Zeroday Cyber Academy

Reconversion cybersécurité

Roadmap progression cybersécurité 2026 : 5 niveaux

Plan de progression cyber 2026 : 5 niveaux junior à staff/principal, critères XP/certifs/salaire, plan annuel, T-shaped vs M-shaped.

Naim Aouaichia
15 min de lecture
  • Reconversion
  • Progression carrière
  • Niveaux cyber
  • Plan annuel
  • Mentoring
  • Skill stacking

Progresser en cybersécurité demande un plan, pas juste de l'effort, la majorité des seniors qui stagnent à 5-8 ans XP n'ont pas un manque de talent, mais une absence de plan annuel structuré. La trajectoire 2026 standard : junior 0-2 ans (50-65 k€ DevSecOps, supervisé) → mid 2-4 ans (65-85 k€, autonome) → senior 5-8 ans (85-110 k€, mentor + choix techniques) → staff/principal 8-12 ans (130-180 k€, influence org-wide) → distinguished/fellow 12+ ans (200 k€+, leadership communauté). 5 critères objectifs définissent chaque niveau : scope mission, mentoring d'autres, décisions architecturales, visibilité externe (talks, OSS, papers), salaire marché. Stratégies de skill stacking : T-shaped (1 spé profonde 10/10 + 5-7 connexes 5/10, ~70% des cyber pros) recommandée junior-mid ; M-shaped (2-3 spés profondes) à partir de 5-8 ans XP pour management / consulting ; Pi-shaped (2 spés à 10/10) rare et premium. Plan annuel en 4 axes : skill principal (80-150h/an sur 1 thème), 1-2 certifs alignées progression (CISSP année 5, AWS Sec année 2, OSCP année 3-4), visibilité externe (6-12 articles, 1-3 conférences, 1-2 contribs OSS), mentoring (mentee 1-3 juniors + 1 mentor senior 1h/trimestre). 6 signaux de plateau qui méritent changement d'environnement. Cet article documente les 5 niveaux cyber, les critères objectifs, le plan annuel structuré, le skill stacking et les anti-patterns persistants, notamment « collectionner certifs sans atteindre senior dans une spé ».

Pour le contexte général : voir Travailler en cyber : par où commencer. Pour le test d'aptitude initial : Suis-je fait pour la cybersécurité.

Le bon mental model : la progression cyber n'est pas linéaire, c'est un escalier

Erreur cognitive du cyber pro 0-3 ans XP type 2026 : croire que progresser = accumuler des heures linéairement. Faux. La progression cyber suit un escalier avec :

  1. Paliers d'apprentissage (6-18 mois) où tu absorbes une nouvelle stack ou nouveau scope sans monter en titre/salaire.
  2. Sauts d'échelle (3-12 mois) où tout converge, nouvelle mission complexe + reconnaissance + augmentation + nouveau scope.

Conséquence : sentir que rien ne bouge pendant 12-18 mois est normal, pas un signal d'échec. C'est pendant ces paliers que tu stockes la matière qui produira le saut suivant.

Le seul vrai signal de progression : capacité à faire seul aujourd'hui ce qui demandait supervision il y a 12 mois. Pas le titre, pas le salaire, pas la certif, la capacité d'autonomie réelle.

Les 5 niveaux cyber 2026 : critères objectifs

NiveauXPScope missionMentoringDécisions archiVisibilité externeSalaire FR DevSecOpsSalaire FR AppSec
Junior0-2 ansSous-tâche superviséeMenteeExécuteÉquipe50-65 k€55-70 k€
Mid2-4 ansTâche complètePairProposeÉquipe + 1 conf interne65-85 k€70-90 k€
Senior5-8 ansMission complète seulMentor 1-3 juniorsArbitreEntreprise + 1-2 talks externes/an85-110 k€90-120 k€
Staff / Principal8-12 ansStratégie multi-missionMentor seniors + standardsDéfinitCommunauté FR + papers / OSS130-180 k€140-200 k€
Distinguished / Fellow12+ ansVision spé org-wideMentor staffVision long termeCommunauté internationale200-300 k€220-350 k€

Variations 2026 :

  • Big tech FR (Criteo, Doctolib, Datadog FR, Mirakl) : +15-25% sur tous les niveaux.
  • US tech remote (CrowdStrike, Wiz, Snyk si remote anglais) : +30-100%.
  • Banque/assurance FR : -5 à +10% selon banque.
  • ESN cyber dédiée (Wavestone, Synacktiv, Quarkslab) : neutre à +10%.
  • Pure player startup cyber (Sekoia, Filigran, HarfangLab) : variable selon série.

Stratégie de skill stacking : T-shaped, M-shaped, Pi-shaped

FormeDescriptionProfil typiqueNiveau optimalSalaire impact
I-shaped1 spé profonde, peu de connexesHyperspécialisteJunior-mid (à corriger)-10-20% vs T
T-shaped1 spé profonde 10/10 + 5-7 connexes 5/10Senior pur, architecteSenior-staffRéférence marché
M-shaped2-3 spés profondes 8/10 + connexesRSSI, consultant seniorSenior-principal+10-15% pour management
Pi-shaped2 spés à 10/10Rare, hyper-demandéStaff-distinguished+20-40% prime rareté
Comb-shaped3+ spés 9/10Très rare, ~1% des prosDistinguished+30-50% prime rareté

Position : pour 70% des cyber pros 2026, la trajectoire optimale est :

  1. 0-3 ans : I-shaped tolérée (apprends ta stack), évoluer vers T-shaped.
  2. 3-8 ans : T-shaped solide. Profondeur dans 1 spé (AppSec, DevSecOps, pentest, cloud sec, AI sec). Pas dispersion.
  3. 8-15 ans : choisir M-shaped (management / consulting / RSSI) ou Pi-shaped (architecte hyperspé).

Spécialités complémentaires natives par chemin :

  • AppSec architect : threat modeling + cloud security + supply chain + crypto + IR.
  • Cloud security architect : IAM + Kubernetes + DevSecOps + multi-cloud + compliance.
  • AI/LLM security : ML basics + prompt injection + RAG + agent security + governance.
  • RSSI : GRC + ISO 27001 + audit + management + business + crisis.
  • Pentester senior : web + AD + cloud + reverse + scripting + reporting.

Plan annuel structuré : 4 axes

# Plan annuel cyber type, template Notion / Excel
 
année: 2026
mon_niveau_actuel: senior  # junior, mid, senior, staff, distinguished
ma_spe_principale: AppSec
mon_objectif_2026: passer staff dans 18 mois
 
axe_1_skill_principal:
  thème: threat modeling stratégique sur AI/LLM apps
  volume_horaire_visé: 120h
  livrable: 1 framework interne de threat modeling AI/LLM
  ressources:
    - "Adam Shostack book"
    - "OWASP Top 10 for LLM v2.0"
    - "MITRE ATLAS"
    - "STRIDE-AI Microsoft 2023"
 
axe_2_certifications:
  certif_1:
    nom: CISSP
    coût: 749 EUR
    durée_prep: 6 mois
    objectif: Q3 2026
  certif_2:
    nom: SABSA Foundation
    coût: 2500 EUR
    durée_prep: 3 mois
    objectif: Q1 2026
 
axe_3_visibilité_externe:
  articles_blog: 12 par an, 1 par mois
  talks_conférences:
    - LeHACK 2026 (lightning talk threat modeling AI)
    - BSides Lyon 2026 (talk plus complet)
  contributions_oss:
    - 2 PR mergées sur OWASP Threat Dragon
    - 1 nouvelle règle Semgrep custom publiée
  newsletter_perso: facultatif si bandwidth
 
axe_4_mentoring:
  mentees_internes: 2 juniors AppSec
  fréquence: 1h/sem chacun
  mentor_personnel:
    nom: identifier 1 staff AppSec FR (LinkedIn)
    fréquence: 1h/trimestre
    sujets: stratégie carrière, choix techniques, networking
 
revue_quarterly:
  Q1: bilan + ajustement
  Q2: bilan + ajustement
  Q3: bilan + ajustement
  Q4: rétro complet → plan Q1 année suivante

Volume total typique senior cyber : 300-500h/an investies hors heures de mission (formation, certifs, écriture, mentoring, conférences). Soit ~6-10h/sem en moyenne.

# Tracker quarterly recommandé
# Notion ou Excel avec 4 sheets :
 
# Sheet 1 : Skills mensuels (1 ligne/sem)
# Date | Heures investies | Sujet | Source | Notes apprentissage
 
# Sheet 2 : Certifications track
# Certif | Coût | Durée prep | Date target | Status (en cours / réussi / reporté)
 
# Sheet 3 : Visibilité externe
# Date | Type (article, talk, OSS, podcast) | URL | Audience | KPI (vues, likes, commentaires)
 
# Sheet 4 : Mentoring tracking
# Mentee/Mentor | Date | Durée | Sujets discutés | Action items
 
# Outils gratuits ou peu chers :
# - Notion (gratuit personnel)
# - Obsidian (gratuit local)
# - Linear (gratuit personnel)
# - LinkedIn Premium 1-3 mois pour InMails recruteurs (~30€/mois)

Plans de progression par spé (5-10 ans)

AppSec : Dev senior → AppSec staff

AnnéeNiveauFocusCertifsSalaire FR
1Dev → AppSec juniorOWASP Top 10, Burp basics, threat modeling introBurp Suite Cert (99£)60-75 k€
2AppSec midSAST/DAST en CI, code review sécu, threat modeling pratiqueAWS Security Specialty (270 €)70-90 k€
3-4AppSec seniorArchitecture sécu, mentor 2 juniors, talk OWASPOSWE (1530 €)90-110 k€
5-6Senior AppSec architectInfluence stack org-wide, choix outils, 1 conférence majeureCISSP (674 €)110-140 k€
7-8Staff AppSecStratégie AppSec pluriannuelle, OSS contrib majeurSABSA Foundation140-180 k€
9+Principal / DistinguishedVision communauté, papers, talks BlackHat-180-250 k€

Pentest : pentester junior → red team lead

AnnéeNiveauFocusCertifsSalaire FR / TJM
1Pentester juniorWeb pentest basics, méthodologie, reportingeJPT (225-360 €)38-50 k€ CDI
2-3Pentester midAD pentest, cloud pentest, scripting PythonOSCP (1530-2250 €)50-70 k€ CDI / 600-800€/j freelance
4-5Senior pentesterSpecialisation (web, AD, mobile, cloud), mentor juniorsOSWE ou OSEP (1530 € chaque)70-90 k€ CDI / 900-1100€/j freelance
6-7Lead pentesterConduite équipe 3-8 pentesters, méthodo entrepriseCRTO ou GIAC GPEN90-120 k€ CDI / 1100-1300€/j
8+Red team leadAdversary simulation complète, EDR évasion, C2 opsOSED, GIAC GREM120-180 k€ CDI / 1300-1800€/j

Cloud security : sysadmin / DevOps → Cloud security architect

AnnéeNiveauFocusCertifsSalaire FR
1Cloud security juniorAWS IAM, Security Hub, GuardDutyAWS Cloud Practitioner + AWS Sec Spec (270 €)60-80 k€
2-3Cloud security midMulti-cloud, CSPM (Wiz/Prisma), Kubernetes securityCKS (~356 €) + AZ-500 (148 €)80-105 k€
4-5Senior cloud securityArchitecture multi-cloud, compliance NIS2/DORACCSP (539 €) + CISSP (674 €)105-140 k€
6-7Cloud security architectStratégie cloud sec org-wide, vendor selectionSABSA Practitioner140-180 k€
8+Principal cloud architectVision multi-cloud + AI security cloud-native-180-240 k€

GRC : analyst → RSSI

AnnéeNiveauFocusCertifsSalaire FR
1GRC analyst juniorISO 27001, RGPD, EBIOS RM introISO 27001 LI (~1500€)40-55 k€
2-3GRC midAudits internes, risk assessment, NIS2ISO 27005 RM + CISA (684 €)55-75 k€
4-5GRC senior / Risk managerPilotage SMSI, conduite audits externesCISM (684 €) + CRISC (684 €)75-100 k€
6-8Head of GRC / RSSI adjointManagement équipe, stratégie GRCCISSP (674 €)100-140 k€
9-12RSSI PME / ETILeadership cyber org-wide, board reportingSABSA Practitioner, CGEIT130-200 k€
12+RSSI grand groupe / CISOStratégie cyber CAC40, ComEx-200-300 k€

AI/LLM security : émergent (2-4 ans pour senior, pénurie aiguë)

AnnéeNiveauFocusCertifsSalaire FR
1AI security juniorOWASP LLM Top 10 v2.0, prompt injection basicsPas de certif établie70-95 k€
2AI security midMITRE ATLAS, RAG security, AI Act complianceAWS Sec Spec (270 €)95-130 k€
3-4Senior AI security engineerRed teaming LLM (PyRIT, garak), MLSecOpsCISSP (674 €)130-180 k€
5-6AI security architectStratégie sécu IA enterprise, governanceSABSA + AI governance specialized180-250 k€
7+Principal / VP AI securityVision IA sécu industrie, conférences DEF CON AI Village-250-400 k€

6 signaux de plateau qui imposent un changement

SignalDescriptionAction recommandée
Même type mission 18-24 moisAucun nouveau scopeDemander mobilité interne ou externe
Pas augmentation 24 moisMarché +5-10%/an cyberNégocier ou changer 3-6 mois
0 nouvelle compétence 12 moisVrai indicateur stagnationPlan skill stacking nouveau
Pas de mentor accessibleTu es le plus expérimentéMentor externe ou changer org
Refus systématique propositions techSans alternative argumentéeManager/équipe inadaptés
Plus rien à apprendre en dailyRoutine totaleMobilité externe
Salaire 15-20% sous fourchette spéSous-payé objectivementNégocier ou partir
Pas de visibilité externeCarrière freinée long termeArticles + conférences
Conférences annuelles ratéesVeille communauté affaiblieLeHACK, FIC, BSides obligatoires

Position : si 4-6 signaux cochés, planifier mobilité externe ou interne en 3-6 mois. Le coût d'opportunité de rester sur un plateau senior est typiquement 15-30 k€/an de salaire perdu + retard sur la spé.

Erreurs fréquentes en progression cybersécurité

ErreurSymptômeFix
Collectionner certifs sans XPDiplôme sans crédibilité techniquePratique > certif, valider en mission
M-shaped trop tôt (avant senior)Profil dispersé, non recrutableT-shaped jusqu'à 5-8 ans XP
Pas de plan annuel écritProgression réactive, inégalePlan 4 axes en début d'année
Pas de mentor seniorDoute amplifié, isolementIdentifier 1 mentor LinkedIn 1h/trimestre
Pas de mentoring de juniorsSkill stagne, pas de visibilité interneMentor 1-3 juniors par cycle
Pas de visibilité externeCarrière freinée long terme1 article/mois + 1 conf/an minimum
Salaire négocié réactivementPlafond salaire perduNégocier proactivement chaque 18-24 mois
Refus mobilité interne par confortPas de nouveau scope, plateauAccepter rotation chaque 2-3 ans
Confondre progression et titreSenior → Principal sans skill réelVraie progression = autonomie scope
Investir 0h/sem hors missionPérimé en 12-24 mois6-10h/sem minimum hors mission
Pas de revue quarterlyPlan année 1 oublié à année 2Retro Q4 → plan Q1 année suivante
Snobber communautés FR (OWASP, BSides, FIC)Réseau pauvre, missions ratées2-3 conf FR/an minimum

Pour aller plus loin

Points clés à retenir

  • 5 niveaux cyber 2026 : junior 0-2 ans (50-65 k€), mid 2-4 ans (65-85 k€), senior 5-8 ans (85-110 k€), staff/principal 8-12 ans (130-180 k€), distinguished 12+ ans (200 k€+).
  • 5 critères objectifs par niveau : scope mission (sous-tâche → stratégie multi-mission), mentoring (mentee → mentor staff), décisions architecturales (exécute → définit), visibilité externe (équipe → communauté internationale), salaire FR.
  • Trajectoire 5 spés détaillée : DevSecOps, AppSec, Pentest, Cloud security, GRC/RSSI, AI/LLM security (émergent, pénurie 2-4 ans pour senior, prime rareté).
  • Stratégies skill stacking : T-shaped (1 spé profonde + 5-7 connexes, 70% des cas), M-shaped (2-3 spés profondes pour management/consulting), Pi-shaped (2 spés 10/10, rare et premium +20-40%).
  • Démarrer T-shaped junior-mid (0-5 ans), basculer M-shaped à 5-8 ans XP si appétence management. M-shaped trop tôt = profil dispersé non-recrutable.
  • Plan annuel 4 axes : skill principal (80-150h/an), 1-2 certifs alignées, visibilité externe (6-12 articles, 1-3 conférences, 1-2 contribs OSS), mentoring (1-3 mentees + 1 mentor senior 1h/trimestre).
  • Volume typique senior : 300-500h/an hors mission (~6-10h/sem) sur formation, certifs, écriture, mentoring, conférences.
  • 6 signaux de plateau qui imposent changement : même mission 18-24 mois, pas augmentation 24 mois, 0 nouvelle compétence 12 mois, pas de mentor accessible, refus systématique propositions, plus rien à apprendre en daily.
  • Si 4-6 signaux cochés, mobilité externe ou interne en 3-6 mois. Coût d'opportunité plateau senior : 15-30 k€/an de salaire perdu + retard sur la spé.
  • Anti-pattern n°1 : collectionner certifs (CISSP + OSCP + AWS Sec + CKS + CCSP) sans XP réelle ni atteindre senior dans une spé. Pratique > certif.
  • Anti-pattern n°2 : M-shaped trop tôt → profil dispersé. Anti-pattern n°3 : pas de plan annuel écrit → progression réactive et inégale. 90% des stagnations seniors viennent d'absence de plan.
  • Position : la vraie métrique de progression = capacité à faire seul aujourd'hui ce qui demandait supervision il y a 12 mois. Pas le titre, pas le salaire, pas la certif. Discipline plan annuel + revue quarterly + mentor accessible = progression rapide et alignée.

Questions fréquentes

  • Combien de temps pour passer de junior à senior en cybersécurité 2026 ?
    **5-8 ans** réalistes pour passer junior → senior dans une spé pointue, avec progression linéaire et planifiée. Découpage typique : **junior 0-2 ans** (apprend stack, supervisé), **mid 2-4 ans** (autonome sur missions standards), **senior 5-8 ans** (mission complexe seul, mentor juniors, choix techniques), **staff/principal 8-12 ans** (influence org-wide, architecture, vision spé), **distinguished/fellow 12+ ans** (rare, leadership communauté). Plus rapide possible (3-5 ans junior→senior) si environnement très accéléré (startup tech qui scale, big tech US) + appétence forte. Plus lent (8-12 ans) si environnement protégé / peu de feedback. Position : la progression n'est pas linéaire, alternances de paliers et accélérations selon mentors, missions, opportunités. Le seul vrai signal de progression : capacité à faire seul ce qui demandait supervision il y a 12 mois.
  • Quels critères objectifs définissent chaque niveau cyber 2026 ?
    Cinq critères mesurables. **(1) Scope mission** : junior = sous-tâche supervisée, senior = mission complète seul, staff = stratégie multi-mission. **(2) Mentoring d'autres** : junior = mentee, mid = pair, senior = mentor 1-3 juniors, staff = mentor seniors + définit standards. **(3) Décisions architecturales** : junior = exécute, mid = propose, senior = arbitre, staff = définit. **(4) Visibilité externe** : junior = équipe, senior = entreprise, staff = communauté FR / internationale (talks, OSS, papers). **(5) Salaire FR 2026 par spé** : DevSecOps junior 50-65 k€ / senior 85-110 k€ / staff 130-180 k€. AppSec junior 55-70 k€ / senior 90-120 k€ / staff 140-200 k€. Position : le salaire suit le scope + impact, pas l'inverse. Demander +20 k€ sans avoir progressé en scope = refus systématique.
  • T-shaped vs M-shaped : quelle stratégie de skill stacking en cyber 2026 ?
    Deux stratégies valides selon profil. **T-shaped** : 1 spé profonde (10/10) + 5-7 compétences connexes (5/10) → senior pur dans sa spé, demandé en architecte/principal. **M-shaped** : 2-3 spés profondes (8/10) + connexes → senior polyvalent, demandé en RSSI / management cyber / consultant senior cabinet. **Pi-shaped** : 2 spés profondes (10/10), rare et premium. Pour la majorité (~70% des cyber pros 2026) : démarrer T-shaped junior-mid, basculer M-shaped à 5-8 ans XP si appétence management / consulting. Position : commencer M-shaped trop tôt (avant senior dans 1 spé) = profil dispersé non-recrutable. Profondeur d'abord, étendue ensuite. Erreur fréquente : collectionner certifs (CISSP + OSCP + AWS Sec + CKS + CCSP) sans atteindre senior dans aucune spé.
  • Comment construire un plan annuel de progression cyber concrète ?
    Plan en 4 axes par an. **(1) Skill principal** : 1 thème à approfondir (ex : threat modeling avancé, AI security, AD pentest). 80-150h investies / an. **(2) Certif ou validation** : 1-2 certifs/an alignées avec progression (CISSP année 5, AWS Security année 2, OSCP année 3-4). **(3) Visibilité externe** : 6-12 articles / an, 1-3 conférences (LeHACK, BSides, FIC), 1-2 contributions OSS. **(4) Mentoring** : 1-3 juniors mentorés en interne, 1 mentor senior pour soi-même (1h/trimestre). Tracker quarterly avec retro Q4 → plan Q1 année suivante. Position : sans plan annuel écrit, la progression reste réactive et inégale. 90% des stagnations seniors viennent d'absence de plan vs simple manque de talent.
  • Quels signaux indiquent qu'on stagne et qu'il faut changer d'environnement ?
    Six signaux de plateau qui méritent un changement d'environnement / poste. **(1)** Tu fais le même type de mission depuis 18-24 mois sans nouveau scope. **(2)** Pas d'augmentation salaire en 24 mois alors que marché +5-10%/an cyber. **(3)** Aucune nouvelle compétence acquise en 12 mois (vrai indicateur progression). **(4)** Pas de mentor senior accessible dans ton org (tu es le plus expérimenté de l'équipe). **(5)** Refus régulier de tes propositions techniques sans alternative argumentée. **(6)** Sentiment de ne plus rien apprendre en daily standup / 1-1. Position : si 4-6 signaux cochés, planifier mobilité externe ou interne en 3-6 mois. Le coût d'opportunité de rester sur un plateau senior est typiquement de 15-30 k€/an de salaire perdu + retard sur la spé.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également