Zeroday Cyber Academy

OWASP & AppSec

Roadmap AppSec Engineer 2026 : parcours complet étape par étape

Roadmap AppSec 2026 : prérequis, 4 étapes de fondation à senior, outils (Burp, Semgrep, CodeQL), certifications OSWE/CSSLP, portfolio et durée réaliste 18-36 mois.

Naim Aouaichia
11 min de lecture
  • AppSec
  • Roadmap
  • Parcours
  • Apprentissage
  • OWASP
  • SAST
  • DAST
  • Threat modeling
  • Certifications

Devenir AppSec Engineer en 2026 est un parcours de 12 à 36 mois selon le point de départ, structuré en quatre étapes : fondations code + web, niveau junior opérationnel (Burp, SAST/DAST/SCA, OWASP Top 10 maîtrisé), niveau confirmé (threat modeling, Secure SDLC, cloud-native), et niveau senior/staff (architecture, leadership technique, spécialisation). Le métier exige une double compétence rare - lire/écrire du code de production et penser comme un attaquant - qui justifie les salaires français 2026 allant de 45 k€ pour un junior à 140 k€+ pour un staff engineer. Cette roadmap détaille les skills, outils, certifications et projets portfolio à chaque étape.

Prérequis avant de commencer

Trois socles techniques sont indispensables avant même d'aborder la sécurité applicative. Sans eux, l'apprentissage AppSec reste superficiel.

Programmation

Au minimum une maîtrise opérationnelle d'un des langages backend majeurs : Python, Java, Go, TypeScript/Node.js, ou C#. Capacité à lire du code produit, comprendre un framework (Spring, Django, FastAPI, Express, NestJS), écrire des tests unitaires et utiliser Git au quotidien. Sans ce socle, impossible d'auditer sérieusement du code ou de livrer des PR de correction.

Web et protocoles

Fonctionnement du protocole HTTP/HTTPS (méthodes, statuts, headers, cookies, CORS, CSP), architecture client-serveur, REST, GraphQL, JWT et OAuth 2.0 / OIDC. Ce sont les rails sur lesquels 90 % des vulnérabilités web circulent.

Systèmes et réseau

Base Linux en ligne de commande, fonctionnement de TLS, DNS, modèle OSI niveaux 4 à 7. Pas besoin d'être un expert réseau, mais comprendre comment une requête voyage du navigateur au serveur est indispensable pour lire des logs et débugger des exploits.

Étape 1 - Fondations AppSec (2-4 mois)

Objectif : maîtriser les 10 vulnérabilités les plus critiques et les exploiter en lab.

Ressources structurantes

  • OWASP Top 10 Web 2021 (version 2025 en révision, sortie attendue 2026) : étude de chaque catégorie avec exemples de code vulnérable et patch.
  • PortSwigger Web Security Academy : 250+ labs gratuits couvrant XSS, SQLi, SSRF, XXE, IDOR, authentication, deserialization. Référence absolue, anglais obligatoire.
  • HackTheBox Academy - Web Requests et SQL Injection Fundamentals : modules payants (~25 USD) complémentaires.
  • Juice Shop (OWASP) : application volontairement vulnérable à auto-héberger, 100+ challenges.

Livrable portfolio étape 1

Un dépôt GitHub public avec 30+ labs PortSwigger complétés et write-ups détaillés (code vulnérable, exploitation pas-à-pas, patch proposé, explication du mécanisme sous-jacent). Ce dépôt est votre CV technique.

Skills acquis

DomaineNiveau visé
OWASP Top 10 WebReconnaître, exploiter, corriger chaque catégorie
Injection SQL et NoSQLExploitation manuelle + SQLMap
XSS reflected / stored / DOMExploitation + CSP bypass basiques
IDOR et authentification casséeExploitation et modélisation
Protocoles HTTPMaîtrise headers, cookies, CORS, CSP

Étape 2 - Junior AppSec opérationnel (4-8 mois)

Objectif : devenir employable comme AppSec Engineer junior. Maîtriser les outils du métier et comprendre le cycle SSDLC.

Outils à maîtriser

Tests manuels et semi-automatisés :
  - Burp Suite Community Edition    (indispensable, standard de l'industrie)
  - OWASP ZAP                        (alternative open source)
 
SAST - Static Application Security Testing :
  - Semgrep                          (règles YAML, CI-friendly, gratuit)
  - SonarQube Community Edition      (généraliste)
  - CodeQL                           (sémantique avancé, plus complexe)
  - Bandit (Python) / gosec (Go)     (linters sécurité spécifiques)
 
SCA - Software Composition Analysis :
  - Snyk                             (commercial, freemium généreux)
  - Dependabot                       (GitHub natif)
  - OSV-Scanner (Google)             (open source)
 
DAST - Dynamic Application Security Testing :
  - Burp Suite Scanner               (via Professional si possible)
  - OWASP ZAP (mode automatisé)      (gratuit)
  - Nuclei (ProjectDiscovery)        (CVE et misconfig)

Référentiels et méthodologies

  • OWASP ASVS Level 1 : 130+ contrôles de base. Savoir faire un audit contre cette checklist.
  • OWASP API Security Top 10 (2023) : BOLA, BFLA, mass assignment, rate limiting.
  • OWASP Testing Guide v4.2 : méthodologie de pentest web exhaustive.
  • CWE Top 25 : taxonomie complémentaire au Top 10, utile pour la classification.

Threat modeling niveau 1

Introduction à la modélisation de menaces avec STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege). Savoir réaliser un premier DFD (Data Flow Diagram) et identifier 10-15 menaces sur une application simple. STRIDE reste la méthode la plus accessible pour démarrer.

Certifications recommandées

CertificationCoûtIntérêt junior
Burp Suite Certified Practitioner99 USDExcellent ROI, signal immédiat
eWPT (eLearnSecurity Web Pentest)~400 USDPentest web pratique
CEH (EC-Council)1 200 USDPlutôt à éviter (théorique, peu valorisé technique)

Livrable portfolio étape 2

  • 2 à 5 vulnérabilités publiées sur des programmes bug bounty publics (YesWeHack, HackerOne, Bugcrowd, Intigriti).
  • Une contribution open source à un outil AppSec majeur : rule Semgrep, plugin Burp, query CodeQL.
  • Un article de blog technique par mois sur un concept AppSec maîtrisé.

Étape 3 - AppSec confirmé (6-12 mois)

Objectif : autonomie complète sur un programme AppSec, capacité à intervenir sur du cloud-native, pilotage de Secure SDLC.

Skills à développer

  • Threat modeling avancé : maîtrise STRIDE + introduction à PASTA (Process for Attack Simulation and Threat Analysis) pour les contextes plus critiques, LINDDUN pour la privacy-by-design.
  • Secure SDLC : intégration SAST/DAST/SCA dans les pipelines CI/CD GitHub Actions ou GitLab CI, gates de qualité sécurité, exceptions gérées formellement.
  • Cloud-native security : sécurité Docker, Kubernetes (Pod Security Standards, NetworkPolicies, admission controllers), IaC (Terraform, OpenTofu) audité avec Checkov, tfsec, Trivy.
  • Audit de code whitebox : revue manuelle de 10 000+ lignes de code dans au moins deux langages, identification de vulns non détectées par les outils automatiques.
  • Security champions : capacité à animer un programme de security champions dans une équipe de 10-50 développeurs.

Référentiels étendus

  • OWASP ASVS Level 2 : audit complet et pilotage.
  • OWASP SAMM v2.0 (Software Assurance Maturity Model) : évaluation maturité programme AppSec.
  • NIST SSDF (Secure Software Development Framework, SP 800-218) : référentiel américain adopté en Europe.
  • CVSS v4.0 (publié 2023) : scoring nuancé des vulnérabilités.

Outils avancés

OutilUsageSpécificité
CodeQL (GitHub Advanced Security)SAST sémantiqueÉcrire ses propres queries CodeQL
Trivy (Aqua Security)Container et IaC scanIntégration CI/CD
Checkov / tfsecIaC scanningTerraform, CloudFormation, K8s manifests
Falco (CNCF)Runtime security K8sAlerting comportemental
Semgrep ProSAST + secrets + supply chainRègles organisationnelles custom
gitleaks / trufflehogSecrets detectionPre-commit hooks et CI

Certifications cibles

  • OSWE (Offensive Security Web Expert) : certification de référence pour l'audit whitebox. 1 749 USD, examen 48 h, exigence forte sur le scripting Python. Prime salariale 8-15 k€.
  • CSSLP (ISC²) : 8 domaines du cycle SSDLC, orienté pilotage. ~600 USD + CPE annuels. Utile pour la bascule vers management AppSec.
  • AWS Security Specialty ou Azure AZ-500 : si l'environnement est cloud natif.
  • CKS (Certified Kubernetes Security Specialist) : si l'environnement est K8s. 395 USD, hands-on.

Livrable portfolio étape 3

  • Pilotage d'un programme AppSec sur 6-12 mois avec métriques publiées (coverage SAST, mean time to remediate, nombre de findings critiques fermés).
  • 1 à 2 CVE critiques (CVSS 8+) publiées sur un projet open source majeur ou sur un programme bug bounty high-profile.
  • Présentation technique dans une meetup ou conférence régionale (Nuit du Hack, Pass the Salt, AppSec Day Paris, BSides).

Étape 4 - Senior / Staff Engineer (5+ ans d'expérience cumulée)

Objectif : impact technique transversal, leadership d'équipe ou voie Staff pure.

Compétences différenciantes

  • Architecture sécurité : design de l'authentification et autorisation multi-tenant, gestion du secret management (HashiCorp Vault, AWS KMS, Azure Key Vault), zero-trust network, service mesh sécurisé (Istio avec mTLS).
  • Security programs at scale : scaling de l'AppSec de 20 à 200+ développeurs, politique d'exceptions formalisée, roadmap de maturité ASVS.
  • Spécialisation verticale : au moins une des spécialités à forte valeur :
    • Smart contract / DeFi security (Solidity, Foundry, Slither, MythX).
    • Cloud-native security avancé (admission webhooks custom, CSPM scaling).
    • LLM / AI security (prompt injection, model isolation, RAG security, MITRE ATLAS).
    • Mobile application security (Android MASVS, iOS runtime tampering, Frida).
    • Supply chain security (SLSA, in-toto, Sigstore, SBOM).

Certifications senior

Niveau technique avancé :
  - OSCE3 (OSWE + OSEP + OSED)    : trilogie expert OffSec, ~5000 USD
  - GSSP / GWEB (SANS)             : defense-focused, ~9000 USD/cert
  - CRTO / CRTL (Zero-Point)       : red team, 400-1000 GBP
 
Niveau management / stratégie :
  - CISSP (ISC²)                   : passerelle vers CISO/RSSI
  - CISM (ISACA)                   : orientation gouvernance
  - CCSP (ISC²)                    : cloud security expert
  - ISO 27001 Lead Auditor         : secteur régulé

Livrable portfolio étape 4

  • Talk accepté dans une conférence internationale (Black Hat, DEF CON, OWASP Global, SecTor, Hexacon, Nuit du Hack).
  • Publication d'un outil open source utilisé par au moins une centaine d'organisations (moteur de scan, plugin Burp, outil de fuzzing).
  • Deux à trois articles techniques référencés dans les digest hebdomadaires (TL;DR Sec, Awesome AppSec, DevSecOps Weekly).

Spécialisations émergentes 2026 à forte valeur marché

Trois niches explosent en demande et en prime salariale depuis 2024. Les maîtriser à l'étape confirmé ouvre un accès accéléré au niveau senior.

LLM / AI Application Security

Sécurisation des applications intégrant des modèles de langage : prompt injection directe et indirecte, exfiltration de données via embeddings, isolation des outils dans les agents, guardrails et filtrage, red teaming de modèles. Référentiels : OWASP Top 10 LLM 2025, MITRE ATLAS, NIST AI RMF.

Smart Contract et DeFi

Audit de code Solidity avec Foundry, Slither, MythX, Echidna. Compréhension des patterns d'attaque : reentrancy, flash loan attacks, oracle manipulation. TJM freelance 1 200-2 500 €/jour pour les profils reconnus.

Supply Chain Security

SBOM generation (CycloneDX, SPDX), signature d'artefacts (Sigstore, cosign, in-toto attestations), SLSA levels, vérification de la chaîne de build. Critique depuis les incidents SolarWinds, log4shell, XZ backdoor (CVE-2024-3094).

Synthèse : grille de progression type

ÉtapeDurée cumuléeNiveau salaire cibleObjectif final
Prérequis0-8 moisn/a (apprentissage)Code + web + systèmes
Fondations AppSec2-4 moisn/a (apprentissage)OWASP Top 10 maîtrisé
Junior opérationnel4-8 mois45-58 k€Premier poste AppSec
Confirmé2-3 ans dont 1 en poste60-80 k€Autonomie + SSDLC
Senior4-6 ans en poste80-110 k€Impact organisationnel
Staff / Principal8-12 ans en poste100-140 k€Leadership technique

Points clés à retenir

  • Roadmap AppSec en 4 étapes : fondations (2-4 mois), junior opérationnel (4-8 mois), confirmé (2-3 ans), senior/staff (5+ ans cumulés).
  • Durée totale débutant complet à senior : 6-8 ans. Développeur expérimenté bascule vers confirmé en 2-3 ans.
  • Portfolio technique public (CVE, open source, labs, talks) est le vrai levier d'embauche, plus que les certifications seules.
  • Trois outils à maîtriser en priorité : Burp Suite, Semgrep, CodeQL. Trois référentiels : OWASP Top 10, OWASP ASVS, OWASP Testing Guide.
  • Spécialisations 2026 à fort ROI : LLM / AI security, smart contract audit, supply chain security. Prime de rareté de 15 à 30 %.

Pour creuser les fondations du Top 10 OWASP avant d'attaquer la roadmap, lire le guide introduction au OWASP Top 10. Pour calibrer la progression salariale à chaque étape de cette roadmap, voir salaire AppSec Engineer France 2026.

Questions fréquentes

  • Combien de temps faut-il pour devenir AppSec Engineer à partir de zéro ?
    Le parcours complet d'un débutant sans background tech jusqu'à un premier poste junior prend 18 à 24 mois à rythme soutenu (15-20 h/semaine). Pour un développeur expérimenté qui bascule vers l'AppSec, la fenêtre est beaucoup plus courte : 9 à 12 mois pour être opérationnel et embauchable, grâce à la maîtrise préexistante du code et des frameworks.
  • Faut-il d'abord être développeur avant de faire de l'AppSec ?
    Pas obligatoire mais fortement recommandé. Un profil dual Dev+Sec capture une prime salariale de 10 à 20 % et accède plus rapidement aux postes haut de gamme. Pour les profils non-développeurs, viser un an de pratique intensive du code (Python, JavaScript/TypeScript, Java ou Go) en parallèle de l'apprentissage OWASP, avec des contributions open source vérifiables.
  • Quelle différence entre OWASP Top 10 et OWASP ASVS pour apprendre ?
    L'OWASP Top 10 est un classement des 10 risques les plus critiques - excellente entrée en matière mais insuffisant seul. L'ASVS (Application Security Verification Standard) est un référentiel de 280+ contrôles répartis en 3 niveaux d'assurance, utilisé pour piloter la maturité AppSec d'une organisation. Un AppSec Engineer confirmé maîtrise l'ASVS Level 2 et peut piloter un programme de conformité dessus.
  • Burp Suite, Semgrep, CodeQL, Snyk : par quoi commencer ?
    Ordre recommandé : Burp Suite Community Edition d'abord (hands-on avec une application vulnérable type Juice Shop ou DVWA), puis Semgrep pour apprendre le SAST patterns-based (gratuit, rules YAML simples), ensuite CodeQL pour le SAST sémantique avancé, et enfin Snyk/Dependabot pour la partie SCA (composition analysis des dépendances). Cette progression suit la difficulté technique.
  • L'OSWE est-elle indispensable pour un AppSec Engineer ?
    Non indispensable mais c'est la certification technique la plus différenciante sur le marché 2026. L'OSWE (Offensive Security Web Expert, 1 749 USD) prouve une capacité d'audit whitebox avancé, rare et valorisée 8 à 15 k€ sur le salaire. Alternatives acceptables : Burp Suite Certified Practitioner (99 USD, accessible), puis OSWE en niveau confirmé. CSSLP (ISC²) vise plutôt la bascule Secure SDLC et management.
  • Comment prouver son niveau AppSec quand on n'a pas encore d'expérience pro ?
    Trois portfolios complémentaires à bâtir en parallèle : (1) 30+ labs PortSwigger Web Security Academy avec write-ups publiés, (2) une ou deux CVE trouvées et rapportées proprement (bug bounty HackerOne, YesWeHack, ou programmes open source), (3) contributions open source à des outils AppSec (règles Semgrep, queries CodeQL, plugins Burp). Ce triptyque vaut plus qu'une certification isolée pour un premier poste.
Découvrir la formation OWASP Web Security

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également