Vvanova

Tech · CV Ingénieur Cybersécurité

Ingénieur Cybersécurité.

Le métier de cybersécurité s'est segmenté : SOC (détection / réponse), pentest (offensif), AppSec (sécurité applicative), GRC (gouvernance / conformité). Ton CV doit dire en 5 secondes dans quelle famille tu joues. Sinon, recruteurs et chasseurs te catégorisent mal.

Pourquoi ce CV se joue différemment

La demande explose et les profils manquent (35 000 postes vacants en France en 2025 selon ANSSI). Mais les recruteurs sont devenus sévères sur la spécialisation : un junior qui prétend faire SOC + pentest + AppSec est considéré comme un faux profil. Précise une spécialité et démontre-la.

Compétences que les recruteurs cherchent

Hard skills

  • · Spécialité 1 — SOC : SIEM (Splunk, Sentinel, Elastic), EDR (CrowdStrike, SentinelOne), playbooks SOAR
  • · Spécialité 2 — Pentest : Burp Suite, Metasploit, OWASP ZAP, reconnaissance, exploitation, rapport
  • · Spécialité 3 — AppSec : SAST/DAST (Snyk, Checkmarx), secure code review, threat modeling, OWASP Top 10
  • · Spécialité 4 — GRC : ISO 27001, NIS2, RGPD, audits, gestion des risques
  • · Réseau (TCP/IP, DNS, TLS, VPN, firewall)
  • · Linux + scripting Bash/Python
  • · Cryptographie appliquée
  • · Cloud security (AWS, GCP, Azure security best practices)
  • · Incident response et forensics
  • · Connaissance MITRE ATT&CK / D3FEND

Soft skills

  • · Rigueur et discrétion
  • · Communication non-technique (direction, juriste)
  • · Calme en incident
  • · Documentation claire
  • · Veille permanente (CVE, threat intel)

Outils

  • · Burp Suite Pro / OWASP ZAP
  • · Splunk / Sentinel / Elastic SIEM
  • · Wireshark / nmap
  • · Snyk / Checkmarx / SonarQube
  • · TheHive / Cortex / MISP

Structure de CV à respecter

  1. 01

    Titre + spécialité claire

    « Ingénieur AppSec — secure code review + threat modeling » > « Ingénieur cybersécurité ». Le RSSI filtre sur la spé avant tout.

  2. 02

    Certifications en évidence

    OSCP, OSCE, CEH, GIAC (GPEN, GCIH), ISC2 (CISSP, CCSP), ISO 27001 LI/LA, CRISC. Section haute pour les profils certifiés.

  3. 03

    Expériences avec scope précis

    Précise : nombre d'incidents traités, nombre de pentests menés, secteur (banque, santé, défense, scale-up), outils utilisés en réel.

  4. 04

    CTF et bug bounty (si applicable)

    Rang HackTheBox, TryHackMe, présence sur HackerOne ou YesWeHack avec rapports publics. Très bons signaux pour pentest / red team.

  5. 05

    Formation

    Master sécurité, école d'ingé spé cyber, EPITA SCIA, Cnam, Centrale. Pour la reconversion : formations Bootcamp + projets perso + certifs.

Bullets : avant / après

  • Pentest application web

    Faible

    J'ai mené des tests de pénétration sur des applications.

    Fort

    Pentest boîte grise sur portail bancaire (3 semaines, OWASP testing methodology) — identification de 14 vulnérabilités dont 3 critiques (IDOR, SQLi, SSRF), rapport executive + technique, accompagnement remédiation en 2 sprints dev.

  • SOC tier 2

    Faible

    J'ai travaillé en SOC.

    Fort

    Analyste SOC tier 2 (Splunk + Sentinel) — traitement de 80-120 alertes/jour, MTTD médian 9 min, 4 incidents majeurs containés sous 30 min, playbooks SOAR créés pour 12 scénarios récurrents.

  • AppSec greenfield

    Faible

    J'ai mis en place la sécurité applicative.

    Fort

    Conçoit le programme AppSec d'une scale-up SaaS (60 devs, 14 services) — intégration Snyk + Checkmarx dans CI, formation devs OWASP Top 10, threat modeling sur 8 services critiques, audit ISO 27001 passé sans non-conformité majeure.

Erreurs qui coûtent l'entretien

  • Profil généraliste flou

    « Cybersécurité » seul = trop vague. Précise SOC, pentest, AppSec ou GRC. Le RSSI a 4 piles de CV, mets-toi dans la bonne.

  • Lister 20 outils sans certif ni projet

    Sans certif ni projet vérifiable (CTF, bug bounty, repo public), la liste d'outils ne convainc personne. Mets une certif ou un rang HTB.

  • Pas de mention compliance

    ISO 27001, NIS2, RGPD, DORA — ces cadres sont attendus surtout en grands groupes et banques. Cite ceux que tu as côtoyés.

  • Sur-prétention en pentest sans OSCP

    Si tu n'as pas OSCP ou équivalent, ne te déclare pas pentester senior. Préfère « ingénieur sécu avec intérêt offensif » + projets CTF.

Fourchettes salariales France

Junior

40–52 K€ brut (Paris) / 34–46 K€ (province)

Confirmé

52–75 K€ brut (3-5 ans, certifié)

Senior

75–120 K€ brut (Lead, RSSI adjoint) — RSSI grand groupe 130-200 K€

Pentest indépendant : TJM 700-1100€. Scale-ups (Doctolib, BlaBlaCar, Aircall) : 65-95 K€ mid. Banques / assurances : 55-90 K€, grille rigide mais stable. ANSSI / défense : 45-75 K€, plus structuré.

Mots-clés ATS à intégrer

Les ATS scannent ces termes. Si ton CV n'en contient aucun, il passe sous le radar — même si tu es qualifié.

cybersécuritéSOCSIEMSplunkSentinelOSCPCEHCISSPISO 27001pentestBurp SuiteOWASPRGPDNIS2incident response

Modèles Vanova recommandés

Pour aller plus loin

Compose ton CV Ingénieur Cybersécurité.

L'IA Vanova structure, propose les bons mots-clés ATS, met en page proprement. Dix minutes.