Pentester : Rôle, formation, salaire…

les fiches métiers Stedy

Un pentester met en œuvre des méthodes d’hacking autorisées dans le but d’évaluer la sécurité des systèmes d’information et des réseaux informatiques. Cet expert en cybercriminalité réalise des tests d’intrusion en se conformant à la réglementation. Il respecte une discipline stricte en phase avec les limites définies par l’organisation cliente. C’est la raison pour laquelle il est aussi surnommé « hacker éthique ».

Ce métier, dont l’intitulé est issu d’une combinaison des termes anglais « penetration » et « tester », est récent, mais en pleine expansion. Face à la hausse et à la diversité des menaces, ce nouveau poste a de l’avenir. Le Pentester représente une fonction clé pour les aider dans cette lutte contre les pirates informatiques. Il les accompagne pour planifier des stratégies destinées à limiter et anticiper au maximum les failles et intrusions.

Pour diagnostiquer les capacités de protection et de défense d’un réseau ou d’une application, il s’introduit volontairement dans le système. Comme un cybercriminel, il sait comment accéder aux données sensibles de l’entreprise. Mais contrairement à l’individu mal intentionné, le professionnel bienveillant utilise ces procédés dans un but sécuritaire.

Il simule des attaques avec des approches similaires à celles des hackers, mais les détourne pour apporter des solutions techniques. Lors de ces offensives contrôlées, il détecte les failles de sécurité. Son analyse complète donne lieu à un rapport détaillé de recommandations.

La mise en œuvre de ces actions va corriger les vulnérabilités relevées lors des tests de pénétration. Cette méthode doit améliorer la sécurité globale du réseau et des systèmes informatiques. En toute logique, cette fonction à responsabilités implique un code de conduite irréprochable et la signature d’un accord de confidentialité.

Le Pentester opère directement dans une entreprise de taille importante ou spécialisée sur des domaines sensibles. En revanche, il peut intervenir dans des structures variées, de manière indépendante. Les ESN ou cabinets d’experts en cybersécurité peuvent également faire appel à ses services dans le cadre de missions.

Il existe plusieurs dénominations pour ce poste émergent. Ce métier encore méconnu se retrouve parfois au travers de plusieurs intitulés. Ces titres se rapportent alors au niveau hiérarchique, au statut ou à la qualification du profil recherché :

  • Pentesteur
  • Ingénieur Pentest
  • Ingénieur en Cybersecurité Pentesting
  • Auditeur Technique Sécurité
  • Testeur d’Intrusion
  • Hacker Éthique
  • Ethical Hacker
  • Offensive Cyber Security Engineer
  • White Hacker

En quoi consiste le métier de Pentester ?

Le Pentester apporte conseil et assistance aux organisations en matière de cybersécurité. Il applique une méthodologie rigoureuse pour optimiser la solution de protection existante : tests d’intrusions, scans de vulnérabilité et audits. Ces techniques s’apparentent à de véritables attaques sans toutefois endommager les infrastructures.

Les tests de pénétration (pentest en anglais) consistent à analyser un système informatique en agissant comme le ferait un cybercriminel. Le scan de vulnérabilité est en fait une phase spécifique, dont l’objectif est de lister toutes les failles, sans les qualifier précisément.

La cible de l’attaque peut être une IP, une application, un serveur web (backend), ou un réseau complet. Ces tests d’intrusion respectent un protocole strict :

  • Identification des faiblesses du SI ou de ses applications (scan de vulnérabilité)
  • Évaluation du niveau de risque sur chaque faille détectée
  • Plan d’actions correctives incluant un ordre de priorités, établi en fonction de leur qualification et leur degré de sévérité

Pour sécuriser efficacement une infrastructure ou des applications, les tests d’intrusion doivent être réalisés de manière fréquente. Lors de la conception d’un SI, d’un logiciel ou une solution mobile, ils sont naturellement prévus dans le planning du projet.

Afin d’anticiper les éventuelles offensives, ils sont ensuite à programmer pendant la phase d’utilisation, à intervalle régulier. Enfin, si l’organisation est victime d’une cyberattaque, le Pentester orchestre un plan d’action intégral pour empêcher une nouvelle menace.

Les tests d’intrusion peuvent être de caractère externe ou interne. De l’extérieur, le Pentester intervient depuis n’importe quelle connexion Internet. Réalisées depuis l’intérieur de l’infrastructure, ces opérations sont effectuées sur le LAN, c’est-à-dire le réseau interne de l’entreprise.

Cette double approche lui permet d’évaluer les failles en contournant les systèmes de défense en place (antivirus, firewalls…) comme le ferait un cybercriminel.

Dans certains cas, le Pentester est sollicité pour des audits complets. Ce type d’interventions peut prendre différentes formes :

  • Audits de code
  • Audits de configuration des dispositifs matériels et logiciels. L’expert en cybersécurité vérifie leur conformité par rapport aux référentiels officiels (CIS, guides de l’ANSSI…) pour relever les éventuelles anomalies.
  • Audits sécurité réseau ou d’architecture du SI
  • Audit organisationnel. Les ressources existantes sont étudiées, afin de déterminer si leur niveau de sécurité est à la hauteur des cyberattaques potentielles.

Une fois les vulnérabilités identifiées, le Pentester préconise dans un rapport confidentiel des applications correctives et la mise en place de solutions techniques. L’objectif de ses recommandations est de renforcer la protection du système informatique testé.

Le Pentester peut aussi être amené à sensibiliser l’organisation en exposant les risques encourus, en cas de négligence. Cette mission à visée pédagogique et préventive consiste à améliorer les pratiques du personnel en matière de cybersécurité.

Quelles sont les compétences incontournables pour être Pentester ?

Les compétences d’un expert en tests d’intrusion nécessitent une mise à jour permanente. Les exigences de ce métier imposent une grande rigueur pour se former aux méthodes d’hacking et assurer une veille constante sur les statistiques. Car si le Pentester ne détecte pas une partie des vulnérabilités du système, les conséquences peuvent être extrêmement graves pour l’organisation ciblée.

Techniques

Le Pentester possède une solide compréhension des systèmes et réseaux. Il maîtrise donc les divers aspects liés à la cybersécurité : cryptographie, systèmes de codage, etc.

Les tests d’intrusions étant souvent automatisés, des compétences en développement logiciel et en langages de programmation (Python, C/C++, Java, PHP…) sont exigées. Référent Sécurité, sa connaissance des réglementations en vigueur doit être parfaite.

Une base théorique est un prérequis pour le poste, mais la véritable expertise d’un Pentester se crée essentiellement par l’expérience. C’est en multipliant les approches que ce spécialiste des cybermenaces arrive à comprendre comment les choses fonctionnent et améliore son savoir-faire.

La maîtrise de l’anglais est indispensable pour un Pentester.

Comportementales

Curiosité & Autonomie

Sa grande curiosité et son profil autodidacte sont généralement les atouts principaux d’un Pentester.

Ces qualités déterminent sa capacité à rechercher toujours plus de possibilités dans le cadre d’expérimentations.

Elles lui permettent de repousser les limites du système avec audace, pour garantir la sécurité des applications et du réseau.

Sens de l’éthique

Un Pentester est aussi appelé Hacker Éthique.

Cet intitulé reflète l’obligation pour ce professionnel d’avoir un sens moral à toute épreuve. Ce métier exigeant nécessite d’accéder à des informations confidentielles et des données sensibles.

Pour intervenir au sein des organisations et gagner leur confiance, nul doute est permis sur ce point.

Sens pédagogique & Diplomatie

Le Pentester doit savoir démontrer les faiblesses d’un système sans pour autant discréditer les compétences de l’équipe à l’origine de sa conception.

Avec les développeurs, il fait preuve de tact et de diplomatie au moment d’aborder le plan d’actions correctives.

Cette approche pédagogique est indispensable. Elle évite une résistance contre-productive et garantit une mise en place conforme aux recommandations.

Comment devient-on Ingénieur Pentester ?

En France, les Pentesters qui exercent depuis plusieurs années sont initialement Ingénieurs SI ou Experts Systèmes et Réseaux. Ils ont évolué vers le Pentesting en se formant à la cybercriminalité. Aujourd’hui, des cursus existent pour devenir Pentester. Généralement, un diplôme en informatique de niveau Bac +3 à 5 est requis. Il pourra s’obtenir au sein d’une école d’ingénieurs ou à l’Université.

Dans les deux cas, une spécialisation en cybersécurité est préconisée. Elle peut être complétée par des certifications en cybersécurité comme l’OSCP (Certified Offensive Security Expert) exigées pour intervenir dans certaines entreprises.

Dans le domaine de la sécurité du numérique, le contrôle de la fiabilité et de la validité des enseignements délivrés est indispensable. Le Label SecNumedu, créé par l’Agence Nationale de la Sécurité des Systèmes d’Information (l’ANSII) permet de garantir ce rôle.

Pour devenir Pentester, il est possible de rejoindre l’un des nombreux établissements bénéficiant de cette reconnaissance et d’une habilitation de l’État. Voici une liste non exhaustive de structures préconisées pour accéder à ce métier.

Université

L’Université de Bourgogne propose la licence professionnelle Administration et Sécurité des Systèmes et des Réseaux – Cybersécurité.

Ce parcours délivre les enseignements attendus pour exercer le métier de Pentester. Il est possible de poursuivre pour obtenir un niveau master (Bac +5).

Les plus déterminés pourront s’engager sur un Mastère en Cybersécurité, comme celui de l’Université de Troyes.

À noter : certains cycles bénéficient d’une co-accréditation en partenariat avec des écoles d’ingénieurs.

Formation Continue & VAE

Les professionnels des systèmes et réseaux en activité ou demandeurs d’emploi peuvent évoluer vers la cybersécurité grâce à la formation continue. Certains parcours universitaires sont en effet accessibles avec un cursus adapté à ces profils, comme à Rennes, avec le Master mention Informatique, parcours Cybersécurité.

Certaines écoles d’ingénieurs comme l’ESIEA proposent également des enseignements spécialisés. Leurs programmes courts intitulés BADGE s’orientent essentiellement sur la mise en pratique. Ils ont pour but de former des experts opérationnels de la sécurité offensive en 5 mois.

Ce nouveau métier attire également des profils autodidactes passionnés par l’IT. Certains Pentesters sont parfois d’anciens hackers. Décidés à mettre leur talent au service de grands groupes, ces pirates informatiques repentis œuvrent alors pour lutter contre la cybercriminalité.

Une validation de leurs acquis (VAE) est une solution pour ces profils atypiques d’exercer en qualité de Penstester.

Bon à savoir : en début de parcours, les Pentesters participent généralement à des événements tels que Capture the Flag (CTF). L’objectif de ces compétitions est de détecter et d’exploiter les vulnérabilités d’un système. En parvenant à déjouer les outils de protection installés, les joueurs récupèrent les preuves de leur intrusion : les fameux drapeaux.

En se mettant en conditions réelles, un Pentester junior optimise ses connaissances pratiques en toute autonomie, tout en attestant ses compétences de manière officielle.

Quelles carrières envisager pour un Pentester ?

Secteurs d’activité

Un Pentester exerce généralement au sein de groupes ou d’entreprises d’envergure, dans l’industrie de pointe, la banque, les assurances, etc.

Il peut intervenir pour le compte d’administrations ou organismes du secteur public, notamment dans la Santé ou la Défense.

Il peut aussi évoluer chez un éditeur de logiciels ou toute autre société du domaine de la Tech et du Numérique.

Salaire

Le salaire moyen d’un Pentester en France est évalué autour de 3 800 € brut mensuel, soit l’équivalent de 46 k€/an.

Un profil débutant perçoit généralement un revenu de 3 000 euros brut par mois, soit environ 36 k€/an. Un expert Pentesting senior peut toucher jusqu’à 7 500 euros bruts mensuels, soit 90 k€ annuels.

Ces informations varient en fonction du parcours, des responsabilités, du type d’entreprise, du secteur ou encore de la région où il exerce.

Évolution

Avec la transition numérique, la diversité des cybermenaces s’accroit rapidement. Le Pentester est donc un professionnel de la sécurité de plus en plus convoité pour faire face aux dangers des attaques informatiques.

Avec plusieurs années d’expérience, un Pentester confirmé prendra éventuellement plus de responsabilités en manageant une équipe. Il s’orientera par exemple vers un poste de Responsable d’Intrusion.

Il peut aussi valoriser son expertise sur un secteur spécifique ou un dispositif particulier : systèmes embarqués, systèmes industriels, etc.

Options de reconversion pour un Pentester

Un Pentester peut choisir de se reconvertir en restant dans son domaine. Même s’il s’agit d’un nouveau métier, les besoins évoluent rapidement. Dès lors, la création de fonctions spécialisées ouvre la voie à diverses options : Cryptologue, Analyste SOC, Expert Juridique en Cybersécurité, etc. Son profil, ses aptitudes et ses connaissances pratiques le conduiront vers l’une ou l’autre de ses possibilités.

Un Pentester peut aussi s’épanouir en devenant indépendant. Consultant Tests d’Intrusion ou Cybersécurité, il examine les risques encourus par les organisations clientes, afin de proposer des solutions adaptées.  

Le métier de Pentester est-il fait pour vous ?

Points positifs

Pentester est souvent présenté comme une vocation. Passionné d’informatique, vous souhaitez vous engager durablement en faveur de la cyberdéfense.

Vous aimez les défis et ne vous épanouissez pas dans la routine. Vous appréciez la nouveauté et le fait de vous autoformer en permanence.

Points de vigilance

Cette fonction nécessite un engagement important, proportionnel au niveau élevé d’exigence.

Si vous n’avez pas trouvé de faille dans les systèmes testés, vous devez vous assurer qu’un hacker n’en détectera pas non plus ! Pour parvenir à ce degré de certitude, un Pentester peut largement dépasser le planning initialement prévu.


Pentester ? Trouvez votre prochaine mission IT sur Stedy !