Passer de développeur à AppSec Engineer en 2026

Un développeur confirmé bascule en AppSec Engineer en 6 à 12 mois, contre 18 à 36 mois pour un profil sans background tech. L'accélération vient d'un socle déjà en place : lecture fluide de code, maîtrise d'un langage applicatif, compréhension des pipelines CI/CD et des environnements de production. Il reste à construire trois dimensions : culture offensive (OWASP Top 10 exploité en lab, Burp Suite opérationnel, threat modeling), rigueur de revue de code axée sécurité (pattern recognition CWE, règles Semgrep custom), et crédibilité marché (certifications BSCP ou OSWE, portfolio avec CVE ou contributions open source). Cet article détaille la trajectoire compressée adaptée au profil dev, l'ordre optimal des certifications, le plan de bascule interne (plus rapide et moins risqué que la recherche externe), le portfolio qui débloque les entretiens et les questions types à poser en entretien AppSec.

Ce qu'un développeur confirmé a déjà en poche

Avant de démarrer la trajectoire AppSec, cartographier honnêtement ce qui est déjà acquis et ce qui manque. Un dev confirmé arrive avec cinq compétences directement valorisables en AppSec.

Ce socle explique la compression du parcours : sans lui, un profil doit d'abord apprendre à lire du code et comprendre un pipeline, ce qui prend 6 à 12 mois supplémentaires.

Ce qui manque typiquement chez un dev qui bascule : culture offensive pratique, méthodologie d'audit structurée, vocabulaire AppSec (OWASP ASVS, CWE, CVSS, threat modeling), posture adversariale sur son propre code.

Trajectoire compressée en 4 phases

Phase 1 — Culture offensive (mois 1 à 3)

Objectif : passer de « je sais coder sécurisé » à « je sais attaquer et défendre ». Sans exposition offensive directe, la revue de code sécurité reste superficielle.

Ressources par ordre de rentabilité :

1. PortSwigger Web Security Academy (intégralement gratuit). Couvrir au minimum les modules Server-side, Client-side, XSS, SQL injection, Access control, Authentication, Business logic. 80 à 120 heures de travail effectif. Cette étape est non négociable.
2. OWASP Top 10 2021 et OWASP API Top 10 2023 intégrés. Connaître chaque classe avec un exemple exploité en lab.
3. OWASP ASVS 4.0.3 : lire intégralement, comprendre les 3 niveaux. Référentiel de vérification en revue de code.
4. Labs HackTheBox web : 3 à 5 boxes web easy puis medium, écrire les writeups internes.
5. Lab local : monter Kali + DVWA + Juice Shop pour pratiquer hors plateformes guidées (voir article dédié sur la création d'un lab maison).

Phase 2 — Pratique guidée AppSec (mois 3 à 6)

Objectif : passer de la capacité d'exploitation à la capacité d'audit systématique.

Actions concrètes :

• Revue de code sécurité guidée : prendre 3 à 5 projets open source connus (par exemple vieux forks de Juice Shop, projets Bug Bounty publics avec source, anciennes versions vulnérables de WordPress/Drupal). Auditer en suivant OWASP ASVS, documenter chaque finding.
• Écrire ses 10 premières règles Semgrep sur les classes OWASP Top 10. Publier sur GitHub ou contribuer au registry Semgrep officiel.
• Démarrer un programme bug bounty VDP (Vulnerability Disclosure Program, non rémunéré) sur HackerOne ou YesWeHack. Objectif : 5 à 10 soumissions acceptées pour construire une rep initiale.
• Threat modeling sur une feature de ton projet actuel. Proposer la démarche STRIDE ou PASTA sur une feature en cours à ton tech lead. Documenter et partager en interne.

Phase 3 — Bascule interne ou externe (mois 6 à 9)

Objectif : obtenir un premier poste AppSec opérationnel.

Deux stratégies, la première plus rapide et moins risquée.

Bascule interne (recommandée) :

1. Proposer un glissement progressif à ton manager : 20 % du temps sur sujets sécurité pendant 3 mois.
2. Livrables visibles pendant cette période : 1 threat modeling formel, 10 règles Semgrep custom déployées en CI, 1 session de formation secure coding à l'équipe dev.
3. Négocier le passage à 50 % puis 100 % avec ajustement de salaire et titre.

Recherche externe :

1. CV ciblé sur les réalisations AppSec (pas seulement le dev précédent). Mettre en avant BSCP, rep bug bounty, règles Semgrep publiées, writeups HackTheBox.
2. Cibler les scale-up tech (Doctolib, Back Market, Alan, Qonto, BlaBlaCar, Datadog France) qui ont des postes Security Engineer mi-chemin entre dev et AppSec.
3. Postuler également aux ESN pure players AppSec (Synetis, Almond, Intrinsec, Hackuity) qui acceptent des profils en reconversion avec socle solide.

Phase 4 — Consolidation et certification (mois 9 à 12)

Objectif : sécuriser la trajectoire et ouvrir les 3 prochaines années.

• Passer la certification BSCP (PortSwigger Burp Suite Certified Practitioner, 99 $, exam 4 heures en ligne) pour la crédibilité marché immédiate.
• Commencer la préparation OSWE (Offensive Security Web Expert) en visant l'exam à 12-18 mois.
• Contribuer à un projet open source AppSec visible : règles Semgrep, plugins Burp, règles Falco, outils Kubescape.
• Soumettre une proposition de talk à une conférence française (SSTIC, LeHack, Hexacon, Barbhack).

Certifications en venant du dev

L'ordre optimal en 2026 pour un profil dev qui bascule.

Choix recommandé pour un profil dev en 2026 : BSCP en premier (ROI massif, accessible, ciblé AppSec), puis OSWE à 12-18 mois. Cette combinaison place le profil dans le top 30 % des candidats AppSec sur le marché français. OSCP est utile si la trajectoire intègre aussi du pentest ; pas obligatoire si focus AppSec pur.

Portfolio qui débloque les entretiens

Le CV textuel ne différencie pas un dev qui bascule. Le portfolio fait la différence. Cinq éléments mesurables.

1. GitHub portfolio AppSec

Un dépôt GitHub dédié avec :

• Règles Semgrep custom : 10 à 30 règles ciblées sur des classes OWASP, testées avec fixtures positives et négatives.
• Writeups HackTheBox web : 5 à 10 boxes medium et hard, en anglais pour maximiser la visibilité internationale.
• Petits outils AppSec : un scanner custom (scan SAST maison sur une classe précise, scanner API endpoints, wrapper automation Burp), publié en open source avec README détaillé.

# Structure type du portfolio GitHub
appsec-portfolio/
├── semgrep-rules/
│   ├── python/
│   ├── javascript/
│   └── README.md
├── htb-writeups/
│   ├── boxes-easy/
│   ├── boxes-medium/
│   └── README.md
├── tools/
│   ├── api-idor-scanner/
│   ├── jwt-fuzzer/
│   └── README.md
├── threat-modeling/
│   └── case-studies/
└── README.md  # présentation complète, liens vers profils HackerOne, YesWeHack

2. Bug bounty reputation

Un compte actif sur HackerOne + YesWeHack avec :

• 10 à 30 soumissions valides cumulées (même sur VDP non payés).
• Signal supérieur à 4 (ratio soumissions valides / soumissions totales).
• Au moins 1 à 3 vulnérabilités reconnues médiates ou hautes.

La rep bug bounty remplace avantageusement les diplômes manquants dans un dossier AppSec.

3. CVE publiées

Une CVE publiée à ton nom est le trophée le plus discriminant en entretien. Stratégie d'accès : auditer un projet open source moyennement populaire (5 000 à 20 000 stars GitHub), reporter responsable à l'éditeur, obtenir la CVE MITRE.

4. Contributions open source

Contribuer à des projets AppSec reconnus : Semgrep, Trivy, OWASP ZAP, Nuclei, Falco, Kubescape. Une PR mergée sur l'un de ces projets pèse plus qu'une certification.

5. Talks et publications

Présenter un retour d'expérience à un meetup local (OWASP France, Paris Web Meetup, PyData Paris Security) ou publier un article technique profond (blog Medium, dev.to, site perso). Un talk à une conférence reconnue (SSTIC, LeHack, Hexacon, Barbhack) débloque l'accès aux postes senior.

Entretien AppSec Engineer : préparer les questions types

Les entretiens AppSec en 2026 en France combinent typiquement trois rounds.

Round 1 : screening RH et motivation

Questions types :

• Pourquoi la sécurité applicative et pas le pentest ou le DevSecOps ?
• Quelle est ta méthodologie de revue de code sécurité ?
• Peux-tu décrire un threat modeling que tu as mené ?

Réponses attendues : alignement précis entre background dev et rôle AppSec, connaissance des référentiels (OWASP Top 10, ASVS), exemple concret avec méthodologie.

Round 2 : technique AppSec

Questions-types mêlant revue de code et connaissance des classes de vulnérabilités.

# Exemple classique : revue de code en direct (50 minutes)
# Code affiché, le candidat doit identifier les vulnérabilités
 
@app.route("/search")
def search():
    query = request.args.get("q", "")
    sort_by = request.args.get("sort", "created_at")
    direction = request.args.get("dir", "asc")
 
    cursor.execute(
        f"SELECT * FROM products WHERE name LIKE '%{query}%' "
        f"ORDER BY {sort_by} {direction}"
    )
    return jsonify(cursor.fetchall())
 
# Findings attendus de la part du candidat
# 1. Injection SQL classique sur le parameter q (concaténation)
# 2. Injection SQL sur ORDER BY via sort_by et direction
# 3. Pas de rate limit (DoS potentiel)
# 4. Pas de pagination (memory blowup sur grande DB)
# 5. Pas de validation ni cast de sort_by et direction

Round 3 : prise de hauteur / architecture

Questions stratégiques :

• Comment structurerais-tu le programme AppSec d'une entreprise de 200 développeurs ?
• Quels KPIs sécurité suivrais-tu et comment les présenterais-tu au COMEX ?
• Comment gérerais-tu une équipe dev résistante aux exigences sécurité ?

Réponses attendues : vision systémique, connaissance de OWASP SAMM ou BSIMM, expérience ou hypothèses argumentées sur la gestion du changement.

Négocier la bascule salariale

Trois scénarios avec ordres de grandeur observés en France 2026.

Scénario A : bascule interne, dev confirmé 4 ans

• Salaire dev actuel : 50 à 58 k€ bruts annuels.
• Négociation bascule AppSec junior interne : maintien 50 à 58 k€ première année, avec promesse d'ajustement à 58 à 68 k€ à 12 mois sur livrables démontrés.
• Levier supplémentaire : formation et certifications payées par l'employeur (BSCP, OSWE à 2 000 à 3 000 € bien inclus).

Scénario B : recherche externe, dev senior 6 ans

• Salaire dev actuel : 60 à 70 k€ bruts annuels.
• Offre AppSec confirmé externe cible : 70 à 85 k€ bruts annuels + package (participation, intéressement, 2 à 5 k€ de formation annuelle).
• Hausse typique : 10 à 20 % par rapport au dev actuel.

Scénario C : bascule vers scale-up tech ou éditeur de sécurité

• Profils les mieux payés à niveau équivalent : scale-up tech (Doctolib, Datadog France, Qonto), éditeurs produit (Snyk France, CrowdStrike Paris, HashiCorp EMEA).
• Fourchette typique AppSec confirmé : 80 à 100 k€ bruts + package 15 à 30 % supplémentaires.

Points clés à retenir

• La bascule dev vers AppSec se fait en 6 à 12 mois pour un dev confirmé, contre 18 à 36 mois pour un profil sans background tech. L'accélération vient des 5 compétences dev déjà transférables.
• La trajectoire en 4 phases : culture offensive (PortSwigger Academy + OWASP), pratique guidée (revue de code, règles Semgrep, bug bounty VDP), bascule interne ou externe, consolidation avec BSCP puis OSWE.
• La bascule interne est 6 à 12 mois plus rapide que la recherche externe. Proposer un glissement progressif 20 % → 50 % → 100 % avec livrables visibles.
• Le portfolio (GitHub AppSec, rep bug bounty, CVE, contributions open source, talks) pèse plus que les diplômes manquants dans un dossier de candidat en reconversion.
• La rémunération se maintient ou augmente légèrement en bascule interne (première année), avec hausse 10 à 20 % en externe ou après 12 à 18 mois de consolidation.

Pour aller plus loin

• Roadmap AppSec Engineer - parcours complet 18 à 36 mois pour profils hors dev.
• Salaire AppSec Engineer France 2026 - grilles détaillées par niveau et secteur.
• Roadmap secure coding - consolider la pratique secure coding pendant la bascule.
• Injection SQL : fonctionnement, types et défenses - classe de vulnérabilité à maîtriser en profondeur.