Roadmap cybersécurité pour débutant en France 2026 : plan structuré sur 18 à 24 mois pour passer du niveau zéro à un premier poste cyber junior opérationnel (SOC L1, analyste GRC, DevSecOps junior, AppSec junior selon profil et voie choisie). La roadmap se décompose en 6 phases mesurables : socle technique IT (M0-M3, Linux + Python + réseau), vocabulaire cyber et fondamentaux (M3-M6, TryHackMe Pre-Security et Complete Beginner), certification Security+ et spécialisation (M6-M9), deuxième certification et portfolio (M9-M12), recherche premier poste (M12-M18), consolidation poste et continuation (M18-M24). Trois voies principales selon profil et objectif : défensive (SOC, GRC, cloud security — 80-85 % des offres, accessible tous profils), offensive (pentest, red team — goulot d'étranglement, passion CTF requise), constructive (AppSec, DevSecOps — réservée aux développeurs 2+ ans). Rythme cible 15-20 heures hebdomadaires en autodidaxie, 30-35 heures en bootcamp intensif. Cet article fournit le cadre stratégique 24 mois, les 3 voies par profil, le détail de chaque phase avec ressources et jalons, un template YAML complet exploitable et des critères d'ajustement trimestriels.
1. La roadmap en 6 phases sur 18-24 mois : vue d'ensemble
| Phase | Période | Objectif principal | Livrable clé | Jalon critique |
|---|---|---|---|---|
| Phase 1 | M0-M3 | Socle technique IT | Linux CLI + Python + git opérationnels | Self-test Linux 5/5 |
| Phase 2 | M3-M6 | Vocabulaire et bases cyber | TryHackMe Pre-Security complet | 20+ rooms THM + vocabulaire maîtrisé |
| Phase 3 | M6-M9 | Certification marché + spécialisation | CompTIA Security+ obtenue | Security+ SY0-701 réussie |
| Phase 4 | M9-M12 | Certification intermédiaire + portfolio | eJPT / CySA+ / AWS Security | Portfolio GitHub 30+ commits |
| Phase 5 | M12-M18 | Recherche premier poste | Candidatures ciblées + entretiens | Premier poste signé |
| Phase 6 | M18-M24 | Consolidation + progression | 2e poste ou bascule L2 / spé avancée | Palier salarial négocié |
Ces 6 phases s'articulent avec les articles opérationnels existants : pour le jour 1 et la semaine 1, voir Cybersécurité pour débutant : par où commencer concrètement. Pour le plan apprentissage 6 mois détaillé (Phases 1-3), voir Plan d'apprentissage cyber sur 6 mois. Pour l'étape par étape reconversion de M-6 à M+18, voir Les vraies étapes d'une reconversion en cybersécurité.
2. Les 3 voies principales selon profil et objectif métier
Le choix de voie se fait en fin de phase 2 (M+6) quand le vocabulaire cyber et les bases techniques sont acquis. Critères de décision détaillés par voie.
Voie Défensive (recommandée pour la majorité des reconversions)
Métiers cibles : SOC Analyst L1, analyste GRC, cloud security analyst, endpoint security junior, IAM junior.
Accessibilité : 80-85 % des offres cyber en France selon Apec 2024. Ratio offres/candidats favorable (1 pour 2-3). Bascule 6-15 mois.
Profils compatibles : tout profil — support IT, admin sys, juriste, compliance officer, reconversion totale. Ne demande pas de socle dev préalable sauf pour cloud security.
Certifications prioritaires : CompTIA Security+ → CySA+ → Microsoft SC-200 ou AWS Security Specialty selon stack.
Salaires juniors IDF : SOC L1 38-48 k€, GRC 42-55 k€, cloud security 55-75 k€, endpoint 40-52 k€.
Pour approfondir, voir Qu'est-ce qu'un blue teamer ? et Peut-on travailler en GRC sans expérience cyber ?.
Voie Offensive (réservée aux profils avec passion CTF démontrée)
Métiers cibles : pentester junior, red team operator junior (rare), bug bounty hunter, reverse engineer.
Accessibilité : 10-15 % des offres cyber FR. Ratio offres/candidats défavorable (10-15 pour 1 en pentest junior). Bascule 12-24 mois minimum.
Profils compatibles : profils avec passion préexistante démontrée (CTF actif, HackTheBox, bug bounty). Socle IT solide préalable requis (admin AD, dev, sys/réseau confirmé).
Certifications prioritaires : eJPT v2 → PNPT → OSCP dans l'ordre strict.
Salaires juniors IDF : pentester 45-58 k€, reverse engineer 50-68 k€.
Pour approfondir, voir Peut-on devenir pentester sans expérience ?.
Voie Constructive (réservée aux développeurs 2+ ans d'expérience)
Métiers cibles : AppSec engineer, DevSecOps engineer, cloud security engineer, security engineer, IAM engineer.
Accessibilité : 10-15 % des offres cyber FR mais marché en forte croissance (+30-40 % YoY). Ratio favorable (1 pour 2-3).
Profils compatibles : développeurs backend 2+ ans, DevOps, SRE, cloud engineer, admin sys avec scripting Python avancé.
Certifications prioritaires : CompTIA Security+ → spécialisation selon stack (AWS Security Specialty, AZ-500, CKS).
Salaires juniors IDF : AppSec 50-70 k€, DevSecOps 48-65 k€, cloud security 55-75 k€.
Pour approfondir, voir Peut-on devenir DevSecOps sans expérience cyber ?.
Pour la matrice complète par profil initial, voir Entrer en cybersécurité en partant de zéro qui détaille les trajectoires par bagage technique préalable.
3. Phases 1-2 (M0-M6) : socle technique et vocabulaire
Phase 1 — Socle technique IT (M0-M3)
Objectif : acquérir les 5 briques techniques non négociables avant toute formation cyber sérieuse.
| Brique | Niveau cible | Ressource principale | Durée estimée |
|---|---|---|---|
| Linux CLI | 15-20 commandes en automatisme | OverTheWire Bandit niveaux 0-25 | 6-8 semaines |
| Python intermédiaire | Script API + JSON + fichier | docs.python.org tutoriel chapitres 1-10 | 6-8 semaines |
| Réseau TCP/IP | Expliquer trajet paquet HTTPS | TryHackMe Pre-Security Networking | 3-4 semaines |
| Git | Branches, rebase, résolution conflit | Pro Git book (gratuit) | 2 semaines |
| Virtualisation | VM Kali Linux opérationnelle en 15 min | VirtualBox / UTM / WSL2 + Kali | 1 semaine |
Pour les prérequis techniques détaillés, voir Quelles bases techniques avant de se lancer en cybersécurité ?.
Phase 2 — Vocabulaire cyber et fondamentaux (M3-M6)
Objectif : acquérir le vocabulaire cyber professionnel, comprendre OWASP Top 10 et MITRE ATT&CK, tester le match personnel avec le métier.
Activités principales :
- TryHackMe Pre-Security complet : Cyber Security Introduction, Network Fundamentals, Linux Fundamentals, Windows Fundamentals, How The Web Works.
- TryHackMe Complete Beginner Path à 80 % : pratique offensive et défensive progressive.
- OWASP Top 10 2021 compris en profondeur avec PortSwigger Web Security Academy (gratuit).
- MITRE ATT&CK Navigator : maîtrise de la navigation et compréhension des tactiques.
- Vocabulaire : CIA, CVE, CVSS, CWE, TTPs, SIEM, EDR, XDR, IAM, PKI, MFA, SOC, pentest, red team, blue team.
Livrables vérifiables à M+6 :
- 20+ rooms TryHackMe complétées.
- 5 writeups GitHub publiés dans un dépôt
cyber-learning-journal. - Vocabulaire cyber explicable oralement en 2 minutes pour 5 concepts clés.
- Choix de voie (défensive / offensive / constructive) fait et documenté.
4. Phases 3-4 (M6-M12) : certification Security+ et spécialisation
Phase 3 — CompTIA Security+ et démarrage spécialisation (M6-M9)
Objectif : obtenir la certification passage marché FR et démarrer la spécialisation choisie en fin de phase 2.
Préparation Security+ SY0-701 :
- Professor Messer (gratuit sur YouTube) : cours complet couvrant les 5 domaines du CBK.
- Sybex Study Guide (livre payant) : référence écrite.
- 5 QCM blancs avec score 80 %+ régulier avant passage.
- Coût examen : environ 400 €. Passage en ligne avec webcam (proctored).
Démarrage spécialisation selon voie choisie :
- Voie défensive : TryHackMe SOC Level 1 path (50+ heures). Introduction aux SIEM (Splunk Fundamentals gratuit), aux EDR, à la détection engineering (règles Sigma).
- Voie offensive : TryHackMe Jr Penetration Tester path (60+ heures). Outils Nmap, Gobuster, Burp Suite Community, Metasploit.
- Voie constructive : PortSwigger Web Security Academy sections OWASP Top 10 détaillées + premiers labs Semgrep sur projet personnel.
Livrable à M+9 : CompTIA Security+ SY0-701 obtenue.
Phase 4 — Deuxième certification et portfolio (M9-M12)
Objectif : obtenir une certification de spécialisation et consolider le portfolio GitHub public.
Certification de spécialisation selon voie :
- Voie défensive : CompTIA CySA+ (420 €) ou Microsoft SC-200 (165 $) selon stack cible.
- Voie offensive : eJPT v2 (INE, 250 €) — introduction pentest pratique.
- Voie constructive : AWS Certified Security Specialty (300 $) ou Microsoft AZ-500 (165 $) selon cloud cible.
Portfolio GitHub public :
- Voie défensive : 10-15 writeups TryHackMe SOC L1, 5-10 règles Sigma personnalisées, blog technique 3 articles minimum.
- Voie offensive : 10 machines HackTheBox compromises avec writeups publics, profil HTB rang Pro Hacker minimum.
- Voie constructive : 1 pipeline CI/CD GitHub Actions avec SAST + SCA + secrets scan, 5-10 règles Semgrep personnalisées, projet Terraform durci avec Checkov validé.
Livrable à M+12 : certification intermédiaire + portfolio GitHub avec 30+ commits publics sur 6 mois.
5. Phases 5-6 (M12-M24) : recherche poste et consolidation
Phase 5 — Recherche du premier poste (M12-M18)
Objectif : signer un premier poste cyber junior dans les 6 mois post-phase 4.
Préparation candidatures :
- CV cyber optimisé avec certifications en premier, portfolio en second, formation en troisième.
- Profil LinkedIn optimisé : titre professionnel + mots-clés cyber + activité visible (2-3 posts par mois).
- Préparation entretiens techniques : révision systématique des rooms TryHackMe terminées, écriture de 3-5 réponses type aux questions classiques.
Stratégie de candidature :
- 30-50 candidatures ciblées sur 3 mois (pas 500 candidatures génériques).
- Ciblage selon voie : voie défensive → ESN généralistes + scale-ups ; voie offensive → ESN pentest (Synacktiv, Almond, Intrinsec, LEXFO) ; voie constructive → scale-ups tech + licornes.
- Cabinets de recrutement : Michael Page Technology, Hays Cybersecurity.
Pour la stratégie détaillée de recherche d'emploi cyber avec acteurs nommés, voir Où trouver des missions en cybersécurité en France ?.
Livrable à M+18 : Premier poste cyber junior signé. Salaire cible selon voie et profil : SOC L1 38-48 k€ IDF, GRC 42-55 k€, DevSecOps 48-65 k€, cloud security 55-75 k€, pentester 45-58 k€.
Phase 6 — Consolidation poste et continuation (M18-M24)
Objectif : consolider le premier poste et préparer la progression vers L2 / spécialisation avancée.
6 premiers mois post-embauche :
- Maîtrise des outils du poste (SIEM, EDR, Burp Suite selon voie) en routine quotidienne.
- Certification complémentaire financée par l'employeur : CySA+, eJPT, PNPT, AWS Security Specialty selon trajectoire.
- Contribution open source maintenue (règle Sigma, plugin Burp, extension Semgrep).
- Réseau professionnel : 1-2 meetups par mois (OWASP, Hack Academy, SSTIC).
6 mois suivants (M+18-M+24) :
- Premier palier salarial négocié à 18-24 mois (+10-15 % typique).
- Préparation du 3e jalon certification : OSCP (voie offensive), GCFA (voie défensive DFIR), CKS (voie constructive cloud).
- Vision claire pour les 2-3 ans suivants : spécialisation verticale (devenir L3, spécialiste AD, architecte) ou bascule horizontale (passer red → blue ou inversement).
6. Template YAML complet de la roadmap 24 mois
Template à copier, adapter selon profil et voie, relire chaque fin de mois pour validation d'avancement.
roadmap_cybersecurite_debutant_24_mois:
version: "2026-04-23"
profil: "reconversion totale sans bagage IT preexistant"
voie_cible: "defensive (SOC L1 ou GRC junior)"
rythme_hebdomadaire_heures: 18
volume_total_cible_heures: 1900
phase_1_socle_technique: # M0-M3
duree_semaines: 12
livrables:
- "OverTheWire Bandit niveaux 0-25 termines"
- "Python intermediaire : 3 scripts API + JSON + fichier"
- "Reseau : trajet paquet HTTPS explique"
- "Git : branches, rebase, resolution conflit"
- "VM Kali Linux operationnelle en 15 minutes"
jalon_critique: "M+3 self-test Linux 5/5 reussi"
phase_2_vocabulaire_cyber: # M3-M6
duree_semaines: 12
livrables:
- "TryHackMe Pre-Security complet"
- "TryHackMe Complete Beginner 80 %"
- "OWASP Top 10 2021 compris en profondeur"
- "MITRE ATT&CK Navigator maitrise"
- "20+ rooms cumulees et 5 writeups GitHub"
jalon_critique: "M+6 choix de voie confirme (defensive / offensive / constructive)"
phase_3_security_plus_et_specialisation: # M6-M9
duree_semaines: 12
livrables:
- "Cours Professor Messer Security+ complet"
- "5 QCM blancs >= 80 % regulier"
- "CompTIA Security+ SY0-701 REUSSIE"
- "Demarrage specialisation : THM SOC L1 OU Jr PenTester OU AppSec"
budget_eur: 400
jalon_critique: "M+9 Security+ passee"
phase_4_certification_intermediaire_portfolio: # M9-M12
duree_semaines: 12
livrables:
- "Certification specialisation (CySA+ / eJPT / AWS Sec / AZ-500)"
- "Portfolio GitHub 30+ commits publics cumules"
- "Blog technique 3-5 articles publies"
- "Profil LinkedIn optimise et actif"
budget_eur: 250-420
jalon_critique: "M+12 deuxieme certification passee + portfolio solide"
phase_5_recherche_premier_poste: # M12-M18
duree_semaines: 24
livrables:
- "CV cyber optimise (certifs + portfolio + formation)"
- "30-50 candidatures ciblees sur 3 mois"
- "5-10 entretiens techniques passes"
- "Premier poste signe"
salaire_cible_eur:
defensive: "38-55 k€ IDF (SOC L1, GRC, endpoint)"
offensive: "45-58 k€ IDF (pentester junior)"
constructive: "48-75 k€ IDF (DevSecOps, AppSec, cloud security)"
jalon_critique: "M+18 poste signe ou entretiens finaux en cours"
phase_6_consolidation_premier_poste: # M18-M24
duree_semaines: 24
livrables:
- "Maitrise outils du poste en routine"
- "Certification complementaire financee employeur"
- "Contribution open source maintenue"
- "Palier salarial negocie (+10-15 %)"
- "Plan progression L2 / specialisation avancee"
jalon_critique: "M+24 consolide + trajectoire senior claire"
signaux_ajustement_trimestriel:
si_retard_phase_1_linux_python:
- "etaler de 1-2 mois, accepter plan 26-28 mois"
si_security_plus_echouee:
- "repassage sous 6 semaines, ne pas attendre"
si_aucune_reponse_apres_20_candidatures:
- "reviser CV, portfolio, ciblage avec mentor ou pair"
- "ajouter contribution open source marquante"
criteres_validation_mensuels:
- "heures loggees >= 80 % du volume cible hebdomadaire"
- "1 commit GitHub public par semaine minimum"
- "livrable du mois atteint ou replanifie explicitement"
ressources_transverses:
communaute:
- "Discord Hack Academy (francophone)"
- "OWASP Paris chapter (meetup mensuel)"
- "r/cybersecurity_fr Reddit"
podcasts:
- "NoLimitSecu (FR hebdo)"
- "Darknet Diaries (EN hebdo)"
veille:
- "OWASP newsletter"
- "ANSSI alertes"
- "Krebs on Security (EN)"7. Jalons critiques et métriques de progression
Cinq jalons non négociables ponctuent la roadmap. Rater un jalon signale un besoin d'ajustement immédiat.
Les 5 jalons critiques
| Jalon | Période | Livrable mesurable | Signal d'ajustement si raté |
|---|---|---|---|
| M+3 | Fin phase 1 | Self-test Linux 5/5 + Python script API fonctionnel | Prolonger phase 1 de 4-8 semaines, ne pas passer à phase 2 |
| M+6 | Fin phase 2 | 20+ rooms THM + vocabulaire cyber + choix de voie | Replanifier avec accompagnement (mentor, bootcamp) |
| M+9 | Fin phase 3 | CompTIA Security+ SY0-701 obtenue | Repassage sous 6 semaines obligatoire |
| M+12 | Fin phase 4 | 2e certification + portfolio GitHub 30+ commits | Prolonger phase 4, certif intermédiaire obligatoire avant candidatures |
| M+18 | Fin phase 5 | Premier poste signé ou entretiens finaux | Réviser CV / portfolio / ciblage avec mentor cyber |
Métriques de progression hebdomadaires
Trois instruments de suivi à maintenir sur toute la roadmap :
- Log d'heures hebdomadaire : fichier texte ou app Toggl. Total calculé chaque dimanche. Si moins de 80 % de la cible 2 semaines consécutives, signal d'ajustement.
- Commits GitHub publics : 1 par semaine minimum, 5 par semaine optimal. L'activité visible construit le portfolio et la crédibilité.
- Tracker jalons mensuels : fichier Markdown
jalons_tracker.mdavec cases à cocher. Relecture mensuelle déclenche les ajustements.
Erreurs fréquentes à éviter
- Sur-planification : passer 4-8 semaines à lire des articles sans pratiquer.
- Sous-estimation du socle technique : sauter la phase 1 pour aller directement au cyber.
- Empilement de ressources : ouvrir 5 plateformes simultanément sans en terminer aucune.
- Théorie pure sans pratique : regarder 200h de vidéos, 0 lab pratique.
- Absence de communauté : apprentissage en solo produit 60-70 % d'abandons.
- Absence de deadline externe : certification reportée mois après mois, jamais passée.
- Candidater trop tôt (avant M+12) : épuise le réseau pour rien.
Points clés à retenir
- Roadmap 18-24 mois structurée en 6 phases séquentielles cumulatives. Sauter une phase allonge le total.
- 3 voies principales : défensive (80-85 % des offres, recommandée majorité), offensive (10-15 %, passion CTF requise), constructive (réservée dev 2+ ans).
- Rythme : 15-20 h/semaine autodidacte, 30-35 h/semaine bootcamp intensif. Sweet spot à ne pas dépasser.
- 5 jalons critiques : M+3 (Linux+Python), M+6 (vocabulaire+voie), M+9 (Security+), M+12 (2e certif+portfolio), M+18 (premier poste).
- 3 instruments de suivi : log heures, commits GitHub, tracker jalons. L'impression subjective ment, pas les instruments.
- Candidatures à partir de M+12 uniquement, pas avant. Portfolio et certifications doivent être solides.
- Consolidation post-embauche : 6 premiers mois critiques, certif complémentaire + palier salarial négocié à 18-24 mois.
Pour le jour 1 concret et les 30 premiers jours ultra-granulaires, voir Cybersécurité pour débutant : par où commencer concrètement. Pour le plan apprentissage 6 mois détaillé (phases 1-3 de la roadmap), voir Plan d'apprentissage cyber sur 6 mois : méthode et template. Pour les 7 étapes reconversion de M-6 à M+18 (contextualisation administrative et financière), voir Les vraies étapes d'une reconversion en cybersécurité. Pour le profilage initial par bagage technique et les métiers accessibles, voir Entrer en cybersécurité en partant de zéro. Pour le panorama des métiers cyber avec salaires par profil, voir Les métiers de la cybersécurité : guide complet. Pour le cadrage global reconversion, voir Le guide reconversion cybersécurité pillar. L'accompagnement cyber 6 mois de Zeroday applique directement cette roadmap avec template personnalisé, mentorat hebdomadaire, validation des jalons et préparation certifications Security+ et spécialisation intégrées.
