Zeroday Cyber Academy

Métiers de la cybersécurité

SOC vs CERT : quelle équipe cyber rejoindre ?

SOC vs CERT/CSIRT 2026 : rôles, rythme, salaires, certifications GCIH/CySA+, CERT-FR, InterCERT. Bilan factuel Zeroday pour choisir selon profil senior.

Naim Aouaichia
16 min de lecture
  • SOC
  • CERT
  • CSIRT
  • Comparatif
  • Incident Response
  • DFIR
  • CERT-FR
  • ANSSI
  • InterCERT
  • Blue Team

Verdict direct en 2026 : SOC et CERT ne sont pas deux choix d'entrée concurrents, mais une trajectoire d'évolution : SOC est la porte d'entrée cyber la plus accessible pour 95 % des profils, CERT est une bifurcation senior accessible après 2-5 ans de SOC L2/L3 ou de DFIR. Le SOC (Security Operations Center) opère en continu 24/7 avec des playbooks standardisés sur les alertes courantes ; le CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) intervient sur les incidents majeurs nécessitant forensic, reverse engineering, threat intelligence et coordination de crise. Salaires 2026 : SOC L1 junior 38-52 k€ IDF, CERT analyst junior 55-75 k€ (post bascule depuis SOC L3), CERT senior 80-110 k€. L'écosystème français est structuré autour de CERT-FR (ANSSI, CERT gouvernemental), InterCERT-FR (association de CERTs privés dont Orange Cyberdefense, Thales CSIRT, Airbus CyberSecurity CSIRT, Sopra Steria CERT, Capgemini CERT), et de CERTs internes en grandes organisations (banques, assurances, OIV, télécoms). Zeroday Cyber Academy recommande pour 95 % des profils l'entrée en SOC L1 avec feuille de route explicite vers CERT à 3-5 ans via certifications progressives (Security+, CySA+, GCIH, GCFA). Les 5 % éligibles au CERT direct sont les écoles d'ingénieur avec stage CERT, reconvertis militaires cyber, linguistes rares et reverse engineers confirmés. Cet article détaille la comparaison SOC vs CERT, les pros et cons assumés, l'écosystème français, les trajectoires d'évolution et notre bilan factuel.

1. Synthèse comparative SOC vs CERT

CritèreSOC (Security Operations Center)CERT / CSIRT (Computer Security Incident Response Team)
Mission dominanteMonitoring continu, triage, réponse incidents courantsRéponse incident majeur, forensic, reverse, CTI, coordination crise
Rythme24/7 en shift, flux continu d'alertesResponse-mode, pics d'activité crise, régime hors crise moins dense
NiveauxL1 (triage), L2 (investigation), L3 (threat hunting)Analyste, Senior, Lead, Head of CERT
PlaybooksStandardisés, éprouvésAdaptatifs, souvent à co-construire en crise
Outils dominantsSIEM (Splunk, Sentinel, Elastic), EDR, SOAR, threat intel feedsEDR enterprise response, Velociraptor, Volatility 3, YARA, MISP, OpenCTI, IDA/Ghidra
Entrée possible niveau juniorOui (SOC L1 accessible)Non (quasi jamais niveau junior)
Profils d'entrée typiquesSupport IT, sysadmin, admin réseau, reconversion techSOC L2/L3 senior, DFIR, malware analyst, CTI
Salaire junior brut IDF38-52 k€55-75 k€ (post bascule SOC)
Salaire senior 5-8 ans brut IDF62-82 k€80-110 k€
TélétravailHybride ou sur site 24/7 L170-90 % remote fréquent
Accountability lors d'un incident majeurParticipe à la remontéePeut en porter la coordination face à la DG et régulateur
Volume d'offres FR 2026Important (porte d'entrée SOC ESN)Plus restreint (spécialisé)

2. SOC : pros et cons

Pros

  • Porte d'entrée cyber la plus accessible en volume en 2026 : ESN (Orange Cyberdefense, Atos Eviden, Sopra Steria, Airbus Protect, Capgemini) recrutent SOC L1 juniors en continu.
  • Formation structurée et progressive : 6-15 mois depuis support IT ou sysadmin junior, certifications marché claires (Security+, CySA+, BTL1).
  • Flux d'apprentissage dense : 30-150 alertes par shift, exposition à une grande diversité d'incidents, progression rapide les 2 premières années.
  • Méthodologies éprouvées : playbooks NIST SP 800-61r2 (Computer Security Incident Handling Guide), MITRE ATT&CK framework, maturité opérationnelle.
  • Équipe et socialisation : travail en équipe soutenu, culture de la transmission entre L1-L2-L3, collègues présents 24/7.
  • Trajectoire claire : L1 → L2 → L3 → SOC Manager → Director of SOC ou CERT ou RSSI.

Cons

  • Shift 24/7 en L1 : nuits, weekends, jours fériés, avec primes 5-25 % mais fatigue structurelle possible.
  • Fenêtre d'évolution critique : un SOC L1 qui ne bascule pas L2/L3 ou ne certifie pas plafonne à 45-55 k€ après 3-4 ans.
  • Automation IA accélérée : les tâches L1 les plus basiques sont en cours d'augmentation par GenAI (Microsoft Security Copilot, CrowdStrike Charlotte AI, Splunk AI Assistant) — pression sur les postes L1 purs d'ici 2028.
  • Sentiment de répétitivité : triage de faux positifs, alertes récurrentes, playbooks éprouvés — certains profils s'ennuient à 18-24 mois si pas de bifurcation.
  • Progression salariale plus lente que Cloud Security ou DevSecOps au même palier d'ancienneté.
  • Pression métrique : MTTD, MTTR, volume tickets — certains SOC opèrent en culture presque industrielle.

3. CERT / CSIRT : pros et cons

Pros

  • Intellectuellement dense : chaque incident est différent, investigation créative, reconstitution d'attaque, attribution technique.
  • Impact fort : un CERT qui résout un ransomware majeur ou attribue une campagne APT produit une valeur immédiatement visible et reconnue.
  • Rémunération supérieure au SOC de 10-20 % à ancienneté équivalente grâce à la rareté du profil.
  • Télétravail dominant : 70-90 % remote fréquent hors interventions terrain.
  • Exposition à des incidents prestigieux : gestion de crise CAC 40, OIV, investigation post-ransomware, réponse à compromission supply chain.
  • Écosystème français structuré : CERT-FR (ANSSI), InterCERT-FR (15+ CERTs privés), communautés actives (SSTIC, LeHack, CTF fr).
  • Trajectoire senior claire : CERT senior → Lead CERT → Head of CERT → RSSI / CISO.
  • Publications techniques possibles : certains CERT-ESN (Orange Cyberdefense, Volexity, Sekoia.io CTI, Airbus CyberSecurity) publient régulièrement des analyses techniques, valorisant la réputation publique.

Cons

  • Non accessible en entrée : 95 % des postes CERT exigent 2-5 ans de SOC L2/L3, DFIR ou malware analysis préalable.
  • Charge de crise intense : sur un incident majeur (ransomware, intrusion APT, fuite massive), 60-80 heures hebdomadaires pendant 2-8 semaines avec pression direction et régulateur.
  • Accountability sur la qualité de l'investigation : un rapport CERT est opposable, peut être utilisé en justice, en déclaration ANSSI/CNIL, ou en échange avec régulateur (ACPR, AMF, SEC pour entités cotées US).
  • Compétences cumulées exigées : forensic, reverse engineering, CTI, gestion de crise, communication direction — courbe d'apprentissage longue.
  • Exposition au secret et à la confidentialité : clauses NDA fortes, restriction sur les publications sans autorisation, parfois sélection sécuritaire (habilitation confidentiel défense pour certains CERTs OIV).
  • Pipeline moins prévisible : périodes denses de crise alternent avec phases plus calmes, difficile à planifier vie personnelle.
  • Petite équipe en général : 3-15 analystes typiquement, moins de socialisation que dans un grand SOC.

4. Écosystème CERT France

CERT-FR (ANSSI)

CERT gouvernemental français, référence nationale. Missions principales :

  • Publication des bulletins CERTFR-YYYY-ALE-NNN sur les vulnérabilités critiques et les campagnes d'attaque.
  • Coordination de la réponse en cas d'incident affectant OIV, entités essentielles NIS 2, administration.
  • Partage d'intelligence avec ENISA, CERT-EU, partenaires internationaux (Five Eyes, partenaires bilatéraux).
  • Appui technique sur demande aux victimes d'attaques critiques.

InterCERT-FR

Association de partage entre CERTs privés français opérationnels. Membres notables en 2026 :

  • Orange Cyberdefense CERT (historique, large spectre, recherche publique active).
  • Thales CSIRT (fort focus défense et énergie).
  • Airbus CyberSecurity CSIRT (défense, aéronautique, industrie).
  • Sopra Steria CERT (multi-secteurs, ESN).
  • Capgemini CERT (multi-secteurs, grand comptes).
  • Synetis CERT, Digital Dimension CERT, Digitemis CERT, Intrinsec CSIRT.
  • CERTs internes de banques (Société Générale CERT, BNP Paribas CERT, Crédit Agricole CERT, BPCE CERT), assurances (AXA CERT, Allianz Cyber), télécoms (Orange CERT interne, SFR, Bouygues Telecom), énergie (EDF CERT, TotalEnergies CSIRT, Engie).

Éditeurs cyber français avec CERT/Threat Research

  • Sekoia.io (CERT et Threat Intelligence, scale-up française).
  • Filigran (éditeur OpenCTI, plateforme CTI open-source, scale-up française).
  • HarfangLab (EDR français, équipe threat research).
  • Tehtris (XDR et réponse autonome, scale-up française).

Exemple de playbook d'incident CERT aligné NIST SP 800-61r2 (format YAML exploitable en portfolio GitHub) :

# cert-playbook-ransomware-v1.yml
# Playbook CERT - incident ransomware sur entite critique.
# Aligne NIST SP 800-61r2 Computer Security Incident Handling Guide.
# Exemple pedagogique - entite fictive ETI services B2B 1 200 salaries.
 
playbook:
  identifiant: "CERT-PB-RSM-001"
  type: "Ransomware incident response"
  version: "1.0"
  reference: "NIST SP 800-61r2 plus ANSSI guide RSSI ransomware 2024"
  audience: "CERT analysts senior plus Lead CERT"
  severite_cible: "critique"
 
phase_1_preparation:
  pre_requisites:
    - "Acces admin urgence hors AD (break-glass account stocke en coffre)"
    - "Outils DFIR prets : Velociraptor, KAPE, FLARE-VM, FTK Imager"
    - "Contacts ANSSI CERT-FR, CNIL, assurance cyber, conseil externe"
    - "Runbook communication de crise pre-redige"
  kits_intervention:
    - "Laptop DFIR durci hors domaine client"
    - "Disques externes chiffres LUKS2 pour imagerie"
    - "Write blockers materiels"
 
phase_2_identification:
  actions:
    - id: ID-1
      description: "Confirmer la nature ransomware (chiffrement en cours ou termine)"
      delai_max_minutes: 30
      outil: "Velociraptor flow artifact Windows.Detection.Ransomware"
    - id: ID-2
      description: "Determiner la variante (Lockbit, ALPHV, Play, RansomHub, Akira, Rhysida)"
      delai_max_minutes: 60
      outil: "Analyse des note de rancon, extensions, process actifs"
      ressource: "id-ransomware.malwarehunterteam.com"
    - id: ID-3
      description: "Cartographier le vecteur initial probable"
      delai_max_heures: 4
      outil: "Timeline Plaso sur DC plus hotes critiques"
 
phase_3_containment:
  strategie: "Confinement rapide sans destruction des preuves"
  actions:
    - id: CT-1
      description: "Isoler les hotes compromis via EDR ou decrochage reseau"
      contrainte: "NE PAS arreter les hotes (perdre RAM volatile plus tickets Kerberos en cours)"
      outil: "CrowdStrike Network Contain ou SentinelOne Disconnect"
    - id: CT-2
      description: "Bloquer C2 identifies au niveau perimetre firewall plus proxy"
      outil: "Firewall rules, proxy deny, DNS sinkhole"
    - id: CT-3
      description: "Revoquer comptes privileges compromis, forcer rotation krbtgt x2"
      outil: "PowerShell AD plus Microsoft Reset-ADKrbtgt-PasswordScript"
 
phase_4_eradication:
  actions:
    - id: ER-1
      description: "Nettoyer backdoors et persistance (Scheduled Tasks, Services, Run keys, WMI)"
      outil: "PE-sieve, Velociraptor, manual hunt"
    - id: ER-2
      description: "Corriger le vecteur initial (patch CVE, revoke credentials, IAM hardening)"
 
phase_5_recovery:
  actions:
    - id: RE-1
      description: "Restaurer depuis sauvegardes offline ou immutable"
      validation: "Integrity check plus scan malware sur donnees restaurees"
    - id: RE-2
      description: "Rebuild progressif de l'AD selon procedure Microsoft ADForestRecovery"
    - id: RE-3
      description: "Reconnexion reseau graduelle avec monitoring accru 30 jours"
 
phase_6_lessons_learned:
  livrables:
    - "Rapport d'incident detaille avec timeline MITRE ATT&CK mapping"
    - "IOCs extraits versee en plateforme CTI (MISP, OpenCTI)"
    - "Regles Sigma nouvelles ou tunees commitees en repo detection-rules"
    - "Plan de remediation structurel (ne pas retomber sur le meme vecteur)"
    - "Notification ANSSI (NIS 2 obligatoire sous 24h) plus CNIL si donnees personnelles"
    - "Retour d'experience InterCERT-FR partage anonymise"
 
communication_externe:
  regulateurs:
    - "ANSSI CERT-FR : notification initiale sous 24h, rapport final sous 1 mois (NIS 2)"
    - "CNIL : notification sous 72h si donnees personnelles violees (RGPD)"
    - "ACPR ou AMF si entite financiere (DORA)"
  juridique:
    - "Depot de plainte aupres du parquet cyber (JUNALCO ou juridiction locale)"
    - "Coordination avec assurance cyber (declaration sous 48h typique)"

Ce playbook type constitue un livrable classique de CERT mature. Les équipes qui ne l'ont pas formalisé improvisent en crise — avec perte de temps critique et risque juridique.

5. Trajectoire : SOC en entrée, CERT en bifurcation

Parcours typique vers CERT (5-8 ans depuis SOC entrée)

AnNiveauActivités dominantesCertifications validées
1-2SOC L1Triage alertes, enrichissement IOCsSecurity+
2-3SOC L2Investigation incidents, tuning règlesCySA+, BTL1
3-5SOC L3Threat hunting, detection engineeringGCIH, GMON
5-7CERT analyst juniorIntervention crise, forensic, CTIGCFA, GCIA
7-10CERT analyst seniorLead interventions, reverse, attributionGREM, GNFA ou GCTI
10+Lead CERT / Head of CERTManagement équipe, stratégie, relation directionCISSP plus CISM

Parcours alternatifs vers CERT

  • Depuis DFIR (3-5 ans forensic analyst) : bascule directe CERT analyst sans passer par SOC L3.
  • Depuis malware analyst (3-5 ans) : bascule CERT avec spécialisation reverse et attribution.
  • Depuis CTI analyst (3-5 ans) : bascule CERT avec spécialisation threat intelligence et attribution.
  • Depuis école d'ingénieur avec stage CERT : rare mais observée chez Orange Cyberdefense, Thales, Airbus — entrée directe junior CERT après stage de fin d'études reconnu.
  • Depuis reconverti militaire cyber : bascule CERT fréquente depuis Commandement Cyber, 785e RT, unités de guerre électronique.

6. Choix selon profil

Profil candidatRecommandation 2026Raison principale
Reconversion support IT vers cyberSOC L1Porte d'entrée accessible en 9-15 mois
Admin système ou réseau seniorSOC L1 puis L2Bases opérationnelles valorisables
Dev senior avec appétence blue teamSOC L2 direct ou DFIRSkip L1 possible avec portfolio labs
SOC L3 ou DFIR 3-5 ansBascule CERTBifurcation naturelle +10-20 % salarial
Malware analyst confirméCERT ou CERT ESNSpécialisation reverse valorisée
CTI analyst confirméCERT avec dimension attributionProfil CTI-forensic hybride très valorisé
Sortant école d'ingénieur avec stage CERTCERT direct possibleRare mais observée
Reconverti militaire cyberCERT direct possibleCulture opérationnelle et habilitation
Junior sans expérience cyber visant CERTSOC L1 d'abord (feuille de route 3-5 ans)CERT n'est pas un métier d'entrée
Freelance senior DFIR/CERTCERT indépendant TJM 900-1 400 €Forte demande post NIS 2 sur ETI

Pseudo-code simplifié de décision :

def recommander_soc_ou_cert(profil: dict) -> str:
    """
    Orientation SOC versus CERT selon profil.
    Entree : profil candidat avec experience et aspiration.
    Sortie : recommandation avec justification courte.
    """
 
    experience_cyber = profil["annees_cyber_pratique"]
 
    # Cas 1 - debutant ou reconversion recente
    if experience_cyber < 2:
        return "SOC L1 obligatoire - CERT n'est pas un metier d'entree"
 
    # Cas 2 - SOC L2/L3 confirme, DFIR ou malware analyst
    if experience_cyber >= 3 and profil["niveau_actuel"] in ("soc_l3", "dfir", "malware_analyst", "cti_senior"):
        return "bascule CERT recommandee - +10-20 pct salarial, spectre elargi"
 
    # Cas 3 - dev senior ou admin senior avec portfolio blue team dense
    if experience_cyber >= 5 and profil["portfolio_blue_team_confirme"]:
        return "SOC L2 direct ou DFIR possible - skip L1"
 
    # Cas 4 - ecole d'ingenieur avec stage CERT reconnu
    if profil["ecole_ingenieur_avec_stage_cert_reconnu"]:
        return "CERT direct envisageable - verifier employeur et mentor"
 
    # Cas 5 - reconverti militaire cyber
    if profil["parcours_militaire_cyber"]:
        return "CERT direct possible via ESN defense (Thales, Airbus, Sopra)"
 
    # Fallback
    return "SOC L1 avec feuille de route CERT 3-5 ans - trajectoire standard"

7. Bilan Zeroday Cyber Academy

Notre avis assumé : SOC et CERT ne sont pas deux choix concurrents au niveau junior — pour 95 % des candidats, le SOC est la seule option réaliste pour entrer en cyber en France en 2026. Le CERT est une spécialisation senior accessible après 3-5 ans de SOC L2/L3, DFIR ou malware analysis.

Notre recommandation par phase

  • Candidat junior sans expérience cyber : viser SOC L1 via ESN, avec feuille de route 3-5 ans vers CERT explicite. Séquence certifications : Security+ (année 1) → CySA+ ou BTL1 (année 2) → GCIH (année 3) → GCFA plus GCIA (année 4-5).
  • Profil cyber confirmé 3-5 ans SOC L2/L3 : bascule CERT devient rationnelle, avec bump salarial immédiat de 10-20 %. Préparer GCIH plus GCFA plus GREM selon spécialisation.
  • Profil DFIR, malware analyst, CTI confirmé : CERT est la progression naturelle. Postes cibles : CERT ESN (Orange Cyberdefense, Thales, Airbus, Sopra, Capgemini), CERT internes grandes entreprises (banque, assurance, OIV), éditeurs français (Sekoia.io, HarfangLab, Tehtris).
  • Profil senior avec 10+ ans CERT/DFIR : Lead CERT, Head of CERT, ou bascule freelance TJM 900-1 400 € avec forte demande post NIS 2 sur ETI.

Ce que nous ne cachons pas

  • Certains candidats s'inscrivent en formation CERT pensant viser directement ce poste — et échouent à l'embauche faute d'expérience opérationnelle préalable. Le CERT n'est pas un métier d'entrée, point.
  • Le marché CERT est plus restreint que le SOC : moins de postes ouverts, filtrage plus sélectif, turnover faible. Les candidats qualifiés trouvent vite, les non qualifiés cherchent longtemps.
  • Automation IA des tâches SOC L1 : les postes L1 purs sans évolution sont en tension croissante d'ici 2028 (Microsoft Security Copilot, CrowdStrike Charlotte AI, Splunk AI Assistant). Raison supplémentaire pour planifier la bifurcation L2/L3 voire CERT dès l'entrée.
  • La reconnaissance publique du CERT est plus forte que celle du SOC en France : conférences (SSTIC, LeHack, FIC), publications techniques Orange Cyberdefense, Volexity, Sekoia.io, qui valorisent le profil au-delà de l'employeur.
  • La charge en crise CERT est réelle : 60-80 heures hebdomadaires sur 2-8 semaines sur un incident majeur. À anticiper pour les profils avec contraintes vie perso fortes.

8. Pour aller plus loin

Points clés à retenir

  • SOC est la porte d'entrée cyber la plus accessible en 2026 pour 95 % des profils — CERT n'est pas un métier d'entrée.
  • CERT est une bifurcation senior accessible après 3-5 ans de SOC L2/L3, DFIR ou malware analysis.
  • Delta salarial +10-20 % pour un CERT analyst versus SOC analyst équivalent en ancienneté.
  • Écosystème FR structuré : CERT-FR (ANSSI), InterCERT-FR (15+ CERTs privés), CERTs internes banques/assurances/OIV.
  • CERTs ESN leaders : Orange Cyberdefense, Thales CSIRT, Airbus CyberSecurity CSIRT, Sopra Steria CERT, Capgemini CERT, Synetis, Digital Dimension.
  • Éditeurs FR avec threat research : Sekoia.io, HarfangLab, Tehtris, Filigran (OpenCTI).
  • Stack CERT : Velociraptor, Volatility 3, KAPE, FLARE-VM, MISP, OpenCTI, Ghidra, YARA, NIST SP 800-61r2 playbooks.
  • Trajectoire standard : SOC L1 (an 1-2) → L2 (an 2-3) → L3 (an 3-5) → CERT analyst junior (an 5-7) → CERT senior (an 7-10) → Lead CERT (an 10+).
  • Automation IA accélérée sur SOC L1 : prévoir la bifurcation dès l'entrée.
  • Accountability CERT : rapport opposable, déclaration ANSSI NIS 2 sous 24h, CNIL RGPD sous 72h, ACPR/AMF si DORA.

L'accompagnement cyber 6 mois Zeroday Cyber Academy accompagne la trajectoire SOC avec feuille de route explicite vers CERT : préparation Security+ puis CySA+ puis BTL1, lab Wazuh plus FLARE-VM plus Velociraptor, exercice playbook d'incident ransomware complet, écriture de règles Sigma commitées, et coaching d'entretien SOC ESN puis CERT à moyen terme.

Questions fréquentes

  • Quelle est la différence entre SOC et CERT ?
    Le SOC (Security Operations Center) est une équipe opérationnelle continue 24/7 qui monitore les alertes, trie les événements et réagit aux incidents courants via des playbooks standardisés. Le CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) est une équipe spécialisée en réponse à incident majeur et en investigation approfondie (forensic, reverse engineering, threat intelligence). Dans une organisation mature, la chaîne est SOC L1 triage → SOC L2 investigation → SOC L3 threat hunting → CERT réponse à incident majeur plus coordination crise plus forensic plus DFIR plus CTI. Certaines organisations fusionnent L3 et CERT. Les petites et moyennes structures n'ont souvent qu'un SOC (sans CERT distinct) ; les grandes organisations et ESN spécialisées opèrent les deux équipes distinctement.
  • Quel est le salaire comparé entre SOC et CERT en France 2026 ?
    Les CERT analysts sont structurellement mieux rémunérés que les SOC analysts équivalents en niveau. SOC : L1 junior 38-52 k€ IDF, L2 48-65 k€, L3 62-82 k€, SOC manager 80-110 k€, Director of SOC 110-150 k€. CERT/CSIRT : analyste junior 55-75 k€ IDF (au-dessus de SOC L2), CERT analyst senior 80-110 k€, Lead CERT ou Head of CERT 105-150 k€. Delta typique 10-20 % pour un CERT analyst versus SOC analyst équivalent en ancienneté, reflet de la spécialisation forensic/reverse/CTI exigée et de la rareté du profil. Les CERTs d'ESN (Orange Cyberdefense CERT, Thales CSIRT, Airbus CyberSecurity CSIRT, Sopra Steria CERT, Capgemini CERT) tirent la fourchette haute ; les CERTs internes de banques/assurances/OIV également.
  • Peut-on entrer directement en CERT sans passer par le SOC ?
    Rare et difficile en 2026. La majorité des CERT analysts ont 2-5 ans de SOC L2/L3 préalable, ou 2-3 ans de DFIR ou de malware analysis. Les exceptions : 1) Profils issus école d'ingénieur avec stage cyber CERT (ANSSI, Orange Cyberdefense, Thales) et portfolio hands-on reconnus. 2) Reconvertis militaires cyber (Commandement Cyber, 785e RT, DGSI cyber). 3) Linguistes rares (russe, chinois, persan) avec double compétence cyber — profils CTI dark web recrutés direct CERT. 4) Reverse engineers confirmés 3+ ans avec publications techniques. Pour un profil reconversion classique, le passage SOC 2-3 ans puis bascule CERT est la trajectoire normale. Tenter l'entrée directe CERT sans ce prérequis produit typiquement 12-18 mois de candidatures sans retour.
  • SOC ou CERT pour un profil débutant ?
    Sans ambiguïté : SOC. Le SOC L1 est la porte d'entrée cyber la plus large en France en 2026, accessible depuis support IT niveau 2-3, admin système junior, admin réseau junior, ou reconversion structurée via ESN (Orange Cyberdefense, Atos Eviden, Sopra Steria, Airbus Protect, Capgemini). Formation 6-15 mois avec Security+, CySA+, BTL1. Le CERT n'est pas un métier d'entrée : il exige des compétences cumulées (forensic, reverse, CTI, gestion de crise) qu'on ne peut pas apprendre en parallèle d'un premier poste. Un candidat junior qui vise CERT devrait intégrer un SOC en première intention avec une feuille de route 3-5 ans vers le CERT, validée par les certifications progressives (Security+ puis CySA+ puis GCIH puis GCFA).
  • Qu'est-ce que CERT-FR et InterCERT-FR ?
    CERT-FR est le CERT gouvernemental français opéré par l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Missions : coordination de la réponse à incident au niveau national, publication de bulletins de sécurité (CVE critiques, campagnes d'attaque observées, IOCs), appui opérationnel aux OIV et aux entités régulées LPM/NIS 2, partage d'intelligence avec les partenaires européens (ENISA, CERT-EU) et internationaux. InterCERT-FR est une association regroupant les CERTs privés français opérationnels (ESN comme Orange Cyberdefense, Thales, Airbus CyberSecurity, Sopra Steria, Capgemini, Synetis, Digitemis, Digital Dimension, et CERTs internes d'entreprises). Objectif : partage d'information, coordination, montée en compétences collective. Pour un candidat CERT, l'écosystème InterCERT-FR constitue une cible de mobilité professionnelle claire.
  • Bilan Zeroday Cyber Academy : quelle trajectoire recommandée ?
    Notre avis assumé : SOC d'abord pour 95 % des candidats, CERT en bifurcation à 3-5 ans. Raisons factuelles. 1) Le SOC est la seule porte d'entrée cyber accessible en volume pour les profils débutants et reconvertis en 2026 — CERT n'est quasiment jamais un poste junior. 2) Le CERT demande des compétences cumulées (investigation, forensic, reverse, CTI, gestion de crise) qui se construisent sur 2-4 ans de pratique opérationnelle préalable. 3) La bascule SOC L3 vers CERT est la plus naturelle et la mieux rémunérée (delta 10-20 % à l'embauche). Pour les 5 % de profils qui peuvent envisager un CERT direct : école d'ingénieur avec stage CERT, reconverti militaire cyber, linguiste rare ou reverse engineer confirmé. Tous les autres profils devraient viser SOC L1 avec une feuille de route explicite vers CERT à 3-5 ans — la trajectoire la plus viable observée en France.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également