Un lab cyber à la maison est l'accélérateur le plus rentable du parcours d'apprentissage cybersécurité. Entre zéro et trente euros, un laptop 16 Go de RAM suffit à lancer Kali Linux, DVWA, Juice Shop et Metasploitable 2 dans VirtualBox pour couvrir les bases OWASP. Entre cinq cents et mille cinq cents euros, un mini-PC Proxmox permet d'orchestrer un Active Directory complet type GOAD (Game of Active Directory) et un SIEM Wazuh ou Security Onion en parallèle. Au-delà de deux mille euros, un serveur tour avec 128 Go de RAM ECC et stockage multi-disques supporte simultanément un lab offensif, un lab défensif et un lab malware analysis isolé. Cet article détaille les trois niveaux de lab, la stack logicielle par objectif (pentest web, AD, DFIR, malware, blue team, cloud), les exercices progressifs et l'isolation réseau indispensable.
Ce qu'un lab cyber maison doit permettre de faire
Un lab sert trois objectifs principaux : pratiquer des exercices offensifs dans un environnement légal, construire des compétences défensives observables, reproduire des incidents réels pour développer le réflexe d'analyse.
| Objectif d'apprentissage | Ressources minimales | Livrable visé |
|---|---|---|
| Pentest web débutant | 1 VM Kali + 1 VM vuln (DVWA, Juice Shop) | Finir PortSwigger Academy labs gratuits |
| Pentest Active Directory | 1 DC Windows Server + 2 clients Win10 | Compromettre GOAD niveau 1 en autonome |
| DFIR endpoint | 1 VM Win10 + Autopsy / Volatility / Velociraptor | Analyse mémoire d'un dump infecté |
| Malware analysis | FLARE-VM + REMnux, réseau isolé | Analyse statique/dynamique d'un sample |
| Blue team detection | Wazuh ou Security Onion + 2 endpoints | Détecter BloodHound et Mimikatz en SIEM |
| Cloud security | Compte AWS free tier + CloudGoat | Compromettre tous scénarios CloudGoat |
| DevSecOps pratique | Gitlab self-hosted + runner + pipeline | Pipeline SAST/DAST/SCA fonctionnel |
Un lab correctement dimensionné est toujours aligné sur un objectif de progression concret. Un lab sans plan d'exercices structuré se transforme en outil inutilisé.
Niveau 1 — Lab laptop avec virtualisation (budget 0 à 100 €)
Le premier niveau couvre 80 % des besoins des six à douze premiers mois d'apprentissage. Accessible à tout profil avec un laptop récent.
Matériel minimum
- CPU avec support VT-x/AMD-V (tout Intel Core i5/i7 ou AMD Ryzen depuis 2018).
- 16 Go de RAM (32 Go très confortable).
- 512 Go SSD (1 To idéal pour conserver plusieurs snapshots).
- OS hôte Windows 10/11, macOS ou Linux (Ubuntu, Debian, Fedora).
Un laptop professionnel ou gamer des 5 dernières années convient sans investissement. Pour un achat dédié, un ThinkPad T14 reconditionné (500 à 800 €) ou un Framework Laptop 13 offrent le meilleur ratio durabilité/performance.
Stack logicielle niveau 1
# Hyperviseur - choisir un seul
# Windows/Linux host : VMware Workstation Pro (gratuit usage perso depuis Nov 2024)
# Ou VirtualBox 7+ (gratuit, multiplateforme)
# Mac Apple Silicon : UTM (QEMU) pour émulation x86_64
# VMs attaquant
wget https://kali.download/virtual-images/current/kali-linux-2026.1-virtualbox-amd64.7z
# VMs cibles vulnérables (téléchargements légaux)
# Metasploitable 2 : sourceforge.net/projects/metasploitable/files/Metasploitable2/
# OWASP Broken Web Apps VM
# DVWA et Juice Shop en Docker sur Kali directement
# Configuration réseau Host-only ou NAT Network
# Jamais Bridge pour les VMs vulnérablesLabs gratuits complémentaires
À combiner avec le lab local pour élargir les exercices :
- TryHackMe : rooms guidés gratuits et abonnement 10 €/mois pour le contenu premium.
- HackTheBox : boxes actives payantes, boxes retired gratuites avec abonnement VIP à 14 €/mois.
- PortSwigger Web Security Academy : intégralement gratuit, référence pour OWASP Top 10.
- VulnHub : téléchargements gratuits de VMs vulnérables à importer dans le lab local.
- Blue Team Labs Online : complémentaire pour la pratique défensive.
Limites du niveau 1
Le laptop atteint ses limites vers 4 à 5 VMs actives simultanément : performances qui chutent, snapshots lents, pas de place pour Windows Server 64-bit plus plusieurs clients joints. Pour un lab AD complet, le niveau 2 devient nécessaire.
Niveau 2 — Mini-PC Proxmox dédié (budget 500 à 1 500 €)
Le niveau 2 démarre dès qu'on veut lancer 6 VMs ou plus en parallèle, ou pratiquer un lab AD complet, ou faire tourner un SIEM avec endpoints monitorés en continu.
Matériel type
| Composant | Option économique | Option confort |
|---|---|---|
| Unité centrale | Intel NUC 13 i5 d'occasion (400 €) | Lenovo ThinkCentre M75q Gen 2 neuf (650 €) |
| RAM | 32 Go SODIMM DDR4 (90 €) | 64 Go SODIMM DDR4 (200 €) |
| Stockage système | NVMe 500 Go (50 €) | NVMe 1 To Samsung 990 (100 €) |
| Stockage VMs | SSD SATA 1 To (70 €) | NVMe 2 To (150 €) |
| Switch | Existant / box opérateur | Managed L2 Mikrotik hEX (70 €) |
| Total hors switch | Environ 620 € | Environ 1 100 € |
Proxmox VE comme hyperviseur
Proxmox VE est un hyperviseur open source basé sur Debian et KVM. Avantages décisifs pour un lab : interface web complète, snapshots, templates de VM, sauvegardes planifiées, clustering possible si évolution future, communauté active.
# Installation Proxmox VE sur le mini-PC
# Télécharger ISO depuis proxmox.com
# Booter sur clé USB (Ventoy ou Rufus)
# Installation guidée 15 minutes
# Accès web sur https://<ip-proxmox>:8006
# Login root / mot de passe choisi à l'install
# Création d'un réseau isolé pour le lab offensif
# Datacenter > pve > Network > Create > Linux Bridge
# Name: vmbr1
# Autostart: yes
# Sans uplink physique = réseau interne uniquement
# Création template Windows Server 2022
# Upload ISO (ISO images dans l'interface)
# Create VM, boot sur ISO, install, eval 180 jours
# Convert to Template pour clonage rapide
# Création lab AD simple
# Clone 1x DC (Domain Controller) depuis template Win Server
# Clone 2x Client Windows 10/11 Eval
# Join domain depuis les clients
# Optionnel : script BadBlood pour peupler AD de données randomLab Active Directory avec GOAD
GOAD (Game of Active Directory) de Mayfly est le projet de référence 2026 pour un lab AD multi-forêts pré-construit. Déploiement via Vagrant et Ansible en 2 à 4 heures sur un mini-PC 64 Go de RAM.
Scénarios GOAD couverts : énumération BloodHound, Kerberoasting, AS-REP Roasting, ACL abuse, trust abuse, delegation attacks, ADCS (Active Directory Certificate Services) ESC1-ESC8, DCSync.
Alternatives : Ludus (Tyler Ramsbey, plus récent, approche déclarative Proxmox-native), Detection Lab (focus détection, intègre Splunk/Zeek), Ranger (Rapid7, orienté formation).
Lab défensif avec Wazuh
Wazuh est un SIEM open source (fork d'OSSEC) avec XDR intégré. Installation en 1 VM Ubuntu, puis déploiement d'agents sur les VMs Windows et Linux pour ingester les logs, activer les règles de détection, construire des dashboards.
# Exemple de règle Wazuh custom pour détecter Mimikatz via Sysmon
# /var/ossec/etc/rules/local_rules.xml
<group name="sysmon,mimikatz,">
<rule id="100200" level="12">
<if_sid>92052</if_sid>
<field name="win.eventdata.targetImage" type="pcre2">lsass\.exe$</field>
<field name="win.eventdata.grantedAccess" type="pcre2">0x1010|0x1410|0x143a</field>
<description>Possible credential dumping (Mimikatz LSASS access pattern)</description>
<mitre>
<id>T1003.001</id>
</mitre>
</rule>
</group>Monitoring end-to-end
Sur une cible Windows joined au domaine : installer Sysmon avec la configuration SwiftOnSecurity (référence gratuite, maintenue), activer les logs Windows avancés (Script Block Logging, Module Logging), installer l'agent Wazuh. Côté attaquant, exécuter un scénario (BloodHound, Mimikatz, Rubeus) et valider que chaque action génère une alerte côté Wazuh.
Niveau 3 — Serveur tour multi-rôles (budget 2 000 € et plus)
Le niveau 3 convient aux profils qui veulent pratiquer simultanément offensive, défensive, malware analysis et cloud, ou qui préparent des certifications exigeantes (OSCP, OSEP, OSDA, CRTO).
Matériel type
- Serveur tour reconditionné type Dell PowerEdge T340, HP ProLiant ML110 Gen11, ou tour custom avec Ryzen 9 7950X (800 à 1 500 €).
- 128 Go de RAM ECC (ou 64 Go non-ECC selon budget).
- NVMe 2 To système + 4 To HDD ou SSD SATA pour stockage VMs.
- Switch managé L2/L3 (UniFi Switch 24 PoE 250 €, ou Mikrotik CRS326 150 €).
- Routeur/firewall pfSense ou OPNsense en VM ou boîtier dédié (Protectli 200 à 400 €).
Segmentation réseau
Le niveau 3 permet une vraie segmentation réseau avec VLANs et règles firewall :
| VLAN | Usage | Policy sortante vers Internet | Policy vers LAN perso |
|---|---|---|---|
| 10 - LAN personnel | Usage quotidien | Autorisé | Autorisé |
| 20 - Lab offensif | Kali, red team tools | Autorisé (updates) | Bloqué |
| 30 - Lab cible | AD, services vulnérables | Bloqué | Bloqué |
| 40 - Malware analysis | FLARE-VM, REMnux | Bloqué (strict) | Bloqué |
| 50 - Lab cloud edge | Gateways vers AWS/Azure | Autorisé | Bloqué |
Cette segmentation impose deux règles non négociables : aucun trafic VLAN 40 vers Internet, aucun trafic VLAN 20/30/40 vers VLAN 10. Un malware échappé reste confiné.
Lab malware analysis
Zone la plus sensible du lab. Stack recommandée en 2026 :
- FLARE-VM (Mandiant) : Windows 10 avec tous les outils de reverse et analyse dynamique.
- REMnux (Lenny Zeltser) : Linux avec outils d'analyse malware, parsers, sandboxing.
- CAPE Sandbox (successor Cuckoo) : sandbox automatisée multi-OS.
- Isolation totale : aucun accès Internet, aucune clé USB sans contrôle, transferts via partage SMB éphémère détruit après utilisation.
- Snapshots systématiques avant exécution de tout sample, revert après analyse.
Lab cloud hybride
Le niveau 3 mature combine le lab local avec des environnements cloud pour reproduire les conditions d'entreprise :
- AWS Free Tier + LocalStack en local pour exercices IAM, S3, Lambda, CloudTrail.
- CloudGoat (Rhino Security Labs) : scénarios Terraform d'attaque AWS pré-construits.
- Pwned Labs : parcours payants Azure et AWS à 30 à 50 $/mois.
- TerraGoat (Bridgecrew) : misconfiguration Terraform pour formation DevSecOps.
- Kubernetes local (k3s, kind) avec Falco pour détection runtime.
Progression d'exercices sur 6 mois
Un lab sans plan devient inutilisé. Progression recommandée pour un débutant qui démarre niveau 1 et évolue vers niveau 2.
| Mois | Objectif | Exercices principaux | Livrable |
|---|---|---|---|
| Mois 1 | Bases OWASP | DVWA complet, Juice Shop 20 défis, PortSwigger Academy (Server-side module) | Rapport de 5 vulnérabilités exploitées |
| Mois 2 | Réseau et services | Metasploitable 2, nmap approfondi, Wireshark sur flux TLS et HTTP | Scan complet Metasploitable documenté |
| Mois 3 | Lab AD minimal | 1 DC + 1 client Win10, BadBlood, BloodHound, Kerberoasting | Chemin d'attaque BloodHound exporté |
| Mois 4 | HackTheBox pratique | 3 boxes easy + 2 boxes medium retired | Writeups internes documentés |
| Mois 5 | GOAD niveau 1 et 2 | Énumération complète, Kerberoasting, ADCS ESC1, trust abuse | Compromission Domain Admin documentée |
| Mois 6 | Blue team et détection | Wazuh déployé, Sysmon + SwiftOnSecurity, détection Mimikatz/BloodHound | 10 règles de détection fonctionnelles |
Sécurité du lab lui-même
Un lab mal isolé devient un risque pour le réseau personnel et un vecteur d'intrusion latéral pour un attaquant. Cinq règles d'hygiène non négociables :
- VLAN ou réseau virtuel dédié : jamais de VM potentiellement compromise en bridge direct sur l'interface physique du laptop ou du mini-PC.
- Firewall restrictif entre VLAN lab et LAN personnel. Refus par défaut, autoriser seulement les updates système nécessaires.
- Snapshots systématiques avant chaque session et avant toute exécution de sample. Revert en cas de doute.
- Credentials jetables : jamais de mot de passe personnel, jamais de clé SSH personnelle, jamais de compte cloud avec droits réels dans une VM lab.
- Mises à jour de l'hyperviseur : Proxmox et VMware reçoivent des CVE régulièrement. Patcher l'hyperviseur mensuellement, car une CVE d'échappement de VM (VMware CVE-2024-22252, VirtualBox CVE-2024-21110) casse toute l'isolation.
Points clés à retenir
- Un laptop 16 Go couvre 80 % des besoins de la première année. Ne pas sur-investir avant d'avoir saturé le niveau précédent plusieurs mois.
- Proxmox VE est le choix de référence pour un lab dédié : gratuit, stable, riche en fonctionnalités (snapshots, templates, clustering).
- L'isolation réseau (VLAN, firewall, snapshots) n'est pas optionnelle. Un lab sans isolation est un risque opérationnel.
- Le plan d'exercices prime sur la fiche technique du lab. Une progression structurée sur 6 mois accélère l'apprentissage plus qu'un setup haut de gamme inutilisé.
- Écrire un writeup après chaque exercice transforme le lab en portfolio activable en entretien.
Pour aller plus loin
- Roadmap cybersécurité pour débutant - pillar page qui articule le lab maison avec le parcours global.
- Étapes pour devenir pentester - cas d'usage offensif du lab.
- Devenir DevSecOps sans expérience - comment le lab maison accélère la trajectoire DevSecOps.
- Prérequis techniques pour la cybersécurité - socle Linux, réseau, virtualisation à maîtriser avant le lab.
