Décrocher un poste en cybersécurité : CV, entretien et portfolio

Avoir les compétences techniques ne suffit pas. Savoir les présenter, convaincre un recruteur et réussir un entretien technique sont des compétences à part entière. Voici le guide complet pour décrocher votre premier — ou prochain — poste en cybersécurité.

Construire un CV qui attire l'attention

La structure idéale

Un CV en cybersécurité doit être concis (1-2 pages maximum) et orienté résultats.

[Prénom Nom] [Titre : ex. "Pentesteur Junior | OSCP | CEH"] [Email | LinkedIn | GitHub | Blog] ── RÉSUMÉ PROFESSIONNEL (3-4 lignes) ────────────────── Passionné par la sécurité offensive, 2 ans d'expérience en pentest web et infrastructure. Top 5% TryHackMe, 15 machines HackTheBox résolues. Certifié OSCP. ── COMPÉTENCES TECHNIQUES ────────────────────────────── Pentest Web : Burp Suite, SQLMap, OWASP Top 10 Pentest Réseau : Nmap, Metasploit, Wireshark Systèmes : Kali Linux, Windows Server, Active Directory Langages : Python, Bash, PowerShell Certifications : OSCP, CompTIA Security+ ── EXPÉRIENCES ────────────────────────────────────────── [Entreprise] — Pentesteur Junior | Jan 2024 - présent • Réalisé 12 missions de pentest web et réseau • Découvert et signalé 3 vulnérabilités critiques (CVSS > 9) • Rédaction de rapports techniques et exécutifs ── FORMATIONS & CERTIFICATIONS ────────────────────────── OSCP — Offensive Security | 2024 CompTIA Security+ | 2023 Licence Informatique — Université X | 2022 ── PROJETS & CTF ──────────────────────────────────────── • Top 5% TryHackMe (profil : tryhackme.com/p/username) • 25 machines HackTheBox résolues dont 8 "Insane"

• Write-up publié sur CVE-2024-XXXX (lien GitHub)

Ce qui fait la différence

✅ À faire :

Quantifier les résultats ("découvert 3 vulnérabilités critiques")
Lier votre profil TryHackMe/HackTheBox (preuve concrète)
Mentionner vos contributions open source
Adapter le CV à chaque offre (mots-clés de l'offre)

❌ À éviter :

Les compétences vagues ("bonne connaissance de la sécurité")
Les logos et graphiques inutiles
Les fautes d'orthographe (rédhibitoire en sécurité)
Mentir sur les certifications (vérifiables en 30 secondes)

Construire un portfolio solide

GitHub

Votre GitHub est votre carte de visite technique.

Scripts d'automatisation : outils de scan, parseurs de logs
Write-ups de CTF : documentez vos solutions détaillées
Outils de sécurité : même simples, ils montrent votre capacité à coder
README soigné : chaque projet doit être documenté clairement

Blog technique

Un blog démontre votre capacité à vulgariser et à partager.

Write-ups détaillés de machines HackTheBox/TryHackMe
Analyses de CVE
Tutoriels sur des outils de sécurité
Retours d'expérience sur les certifications

Bug Bounty

Même un rapport "Informational" sur HackerOne ou Bugcrowd prouve que vous cherchez des vulnérabilités réelles. Un P3 (moyen) est déjà un excellent argument en entretien.

Trouver les offres

Où chercher

LinkedIn : incontournable, activez les alertes
Welcome to the Jungle : startups et scale-ups
Apec : cadres et confirmés
SSII spécialisées : Wavestone, Synetis, Intrinsec, Sekoia
Direct : carrières des grandes entreprises (BNP, Orange, Airbus...)

Réseautage

Conférences : SSTIC, LeHack, BotConf — rencontrez des professionnels
Discord/Slack : communautés Hack In Paris, OSINT-FR
LinkedIn : commentez les posts d'experts, participez aux discussions

Préparer l'entretien technique

Les questions classiques

Réseaux :

"Expliquez le TCP three-way handshake"
"Quelle est la différence entre TCP et UDP ?"
"Comment fonctionne une attaque ARP spoofing ?"

Sécurité web :

"Expliquez le fonctionnement d'une injection SQL"
"Qu'est-ce que le CSRF et comment s'en protéger ?"
"Quelle est la différence entre XSS stocké et réfléchi ?"

Incident response :

"Vous détectez une machine qui communique avec une IP suspecte. Que faites-vous ?"
"Quels sont les indicateurs de compromission (IOC) ?"

Pratique :

Résolution d'un challenge CTF en direct
Analyse d'un fichier de logs pour trouver une anomalie
Code review pour identifier des vulnérabilités

Comment se préparer

Revoir les fondamentaux : OSI, TCP/IP, HTTP, OWASP Top 10

Pratiquer des CTF récents avant l'entretien

Préparer des exemples concrets de votre expérience

Poser des questions pertinentes : outils utilisés, type de missions, formation continue

Les erreurs fatales en entretien

❌ Prétendre avoir des compétences qu'on n'a pas (un expert le voit en 2 minutes)
❌ Ne pas admettre qu'on ne sait pas (mieux vaut dire "je ne connais pas, mais voici comment je chercherais")
❌ Négliger le côté humain : la communication est essentielle en sécurité
❌ Oublier de mentionner l'éthique et le cadre légal

Conclusion

Décrocher un poste en cybersécurité demande autant de préparation que d'acquérir les compétences techniques. Un CV orienté résultats, un portfolio GitHub actif et une préparation sérieuse aux questions techniques vous démarqueront de la majorité des candidats. La cybersécurité récompense ceux qui montrent leur passion par des actes concrets.

// SOMMAIRE