-3 mois | Signal CV, niveau hands-on basique |
| GOVERN (GRC) | ISO 27001:2022 Lead Implementer (PECB) | 800-1 200€ | 60-100h + examen présentiel | Standard FR audit/compliance |
| BUILD (DevSecOps) | HashiCorp Terraform Associate | 63 € | 40-60h, 1-2 mois | Signal IaC + ROI temps |
| Toutes familles | Cisco CCST Cybersecurity (alternative low-cost) | 112 € | 60-80h, 1-2 mois | Reconnaissance modérée FR |
Lab maison à monter (mois 4-6, 80h)
# Stack lab cyber débutant 2026 (à monter 100% en local, gratuit)
# === Pour DEFEND ===
docker run -d -p 8000:8000 splunk/splunk:latest # Splunk Free 500MB/jour
git clone https://github.com/wazuh/wazuh-docker && docker compose up -d # Wazuh complet (SIEM+EDR)
# === Pour BUILD ===
curl -sfL https://get.k3s.io | sh - # cluster K8s minimal
brew install trivy semgrep gitleaks checkov cosign # stack DevSecOps OSS
# === Pour BREAK ===
docker run -ti -p 80:80 vulnerables/web-dvwa # Damn Vulnerable Web App
docker run -d -p 3000:3000 bkimminich/juice-shop # OWASP Juice Shop
# Plateforme : TryHackMe (gratuit + abonnement 13 €/mois)
# === Threat Intel + apprentissage tous métiers ===
git clone https://github.com/MISP/MISP # threat intel platform
git clone https://github.com/SigmaHQ/sigma # règles détection génériquesPhase 4, Portfolio public + premiers projets visibles (mois 6-9, 100h)
Le portfolio public est le différenciateur numéro 1 entre 200 candidats SOC junior identiques. Recruteurs FR 2026 lisent GitHub avant LinkedIn dans 70% des cas pour profils techniques.
Portfolio minimum embauchable
| Livrable | Plateforme | Effort | Valeur entretien |
|---|---|---|---|
| 5-8 writeups CTF/HTB/THM résolus | Blog perso (Astro/Hugo gratuit), GitHub README | 30-50h | Lu par 80% des recruteurs cyber techniques |
| 1 lab personnel documenté (SOC ou DevSecOps) | GitHub repo public + README détaillé | 20-30h | Différencie short-list |
| 3-5 articles techniques (Medium, dev.to, blog perso) | Plateforme publique | 15-25h | Signal communicant + technique |
| 1 PR open source mergée | GitHub (sigma, suricata, MISP, awesome-lists) | 5-15h | Signal collaboration et technique |
| Profil LinkedIn optimisé | 5-10h | Indexation recruteurs |
Idées projets portfolio par famille
# Idées projet portfolio par famille cyber
PROJETS_PORTFOLIO = {
"DEFEND (SOC, IR)": [
"Lab SIEM Splunk + Wazuh + Sysmon + 5 sources logs + 10 dashboards custom",
"10 Sigma rules custom détection MITRE ATT&CK avec writeup",
"Playbook IR phishing (template open source) + automation Python",
"Reproduction incident SolarWinds / XZ Utils 2024 avec détections proposées",
],
"BUILD (DevSecOps)": [
"Pipeline GitLab CI complet 10 étapes (Trivy + Semgrep + Cosign + SBOM)",
"Application Python + Helm chart durci + scan policies Kyverno",
"Module Terraform AWS Landing Zone sécurisé (CIS benchmark)",
"Comparaison Trivy vs Snyk vs Grype sur 5 images Docker",
],
"BREAK (pentester)": [
"10 writeups HackTheBox/TryHackMe machines easy/medium",
"Reproduction CVE-2024-x web vulnérabilité + PoC + fix",
"Scripts énumération AD basique (Impacket + BloodHound)",
"OSINT investigation publique sur cible publique consentie",
],
"GOVERN (GRC)": [
"Mapping ISO 27001:2022 contrôles → outils techniques concrets",
"Template gap assessment NIS2 (transposée FR octobre 2024)",
"Matrice risques EBIOS RM sur scénario fictif documenté",
"Audit OPA + OSCAL pour automatisation contrôles compliance",
],
}Position 4 : viser « quantité » de certifs sans portfolio public est l'erreur stratégique numéro 1 du débutant cyber 2026. Inverser la priorité : 1-2 certifs + 5 projets publics > 5 certifs + 0 projet public dans 80% des entretiens techniques sérieux.
Phase 5, Premier poste / stage (mois 9-15)
L'objectif réel n'est pas d'apprendre indéfiniment, c'est de toucher la production. Premier poste en alternance, stage 6 mois ou CDI junior débloque l'apprentissage 5x plus vite que les labs solo.
Stratégies premier poste FR 2026
| Stratégie | Public cible | Time-to-money | Rémunération |
|---|---|---|---|
| Alternance Master Cyber (Bac+5) | Étudiants 22-25 ans, 1-2 ans | 12-24 mois | 800-1 800€/mois pendant alternance |
| Stage 6 mois fin de formation | Étudiants formation continue | 6 mois | 600-1 500€/mois |
| CDI junior direct via bootcamp réseau | Reconversion adultes | 6-12 mois | 35-45 k€ junior FR |
| Freelance débutant via portage | Profils déjà IT solides | 3-6 mois | TJM 350-500€/jour (rare en cyber junior) |
| ESN cyber spécialisée stagiaire / junior | Profils mixtes | 3-9 mois | 32-42 k€ junior |
| Réseautage interne entreprise actuelle | Salariés en interne | Variable | Mobilité interne, +5-15 k€ |
Top employeurs débutants cyber FR 2026
| Tier | Type | Exemples | Salaire junior | Spécificité |
|---|---|---|---|---|
| 1 | Pure players cyber FR | Tehtris, Sekoia, GitGuardian, Snowpack | 42-55 k€ | Stack moderne, formation interne forte |
| 2 | Scale-ups SaaS premium | Doctolib, Back Market, Mirakl, Qonto | 45-55 k€ + BSPCE | Stack moderne, mentorat seniors |
| 3 | MSSP cyber spécialisés | I-Tracing, Almond, Synetis, Orange Cyberdéfense | 38-50 k€ | Volume missions variées, montée rapide |
| 4 | CSIRT bancaires (junior) | BNP, SocGen, Crédit Agricole | 40-50 k€ + bonus | Stabilité, formation continue |
| 5 | Industrie / défense (alternance) | Thales, Airbus, Naval Group, Safran | 38-48 k€ | Habilitation possible, projets longs |
| 6 | Start-ups cyber FR | Sekoia, Snowpack, Shift Technology | 38-48 k€ + equity | Petite équipe, polyvalence |
| 7 | ANSSI / CERT-FR | ANSSI, ENISA | 35-45 k€ + statut public | Mission service public |
| 8 | ESN généralistes | Capgemini, Sopra Steria, Atos | 32-42 k€ | Volume, missions variées |
Phase 6, Spécialisation choisie (mois 15-24)
Une fois embauché, la fenêtre 6-18 mois après l'embauche est critique pour choisir une niche dans la famille. Rester généraliste après 24 mois = plafonnement.
| Famille | Spécialisations à viser années 2-3 | Salaire visé an 3-4 |
|---|---|---|
| DEFEND | Threat hunter, IR/DFIR, threat intel, cloud security monitoring | 60-80 k€ |
| BUILD | Cloud Security AWS/Azure, K8s platform, supply chain (SLSA) | 70-90 k€ |
| BREAK | Web/cloud, Active Directory, AI Red Team (premium) | 60-85 k€ |
| GOVERN | NIS2/DORA compliance, audit-as-code (OSCAL), CISO operationnel | 60-85 k€ |
Phase 7, Veille permanente + community (continu)
Le métier évolue vite : 2024 = explosion supply chain (XZ Utils CVE-2024-3094 mars 2024), 2024-2025 = AI Red Team émerge, 2025 = NIS2 transposée FR, DORA applicable. Sans veille structurée, obsolescence en 24 mois.
Stack veille minimum 2026
| Source | Fréquence | Valeur |
|---|---|---|
| RSS Feedly (15-20 sources) | Quotidien 30 min | Filtrage signal vs bruit |
| MITRE ATT&CK + ATLAS updates | Mensuel | Référentiel à jour |
| Newsletters : tl;dr sec, Risky Biz, SANS @RISK | Hebdo | Veille curated |
| Conférences (DEFCON, BlackHat, BSides Paris, Le Hack, OWASP Paris) | Annuel | Réseau + tendances |
| OWASP / NIST / ANSSI advisories | Hebdo | Frameworks officiels |
| GitHub trending (security topic) | Hebdo | Outils émergents |
Erreurs fréquentes du débutant cyber 2026
| Erreur | Coût estimé | Fix |
|---|---|---|
| Empiler 4 certifs en 6 mois sans labs | -8 à -15 k€ vs portfolio + 1 cert | 1 cert (Sec+) + 80h labs + 5 writeups publics |
| Viser pentester direct avec bootcamp 3 mois | Frustration + démission 18 mois | Détour SOC/DevSecOps OU 18-30 mois prep avec OSCP |
| Ignorer fondamentaux IT (Linux/réseau) | Stagnation technique 12 mois | Phase 2 obligatoire avant cyber pure |
| Choisir famille selon glamour (BREAK Mr. Robot) | Burn-out 18-24 mois | Test 4 familles 1 semaine avant décider |
| Refuser stage/alternance pour aller direct CDI | Time-to-money +6-12 mois | Accepter stage 6 mois ou alternance pour 1ère XP |
| Investir CISSP en 1ère certif | -674 € + 6 mois sans ROI junior | Sec+ d'abord, CISSP réservé 5+ ans XP |
| Ignorer le portfolio public GitHub | CV invérifiable | 5 repos publics + writeups + lab documenté |
| Croire qu'un Bac+5 cyber est obligatoire | -3 à -5 ans + 30-60 k€ | Formation continue 18 mois + certifs + portfolio = équivalent |
| Faire du bootcamp 100% vidéo passive | -5 000-12 000€ sans projet utile | Bootcamp avec accompagnement individuel + projets revus |
Pour aller plus loin
- Reconversion cybersécurité priorités 2026, top 7 priorités globales reconversion adulte.
- Métiers cybersécurité priorités 2026, 7 métiers cyber comparés par famille BUILD/BREAK/DEFEND/GOVERN.
- Analyste SOC c'est quoi priorités 2026, détails porte d'entrée DEFEND.
- Devenir DevSecOps priorités 2026, parcours BUILD avec niches premium.
- Devenir pentester priorités 2026, parcours BREAK détaillé.
- Comment financer formation cybersécurité 2026, 8 dispositifs FR (CPF, OPCO, France Travail, etc.).
- Bootcamp cybersécurité en ligne France 2026, comparatif formats accélérés.
Points clés à retenir
- Roadmap cyber débutant 2026 = 7 phases sur 18-24 mois : audit profil, fondamentaux IT, certif + lab, portfolio public, premier poste, spécialisation, veille permanente.
- La cyber n'est pas une discipline autonome : sans Linux fluence + réseau TCP/IP + Windows/AD basique + Python/Bash, profil non recrutable.
- 4 familles cyber 2026 : BUILD (DevSecOps, AppSec), BREAK (pentester), DEFEND (SOC, IR), GOVERN (GRC, RSSI). Test 1 semaine pour identifier sa famille.
- Phase 2 fondamentaux IT (mois 1-4, 200-300h) est non négociable. Linux Bandit + TCP/IP + Windows AD basique + Python + 1 cloud.
- Première certification optimale : CompTIA Security+ (353 €, 80-120h prep) pour 80% des cas. Alternatives selon famille : eJPT, ISO 27001 Lead Implementer, Terraform Associate, SC-900.
- Anti-pattern majeur : empiler CISSP + 4 CompTIA en 12 mois sans labs ni portfolio public. Inverser : 1 cert + 5 projets publics > 5 certs + 0 projet.
- Portfolio public = différenciateur numéro 1. Minimum embauchable : 5-8 writeups + 1 lab documenté + 3-5 articles techniques + 1 PR OSS mergée.
- TryHackMe abonnement 13 €/mois = ressource d'apprentissage à plus haut ROI débutant 2026. 100-150h sur parcours « SOC Level 1 » = signal CV crédible.
- Salaires premier poste FR 2026 : 35-45 k€ junior SOC/GRC, 38-48 k€ junior DevSecOps, 38-50 k€ junior pentester. Différentiel +20-30% scale-up vs ESN généraliste.
- Top employeurs débutants : pure players cyber (Tehtris, Sekoia, GitGuardian), scale-ups SaaS (Doctolib, Mirakl), MSSP cyber (I-Tracing, Almond), CSIRT bancaires (BNP, SocGen).
- 8 dispositifs financement FR : CPF (500-5 000€), OPCO (50-100% pour salariés), France Travail AIF, Transitions Pro PTP, AGEFICE, FIFPL, FAFCEA, AFDAS Auteurs.
- Stratégie 24 mois optimale : choix famille (S1) + fondamentaux IT (M1-4) + Sec+ + lab (M4-6) + portfolio (M6-9) + 1er poste 35-45 k€ (M9-15) + spécialisation niche (M15-24) → palier 50-65 k€ confirmé année 3.
