Passer le CEH v13 depuis l’Afrique de l’Ouest — Guide complet 2026

Tout ce qu’il faut savoir pour préparer, passer et capitaliser sur la certification Certified Ethical Hacker v13 (EC-Council 312-50) depuis Dakar, Abidjan, Bamako, Ouagadougou, Conakry, Lomé, Cotonou ou Niamey. Le vrai prix en FCFA, les voies de financement, les centres de test, le lab gratuit et le maillage avec sept tutoriels pratiques de pentesting éthique.

Sommaire

• Pourquoi le CEH reste la certification offensive de référence en Afrique de l’Ouest
• L’examen 312-50 v13 en 2026 : ce qu’EC-Council a changé
• Les vingt modules officiels et leur poids relatif
• Les concepts fondamentaux d’éthique et de méthodologie
• Vue d’ensemble pratique : ce qu’il faut savoir faire
• Tutoriels pratiques associés
• Adaptation au contexte ouest-africain
• Erreurs fréquentes à éviter
• FAQ
• Pour aller plus loin

⚠️ Cadre éthique strict : tous les contenus de ce guide et des tutoriels associés s’appliquent uniquement à des cibles dont tu es propriétaire ou pour lesquelles tu disposes d’un mandat écrit signé par le propriétaire (lab personnel, plateformes officielles type Hack The Box / TryHackMe, ou contrat de pentest formalisé). Toute utilisation contre un système tiers sans autorisation tombe sous le coup de la loi 2008-08 du Sénégal, de la loi 2013-451 de Côte d’Ivoire, du Code pénal cybersécurité de la CEDEAO, et expose à des peines de prison. La discipline éthique n’est pas une option — c’est ce qui sépare un consultant cybersécurité d’un cybercriminel.

Pourquoi le CEH reste la certification offensive de référence en Afrique de l’Ouest

Quand un opérateur télécom ouest-africain — Sonatel, Orange, MTN, Camtel — recrute un analyste SOC ou un pentester, le filtre n°1 reste le CEH dans 80 % des cas. Pas parce que c’est la certification la plus pointue techniquement (l’OSCP d’Offensive Security est plus respecté côté technique), mais parce que c’est la certification dont les RH et les directions ont entendu parler. Le CEH est le seul titre offensif accrédité ANSI 17024, listé dans le DoD Directive 8570 américain qui sert de référence dans la quasi-totalité des appels d’offres d’État, et reconnu par les écoles d’ingénieurs et universités africaines comme valant un module de cybersécurité de Master.

La valeur du CEH v13 en 2026 tient à trois facteurs précis. Premier facteur : la couverture exhaustive du domaine. Vingt modules qui balayent reconnaissance, scanning, enumeration, hacking de systèmes, malware, sniffing, ingénierie sociale, attaques DoS, hijacking de session, contournement IDS/firewall/honeypots, hacking de serveurs web, applications web, SQL injection, Wi-Fi, mobile, IoT, cloud, OT, cryptographie, et l’ajout massif IA en v13. Aucune autre certif d’entrée n’a ce périmètre. Deuxième facteur : le format mixte théorie + pratique. Au-delà des 125 QCM, EC-Council propose le CEH Practical (en option, 6 heures, 20 challenges réels) qui prouve la maîtrise opérationnelle. Pour un poste de SOC L2 ou pentester junior, le combo CEH + CEH Practical est ce que demandent les recruteurs sérieux. Troisième facteur : le ratio coût/retour, quand on financièrement bien préparé. Le voucher seul à 650 USD (≈ 390 000 FCFA en avril 2026) est dans la fourchette accessible des certs cybersec ; le bundle iClass complet à 2 000-3 500 USD ne se justifie que si tu n’as aucun bagage technique préalable.

Pour le marché ouest-africain spécifiquement, trois débouchés professionnels concrets après CEH : analyste SOC junior dans une banque ou opérateur (450 000 à 700 000 FCFA mensuels à Dakar/Abidjan), pentester junior dans une ESN cybersécurité (NSIA Tech, Wari, Atlantique IT, Avizo, Atexo) à 600 000-900 000 FCFA, consultant freelance sur missions d’audit pour PME et organisations internationales (300 000-500 000 FCFA par mission de 5-10 jours).

Ce guide est l’article central du cluster CEH. Il explique la structure de la certification et les concepts ; les sept tutoriels associés montrent comment exécuter pratiquement chaque famille d’attaques en lab personnel.

L’examen 312-50 v13 en 2026 : ce qu’EC-Council a changé

L’examen actuel s’appelle officiellement Certified Ethical Hacker (CEH) version 13, code Pearson VUE 312-50. La version 13 a remplacé la v12 le 23 septembre 2024 et reste la version active à la date de cette rédaction (avril 2026). Les paramètres clés à connaître : durée 240 minutes (4 heures), 125 questions à choix multiple uniquement (pas de drag-and-drop, pas de labs simulés à l’examen théorique standard — les labs sont réservés au CEH Practical optionnel), prix officiel 650 USD pour le voucher seul, langues anglais (uniquement). Le score requis varie de 60 à 85 % selon la difficulté du pool de questions tiré (système cut-score dynamique d’EC-Council) ; en pratique, la communauté vise 75 % comme objectif sécurisant.

Le format est pénible à un endroit précis : 4 heures continues, 125 questions, soit moins de 2 minutes par question, sans pause prévue (tu peux quitter la salle pour les toilettes mais le chrono continue). Beaucoup de candidats s’effondrent sur les 30 dernières questions par fatigue cognitive ; la stratégie consiste à pratiquer des examens blancs complets en conditions réelles avant le jour J, pas seulement par chapitres.

Les changements de la v13 par rapport à la v12 sont massifs en intention, modérés en volume. EC-Council a ajouté trois axes nouveaux qui pèsent désormais 15-20 % de l’examen : intégration IA dans toutes les phases du pentesting (reconnaissance OSINT pilotée par LLM, génération de payloads par IA, détection de patterns par ML — le module 20 AI in Ethical Hacking est entièrement nouveau), élargissement des modules Cloud Security et Operational Technology (OT) hacking (industrie 4.0, SCADA, ICS — pertinent pour qui vise les cibles industrielles type cimenteries, mines, ports régionaux), enfin une réécriture des modules malware et social engineering pour intégrer les techniques 2024-2025 (LLM-generated phishing, deepfake voice, supply-chain attacks à la SolarWinds).

Pour un candidat qui prépare en 2026, n’utilise jamais des supports v11 ou v12 — ils ne couvrent pas les modules 18-20 et ne te prépareront pas à 20 % des questions. Vérifie systématiquement que ton support mentionne CEH v13 en couverture.

Côté logistique, l’examen se passe via Pearson VUE en centre physique ou en ligne (OnVUE). Les centres ouest-africains qui historiquement font passer EC-Council : à Dakar, Sup’Imax et l’École Centrale ; à Abidjan, ESATIC et NSIA Cybersecurity Academy ; à Bamako et Ouagadougou, l’offre est plus limitée — beaucoup de candidats prennent l’avion vers Dakar ou Abidjan pour le jour J. L’option OnVUE est crédible si tu disposes d’une vraie connexion fibre stable et d’une pièce qu’on peut vider intégralement (mêmes contraintes que pour le CCNA — webcam, pas d’objet, surveillance vidéo continue).

Les vingt modules officiels et leur poids relatif

EC-Council découpe le programme CEH v13 en vingt modules. La pondération précise n’est pas publiée explicitement (c’est une particularité d’EC-Council vs Cisco), mais la communauté qui décortique les rapports d’examens établit les ordres de grandeur suivants. Connaître ces ordres permet de doser ton temps de révision.

Module 01 — Introduction to Ethical Hacking (5 %). Vocabulaire, méthodologies (Cyber Kill Chain de Lockheed Martin, MITRE ATT&CK, OWASP Testing Guide, OSSTMM, NIST SP 800-115), classification des hackers (white, grey, black, red team, blue team, purple team), phases d’un test d’intrusion. Module facile mais piégeux à l’examen — beaucoup de questions de définitions strictes.

Module 02 — Footprinting and Reconnaissance (10 %). OSINT, recherche passive et active, énumération DNS, recherche WHOIS, scrappage Google, Shodan, Maltego, theHarvester, recon-ng, Spiderfoot. C’est la phase 1 d’un pentest et le module le plus poids du programme. Contenu détaillé dans notre tutoriel OSINT/reconnaissance.

Module 03 — Scanning Networks (8 %). Nmap (toutes ses options), Hping3, Masscan, Zmap, types de scan (TCP connect, SYN stealth, FIN, XMAS, NULL, ACK, UDP), techniques d’évasion firewall (fragmentation, decoys, idle scan, source port spoofing). Module ultra-pratique. Notre tutoriel Nmap avancé couvre la moitié de ce module.

Module 04 — Enumeration (7 %). NetBIOS, SNMP, LDAP, NFS, NTP, SMTP, DNS zone transfer, énumération SMB, IPSec, VoIP, BGP. Tu dois savoir énumérer chaque service et identifier ses faiblesses.

Module 05 — Vulnerability Analysis (5 %). CVSS, Common Vulnerability Scoring System, scanners automatisés (Nessus, OpenVAS, Nikto, Nexpose, Acunetix), évaluation de criticité, exploitation des CVE.

Module 06 — System Hacking (10 %). Cracking de mots de passe (online/offline, dictionary, brute force, rainbow tables, hybrid), élévation de privilèges (Linux SUID, Windows token impersonation, kernel exploits), exécution d’applications, hiding files (rootkits, ADS NTFS), couverture des traces (clearing logs). Module dense, hautement testé. Notre tutoriel Hashcat/John couvre le cracking en profondeur.

Module 07 — Malware Threats (6 %). Trojans, virus, vers, ransomware, fileless malware, techniques d’analyse statique et dynamique en lab (sandbox, Cuckoo, ANY.RUN, Procmon, Wireshark). Beaucoup de questions de classification.

Module 08 — Sniffing (4 %). Wireshark, tcpdump, ARP poisoning (Ettercap, Bettercap), DHCP starvation, MAC flooding. Module qui chevauche partiellement avec la sécurité L2 du CCNA — nos défenses CCNA expliquent comment se protéger contre ces attaques.

Module 09 — Social Engineering (5 %). Phishing (spear, whaling, BEC), pretexting, baiting, quid pro quo, tailgating, vishing, smishing, deepfake voice. Module dense en théorie psychologique, peu de pratique technique au CCNA mais fondamental en pratique professionnelle.

Module 10 — Denial-of-Service (3 %). SYN flood, UDP flood, HTTP flood, Slowloris, amplification (DNS, NTP, memcached), botnets. Module léger en termes de questions mais couvre des concepts essentiels.

Module 11 — Session Hijacking (3 %). TCP hijacking, session token theft (XSS, packet capture, session fixation), defense (HTTPOnly cookies, regeneration de session token).

Module 12 — Evading IDS, Firewalls, and Honeypots (5 %). Tunneling (DNS tunneling, ICMP tunneling, HTTPS tunneling), packet fragmentation, source routing, encryption, polymorphic shellcode. Module exigeant, beaucoup de questions techniques.

Module 13 — Hacking Web Servers (5 %). Vulnérabilités Apache/Nginx/IIS, attaques contre le serveur lui-même (mauvaise config, default creds, web shells, server-side includes).

Module 14 — Hacking Web Applications (8 %). OWASP Top 10 2021 (et préparation au Top 10 2025 en transition), broken access control, cryptographic failures, injection, insecure design, security misconfiguration, vulnerable components, identification & auth failures, software & data integrity, security logging, SSRF. Notre tutoriel Burp Suite couvre la pratique exhaustive.

Module 15 — SQL Injection (5 %). UNION-based, error-based, blind boolean, blind time-based, out-of-band, second-order. Outils : sqlmap, manual exploitation. Module testé en profondeur — au moins 5-7 questions à l’examen.

Module 16 — Hacking Wireless Networks (4 %). WEP cracking (FMS, KoreK), WPA/WPA2 cracking (handshake capture + dictionary), WPA3 attacks, evil twin, KRACK, FragAttacks. Notre tutoriel Wi-Fi hacking détaille la pratique en environnement contrôlé.

Module 17 — Hacking Mobile Platforms (3 %). Android (rooting, APK reverse, Frida), iOS (jailbreaking, IPA analysis, MITM SSL pinning), MDM bypass.

Module 18 — IoT and OT Hacking (4 %) [renforcé en v13]. MQTT, CoAP, BLE, Zigbee, scanning IoT (Shodan, Censys), exploitation firmware, attaques contre SCADA/ICS (Modbus, DNP3, S7), Stuxnet et Industroyer comme cas d’étude.

Module 19 — Cloud Computing (5 %) [renforcé en v13]. AWS S3 misconfigurations, IAM exploitation, Lambda function hijacking, container escape (Docker/Kubernetes), serverless attacks.

Module 20 — AI in Ethical Hacking (5 %) [entièrement nouveau en v13]. Prompt injection, jailbreaking LLM, AI-powered reconnaissance, deepfake detection, adversarial machine learning, MLOps security. Module à ne pas négliger — c’est le différenciant de la v13.

Les concepts fondamentaux d’éthique et de méthodologie

Avant la pratique technique, deux fondamentaux structurent toute la pensée du pentester éthique.

La méthodologie d’engagement. Un test d’intrusion professionnel se déroule en cinq phases strictes : 1) Pré-engagement — signature du contrat, définition du scope (cibles autorisées, plages horaires, contraintes), formalisation du Get Out of Jail Free Card (lettre signée par le client autorisant explicitement les tests). 2) Reconnaissance — collecte d’informations passive et active sur les cibles. 3) Exploitation — tentatives d’intrusion sur les vulnérabilités identifiées. 4) Post-exploitation — élévation de privilèges, persistance, mouvement latéral, extraction de données factices pour preuve. 5) Reporting — livraison d’un rapport technique et d’un rapport exécutif avec recommandations priorisées. Sauter une étape (notamment le scope écrit) transforme le pentester en cybercriminel.

Le triangle CIA et ses extensions. Confidentialité, Intégrité, Disponibilité — les trois piliers historiques. Les attaques modernes étendent ce modèle avec Authenticité, Non-répudiation, Auditabilité (CIA²A ou Parkerian Hexad). Un pentester sait pour chaque vulnérabilité identifier laquelle des dimensions est compromise.

Le cycle Cyber Kill Chain (Lockheed Martin). Sept étapes que suit un attaquant : reconnaissance, weaponization, delivery, exploitation, installation, command-and-control, actions on objectives. Comprendre le cycle permet à un défenseur de placer ses contrôles à chaque étape ; à l’attaquant de planifier son enchaînement.

MITRE ATT&CK Framework. Base de données vivante de 14 tactiques et 200+ techniques utilisées par des groupes d’attaquants réels (APT). Le CEH v13 attend que tu connaisses les noms et IDs des tactiques principales : Initial Access (TA0001), Execution (TA0002), Persistence (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Credential Access (TA0006), Discovery (TA0007), Lateral Movement (TA0008), Collection (TA0009), Command and Control (TA0011), Exfiltration (TA0010), Impact (TA0040). Notre tutoriel OSINT introduit les premières tactiques en pratique.

OWASP Top 10. Le classement des dix vulnérabilités web les plus courantes, mis à jour tous les 4 ans. Le CEH v13 teste essentiellement le Top 10 2021 (A01-A10), avec quelques transitions vers le Top 10 2025 attendu fin 2025.

Les profils légaux ouest-africains. Connaître le périmètre légal de ton activité pentester dans la juridiction où tu opères. Sénégal : loi n°2008-08 du 25 janvier 2008 sur les transactions électroniques + loi n°2008-12 sur la cybercriminalité. Côte d’Ivoire : loi n°2013-451 du 19 juin 2013 sur la cybercriminalité. UEMOA : règlement n°08/2013/CM/UEMOA. CEDEAO : Acte additionnel A/SA.1/01/10 sur la lutte contre la cybercriminalité dans l’espace CEDEAO. Tous criminalisent l’accès non autorisé à un système informatique. L’autorisation écrite du propriétaire est ta seule protection légale.

Vue d’ensemble pratique : ce qu’il faut savoir faire

À la fin de ta préparation CEH v13, tu dois être capable d’exécuter les chaînes opérationnelles suivantes en lab. Chaque sous-sujet est traité en détail dans un tutoriel dédié — voici la vue panoramique.

Reconnaissance complète d’une cible. Identifier les sous-domaines (subfinder, amass), récupérer les enregistrements DNS, faire du Google dorking pour exposer des fichiers sensibles, croiser avec Shodan/Censys, énumérer le personnel via LinkedIn et theHarvester, construire une carte mentale Maltego de l’organisation cible. Notre tutoriel OSINT couvre l’intégralité de ce flow.

Scan réseau et identification de services. Nmap avancé (TCP SYN avec timing T4, NSE scripts pour fingerprinting, scan UDP sur 1000 ports clés, détection de version et OS), corrélation avec les CVE des versions identifiées via searchsploit. Notre tutoriel Nmap explique chaque flag et chaque scénario.

Exploitation de vulnérabilités web. Avec Burp Suite Community : intercepter et modifier des requêtes HTTP, fuzzing de paramètres avec Intruder, détection d’injections SQL, XSS reflected/stored/DOM, IDOR par manipulation d’IDs, SSRF par manipulation d’URL, file upload par bypass de filtres. Notre tutoriel Burp Suite déroule six scénarios complets.

Exploitation de vulnérabilités système. Avec Metasploit : sélection d’un exploit pour un service vulnérable, configuration du payload (reverse shell Meterpreter), génération d’un payload custom avec msfvenom pour évasion AV, post-exploitation (mimikatz pour creds dumping, Empire pour persistance, BloodHound pour lateral movement Active Directory). Notre tutoriel Metasploit couvre la chaîne complète.

Cracking de mots de passe. Avec Hashcat (offline brute force GPU-accélérée) et John the Ripper (offline dictionary + rules), cracker des hashs Windows NTLM, Linux SHA-512, applicatifs (WordPress phpass, MySQL, Cisco Type 5), fichiers archivés (ZIP, RAR, 7Z, PDF). Notre tutoriel cracking couvre les hash modernes (Argon2, bcrypt, scrypt) et les wordlists efficaces (rockyou, SecLists, PROBABLE-Wordlists).

Attaques Wi-Fi en environnement contrôlé. Capture de handshake WPA2 avec aircrack-ng + cracking offline avec Hashcat, attaques PMKID, WPA3 dragonblood downgrade, evil twin avec hostapd-wpe, spoofing de SSID. Notre tutoriel Wi-Fi hacking détaille le setup légal complet (ton propre routeur Wi-Fi en lab isolé).

Sécurisation et reporting. À la fin de chaque attaque réussie, tu dois savoir documenter ce que tu as fait (screenshots, commandes exactes, payloads), évaluer la criticité avec CVSS v3.1 ou v4.0, écrire des recommandations priorisées (patch immediate, hardening short-term, architectural change long-term). Le reporting est ce qui distingue un pentester pro d’un script kiddie.

Tutoriels pratiques associés

Le cluster CEH est complété par sept tutoriels pas-à-pas qui couvrent les compétences pratiques attendues. Pour une préparation efficace, suis-les dans l’ordre suivant après avoir lu ce guide :

Chaque tutoriel suit la même structure : prérequis, contexte légal, configuration du lab, exécution pas-à-pas avec captures de sortie, exercices d’auto-évaluation type CEH, troubleshooting. Compte 3 à 5 heures par tutoriel en pratique active.

Adaptation au contexte ouest-africain

Préparer le CEH v13 depuis Dakar, Abidjan ou Bamako pose quatre défis spécifiques.

Le coût total. Le voucher seul est 650 USD (390 000 FCFA en avril 2026). Ajoute Pearson VUE et taxes selon le centre, et tu es à 450 000-500 000 FCFA tout compris pour une seule tentative. Le bundle iClass complet d’EC-Council (1 900 USD) ajoute 1 100 000 FCFA — souvent inaccessible pour un autodidacte. Stratégie : autodidactie avec ressources gratuites + voucher seul, ou négocier le sponsor employeur si tu travailles déjà dans une banque ou une ESN cybersécurité (formation continue). Programmes de bourses : EC-Council Africa propose occasionnellement des réductions 30-50 % pour les candidats africains via partenariat ANSI ; vérifier régulièrement la page bourses du site officiel et celle de l’ANSI Sénégal et l’ANSSI CI.

Le centre de test. Pearson VUE liste les centres officiels. À Dakar, Sup’Imax et l’ESMT ont fait passer des CEH dans les deux dernières années — confirmer par téléphone la disponibilité et la version v13. À Abidjan, ESATIC et NSIA Cybersecurity Academy. À Bamako, Conakry, Lomé, Cotonou, Niamey, l’offre est très limitée et beaucoup de candidats prennent un Sénégal-Côte d’Ivoire en avion (compter 100 000-200 000 FCFA de billet en plus). L’option OnVUE est crédible mais exige une connexion fibre stable 4 heures non-stop — pari risqué hors coworking professionnel.

Le lab gratuit. Pour la pratique, tu n’as besoin de rien acheter au-delà d’un PC modeste. Stack recommandée : VirtualBox ou VMware Workstation Player (gratuit), Kali Linux (gratuit), DVWA (Damn Vulnerable Web Application, gratuit), Metasploitable 2/3 (gratuit), HTB Academy (gratuit pour les modules introductifs, payant 8 USD/mois pour les avancés), TryHackMe (gratuit avec restrictions, 14 USD/mois en premium). Notre tutoriel lab CEH détaille le setup complet.

La connexion Internet pour les vidéos. Les cours officiels CEH sont 600+ heures de vidéo HD — intenable sur 4G mobile. Solutions identiques au CCNA : télécharger en wifi coworking et regarder hors-ligne, privilégier les cours INE et CompTIA Security+ (gratuits) en complément, utiliser les ressources open-source comme PortSwigger Academy (gratuit, légalement la meilleure alternative au CEH iClass).

La fenêtre temporelle. Pour un candidat ouest-africain qui combine job ou études + préparation, la fenêtre réaliste est de 6 à 9 mois à raison de 12-15 heures/semaine. Plus court, c’est de l’auto-illusion ; plus long, c’est de la procrastination. La densité du programme CEH v13 (vingt modules) est nettement supérieure au CCNA — n’espère pas le passer en 90 jours sauf bagage cybersec préalable significatif.

Erreurs fréquentes à éviter

FAQ

Combien de temps faut-il pour préparer le CEH v13 quand on part de zéro ?

Pour un autodidacte sérieux qui consacre 12 à 15 heures par semaine en parallèle d’un job ou d’études, compte 6 à 9 mois. Pour quelqu’un avec un solide bagage CCNA + Linux + Windows admin, 4 à 6 mois sont jouables. Pour un débutant complet sans aucune base IT, c’est imprudent — démarrer par CompTIA A+ et Security+ avant CEH.

CEH v13 ou OSCP : que choisir ?

OSCP (Offensive Security Certified Professional) est techniquement supérieur, plus respecté dans la communauté pentest internationale, mais plus long (6 mois minimum, examen 24 heures de pratique pure) et plus coûteux (~1 600 USD bundle). CEH v13 est plus large en couverture (vingt modules vs OSCP qui se concentre sur l’exploitation), plus reconnu RH/management/appels d’offres, plus facile pour un junior. Recommandation pour l’Afrique de l’Ouest : CEH d’abord (employabilité), OSCP après si tu veux progresser techniquement.

Le CEH expire-t-il ?

Oui. La certification CEH est valide 3 ans à partir de la date d’obtention. Pour la maintenir, il faut accumuler 120 crédits ECE (EC-Council Continuing Education) pendant ces 3 ans + payer une cotisation annuelle d’environ 80 USD. Les crédits ECE s’obtiennent en suivant des formations, conférences, en publiant des articles cybersec, en passant d’autres certifs.

Quel est le salaire moyen d’un titulaire CEH en Afrique de l’Ouest ?

À Dakar et Abidjan, un junior CEH frais émoulu démarre autour de 450 000 à 700 000 FCFA bruts mensuels en banque ou opérateur. Pentester junior en ESN cybersec : 600 000 à 900 000 FCFA. Avec 3-5 ans d’expérience et CEH + OSCP : 1 200 000 à 2 000 000 FCFA. Hors capitales, fourchettes 25-40 % plus basses sauf cas de mandats internationaux (ONG, ONU, AUDA-NEPAD).

Peut-on passer le CEH en français ?

Non, l’examen n’existe qu’en anglais. C’est un point de friction réel pour un candidat francophone, mais inévitable — la doc cybersec mondiale, les CVE, les rapports MITRE, les forums professionnels sont tous en anglais.

Le CEH est-il pertinent face à l’OSCP qui domine LinkedIn ?

LinkedIn donne une perception biaisée par la communauté hacker internationale. En entreprise africaine, l’OSCP est ~10 % des candidats et le CEH ~70 %. Le CEH te fera décrocher l’entretien plus facilement ; l’OSCP te démarquera ensuite au niveau senior.

Faut-il prendre le CEH Practical en plus ?

Pas obligatoire. Le CEH Practical (6h, 20 challenges techniques, ~550 USD additionnels) est précieux pour les postes techniques pentest où tu veux prouver la compétence opérationnelle. Pour un poste analyste SOC ou compliance cybersec, le CEH théorique suffit largement. Réfléchir au coût/bénéfice selon le poste visé.

Peut-on financer son CEH v13 ?

Oui, plusieurs voies : 1) Sponsor employeur (banque, opérateur, administration) — le plus efficace si tu y travailles déjà. 2) Financement personnel via crédit formation continue. 3) Bourses EC-Council Africa (occasionnelles, 30-50 % off). 4) Formations subventionnées via ANSI/ANSSI nationales (Sénégal, CI). 5) Programmes ESC (École Supérieure Cyber) qui intègrent CEH dans leur cursus master. Toujours négocier sur 6 mois pour étaler la dépense.

Pour aller plus loin

• Sources officielles à consulter avant tout autre support : la page exam de EC-Council CEH, le blueprint v13 sur iClass.eccouncil.org, et les modules sur CEH Compete (CTFs gratuits intégrés à v13).
• Livre de référence : CEH v13 Certified Ethical Hacker Study Guide par Ric Messier (Sybex), édition 2024-2025. C’est le manuel le plus complet et à jour, utilisé par 80 % des autodidactes.
• Plateformes de pratique gratuites/peu chères : Hack The Box (HTB Academy à 8 USD/mois pour les modules cybersec), TryHackMe (14 USD/mois premium), PortSwigger Web Security Academy (totalement gratuit, parfait pour préparer le module Web Applications), PicoCTF (gratuit, exercices CTF débutant à intermédiaire).
• Examen blanc : Boson ExSim 312-50 (~110 USD), questions plus difficiles que l’examen lui-même, ce qui est exactement ce qu’on cherche en préparation.
• Suite logique côté ITSkillsCenter : une fois le CEH en poche, choisis ta direction. Direction cybersec offensive : OSCP de Offensive Security puis BSCP de PortSwigger. Direction cybersec défensive : CompTIA Security+ (si pas déjà passé), CySA+ (analyste), GCIH ou GCIA (SANS). Direction gouvernance/compliance : CISSP d’ISC2, lecture moins technique et plus management.
• Communauté ouest-africaine : groupes Slack/Discord AfricaHackon, Cyber Bissau, Senegal Cybersecurity Group, Côte d’Ivoire Cyber Community. Conférences régionales : Cyber Africa Forum (Abidjan annuel), AfricaHackon Summit, FIC Sénégal.
• Suggestion finale : si tu hésites entre CEH et OSCP, fais le CEH d’abord. C’est plus facile, plus rapide, plus reconnu RH, et te donne le bagage pour attaquer l’OSCP ensuite avec plus de confiance et de méthodologie.

Mots-clés secondaires : CEH v13 Sénégal, CEH v13 Côte d’Ivoire, certification cybersécurité francophone, examen 312-50 EC-Council, Pearson VUE Dakar Abidjan, lab Kali Linux gratuit, OSINT pentesting Afrique, formation cyber Afrique de l’Ouest.