Faut-il un diplôme d'informatique pour travailler en cybersécurité ?

Non. Selon l'étude (ISC)² Cybersecurity Workforce Study 2024, près de 40 % des professionnels cyber déclarent un parcours non traditionnel. Ce qui compte en entretien junior : des compétences démontrables (labs TryHackMe, CTF, portfolio GitHub) et une à deux certifications reconnues (CompTIA Security+, eJPT). Un diplôme reste un accélérateur dans les grandes ESN mais n'est pas bloquant en PME et scale-up.

Quelle certification commencer quand on part de zéro ?

CompTIA Security+ (SY0-701), environ 400 € d'examen et 2 à 4 mois de préparation. C'est la certification d'entrée reconnue mondialement, qui couvre confidentialité-intégrité-disponibilité, architectures, contrôles et réponse à incident sans prérequis technique avancé. Elle est acceptée par le DoD américain et très visible sur les offres junior françaises.

Combien de temps faut-il réellement pour décrocher un premier poste ?

12 à 24 mois à temps plein pour un profil sans base IT, 6 à 12 mois pour un admin sys ou dev qui bascule. Les promesses type « 3 mois et un job garanti » sont irréalistes dans la majorité des cas. Les parcours les plus rapides combinent bootcamp intensif sélectif (6-9 mois) et alternance ou stage en parallèle.

Faut-il savoir coder pour entrer en cybersécurité ?

Cela dépend du métier visé. SOC analyst niveau 1 et analyste GRC : des scripts shell suffisent. Pentest, reverse engineering, DevSecOps : Python et Bash sont indispensables, avec du C ou de l'assembleur pour le reverse avancé. Pour démarrer, maîtriser Python à un niveau intermédiaire (API, parsing, automation) couvre environ 80 % des besoins juniors.

Quel salaire espérer en sortant d'une reconversion ?

En France, un poste junior 0-2 ans se situe entre 32 000 € et 45 000 € bruts annuels en province, 40 000 € à 55 000 € en Île-de-France selon les panels Apec et Numeum 2023-2024. Le différentiel remonte vite : 55 à 75 k€ à 3-5 ans d'expérience, avec dispersion forte selon la spécialisation (pentest et DevSecOps tirent la fourchette haute).

Entrer en cybersécurité en partant de zéro : la feuille de route

Entrer en cybersécurité sans aucun bagage technique prend 12 à 24 mois de travail structuré, jamais trois mois comme le promettent certains bootcamps agressifs. La feuille de route qui fonctionne repose sur trois piliers : des fondamentaux systèmes et réseau solides, une première certification d'entrée reconnue — typiquement CompTIA Security+ ou eJPT (eLearnSecurity Junior Penetration Tester) —, et un portfolio pratique démontrable via TryHackMe, HackTheBox et des writeups de CTF (Capture The Flag) publiés. Cet article détaille le parcours métier par métier, avec durée, budget et critères objectifs pour passer à l'étape suivante.

1. Évaluer honnêtement son point de départ

Avant toute formation, il faut auditer ce qu'on sait déjà. Un ancien administrateur système n'a pas les mêmes six mois devant lui qu'un profil en reconversion totale depuis un métier non technique. Cet audit conditionne l'ordre dans lequel les briques doivent être montées.

Quatre profils se dégagent dans la pratique :

Profil de départ	Pré-requis à combler avant la cyber pure	Durée estimée avant employabilité
Aucun bagage IT	Fondamentaux OS, réseau, scripting	18-24 mois
Helpdesk ou support technique	Administration système, scripting	12-18 mois
Admin système ou développeur	Concepts cyber spécifiques, certifs	6-12 mois
Ingénieur logiciel confirmé	AppSec, DevSecOps, pentest	3-9 mois

L'auto-évaluation doit être brutale. Savoir naviguer un shell Linux de base, comprendre ce qu'est un port TCP (Transmission Control Protocol), monter une VM (machine virtuelle), lire un handshake TLS (Transport Layer Security) : ces gestes ne sont pas négociables. Si l'un de ces items n'est pas acquis, la cybersécurité attendra 3 à 6 mois de montée en niveau informatique générale.

2. Cartographier les métiers cyber accessibles en entrée

La cybersécurité n'est pas un métier unique. Le référentiel NICE du NIST (National Institute of Standards and Technology) recense plus de cinquante rôles distincts. Les postes réellement accessibles à un profil junior en reconversion sont plus limités qu'on ne le pense.

Métier junior	Orientation	Coding requis	Salaire brut annuel FR (junior)
SOC Analyst L1 (Security Operations Center)	Défensif	Scripts shell uniquement	32-42 k€
Analyste GRC (Governance, Risk, Compliance)	Conformité	Non	35-45 k€
AppSec junior (Application Security)	Offensif et défensif	Python, une stack dev	42-55 k€
DevSecOps junior	Outillage, pipelines	Python, Bash, YAML, infra-as-code	42-55 k€
Threat Intelligence / OSINT	Analyse	Optionnel	38-48 k€
Pentest junior	Offensif	Python + bases C	40-52 k€

Fourchettes issues des panels Apec et Numeum 2023-2024, bas de fourchette en province, haut en Île-de-France.

Deux constats comptent : le pentest est rarement accessible directement en sortie de reconversion sans portefeuille CTF solide. Le SOC niveau 1 et l'analyse GRC sont les deux portes d'entrée les plus réalistes, avec un délai d'embauche plus court et des exigences techniques mieux calibrées pour un profil junior.

3. Les fondamentaux non négociables

Quel que soit le métier visé, certaines briques ne se contournent pas. Les sauter pour aller « directement faire du pentest » se paie cash en entretien technique.

Systèmes d'exploitation

Linux en ligne de commande quotidien : navigation, permissions POSIX, redirections, processus, systemd, journald.
Windows : Active Directory (domaine, GPO, NTLM, Kerberos), PowerShell à un niveau opérationnel.

Réseau

Modèle OSI, TCP/IP, DNS (Domain Name System), HTTP/HTTPS, TLS.
Wireshark : lire une capture, identifier un handshake TLS, repérer une requête anormale.
NAT, proxy, VPN, firewall : savoir expliquer le cheminement complet d'un paquet, de l'application à la carte réseau.

Cryptographie appliquée

Différence symétrique / asymétrique, rôle d'une PKI (Public Key Infrastructure), chaînes de certificats X.509.
Algorithmes actuels : AES-256, RSA-2048 (considéré obsolète long terme par NIST SP 800-131A), courbes elliptiques.

Scripting

Python d'abord, Bash ensuite. Un script Python qui interroge une API, parse du JSON et écrit dans un fichier est le minimum attendu. Exemple typique qu'un candidat débutant doit savoir produire :

import requests
 
def check_http_status(targets):
    """Vérifie le code HTTP d'une liste d'URL et retourne les anomalies."""
    results = []
    for url in targets:
        try:
            r = requests.get(url, timeout=5, allow_redirects=False)
            if r.status_code >= 400:
                results.append((url, r.status_code))
        except requests.RequestException as e:
            results.append((url, f"ERR: {e.__class__.__name__}"))
    return results
 
if __name__ == "__main__":
    for url, status in check_http_status(["https://exemple.com", "https://exemple.fr"]):
        print(f"{url} -> {status}")

Ce niveau n'est pas de la programmation avancée. C'est le socle qui permet d'automatiser une partie de son travail dès le premier poste — et ce qui distingue un junior opérationnel d'un junior qui devra être téléguidé pendant six mois.

4. Les certifications à passer, dans le bon ordre

Le marché français reste très sensible aux certifications pour les profils junior. L'ordre ci-dessous optimise le rapport reconnaissance / coût / effort.

Certification	Coût examen	Durée prépa	Niveau	Reconnaissance FR
CompTIA Security+ (SY0-701)	≈ 400 €	2-4 mois	Fondamentaux	Très forte
eJPT v2 (INE)	≈ 250 €	1-3 mois	Intro pentest pratique	Moyenne-forte
CompTIA CySA+	≈ 420 €	3-5 mois	SOC / blue team	Forte
PNPT (TCM Security)	≈ 400 €	4-6 mois	Pentest interne AD	Moyenne, en hausse
CEH (EC-Council)	≈ 1 200 €	2-4 mois	Connaissances générales	Forte chez ESN
OSCP (Offensive Security Certified Professional)	≈ 1 600 € bundle PEN-200	6-12 mois	Pentest avancé	Très forte

Deux règles simples. D'abord, ne pas viser l'OSCP en premier : taux d'échec élevé pour des profils juniors, budget disproportionné, temps de préparation mal calibré sans socle pentest préalable. Ensuite, ne pas enchaîner trois certifications sans expérience pratique entre chacune. Une certification qui ne se traduit pas en projet démontré ne tient pas en entretien technique : les recruteurs senior testent le « fait maison », pas le bachotage.

5. La pratique : labs et CTF

Les certifications ne remplacent pas la main sur le clavier. Quatre plateformes couvrent 95 % des besoins en phase d'apprentissage :

TryHackMe (THM) : parcours guidés progressifs, idéal débutant. Ordre recommandé : Pre Security → Complete Beginner → SOC Level 1 (blue team) ou Jr Penetration Tester (offensif).
HackTheBox (HTB) Academy + Labs : plus exigeant, format machines à compromettre. À réserver une fois le socle THM acquis.
RootMe : challenges francophones, très utilisés par les recruteurs français et les écoles d'ingénieurs.
Blue Team Labs Online (BTLO) : pour une orientation défensive (SOC, forensique, réponse à incident).

Connexion type à un lab THM via OpenVPN, geste à maîtriser avant tout entretien pratique :

# 1. Télécharger le fichier .ovpn depuis son profil THM
# 2. Lancer le tunnel dans un terminal dédié
sudo openvpn --config ~/Downloads/<user>.ovpn
 
# 3. Dans un autre terminal, vérifier l'interface tun0
ip addr show tun0
 
# 4. Premier scan de reconnaissance d'une cible du lab
nmap -sC -sV -oN initial.nmap <IP_CIBLE>

6. Construire un portfolio qui passe le tri CV

Les recruteurs techniques trient les candidatures junior sur des preuves, pas sur des intitulés de certification. Le portfolio minimal viable tient en quatre pièces :

Un profil public THM ou HTB avec une progression visible sur 6 mois ou plus (rang, rooms terminées, écritures).
Un GitHub actif hébergeant au moins trois projets : scripts personnels utiles, writeups de CTF détaillés, rapport de pentest d'une machine HTB retirée (la charte HackTheBox autorise la publication post-retrait).
Un blog ou une série LinkedIn documentant l'apprentissage. Le volume importe moins que la régularité : un article par mois pendant un an pèse davantage qu'une explosion ponctuelle puis six mois de silence.
Une contribution open source même modeste : règle Sigma, signature YARA, extension Burp Suite, patch sur un outil communautaire.

Le guide reconversion complet détaille comment structurer ces quatre pièces dans l'ordre et avec quelle intensité hebdomadaire les tenir sans lâcher en cours de route.

7. Durée et budget réels

Les trois grands chemins vers un premier poste, chiffrés sans marketing :

Parcours	Budget total	Durée avant embauche	Taux de succès observé
Autodidacte pur (labs + certifs)	500-1 500 €	18-24 mois	≈ 30-40 % (fort taux d'abandon)
Bootcamp intensif sélectif	5 000-10 000 €	6-12 mois	≈ 60-75 % si sélection à l'entrée
Alternance + formation diplômante	0-3 000 € reste à charge	12-24 mois	≈ 70-85 %
Accompagnement cadré 6 mois	Variable selon financement	6-9 mois	Dépend du profil initial

Taux de succès indicatifs issus de retours publics (communautés francophones, panels Apec 2023-2024). Une motivation inégale multiplie les durées par deux sans garantir l'employabilité finale — la constance hebdomadaire prime sur l'intensité ponctuelle.

Points clés à retenir

La reconversion cyber sérieuse prend 12 à 24 mois, pas trois.
Deux portes d'entrée réalistes : SOC niveau 1 et analyste GRC. Le pentest junior arrive plus tard.
Pile minimale non négociable : Linux, Windows/Active Directory, réseau, Python, Bash, crypto appliquée.
Ordre recommandé de certifications : Security+ → CySA+ ou eJPT → PNPT ou OSCP selon spécialisation visée.
Portfolio indispensable : profils THM/HTB + GitHub + blog + contribution open source. Pas de portfolio, pas d'entretien technique.
Budget : 500 € à 10 000 € selon le chemin, CPF et alternance réduisent fortement le reste à charge.

Pour une vision globale de la reconversion, consulter le guide reconversion pillar. Pour un parcours cadré avec mentorat et objectifs hebdomadaires, l'accompagnement cyber 6 mois cible spécifiquement les profils en transition.