Sous le nom énigmatique de pentester, contraction de « penetration test », se cache une sorte de chevalier blanc de l’intrusion informatique. On reconnaît cet·te expert·e sous d’autres appellations : hacker éthique, conseiller ou conseillère en cybersécurité, consultant ou consultante en cybersécurité pentest, White Hat, pirate White Hat, White Hat Hacker.

Le ou la pentester exerce au sein d’entreprises, d’administrations ou de cabinets de conseil spécialisés en sécurité des systèmes d’information.


La mission principale du pentester : attaquer les systèmes d’information pour tester leur résistance

En effectuant des tests d’intrusion, sous la forme d’attaques contrôlées, le ou la pentester contrôle la sécurité des applications (mobiles, back end des sites web enregistrant des données confidentielles comme les numéros de carte bancaire) et des réseaux informatiques.

Après avoir repéré les failles du système d’information (SI), le ou la pentester établit un rapport d’audit qui définit un niveau de criticité et de vulnérabilité, formule des conclusions et émet des préconisations pour corriger ces failles et renforcer le SI.

Avant de procéder à ces tests, le ou la pentester imagine des scénarios d’attaque, le type de hacker susceptible d’attaquer le système et le nombre de jours nécessaires à cette action. Ces éléments dépendent de la taille des entreprises, de leur secteur d’activité et de leurs métiers.

Il ou elle enquête également sur les métiers de l’entreprise, leurs méthodologies, les logiciels utilisés, les risques liés à son activité, la façon dont son système d’information est organisé et dont travaillent les équipes informatiques.


Les compétences du ou de la pentester

En matière de compétences techniques, le ou la pentester doit avoir :

  • De solides connaissances en réseau, sécurité informatique (cryptographie, systèmes de codage, audit de sécurité réseau et web), développement logiciel et systèmes informatiques (systèmes embarqués, systèmes industriels…) ;
  • Des compétences en programmation (Python, C/C++…), langage de programmation web compris (Java, PHP…) car les tests d’intrusion sont généralement automatisés ;
  • Des notions de droit et la connaissance des réglementations en matière de cybersécurité et de protection des données ;
  • Une expression solide à l’oral et à l’écrit, y compris en anglais ;
  • De la pédagogie pour vulgariser des termes techniques auprès d’un public profane en matière de cybersécurité.

En ce qui concerne les compétences comportementales et le savoir-être, ou soft skills, le métier demande :

  • De la psychologie pour échanger avec les concepteurs ou conceptrices de systèmes ayant montré leurs failles ;
  • Un sens de l’éthique car ce métier fait commettre des actions ordinairement illégales et donne accès à des informations sensibles et confidentielles ;
  • De la curiosité pour effectuer une veille permanente ;
  • Le goût du jeu et du défi pour se glisser dans la peau d’un pirate informatique et contourner les règles ;
  • De la patience, de l’opiniâtreté et de la rigueur.


Formations et diplômes

Le métier de pentester est accessible à un niveau bac+3, bac+5.

Bac+3

  • BUT informatique ;
  • BUT réseau et télécommunications ;
  • Licences professionnelles en informatique spécialisées en sécurité pour une première approche concrète, par exemple, cybersécurité et cyberdéfense, administration et sécurité des réseaux ;
  • Bachelors en gestion de système d’information, méthodes de cybersécurité, administration des systèmes et réseaux, délivrés par des écoles comme la Guardia Cybersecurity School.

Bac+5

  • Master of Science (MSc.) expert·e en cybersécurité (Guardia Cybersecurity School) ;
  • Master Sécurité des systèmes d’information (Université de technologie de Troyes, UTT) ;
  • Master en informatique, Sécurité, fiabilité et performance du numérique (Université Pierre-et-Marie-Curie) ;
  • Master en informatique, Sécurité de l’information et cryptologie (Université de Limoges) ;
  • Master en informatique, Sécurité des systèmes informatiques (Université de Rouen).

Des certifications en sécurité/produits, comme OSCP (Offensive security certified professional), peuvent en outre être requises. Notez enfin que la profession compte de nombreux autodidactes.


Rémunération

En France, le salaire médian d’un·e pentester est de 62,7 k€ brut/an.

  • Débutant·e (0 à 2 ans d’expérience) : 40 k€ à 45 k€ brut/an
  • Confirmé·e (2 à 5 ans d’expérience) : 45 k€ à 60 k€ brut/an
  • Expérimenté·e (5 à 10 ans d’expérience) : 60 k€ à 75 k€ brut/an 
  • Senior (après 10 ans d’expérience) : jusqu’à 85 k€ brut/an


Liens utiles

Le site de la Fédération française de la cybersécurité (FFC).

Le site du Clusif.

Le site de Cinov Digital.

Le site de Numeum, syndicat et organisation professionnelle de l’écosystème numérique en France.

Le site de L’Alliance pour la confiance numérique (ACN).

Le site du Cercle des femmes de la cybersécurité (CEFCYF).

Le site du CyberCercle.

Le site de l’Enisa, agence de l’Union européenne pour la cybersécurité.

Le site du CESIN, club des experts de la sécurité de l’information et du numérique.


Ce métier vous intéresse mais vous voulez valider ce choix avec un professionnel ? Utilisez le service de coaching Objectif Emploi Orientation et un conseiller répondra à toutes vos interrogations.