Pentester Pentester
Métiers

Pentester

Vous connaissez les méthodes des hackers et souhaitez les détourner au service de la lutte contre la cybercriminalité ? Vous estimez que le piratage informatique est une pratique bienveillante dès lors qu’on la met au service de l’éthique ?  Devenez pentester, un métier dont l’expertise est de plus en plus recherchée par les entreprises !

Fiche métier mise à jour le
En résumé
Niveau d’études : Bac+3 à Bac+5
Bac conseillé : Scientifique
Employabilité : Très bonne
Salaire débutant : 3 000€
Salaire confirmé : 5 000 €
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Métier

Professionnel de la cybersécurité, le pentester contrôle la sécurité des réseaux informatiques en opérant des tests d’intrusion ou “penetration test” en anglais, d’où l’intitulé de son métier. Il identifie ainsi les vulnérabilités et propose des actions pour les corriger.

Missions du pentester

Les entreprises de plus en plus sujettes aux cybermenaces doivent se doter d’experts en cybersécurité capables de raisonner de la même manière que leurs potentiels attaquants, ceci afin de limiter et anticiper au maximum les failles et intrusions malveillantes dans leur système informatique.

Le pentester est ce professionnel de la sécurité informatique dont la mission consiste à infiltrer « volontairement » un réseau ou une application informatique afin d’en évaluer le niveau de sécurité.

Son approche s’apparente à celle du pirate informatique, utilisant les mêmes techniques et approches que le hacker malveillant, mais en les détournant au bénéfice de l’entreprise.

Le pentester va ainsi effectuer des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise et fournir des solutions pour réduire la vulnérabilité des systèmes.

Le pentester réalise des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise

Le pentester réalise des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise

"Le métier de pentester consiste à évaluer la sécurité d'un système d'information à travers différents angles d'attaques, mais toujours de manière cadrée. Le pentester va prendre la place d'un attaquant et son objectif est donc de simuler des attaques malveillantes pour identifier puis exploiter des vulnérabilités au sein du SI. Il aura également un grand rôle dans la remédiation des vulnérabilités, puisqu'il devra proposer des mesures correctives détaillées et personnalisées pour pallier à ces vulnérabilités à l'aide d'un rapport, qui à la fin du test d'intrusion, sera transmis au(x) commanditaire(s) du pentest. Il a un grand rôle de pédagogue, puisqu'il faut toujours vulgariser et savoir expliquer nos différentes trouvailles."
Julien Lamarche - Pentester

Tests d’intrusions, scans de vulnérabilité et audits

Un test d’intrusion, ou test de pénétration, ou encore pentest, est une méthode qui consiste à analyser une cible en se mettant dans la peau d’un attaquant.

Cette cible peut être une IP, une application, un serveur web, ou un réseau complet.

Le scan de vulnérabilité, différent du test d’intrusion, est en fait une composante du test d’intrusion, c’est-à-dire une sous-partie. C’est plus précisément un scan de la cible qui permet d’énumérer les vulnérabilités, sans tenter de les qualifier ou de vérifier si elles sont exploitables.

Les tests d’intrusion ont des objectifs clairs :

  • Identifier les vulnérabilités du SI ou de son application
  • Évaluer le degré de risque de chaque faille identifiée
  • Proposer des correctifs de manière priorisée

Tests d'intrusion Pentester

Grâce au test d’intrusion, le pentester peut qualifier la sévérité de la vulnérabilité, la complexité de la correction, et l’ordre de priorité qu’il faut donner aux corrections.

Afin de sécuriser l’infrastructure ou l’application, les tests d’intrusion peuvent être réalisés à différents moments de la vie d’une entreprise. Ainsi, ces derniers peuvent être initiés lors de la conception du projet, afin d’anticiper les éventuelles attaques, pendant la phase d’utilisation, à intervalle régulier et enfin, suite à une cyberattaque afin que celle-ci ne se reproduise plus .

Le test d’intrusion peut se faire de l’extérieur (test d’intrusion externe). Ce test d’intrusion pourra être réalisé de n’importe quelle connexion Internet.

Le test d’intrusion peut également se faire de l’intérieur de l’infrastructure (test d’intrusion interne). Dans ce cas, le test sera opéré sur le LAN (réseau interne de l’entreprise).

Grâce à ces dispositions, le pentester évalue les failles et essaye d’attaquer le système. Les systèmes de défense à savoir l’antivirus et les firewalls sont contournés par les outils mis en avant pour l’intrusion.

Enfin, les missions du pentester peuvent aller au-delà d’un test d’intrusion de système informatique. Elles peuvent concerner la totalité des équipements dont dispose son terrain d’intervention au sein de l’entreprise. Ainsi, le pentester pourra également réaliser des audits complets pour l’entreprise. Il en existe plusieurs types :

  • Audits de code : le code source d’une application est analysé afin de relever toute faille de sécurité.
  • Audits de configuration :  la configuration d’un système ou d’un équipement réseau est fournie au pentester qui compare ensuite ces données à des référentiels officiels (CIS, guides de l’ANSSI…) pour relever tout écart de conformité.
  • Audits d’architecture:  le pentester vérifie la robustesse de l’architecture d’un système d’information face à différentes menaces. Cela est réalisé à partir des documents d’architecture client et d’entretiens.
  • Audit organisationnel: le pentester vérifie l’organisation mise en place par le client d’un point de vue sécurité, de la création d’une équipe dédiée à la gestion des incidents, à partir des documents disponibles et des entretiens avec le client.

Missions du Pentester

Le pentester fournit des solutions de sécurité à l’entreprise afin de l’aider dans la lutte contre les cybermenaces

Le pentester fournit des solutions de sécurité à l’entreprise afin de l’aider dans la lutte contre les cybermenaces

Responsabilités du pentester

S’introduire légalement dans les systèmes et les réseaux d’une entreprise nécessite pour le pentester de se conformer à un code de conduite et à une discipline stricte.

Le pentester devra documenter le chemin d’attaque qu’il communique à l’organisation, signer un accord de confidentialité et traiter toutes les informations de l’entreprise avec la plus grande prudence. Le pentester devra signaler immédiatement à l’organisation toute violation de sécurité. Enfin, il devra effacer toutes les traces de tests de vulnérabilités pour éviter toute exploitation malveillante des failles précédemment identifiées.

competences-metier

Compétences

Exercer comme pentester demande des compétences nombreuses et étendues :

  • Capacité de compréhension des menaces cybersécurité
  • Capacité à exploiter des sources ouvertes de manière sécurisée
  • Mise en place de plans de veille sur un ou plusieurs secteurs déterminés
  • Détection, qualification et analyse d’informations pertinentes
  • Connaître le droit et les réglementations en vigueur en matière de cybersécurité

A cette base théorique, il faut ajouter de très nombreuses connaissances pratiques qui ne peuvent s’acquérir que par l’expérience. Un bon moyen de commencer consiste à participer à des événements tels que « Capture the flag », où l’objectif est de trouver et d’exploiter les vulnérabilités d’un système afin de s’y introduire.

Qualités

Le pentester est un professionnel de la cybersécurité dont les missions visent à limiter et anticiper au maximum les failles et intrusions malveillantes dans le système informatique de l’entreprise. Si ses compétences sont bien un atout, ses qualités doivent suivre aussi. Les unes ne vont pas sans les autres. Cela se traduit par être :

  • Ethique et légal
  • Curieux
  • Dynamique
  • Réactif
  • Créatif
  • Disponibile
  • Faire preuve de confidentialité
  • Aimer le travail en équipe
  • Avoir le goût du défi

Études et
formations

Pour devenir pentester , vous devrez justifier d’un diplôme en informatique de niveau Bac +3 à 5 avec une spécialisation en cybersécurité. Une école dans les métiers de la cybersécurité le permet. Des certifications en sécurité/produit seront demandées parfois.

A savoir que certains pentesters se sont formés en autodidactes puisqu’il s’agit d’un nouveau métier qui passionne les génies de l’informatique. D’ailleurs, des hackers pirates (dans l’illégalité) ont choisi de retrouver “le droit chemin » en devenant pentester au sein de grands groupes et sociétés.

Quelle formation choisir ?

En intégrant le Master of Science, vous obtiendrez les compétences nécessaires pour rejoindre les équipes d’attaque et d’intrusion d’une entreprise. Cette formation permettra aux futurs pentester de comprendre les problématiques techniques d’architecture réseau, de gestion des données et de détection de failles des systèmes. Des projets seront à réaliser tout au long de votre cursus sans oublier des stages et rencontres avec des professionnels du milieu.

En savoir +

Formation continue

Formation Pentest et sécurisation avancée des systèmes et réseaux pour les pros

Grâce à une maitrise approfondie des techniques de Pentest,  vous serez un expert en cybersécurité et vous saurez mettre en place une stratégie défensive pour protéger des infrastructures systèmes et réseaux.

Juriste spécialisé en cybersécurité

Formation Pentest : sécurisation avancée de systèmes et réseaux

DURÉE : 200 heures
Windows
Linux
Terminal avancé
Découverte réseau et vulnérabilités
Overflows
Reverse engineering
Exploits
Attaques AD
Admin Système
Admin Réseau
Founder & Lead Tester Unicorn Security Formateur en sécurité des systèmes et réseaux
Antoine Royer
COACH référent
Cette formation vous permettra grâce à l'apprentissage de techniques avancées de pentest d'acquérir des compétences cruciales en cybersécurité applicables à l'administration des systèmes et réseaux.
Formation continue

Formation Hacking et introduction à la sécurité des systèmes et réseaux pour les pros

Apprenez à maîtriser les principales techniques de Hacking Ethique pour savoir comment identifier et exploiter les failles des systèmes et réseaux. Grâce à cette expertise offensive, vous comprendrez comment mettre en place des techniques défensives pour protéger des infrastructures.

Evaluateur de la sécurité des technologies de l’information

Hacking : introduction à la sécurité des systèmes et réseaux

DURÉE : 200 heures
Linux
CLI
TCP/IP
Routage
ARP/MiTM
Scripting Python et Bash
Proxy
Injections
Attaques OOB
Bruteforce
Admin Système
Admin Réseau
Founder & Lead Tester Unicorn Security Formateur en sécurité des systèmes et réseaux
Antoine Royer
COACH référent
Cette formation vous permettra grâce à l'apprentissage des principales techniques de hacking éthique d'acquérir des compétences cruciales en cybersécurité applicables à l'administration des systèmes et réseaux.
"Pour devenir pentester, il faut être quelqu'un de passionné par ce qui touche à l'informatique et à la cybersécurité, puisque c'est un métier qui demande beaucoup de travail personnel, non seulement pour se tenir à jour de l'actualité, mais aussi pour monter continuellement en compétences à travers des challenges et/ou CTF comme le proposent plusieurs sites internet aujourd'hui. Du côté des études, un cursus en cybersécurité permettra d'avoir une première approche du métier et de savoir si le métier peut plaire."
Julien Lamarche - Pentester

Salaire

La rémunération d’un pentester varie en fonction de la taille de l’entreprise qui l’emploie, de son expérience et du lieu de travail.

En moyenne, un étant débutant en France, il touchera 3 000 euros par mois et peut voir son salaire à plus de 5 000 euros en tant que sénior.

Aux États-Unis, le salaire annuel moyen d’un pentester avoisine les 110 000 dollars.

Le salaire d’un pentester peut presque dépasser les 100 000 dollars de l’autre côté de l’Altantique

Le salaire d’un pentester peut presque dépasser les 100 000 dollars de l’autre côté de l’Altantique

Dans quel secteur travailler ?

Le pentester peut exercer dans divers secteurs industriels, de services ou encore dans le secteur public. Il peut aussi évoluer dans les secteur suivants :

  • Logiciel, informatique et numérique
  • Bancaire
  • Télécommunications
  • Santé
"Il s’agit d’un métier qui n'est jamais répétitif, puisque pour chaque pentest, nous rencontrerons toujours des cas différents, des technologies différentes, donc forcément les techniques d'attaques vont changer tout comme les corrections qui seront proposées. Ce métier permet également d'exprimer sa créativité pour élaborer de nouvelles attaques, toujours pour contrer les systèmes de défense mis en place, parfois c'est simple, parfois ça demande une technicité plus complexe. Vous devenez toujours meilleur jour après jour. Le métier en lui-même donne du sens à ce que vous faites, vous voulez participer à la création d'un monde toujours plus sécurisé."
Julien Lamarche - Pentester

Les entreprises qui recrutent des pentester

Elles sont toujours plus nombreuses à rechercher des profils experts en cybersécurité et le métier de pentesters n’échappe pas à la règle. Où travailler alors ? Réponse :

  • Airbus
  • Orange Cyberdéfense
  • Yes we hack
  • Sopra Steria

Des offres d’emploi pour exercer en tant que pentester sont disponibles sur des sites généralistes ou spécialisés :

  • Cyberjobs.fr
  • Monster.fr
  • Jobrapido.com
  • LinkedIn
  • Simplyhired.fr
  • Wizbii.com
  • Indeed.com
  • Jooble.org
  • Apec.fr
  • Glassdoor.fr

Pentester freelance

Le pentester peut exercer en tant que freelance. Le tarif journalier moyen peut alors varier de 400 à 1 500 euros, en fonction de ses expériences et références en entreprise. Choisir ce statut, c’est être conscient des enjeux qui reposent sur vos épaules puisque vous devrez maîtriser le sujet, faire preuve de rigueur, d’organisation et d’un sens de la communication. Tout le monde ne peut ainsi pas devenir indépendant.

Evolution de carrière

Aux vues de la hausse et de la diversité des menaces cybercriminelles, le pentester devient un expert de plus en plus recherché en entreprise.

En France, les pentesters sont souvent, à la base, des experts en systèmes d’information ou des experts sécurité et réseaux formés par la suite en cybercriminalité. Néanmoins, des formations dédiées au métier de pentester se développent de plus en plus et laissent entendre que le métier a de beaux jours devant lui.

Le pentester et le hacker éthique semblent être étroitement liés de part leurs missions et les deux termes sont souvent utilisés de façon interchangeable . Pourtant, les deux métiers présentent quelques différences.

Ainsi, le pentester met beaucoup plus l’accent sur les étapes ou les processus  permettant de trouver des failles de sécurité sur un système d’information alors que le hacker éthique va plus loin et essaie d’améliorer la sécurité du système cible.

Un hacker éthique est donc un pentester dont la mission est de trouver les moyens pérennes d’améliorer la sécurité du système d’information cible. Après avoir exercé plusieurs années comme pentester, il est donc possible de se spécialiser ensuite en hacking éthique.

"En restant dans un registre technique, on peut très bien rester pentester, ou passer par de la blue team (côté défensif), ça permet de se placer de l'autre côté pendant un pentest ! Les compétences demandées sont différentes, mais complémentaires malgré tout. Sinon on peut aussi passer par du managérial, c'est à dire devenir responsable d'une BU pentest, RSSI et même plus tard après quelques années d'expérience, convoiter un poste de DSI."  
Julien Lamarche - Pentester

Les avantages et inconvénients

Si vous aimez les puzzles, les casse-têtes et autres challenges, faire du pentest votre métier sera pour vous tout sauf ennuyant !

Néanmoins, sachez que le pentester, contrairement à l’imaginaire collectif qui gravite autour de son métier, n’est pas un geek solitaire et insociable.

C’est avant tout un consultant qui doit s’adapter à son auditoire en vulgarisant parfois, et qui doit savoir s’exprimer aussi bien à l’oral qu’à l’écrit . Il ne faut donc pas avoir peur de s’exprimer auprès de cibles variées, direction, équipes, clients, etc.

Le métier est exigeant, il faut savoir se mettre au niveau rapidement, réaliser un travail de veille important et constant car les technologies et les vulnérabilités évoluent aussi vite que les missions du pentester.

"Concernant les avantages : ce métier n'est pas répétitif, il nécessite une grande autonomie, on a toujours quelque chose à faire, à regarder, et à apprendre. Quand on dit que la curiosité est un vilain défaut, et bien dans ce métier c'est une grande qualité et il faut s'en servir ! Puis, cela reste un métier excitant, on ne sait jamais sur quoi on va tomber, et chaque pentest est un nouveau challenge. Surtout, le plus grand avantage est de pouvoir vivre de sa passion. Ajouter à cela que c'est un métier qui paie très bien en général. Pour les inconvénients, bien évidemment comme toute première expérience dans le pentest, on se dit que la rédaction de rapport serait peut-être le seul inconvénient. Mais avec l'expérience, on comprend pourquoi on le fait, surtout qu'il existe beaucoup de solutions pour semi-automatiser la rédaction. Il faut toujours garder en tête que vos clients, achètent un rapport. La manière dont vous avez compromis le système n'est pas très importante, c'est surtout comment corriger et effacer ces vulnérabilités qui est importante."
Julien Lamarche - Pentester

Devenir Pentester

Quelles sont les missions du pentester ?

En résumé, le pentester est un professionnel de la cybersécurité dont les missions visent à limiter et anticiper au maximum les failles et intrusions malveillantes dans le système informatique de l’entreprise. Le pentester va ainsi effectuer des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise et fournir des solutions pour réduire la vulnérabilité des systèmes.

Quel est le salaire du pentester ?

En moyenne, le pentester débutant qui exerce en France touchera  3 000 euros par mois à 5 000 euros pour un profil sénior.

Quel niveau d’étude pour devenir pentester ?

Pour devenir pentester, vous devrez justifier d’un diplôme informatique de niveau Bac +3 à Bac+ 5 avec une spécialisation en cybersécurité.

Quel Bac choisir ?

Au lycée, nous vous conseillons de suivre un Bac général ou technologique et d’opter pour l’une des spécialités suivantes en mathématiques, sciences de l’ingénieur ou sciences informatiques.

Quelle est la formation pour devenir pentester ?

À Guardia Cybersecurity School, le Master of Science en deux ans accorde une place importante à l'expertise cyber aussi bien dans la maîtrise technique que dans le déploiement de stratégie et le développement personnel. Une formation dont votre niveau de compétences à la sortie sera élevé. De quoi vous permettre de travailler pour des entreprises qui cherchent des experts.

 

En vidéo


Prévisualisation youtube
bouton play youtube