Cyber Shelf
Florian Amette
30 avril 20265 min de lecture

Les meilleurs livres pour préparer l'OSCP en 2026

Les livres qui aident réellement à préparer l'OSCP en 2026. Linux, exploitation, web, réseaux, scripting, et le workflow hands-on dont vous aurez besoin le jour J.

#oscp#reading-list#penetration-testing#certification-prep

La plupart des conseils de prépa OSCP vous disent de faire des labs, des labs, encore des labs. C'est correct, mais cela saute la question de ce qu'il faut lire en parallèle des labs pour que ça reste.

Voici la liste courte des livres qui aident véritablement pour la prépa OSCP, triés par où ils s'insèrent dans votre plan d'étude. Lisez sélectivement. L'OSCP est un examen pratique de 24 heures, pas une revue de littérature. Chaque heure passée à lire doit se traduire en quelque chose que vous pouvez réellement faire sous pression.

Avant de commencer le cours officiel

Si vous n'êtes pas encore inscrit à PEN-200, l'objectif est de s'assurer que le matériel officiel ne vous perde pas dès le premier chapitre.

Linux Basics for Hackers d'OccupyTheWeb est non négociable si vous n'êtes pas déjà à l'aise sur la ligne de commande Linux. Bash, commandes réseau, permissions de fichiers, services : l'examen OSCP suppose que vous pouvez vous déplacer sur une box Linux sans réfléchir. Ce livre est le moyen le moins cher d'y arriver.

Penetration Testing de Georgia Weidman est le meilleur compagnon de PEN-200. Il vous fait traverser un pentest complet de bout en bout (recon, exploitation, post-exploitation, reporting) exactement au niveau attendu par l'OSCP. Plusieurs éditions plus tôt maintenant, mais le workflow n'a pas changé.

Lecture core pendant le cours

Ce sont les livres à garder ouverts sur un second écran pendant le travail en lab.

Hacking: The Art of Exploitation de Jon Erickson est la fondation pour la composante buffer overflow. PEN-200 s'est éloigné du BOF comme sujet autonome, mais comprendre ce qui se passe réellement sur la pile reste ce qui sépare les candidats qui passent de ceux qui paniquent quand le shellcode se comporte mal. Lisez au minimum la première moitié du livre.

The Web Application Hacker's Handbook de Stuttard et Pinto est le playbook web OSCP. Le livre est daté, mais les défis web OSCP sont datés aussi : SQLi, upload de fichier, LFI/RFI, command injection, XSS basique pour payloads stockés, contournements d'auth classiques. La taxonomie de ce livre correspond directement à ce que vous verrez le jour de l'examen.

Attacking Network Protocols de James Forshaw vous apprend à regarder réellement le trafic et à le comprendre. Utile pour pivoter à travers les réseaux internes et pour les moments « port bizarre, c'est quoi ce protocole » que l'examen adore vous lancer.

Scripting et tooling

L'OSCP vous récompense pour ne pas retaper la même chose deux fois.

Black Hat Python de Justin Seitz et Tim Arnold est le livre canonique « écrire vos propres outils offensifs ». Vous n'aurez pas besoin d'écrire un C2 custom pour l'examen, mais vous bénéficierez massivement de la mémoire musculaire « scripte-le simplement » plutôt que se battre avec l'outil de quelqu'un d'autre. Les chapitres networking, scraping et process-injection en particulier remboursent le temps passé.

Metasploit: The Penetration Tester's Guide est daté mais reste le livre le plus clair sur le framework. L'OSCP limite fameusement Metasploit à une machine, mais cette machine compte, et les modules post-exploitation sont jouables tout du long. Connaître le framework à fond vous économise des heures.

Pour les machines web-lourdes

Si vous voulez aller plus profond que The Web Application Hacker's Handbook sur les classes de bugs qui apparaissent réellement dans les boxes web OSCP :

Bug Bounty Bootcamp de Vickie Li est plus actuel et plus pratique que Stuttard et Pinto sur le paysage de bugs moderne. L'OSCP ne teste pas les exotiques bug bounty 2024, mais les chapitres sur auth, SSRF et contrôle d'accès correspondent directement aux erreurs style examen que les développeurs font réellement.

Ce qu'il faut sauter

Quelques livres que nous recommandons spécifiquement contre pour la prépa OSCP :

  • « Guides d'étude » brandés OSCP qui ne viennent pas d'Offensive Security. La plupart sont du tourisme de surface sur le syllabus officiel. Votre argent est mieux dépensé en temps de lab supplémentaire.
  • Livres red team / post-exploitation avancés (operator handbooks, deep dives C2). Mauvaise cible. L'examen OSCP porte sur obtenir le foothold et l'escalade de privilèges basique, pas l'OPSEC.
  • Livres style management CISSP. Mauvais examen, mauvais état d'esprit.

Un calendrier réaliste

Pour la plupart des candidats, la bonne approche est :

  1. Pré-cours (2 à 4 semaines) : Linux Basics for Hackers + première moitié de Weidman.
  2. Pendant PEN-200 (3 à 6 mois) : Erickson + WAHH à côté, Black Hat Python chaque fois que vous vous trouvez à faire quelque chose de répétitif.
  3. Dernier mois avant examen : arrêtez d'acheter des livres. Faites des labs à plein temps, prenez des notes, construisez votre propre playbook.

Le mode d'échec OSCP le plus commun est de lire au lieu de pratiquer. Les livres vous débloquent, ils ne remplacent pas le temps de lab. Si vous devez choisir entre un autre chapitre et une autre box, faites la box.

Bonne chance. Lisez ce qui aide. Résolvez les boxes. L'examen est juste.

Questions fréquentes

Is Penetration Testing by Georgia Weidman still useful for OSCP in 2026?
Yes. The edition is dated against modern Active Directory tradecraft, but the workflow it teaches (recon, exploitation, post-exploitation, reporting) is exactly what the OSCP expects. The OSCP-prep community still recommends it first because nothing has replaced it for newcomers.
Do I need to read Hacking: The Art of Exploitation for OSCP?
Read at least the first half. PEN-200 has been moving away from buffer-overflow as a standalone topic, but understanding what is happening on the stack is what separates candidates who pass from candidates who panic when shellcode misbehaves. Erickson's book is still the cleanest introduction.
How much should I prepare with books versus labs for OSCP?
Heavily lab-weighted. Books unblock you, they do not replace lab time. Aim for two to four weeks of pre-course reading (Linux Basics for Hackers + half of Weidman), then keep two or three books open as references during PEN-200. The last month before the exam should be lab-only.
Are OSCP-specific study guides worth buying?
Most are not. OSCP-branded study guides outside Offensive Security itself are usually surface tourism over the official syllabus. Your money is almost always better spent on extra lab time, HackTheBox or Proving Grounds Practice subscriptions, or one of the books on this list.