Zeroday Cyber Academy

Reconversion cybersécurité

Roadmap IAM engineer : parcours d'apprentissage 2026

Roadmap IAM engineer 2026 : parcours 12-18 mois, certifications SC-300/Okta/CyberArk/CISSP, portfolio, phases chiffrées, budget total et bilan Zeroday.

Naim Aouaichia
17 min de lecture
  • Roadmap
  • IAM
  • Parcours apprentissage
  • Okta
  • Entra ID
  • SC-300
  • CISSP
  • CyberArk
  • Zero Trust
  • Reconversion

La roadmap IAM engineer (Identity and Access Management) 2026 se structure en 5 phases sur 15-18 mois pour un profil IT compatible (admin système, DevOps, cloud engineer, SRE ou dev backend senior avec 2+ ans d'expérience), avec un budget certifications de 2 200-3 500 € et un portfolio GitHub de 6 livrables démontrables en parallèle. Les 4 certifications socle sont CompTIA Security+ (fondations cyber), Microsoft SC-300 (Identity and Access Administrator Associate), Okta Certified Professional (ou Entra ID avancé selon stack), CyberArk Sentry (PAM) ou SailPoint IdentityNow Engineer (IGA). Optionnellement CISSP à 4-5 ans d'expérience cumulée pour la bascule architecte. La roadmap combine apprentissage structuré des protocoles (SAML 2.0, OIDC, OAuth 2.0/2.1, SCIM 2.0, FIDO2/WebAuthn), référentiels (NIST SP 800-63-4 Digital Identity, NIST SP 800-207 Zero Trust), et pratique intensive sur labs gratuits (Entra ID free tier, Okta Developer, Keycloak, CyberArk Trial). À l'issue des 15-18 mois, le candidat atteint un niveau IAM engineer junior embauchable à 52-72 k€ bruts en Île-de-France (fourchettes Apec 2024, voir Salaire ingénieur IAM en France 2026), avec un spectre d'évolution rapide vers Cloud IAM, CIAM, PAM senior et Architecte IAM à 130-185 k€. Zeroday Cyber Academy recommande cette roadmap dans sa forme structurée (3 conditions : profil IT préalable, discipline 10-15 h hebdomadaires, portfolio en parallèle des certifs) — les candidats qui improvisent sans plan mettent 24-36 mois pour un résultat équivalent. Cet article détaille les 5 phases chiffrées, les certifications par jalon, les labs concrets, le portfolio GitHub attendu, le budget total et notre bilan factuel.

1. Vue d'ensemble de la roadmap en 5 phases

PhaseMoisObjectifCertification ciblePortfolio output
Phase 1 — Fondations1-3Socle cyber plus réseau plus OS plus scriptingCompTIA Security+Lab Active Directory local
Phase 2 — IAM fondamental4-6Protocoles SAML OIDC OAuth SCIM plus Entra ID de baseMicrosoft SC-300Lab Entra ID avec SSO fédéré
Phase 3 — IAM applicatif7-10Okta avancé ou Entra ID avancé plus Conditional Access plus TerraformOkta Certified ProfessionalModule Terraform Okta plus CA policies
Phase 4 — Spécialisation11-15PAM (CyberArk) ou IGA (SailPoint) plus Zero TrustCyberArk Sentry OU SailPoint EngineerConfig PAM avec rotation plus session recording
Phase 5 — Insertion marché15-18Portfolio final plus candidaturesOptionnel : CISSPPortfolio consolidé 6 livrables plus CV plus candidatures

Total investissement : 15-18 mois à raison de 10-15 heures hebdomadaires, budget certifications 2 200-3 500 €, budget formation complémentaire optionnel 500-1 500 €, budget labs (SSD plus RAM si VM locales) 200-500 € ponctuel.

2. Phase 1 — Fondations (mois 1-3)

Objectif : construire le socle cyber générique et consolider les bases IT indispensables pour la suite.

Compétences à acquérir

  • Fondamentaux cyber : CIA triad, AAA, contrôles NIST CSF 2.0, OWASP Top 10 web 2021, MITRE ATT&CK v15.
  • Réseau : TCP/IP, DNS, HTTP/HTTPS, TLS 1.3, firewalls, VPN, proxy, Wireshark de base.
  • OS Windows : Active Directory de base, GPO, PowerShell essentiel (Get-ADUser, Get-ADGroup, Set-ADUser).
  • OS Linux : ligne de commande, systemd, SSH, gestion des utilisateurs, sudo, PAM Linux module de base.
  • Scripting : Bash solide plus Python de base (parsing, requests, JSON manipulation).
  • Git et GitHub : workflow fork/PR, branches, CI/CD introduction.

Certification cible

  • CompTIA Security+ (≈ 400 €, examen 90 minutes, 90 questions). Socle cyber reconnu internationalement, prérequis pour passer SC-300 avec confort.

Lab et portfolio output

  • Lab Active Directory local : Windows Server 2022 en VM (VirtualBox ou VMware Workstation gratuit), déploiement AD DS, création de 20-30 users, 5-10 groupes, 3-5 OUs, 5-10 GPO de base (Password Policy, Audit Policy, Firewall). Livrable GitHub public : dépôt Markdown documentant les commandes PowerShell utilisées, screenshots, explication architecture.

Ressources recommandées

  • Security+ : Professor Messer (YouTube gratuit), CompTIA CertMaster Learn, Jason Dion Udemy.
  • Active Directory : Microsoft Learn, TryHackMe « Active Directory Basics », HackTheBox retired AD machines pour apprentissage défensif.
  • Labs : Windows Server 2022 Evaluation (180 jours gratuits), VMware Workstation Player (gratuit usage non-commercial).

Budget phase 1 : 400 € (Security+) plus 50-150 € (Jason Dion ou Professor Messer Premium si souhaité).

3. Phase 2 — IAM fondamental (mois 4-6)

Objectif : maîtriser les protocoles IAM structurants et entrer dans la stack Microsoft Entra ID ou Okta.

Compétences à acquérir

  • Protocoles IAM : SAML 2.0 (OASIS 2005), OIDC (OpenID Foundation 2014), OAuth 2.0 (RFC 6749), OAuth 2.1 (draft consolidé 2023), SCIM 2.0 (RFC 7643 plus 7644), FIDO2/WebAuthn (W3C Recommendation mars 2019).
  • Concepts Zero Trust : NIST SP 800-207 (août 2020), AAL/IAL/FAL niveaux de NIST SP 800-63-4.
  • Entra ID : Users et Groups management, Azure Enterprise Applications, App Registrations, SSO SAML/OIDC, conditional access de base, PIM (Privileged Identity Management) introduction.
  • Alternativement Okta : Okta Universal Directory, Apps catalog, SSO SAML/OIDC, Workflows de base, Policies signon.
  • Scripting IAM : PowerShell Microsoft Graph SDK ou Okta PowerShell Module, gestion programmatique users/groupes/apps.

Certification cible

  • Microsoft SC-300 Identity and Access Administrator Associate (≈ 165 $, examen 120 minutes). La certification la plus rentable pour entrer dans l'IAM tech en 2026, forte reconnaissance marché France et internationale.

Lab et portfolio output

  • Lab Entra ID free tier (ou Okta Developer gratuit) : déploiement complet avec 10-15 users, 3-5 groupes, 5-8 applications fédérées SAML ou OIDC (Grafana, NextCloud, Keycloak client, SonarQube, GitLab). Configuration Conditional Access de base avec MFA FIDO2. Livrable GitHub public : dépôt avec documentation Markdown, scripts PowerShell de provisioning, diagrammes d'architecture.

Ressources recommandées

  • SC-300 : Microsoft Learn path complet, Whizlabs practice tests, John Savill Azure Master Class (YouTube gratuit, excellent).
  • Protocoles : RFC 6749 OAuth 2.0, OpenID Connect specification, Duende IdentityServer blog, Auth0 blog posts.
  • Lab Entra ID : Microsoft 365 Developer Program (gratuit, tenant sandbox).

Budget phase 2 : 165 $ (SC-300) plus 50-100 € (ressources complémentaires).

4. Phase 3 — IAM applicatif (mois 7-10)

Objectif : maîtriser un IDP en profondeur (Okta ou Entra ID avancé), automatiser via Terraform, construire le portfolio IAM moderne.

Compétences à acquérir

  • Okta avancé (ou Entra ID avancé selon choix stack) : Workflows Okta Identity Engine, Advanced Server Access, Privileged Access, Okta Customer Identity (CIAM), API Access Management (OAuth 2.0), Rate Limiting, Event Hooks.
  • Conditional Access avancé : risk-based authentication, device compliance Intune, MFA FIDO2 obligatoire pour comptes privilégiés, session lifetime policies, location-based access.
  • IAM as Code : Terraform provider Okta ou Microsoft Graph, modules réutilisables, GitFlow pour gestion IAM config, CI/CD avec pre-commit hooks.
  • SCIM provisioning : configuration de provisioning automatique bi-directionnel entre IDP et applications SaaS (Slack, Zoom, Salesforce, GitHub Enterprise).
  • Introduction ZTNA : Zero Trust Network Access avec Cloudflare Access, Netskope Private Access, ou Zscaler Private Access, intégration IAM.

Certification cible

  • Okta Certified Professional (Administrator puis Professional, ≈ 250 $ par examen). Alternative : Microsoft SC-100 Cybersecurity Architect Expert pour profil Entra ID dominant.

Lab et portfolio output

  • Module Terraform Okta ou Microsoft Graph PowerShell : gestion programmatique de 50+ users, 20+ groupes, 10+ applications avec SCIM, 10+ Conditional Access policies. Livrable GitHub public : dépôt Terraform avec tests (terraform plan CI), documentation Markdown, exemples d'usage. Ce module est le livrable le plus regardé par les recruteurs en entretien technique.

Ressources recommandées

  • Okta : Okta Certified Professional Study Guide, Okta Developer documentation, Terraform Okta provider docs.
  • Entra ID avancé : Microsoft SC-100 path, Merill Fernando MVP blog, Microsoft Entra ID Design Guidelines.
  • ZTNA : Cloudflare Zero Trust docs, Netskope NCCSE certification study guide.

Budget phase 3 : 250-500 $ (Okta ou SC-100) plus 50-150 € (ressources avancées).

5. Phase 4 — Spécialisation (mois 11-15)

Objectif : choisir une spécialisation parmi PAM, CIAM, IGA et atteindre un niveau hands-on qui distingue en entretien.

Trois chemins de spécialisation possibles

Chemin A — PAM Engineer (Privileged Access Management)

  • Outils dominants : CyberArk PAM, Delinea Secret Server, HashiCorp Vault plus Boundary, BeyondTrust.
  • Compétences : Vault architecture, rotation automatique, session recording, approval workflows, JIT elevation, break-glass accounts.
  • Certification : CyberArk Sentry (≈ 300 $) ou CyberArk Defender (≈ 300 $). HashiCorp Vault Associate (≈ 70 $) en complément.
  • Lab : CyberArk Trial 30 jours ou HashiCorp Vault open-source déployé localement avec policies et rotation automatique.
  • Livrable portfolio : dépôt GitHub avec policies Vault ou CyberArk pour rotation de 5-10 secrets applicatifs, scripts d'intégration, documentation complète.
  • Salaire cible 2026 : 52-72 k€ junior, 92-125 k€ senior (le plus rémunérateur des sous-domaines IAM).

Chemin B — CIAM Engineer (Customer IAM)

  • Outils dominants : Okta Customer Identity, Auth0, ForgeRock, Keycloak.
  • Compétences : progressive profiling, social login (Google, Facebook, Apple), consentements RGPD, MFA client-facing, rate limiting anti-bot, passwordless passkeys.
  • Certification : Auth0 Developer Professional (≈ 500 $) ou Okta Customer Identity Professional (≈ 250 $).
  • Lab : Auth0 free tier ou Keycloak self-hosted avec 3-5 intégrations OIDC custom.
  • Livrable portfolio : application web démonstration avec flow complet inscription, login, passkey, gestion consentements RGPD, deployed sur repo GitHub public plus site live.
  • Salaire cible 2026 : 48-68 k€ junior, 88-115 k€ senior.

Chemin C — IGA Engineer (Identity Governance and Administration)

  • Outils dominants : SailPoint IdentityNow, Saviynt, Okta IGA.
  • Compétences : reviews d'accès, certification campaigns, SoD (Separation of Duties), role mining, policy engine.
  • Certification : SailPoint IdentityNow Engineer (≈ 400 $) ou Saviynt IGA Implementation Engineer.
  • Lab : SailPoint IdentityNow trial ou environment client via cabinet spécialisé.
  • Livrable portfolio : policy engine avec 10-15 règles SoD, reviews d'accès automatisés, documentation méthodologie.
  • Salaire cible 2026 : 50-68 k€ junior, 85-115 k€ senior.

Compétences transverses Zero Trust (toutes spécialisations)

  • Executive Order 14028 (mai 2021) et impact marché.
  • NIST SP 800-207 Zero Trust Architecture.
  • Continuous Access Evaluation (CAEP), OpenID Foundation 2023.
  • Microsegmentation identité plus réseau.

Budget phase 4 : 300-500 $ (selon spécialisation) plus 150-300 € (ressources, livres, labs).

6. Phase 5 — Insertion marché (mois 15-18)

Objectif : consolider le portfolio, préparer candidatures, décrocher le premier poste IAM.

Activités

  1. Consolidation portfolio GitHub : 6 livrables minimum, tous publics, tous avec README structuré, commit history propre (dernier commit moins 1 mois), CI verte si applicable, documentation d'architecture.
  2. Rédaction CV IAM ciblé : titre clair (« IAM Engineer — 15 mois formation plus X ans IT »), compétences techniques listées (Okta, Entra ID, SAML, OIDC, SCIM, FIDO2, Terraform, PowerShell), GitHub en clair en haut, certifications, projets démontrables chiffrés.
  3. Profil LinkedIn aligné : titre « IAM Engineer » (pas « en reconversion » — signal négatif), summary court avec portfolio lien, posts techniques partagés (NIS 2 impact, Zero Trust, Okta plus Entra ID).
  4. Candidatures ciblées : ESN spécialisées IAM (Synetis, IN Groupe, Digitemis, Orange Cyberdefense IAM, Advens IAM), grands groupes (banques Société Générale plus BNP plus CA, assurances AXA plus Allianz, télécoms Orange plus SFR), scale-ups tech avec besoin IAM (Alan, Qonto, Payfit, Datadog FR).
  5. Entretien technique préparation : relire les 6 projets GitHub à fond, préparer 3 récits structure PROBLÈME/CONTEXTE/ACTION/RÉSULTAT/APPRENTISSAGE, pratiquer pitch 5 minutes sur chaque projet.

Option certification CISSP (si 4-5 ans d'expérience cumulée)

  • CISSP exige 5 ans d'expérience vérifiée dans au moins 2 des 8 domaines du CBK (Common Body of Knowledge). Un candidat qui réussit l'examen sans les 5 ans d'expérience obtient le statut d'Associate of (ISC)² pendant 6 ans maximum pour compléter.
  • Budget : 749 $ plus 200-400 € (Eleventh Hour CISSP study guide plus Thor Pedersen Udemy plus 100 pages practice tests).
  • Durée prépa : 4-6 mois en parallèle de la roadmap.

Exemple de tracker de progression roadmap (format YAML exploitable en dépôt GitHub public pour suivi personnel) :

# roadmap-iam-tracker-v1.yml
# Suivi personnel roadmap IAM engineer sur 18 mois.
# Exemple pedagogique - a adapter au rythme personnel.
 
meta:
  candidat: "Prenom Nom"
  date_debut: "2026-04-23"
  objectif_embauche: "2027-10"
  niveau_cible: "IAM engineer junior 52-72 k EUR IDF"
  heures_hebdo_cible: 12
 
phase_1_fondations:
  mois: "1-3"
  status: "en_cours"
  objectifs:
    - id: "P1-01"
      titre: "CompTIA Security+ obtenu"
      certification: true
      cout_eur: 400
      date_cible: "2026-07"
      status: "en_cours"
    - id: "P1-02"
      titre: "Lab AD Windows Server 2022 deployee"
      certification: false
      date_cible: "2026-06"
      status: "a_faire"
    - id: "P1-03"
      titre: "Repo GitHub public portfolio-iam cree"
      certification: false
      date_cible: "2026-05"
      status: "a_faire"
 
phase_2_iam_fondamental:
  mois: "4-6"
  status: "non_demarre"
  objectifs:
    - id: "P2-01"
      titre: "Microsoft SC-300 obtenu"
      certification: true
      cout_eur: 150
      date_cible: "2026-10"
      status: "a_faire"
    - id: "P2-02"
      titre: "Lab Entra ID free tier avec 10 users plus 5 apps SAML"
      date_cible: "2026-09"
      status: "a_faire"
    - id: "P2-03"
      titre: "Livrable GitHub SAML OIDC integration demonstration"
      date_cible: "2026-10"
      status: "a_faire"
 
phase_3_iam_applicatif:
  mois: "7-10"
  status: "non_demarre"
  objectifs:
    - id: "P3-01"
      titre: "Okta Certified Professional obtenu"
      certification: true
      cout_eur: 230
      date_cible: "2027-02"
      status: "a_faire"
    - id: "P3-02"
      titre: "Module Terraform Okta ou MS Graph PowerShell publie"
      date_cible: "2027-02"
      status: "a_faire"
    - id: "P3-03"
      titre: "20 Conditional Access policies documentees"
      date_cible: "2027-01"
      status: "a_faire"
 
phase_4_specialisation:
  mois: "11-15"
  chemin_choisi: "PAM CyberArk"
  status: "non_demarre"
  objectifs:
    - id: "P4-01"
      titre: "CyberArk Sentry obtenu"
      certification: true
      cout_eur: 280
      date_cible: "2027-07"
      status: "a_faire"
    - id: "P4-02"
      titre: "Lab CyberArk ou HashiCorp Vault avec rotation 5 secrets"
      date_cible: "2027-06"
      status: "a_faire"
 
phase_5_insertion_marche:
  mois: "15-18"
  status: "non_demarre"
  objectifs:
    - id: "P5-01"
      titre: "Portfolio GitHub consolide 6 livrables"
      date_cible: "2027-10"
      status: "a_faire"
    - id: "P5-02"
      titre: "CV IAM plus LinkedIn aligne"
      date_cible: "2027-08"
      status: "a_faire"
    - id: "P5-03"
      titre: "3 processus candidatures en parallele"
      date_cible: "2027-10"
      status: "a_faire"
    - id: "P5-04"
      titre: "Signature premier poste IAM junior"
      date_cible: "2027-12"
      status: "a_faire"
 
budget_total_prevu_eur:
  certifications: 2800
  formations_complementaires: 800
  materiel_labs: 300
  total: 3900

Ce tracker constitue à la fois un livrable de portfolio (signal de rigueur) et un outil de pilotage personnel concret.

7. Budget total et ROI

PosteBudget estimé
CompTIA Security+400 €
Microsoft SC-300165 $ ≈ 150 €
Okta Certified Professional (2 examens)500 $ ≈ 460 €
CyberArk Sentry (ou SailPoint IdentityNow Engineer)300-400 $ ≈ 280-370 €
CISSP (optionnel, si 5 ans expérience cumulée)749 $ ≈ 690 €
Formations complémentaires (Udemy, Whizlabs, livres)500-1 500 €
Matériel labs (RAM supplémentaire, SSD externe)200-500 €
Total base (sans CISSP)2 200-3 500 €
Total complet (avec CISSP)2 900-4 200 €

ROI salarial : embauche junior IAM à 52-72 k€ bruts en Île-de-France après 15-18 mois. Différentiel mensuel vs poste IT non-cyber typique (40-55 k€ brut) : plus 1 000-1 500 € mensuels environ, soit amortissement du budget formation complet en 2-3 mois. Sur une carrière IAM 20 ans avec progression senior à 120 k€ plus architecte à 185 k€, le ROI cumulé atteint facilement plus 500 000 € vs trajectoire IT non-cyber équivalente.

8. Bilan Zeroday Cyber Academy

Notre avis assumé : cette roadmap est réaliste pour 80-90 % des profils IT ayant 2+ ans d'expérience préalable admin système, DevOps, cloud engineer ou dev backend senior. Elle est irréaliste pour les profils 0 expérience IT total — qui doivent ajouter une phase 0 de 6-12 mois d'acquisition IT avant de démarrer la roadmap IAM proprement dite.

Nos 5 recommandations structurantes

  1. Respecter la discipline 10-15 heures hebdomadaires sur 15-18 mois. L'intensité soutenue est le différenciateur — les candidats qui étalent sur 24-36 mois perdent l'élan et les acquis techniques.
  2. Construire le portfolio GitHub en parallèle des certifications, pas après. Chaque phase doit produire 1-2 livrables publiés.
  3. Choisir une spécialisation en phase 4 (PAM, CIAM, IGA) et la pousser à fond, plutôt que survoler les trois. La spécialisation produit un signal plus fort en entretien.
  4. Documenter tout en Markdown public : chaque lab, chaque décision, chaque difficulté. Le GitHub est votre vitrine professionnelle — traitez-le comme tel.
  5. Ne pas attendre la fin pour candidater : démarrer les candidatures dès le mois 12-14, même si le portfolio n'est pas complet. Certains recruteurs acceptent des profils en cours de formation avec bon potentiel.

Ce que nous ne cachons pas

  • Cette roadmap demande du temps et de l'argent : 15-18 mois à 10-15 heures hebdo plus 2 200-3 500 € certifications. Pas un side project ponctuel.
  • Les profils 0 IT total ont besoin d'une phase préalable 6-12 mois avant de démarrer — soit 21-30 mois total, trajectoire longue.
  • Les candidats qui dispersent leurs efforts (OSCP plus AWS Security Specialty plus CISSP en parallèle sans focus IAM) obtiennent des résultats équivalents en 24-36 mois — la dispersion coûte 6-12 mois.
  • Certaines certifications peuvent être contournées si le portfolio est très fort. Mais pas toutes : Security+ plus SC-300 restent le socle minimum RH en France 2026.
  • Le marché IAM est favorable mais filtre les candidats sans portfolio : une roadmap rigoureusement exécutée décroche en 4-10 semaines, une roadmap lâche met 6-12 mois de candidatures.

9. Pour aller plus loin

Points clés à retenir

  • Roadmap IAM en 5 phases sur 15-18 mois pour profil IT compatible (2+ ans admin système, DevOps, cloud, dev backend senior).
  • 4 certifications socle : Security+ (mois 1-3) → SC-300 (mois 4-6) → Okta Professional (mois 7-10) → CyberArk Sentry ou SailPoint Engineer (mois 11-15).
  • Certification optionnelle CISSP à 4-5 ans d'expérience cumulée pour bascule architecte.
  • 6 livrables GitHub : lab AD, lab Entra ID ou Okta, module Terraform IAM, Conditional Access policies, config PAM ou CIAM, policy-as-code.
  • Budget total 2 200-4 200 € certifications plus formations. ROI amorti en 2-3 mois à l'embauche.
  • Discipline 10-15 heures hebdomadaires sur 15-18 mois — intensité soutenue critique.
  • Portfolio en parallèle des certifs, pas après. Le GitHub vide est quasi-éliminatoire 2026.
  • Focus sur une spécialisation en phase 4 (PAM, CIAM, IGA) plutôt que dispersion.
  • Candidatures dès mois 12-14, sans attendre portfolio 100 % complet.
  • Salaire cible embauche : 52-72 k€ bruts IDF pour IAM engineer junior.

L'accompagnement cyber 6 mois Zeroday Cyber Academy structure cette roadmap IAM en format accompagné : planning personnalisé, préparation certifications (Security+, SC-300, Okta Professional), construction portfolio supervisée (modules Terraform Okta, Conditional Access policies, config CyberArk), et coaching d'entretien ESN spécialisées IAM (Synetis, IN Groupe, Digitemis) plus grands comptes banque-assurance.

Questions fréquentes

  • Combien de temps faut-il pour devenir IAM engineer depuis zéro ?
    12 à 18 mois depuis un profil IT non-cyber (admin système, dev, DevOps, cloud engineer avec 2+ ans d'expérience). 6 à 9 mois si profil admin Active Directory senior avec GPO, Kerberos, LDAP déjà maîtrisés — bascule accélérée. 18 à 24 mois depuis zéro total sans IT, via un passage intermédiaire admin système ou DevOps junior 1-2 ans avant la spécialisation IAM. La roadmap typique se structure en 5 phases : fondations cyber (mois 1-3), IAM fondamental (mois 4-6), IAM applicatif Okta/Entra ID (mois 7-10), spécialisation PAM ou CIAM (mois 11-15), insertion marché (mois 15-18). Chaque phase ajoute une certification et un ou deux projets portfolio GitHub démontrables.
  • Quel est le budget total pour cette roadmap IAM ?
    Budget certifications seules sur 15-18 mois : ≈ 2 200-3 500 € selon parcours. Détail : CompTIA Security+ ≈ 400 €, Microsoft SC-300 ≈ 165 $, Okta Professional Administrator ≈ 250 $, CyberArk Sentry ≈ 300 $, optionnel CISSP à 4-5 ans d'expérience ≈ 749 $, optionnel CCSP ≈ 599 $. Formations de préparation (cours en ligne, labs) : 500-1 500 € supplémentaires si on veut structurer. Labs personnels (Okta Developer free tier, Entra ID free tier, CyberArk Trial) sont gratuits ou quasi-gratuits. Budget total réaliste 15-18 mois : 3 000-5 500 € certifications plus formation, avec retour sur investissement immédiat à l'embauche (junior IAM 48-72 k€ brut en IDF, soit amortissement en 1-2 mois).
  • Quelles certifications passer dans quel ordre pour la roadmap IAM ?
    Séquence recommandée 2026 en 4-5 jalons. Jalon 1 (mois 1-3) : CompTIA Security+ pour socle cyber (≈ 400 €). Jalon 2 (mois 4-6) : Microsoft SC-300 Identity and Access Administrator Associate (≈ 165 $) — la certification la plus rentable pour entrer dans l'IAM tech. Jalon 3 (mois 7-10) : Okta Certified Administrator puis Okta Certified Professional selon stack cible (≈ 250 $ par examen). Jalon 4 (mois 11-15) : CyberArk Sentry pour PAM (≈ 300 $) OU SailPoint IdentityNow Engineer pour IGA (≈ 400 $). Jalon 5 optionnel (mois 16-18) : CISSP à 4-5 ans d'expérience cumulée dans au moins 2 des 8 domaines du CBK (≈ 749 $). La combinaison SC-300 plus Okta Professional plus CyberArk Sentry couvre 80 % des offres IAM en France 2026.
  • Quel portfolio GitHub construire pendant cette roadmap ?
    Portfolio minimum viable en 6 livrables sur 15-18 mois. 1) Lab Entra ID ou Okta Developer avec 10-15 users, groupes, applications fédérées SAML/OIDC. 2) Module Terraform Okta ou Microsoft Graph PowerShell pour gérer policies Conditional Access, MFA FIDO2, Groups rules. 3) Bundle Conditional Access rules selon NIST SP 800-63-4 (AAL1, AAL2, AAL3). 4) Intégration SAML 2.0 et OIDC avec 2-3 applications open-source (Grafana, NextCloud, Keycloak client). 5) Config CyberArk ou HashiCorp Vault avec rotation automatique et session recording. 6) Policy-as-code Rego OPA ou Kyverno pour admission IAM sur Kubernetes. Publier tous les repos sur GitHub public avec README structurés, tests unitaires quand applicable, documentation des décisions d'architecture. Ce portfolio pèse davantage que les certifications seules en entretien technique.
  • La roadmap est-elle viable depuis un profil non-IT ?
    Viable mais nécessite une phase préalable IT (phase 0) de 6-12 mois avant la roadmap IAM proprement dite. Depuis un profil non-IT total (juriste, compliance, auditeur, ancien commercial), la trajectoire cyber directe la plus accessible reste GRC (analyste GRC, 3-6 mois, voir [Devenir analyste GRC sans expérience cyber](/ressources/reconversion/devenir-analyste-grc-sans-experience)). L'IAM engineer demande une base IT solide (scripting PowerShell ou Bash, compréhension réseau TCP/IP, OS Windows plus Linux de base, Kubernetes de base au moins en lecture) qui prend 6-12 mois à acquérir. Ajouter ces 6-12 mois aux 15-18 mois de la roadmap IAM produit un temps total 21-30 mois depuis zéro total non-IT — trajectoire viable mais longue. Alternative : basculer d'abord en support IT niveau 2-3 ou admin système junior (9-15 mois), puis roadmap IAM (15-18 mois).
  • Verdict Zeroday Cyber Academy : cette roadmap est-elle réaliste ?
    Oui, réaliste à condition de respecter 3 conditions. 1) Profil de départ IT compatible : 2+ ans minimum en admin système, DevOps, cloud engineer, SRE ou dev backend senior. 2) Discipline d'apprentissage 10-15 heures hebdomadaires soutenues sur 15-18 mois — c'est un investissement majeur, pas un side project ponctuel. 3) Construction portfolio en parallèle des certifications, pas après. Les candidats qui empilent les certifications sans construire de portfolio GitHub démontrable plafonnent en entretien technique — la certification ouvre le filtre RH, le portfolio convertit l'entretien. Notre observation 2023-2026 : les candidats qui suivent rigoureusement cette roadmap décrochent un premier poste IAM junior en 12-18 mois avec un salaire de 52-72 k€ IDF, soit un ROI salarial immédiat. Les candidats qui improvisent sans structure ou qui dispersent leurs efforts (OSCP plus AWS plus CISSP en parallèle sans focus IAM) mettent 24-36 mois pour un résultat équivalent.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également