De SOC Analyst à Penetration Tester: une transition réaliste

Pourquoi cette transition fonctionne

Les SOC analysts sont mieux positionnés pour la sécurité offensive qu'ils ne le pensent. Vous comprenez déjà à quoi ressemblent les attaques dans les logs, comment les détections échouent, et comment les enquêtes avancent sous pression. La transition n'est pas d'apprendre à attaquer depuis zéro. C'est d'apprendre à produire délibérément les artefacts que vous enquêtiez.

Le changement de mentalité est réel mais borné. Le travail offensif récompense la patience, l'énumération méthodique et la rédaction de rapports plus que l'énergie "hacker". La plupart de ces traits existent déjà chez de bons SOC analysts. Si vous êtes encore plus tôt dans votre carrière défensive, le parcours SOC analyst et le parcours Security+ vers OSCP décrivent l'étape précédente.

Pourquoi l'expérience défensive fait de vous un meilleur ingénieur offensif

Les pentesters juniors les plus solides sur le marché européen aujourd'hui sont rarement de jeunes joueurs CTF. Ce sont des anciens SOC qui apportent trois choses au siège offensif: connaissance de ce qui est loggé, connaissance de ce qui passe sous le radar, et la discipline d'écrire les choses. Quand vous avez passé douze mois à trier des alertes Defender, à parser des chaînes Sysmon event ID 1, 3 et 11, et à construire des règles Sigma, vous savez déjà quelle invocation Mimikatz produit quel événement et quel bypass AMSI laisse quelle trace.

Cette littératie en détection se transforme en valeur d'opérateur dès l'entrée dans l'environnement d'un client. Vous arrêtez de choisir des techniques parce qu'elles sont célèbres et commencez à choisir des techniques parce qu'elles correspondent à la posture du SOC en face. Vous savez qu'un beacon Cobalt Strike par défaut sera attrapé par la moitié des EDR vendus en Europe. Vous savez que la collecte par défaut de BloodHound génère un trafic LDAP que tout ingénieur de détection raisonnable alerte. Vous savez quelles requêtes Kerberoasting paraissent bruyantes et lesquelles passent pour de l'activité ordinaire de tickets de service. Rien de tout cela n'est dans un syllabus, mais tout cela est sur la table à chaque entretien offensif.

La stack offensive qu'il vous manque (et comment la construire)

Traitez la stack offensive comme cinq surfaces distinctes. Vous ne maîtriserez pas les cinq avant votre premier rôle, mais vous devriez démontrer une compétence opérationnelle sur trois.

Applications web. OWASP Top 10 est le sol, pas le plafond. L'OWASP Web Security Testing Guide (WSTG) est la méthodologie sur laquelle les vraies consultancies cartographient leur travail. PortSwigger Web Security Academy est le lab qui vous rend fluide avec Burp Suite, y compris le travail manuel de proxy, Intruder, le workflow Repeater et les extensions comme Autorize et Logger++. Plan: terminer les labs apprentice et practitioner et passer Burp Suite Certified Practitioner.

Active Directory. C'est là que vivent la plupart des engagements internes. Vous devez comprendre Kerberos, NTLM, abus d'ACL, abus de GPO, attaques contre Active Directory Certificate Services (ESC1 à ESC8) et relations de confiance. Les modules style CRTP et CRTS de HackTheBox Academy couvrent le terrain. PNPT de TCM Security et CRTP d'Altered Security sont des certifications adjacentes crédibles.

Réseau et infrastructure. Énumération réflexe, exploitation de services, post-exploitation, pivoting via Chisel ou Ligolo. OffSec PEN-200 et OSCP sont les destinations évidentes.

Mobile et thick clients. Une surface plus petite, mais différenciante. Frida, Objection, MobSF et l'OWASP Mobile Application Security Verification Standard (MASVS) forment la trousse.

Cloud. Les chemins d'attaque AWS, Azure et GCP apparaissent de plus en plus dans des engagements scopés. PwnedLabs, CloudGoat et les modules Azure AD de Pentester Academy sont les voies habituelles.

La séquence de labs que les recruteurs reconnaissent

Il existe une progression de labs reconnaissable à laquelle les hiring managers des consultancies européennes font confiance. Elle ressemble à ceci: modules HackTheBox Academy pour construire la technique, paths TryHackMe pour construire l'étendue, OffSec Proving Grounds Practice pour construire la méthodologie style OSCP, puis temps de lab PEN-200 avant la tentative OSCP. Ajoutez 5 à 10 boxes retraitées HackTheBox par mois avec write-ups markdown complets stockés dans un dépôt public. Les write-ups comptent autant que les boxes. Le recrutement pentest est l'une des rares niches sécurité où un portfolio public GitHub fait bouger l'aiguille, parce que le hiring manager peut lire votre méthodologie avant de vous rencontrer.

eJPT vs CPTS vs OSCP: choisir votre première certification offensive

Trois credentials dominent la décision de la première certification. L'eLearnSecurity Junior Penetration Tester (eJPT) est la moins chère et la plus accessible: un examen pratique basé sur scénarios qui prouve que vous savez énumérer, exploiter et pivoter au niveau junior. C'est un signal CV solide pour un SOC analyst visant sa première rotation interne en red team.

Le HackTheBox Certified Penetration Testing Specialist (CPTS) se situe un cran au-dessus. Plus rigoureux que l'eJPT, moins cher que l'OSCP, avec la profondeur pratique que les consultancies européennes reconnaissent de plus en plus. L'examen est un pentest de 10 jours avec rapport écrit. C'est la répétition générale OSCP la plus proche que vous puissiez acheter.

OSCP d'Offensive Security reste le badge le plus reconnu sur les marchés UE et UK. PEN-200 plus deux à trois mois de temps de lab dédié est le chemin crédible. CEH (EC-Council) et PenTest+ (CompTIA) sont à côté comme options QCM, utiles pour les employeurs orientés conformité et le travail gouvernemental, mais avec moins de poids opérationnel que l'OSCP. Voir le guide de la certification OSCP, CEH et la base Security+ pour le contexte.

Chemins d'attaque Active Directory à maîtriser

Vous devriez pouvoir expliquer à un hiring manager ces chemins sans notes. Accès initial via Kerberoasting ou ASREPRoasting depuis un compte à faible privilège. Mouvement latéral avec PsExec, WMIExec et SMBExec sous un hash NT volé. Lecture de graphes BloodHound, y compris les requêtes de plus court chemin vers Domain Admins et l'abus de GenericAll, GenericWrite, WriteOwner et WriteDacl sur des objets user, group et computer. Abus de constrained delegation, resource-based constrained delegation (RBCD), unconstrained delegation. Attaques contre Active Directory Certificate Services, surtout ESC1 et ESC8. DCSync contre un domain controller avec droits de réplication. Opérations Mimikatz: sekurlsa::logonpasswords, lsadump::dcsync, lsadump::lsa, kerberos::golden, et les équivalents parallèles Rubeus. Pass-the-ticket et overpass-the-hash. La face défensive est ce que vous apportez du SOC: laquelle de ces actions allume quel log.

Méthodologie de pentest d'applications web (PTES + OWASP WSTG)

Le Penetration Testing Execution Standard (PTES) et l'OWASP Web Security Testing Guide (WSTG) sont les deux références méthodologiques sur lesquelles vos rapports doivent se mapper. PTES vous donne les sept phases (pre-engagement, intelligence gathering, threat modelling, vulnerability analysis, exploitation, post-exploitation, reporting). WSTG vous donne les cas de test. Un pentest web crédible couvre information gathering, configuration et deployment management, identity management, authentication, authorisation, session management, input validation, error handling, cryptography, business logic et client-side testing. Burp Suite Pro est le cheval de trait. Savoir crafter manuellement des requêtes dans Repeater vaut plus que savoir scanner avec Active Scan.

Rédiger les rapports, c'est le 50% que personne ne forme

La moitié d'un engagement pentest réel est de l'écriture. Le livrable est un document que lit d'abord un cadre, puis qu'un développeur lit en détail, puis qu'un auditeur lit plus tard. Chaque finding nécessite un titre clair, une section de preuves avec captures et exemples request et response, une cotation CVSS ou de risque avec justification, une déclaration d'impact business en langage clair, et des recommandations de remédiation que l'équipe développement ou plateforme peut effectivement implémenter. L'examen OSCP d'OffSec teste ceci directement: 24 heures de testing suivies de 24 heures de reporting. La plupart des tentatives échouées sont des échecs de reporting, pas d'exploitation. Pratiquez la rédaction de rapports pour vos travaux TryHackMe et HackTheBox et faites-les relire par un pair. Les échantillons sur votre GitHub seront lus.

Plan réaliste de transition à 12 mois

Mois 1 à 3: labs apprentice et practitioner PortSwigger Web Security Academy, examen Burp Suite Certified Practitioner, eJPT. Mois 4 à 6: modules AD HackTheBox Academy, 20 à 30 boxes easy et medium retraitées HackTheBox avec write-ups, fluidité BloodHound et Mimikatz sur un lab AD maison. Mois 7 à 9: OffSec Proving Grounds Practice (40 à 60 boxes), inscription PEN-200, tentative CPTS comme répétition OSCP crédible. Mois 10 à 12: examen OSCP, candidatures ciblées vers les équipes red team internes et les consultancies Big Four cyber, CRTO ou OSWA en signal de suivi. La route complète vers le siège offensif est résumée dans le guide de carrière pentester.

Réalité salariale: SOC vers pentest junior vers pentest senior en UE

Les salaires SOC L1 en UE tombent typiquement dans la fourchette EUR 32 000 à 40 000, avec des hubs comme Madrid, Lisbonne et Varsovie en bas et Munich, Amsterdam et Dublin en haut. Un rôle de penetration tester junior atterrit habituellement entre EUR 40 000 et 55 000, ce qui veut dire que le saut immédiat est réel mais modeste. La courbe diverge vite: les pentesters mid-level avec OSCP et deux à trois ans d'engagements atteignent couramment EUR 55 000 à 75 000, et les pentesters seniors ou red team leads avec OSCP, CRTO et OSEP dépassent EUR 80 000 dans la plupart des capitales UE et franchissent fréquemment EUR 100 000 en Suisse, dans les Nordics et dans certaines parties du Royaume-Uni. Comparez avec les résultats salariaux du bootcamp et si le bootcamp en vaut la peine pour le contexte fondation.

Où le bootcamp s'inscrit

Si vous construisez encore les fondamentaux défensifs, le Bootcamp Cybersécurité Unihackers couvre les bases SOC qui rendent cette transition réaliste. Le module pentesting du bootcamp (m10) introduit la technique offensive contre la même stack que vous défendez en m7 et m8. Voir le détail du programme.

Blocages courants

Trois schémas expliquent la majorité des transitions bloquées. Collection d'outils sans pratique de rapports. Connaître les outils compte moins que savoir écrire ce que vous avez trouvé. Les pentesters embauchés sont ceux dont les rapports se lisent clairement. Sauter le web et l'AD. La majorité du pentest interne touche les deux. Éviter l'un réduit drastiquement le pool de rôles. Tenter OSCP trop tôt. OSCP récompense la méthodologie et l'endurance, pas la compétence brute. Accumulez d'abord assez d'heures de lab, sinon vous brûlerez la tentative.

La transition est bornée et crédible si vous la traitez comme une construction délibérée de douze mois, pas comme un changement de marque.