PENTESTER PENTESTER
Métiers

Pentester

Vous connaissez les méthodes des hackers et souhaitez les détourner au service de la lutte contre la cybercriminalité ? Vous estimez que le piratage informatique est une pratique bienveillante dès lors qu’on la met au service de l’éthique ?  Devenez pentester, un métier dont l’expertise est de plus en plus recherchée par les entreprises !

Fiche métier mise à jour le
Niveau d’études : Bac+3 à Bac+5
Bac conseillé : Scientifique
Employabilité : Très bonne
Salaire débutant : 3 000€
Salaire confirmé : 5 000 €
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Métier

Professionnel de la cybersécurité, le pentester contrôle la sécurité des réseaux informatiques en opérant des tests d’intrusion ou “penetration test” en anglais, d’où l’intitulé de son métier. Il identifie ainsi les vulnérabilités et propose des actions pour les corriger.

Missions du pentester

Les entreprises de plus en plus sujettes aux cybermenaces doivent se doter d’experts en cybersécurité capables de raisonner de la même manière que leurs potentiels attaquants, ceci afin de limiter et anticiper au maximum les failles et intrusions malveillantes dans leur système informatique.

Le pentester est ce professionnel de la sécurité informatique dont la mission consiste à infiltrer « volontairement » un réseau ou une application informatique afin d’en évaluer le niveau de sécurité.

Son approche s’apparente à celle du pirate informatique, utilisant les mêmes techniques et approches que le hacker malveillant, mais en les détournant au bénéfice de l’entreprise.

 

Le pentester réalise des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise

Le pentester réalise des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise

 

Le pentester va ainsi effectuer des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise et fournir des solutions pour réduire la vulnérabilité des systèmes.

Tests d’intrusions, scans de vulnérabilité et audits

Un test d’intrusion, ou test de pénétration, ou encore pentest, est une méthode qui consiste à analyser une cible en se mettant dans la peau d’un attaquant.

Cette cible peut être une IP, une application, un serveur web, ou un réseau complet.

Le scan de vulnérabilité, différent du test d’intrusion, est en fait une composante du test d’intrusion, c’est-à-dire une sous-partie. C’est plus précisément un scan de la cible qui permet d’énumérer les vulnérabilités, sans tenter de les qualifier ou de vérifier si elles sont exploitables.

Les tests d’intrusion ont des objectifs clairs :

  • Identifier les vulnérabilités du SI ou de son application
  • Évaluer le degré de risque de chaque faille identifiée
  • Proposer des correctifs de manière priorisée

Grâce au test d’intrusion, le pentester peut qualifier la sévérité de la vulnérabilité, la complexité de la correction, et l’ordre de priorité qu’il faut donner aux corrections.

Afin de sécuriser l’infrastructure ou l’application, les tests d’intrusion peuvent être réalisés à différents moments de la vie d’une entreprise. Ainsi, ces derniers peuvent être initiés lors de la conception du projet, afin d’anticiper les éventuelles attaques, pendant la phase d’utilisation, à intervalle régulier et enfin, suite à une cyberattaque afin que celle-ci ne se reproduise plus .

Le test d’intrusion peut se faire de l’extérieur (test d’intrusion externe). Ce test d’intrusion pourra être réalisé de n’importe quelle connexion Internet.

Le test d’intrusion peut également se faire de l’intérieur de l’infrastructure (test d’intrusion interne). Dans ce cas, le test sera opéré sur le LAN (réseau interne de l’entreprise).

Grâce à ces dispositions, le pentester évalue les failles et essaye d’attaquer le système. Les systèmes de défense à savoir l’antivirus et les firewalls sont contournés par les outils mis en avant pour l’intrusion.

Enfin, les missions du pentester peuvent aller au-delà d’un test d’intrusion de système informatique. Elles peuvent concerner la totalité des équipements dont dispose son terrain d’intervention au sein de l’entreprise. Ainsi, le pentester pourra également réaliser des audits complets pour l’entreprise. Il en existe plusieurs types :

  • Audits de code : le code source d’une application est analysé afin de relever toute faille de sécurité.
  • Audits de configuration :  la configuration d’un système ou d’un équipement réseau est fournie au pentester qui compare ensuite ces données à des référentiels officiels (CIS, guides de l’ANSSI…) pour relever tout écart de conformité.
  • Audits d’architecture:  le pentester vérifie la robustesse de l’architecture d’un système d’information face à différentes menaces. Cela est réalisé à partir des documents d’architecture client et d’entretiens.
  • Audit organisationnel: le pentester vérifie l’organisation mise en place par le client d’un point de vue sécurité, de la création d’une équipe dédiée à la gestion des incidents, à partir des documents disponibles et des entretiens avec le client.

RESPONSABILITÉS DU PENTESTER

Responsabilités du pentester

S’introduire légalement dans les systèmes et les réseaux d’une entreprise nécessite pour le pentester de se conformer à un code de conduite et à une discipline stricte.

Le pentester devra documenter le chemin d’attaque qu’il communique à l’organisation, signer un accord de confidentialité et traiter toutes les informations de l’entreprise avec la plus grande prudence. Le pentester devra signaler immédiatement à l’organisation toute violation de sécurité. Enfin, il devra effacer toutes les traces de tests de vulnérabilités pour éviter toute exploitation malveillante des failles précédemment identifiées.

Compétences

Exercer comme pentester demande des compétences nombreuses et étendues :

  • Capacité de compréhension des menaces cybersécurité
  • Capacité à exploiter des sources ouvertes de manière sécurisée
  • Mise en place de plans de veille sur un ou plusieurs secteurs déterminés
  • Détection, qualification et analyse d’informations pertinentes
  • Connaître le droit et les réglementations en vigueur en matière de cybersécurité

A cette base théorique, il faut ajouter de très nombreuses connaissances pratiques qui ne peuvent s’acquérir que par l’expérience. Un bon moyen de commencer consiste à participer à des événements tels que « Capture the flag », où l’objectif est de trouver et d’exploiter les vulnérabilités d’un système afin de s’y introduire.

Qualités

Le pentester est un professionnel de la cybersécurité dont les missions visent à limiter et anticiper au maximum les failles et intrusions malveillantes dans le système informatique de l’entreprise. Si ses compétences sont bien un atout, ses qualités doivent suivre aussi. Les unes ne vont pas sans les autres. Cela se traduit par être :

  • Ethique et légal
  • Curieux
  • Dynamique
  • Réactif
  • Créatif
  • Disponibile
  • Faire preuve de confidentialité
  • Aimer le travail en équipe
  • Avoir le goût du défi

 

Le pentester fournit des solutions de sécurité à l’entreprise afin de l’aider dans la lutte contre les cybermenaces

Le pentester fournit des solutions de sécurité à l’entreprise afin de l’aider dans la lutte contre les cybermenaces

Études et formations

Pour devenir pentester , vous devrez justifier d’un diplôme en informatique de niveau Bac +3 à 5 avec une spécialisation en cybersécurité. Une école dans les métiers de la cybersécurité le permet. Des certifications en sécurité/produit seront demandées parfois.

A savoir que certains pentesters se sont formés en autodidactes puisqu’il s’agit d’un nouveau métier qui passionne les génies de l’informatique. D’ailleurs, des hackers pirates (dans l’illégalité) ont choisi de retrouver “le droit chemin » en devenant pentester au sein de grands groupes et sociétés.

Quelle formation choisir ?

En intégrant le Master of Science, vous obtiendrez les compétences nécessaires pour rejoindre les équipes d’attaque et d’intrusion d’une entreprise. Cette formation permettra aux futurs pentester de comprendre les problématiques techniques d’architecture réseau, de gestion des données et de détection de failles des systèmes. Des projets seront à réaliser tout au long de votre cursus sans oublier des stages et rencontres avec des professionnels du milieu.

Pour en savoir plus sur la formation…

Salaire

La rémunération d’un pentester varie en fonction de la taille de l’entreprise qui l’emploie, de son expérience et du lieu de travail.

En moyenne, un étant débutant en France, il touchera 3 000 euros par mois et peut voir son salaire à plus de 5 000 euros en tant que sénior.

Aux États-Unis, le salaire annuel moyen d’un pentester avoisine les 110 000 dollars.

 La rémunération d’un pentester varie en fonction de la taille de l’entreprise qui l’emploie et de son expérience.

Le salaire d’un pentester peut presque dépasser les 100 000 dollars de l’autre côté de l’Altantique

Dans quel secteur travailler ?

Le pentester peut exercer dans divers secteurs industriels, de services ou encore dans le secteur public. Il peut aussi évoluer dans les secteur suivants :

  • Logiciel, informatique et numérique
  • Bancaire
  • Télécommunications
  • Santé

Entreprises qui recrutent des pentesters

Elles sont toujours plus nombreuses à rechercher des profils experts en cybersécurité et le métier de pentesters n’échappe pas à la règle. Où travailler alors ? Réponse :

  • Airbus
  • Orange Cyberdéfense
  • Yes we hack
  • Sopra Steria

Des offres d’emploi pour exercer en tant que pentester sont disponibles sur des sites généralistes ou spécialisés :

  • Cyberjobs.fr
  • Monster.fr
  • Jobrapido.com
  • LinkedIn
  • Simplyhired.fr
  • Wizbii.com
  • Indeed.com
  • Jooble.org
  • Apec.fr
  • Glassdoor.fr

Pentester freelance

Le pentester peut exercer en tant que freelance. Le tarif journalier moyen peut alors varier de 400 à 1 500 euros, en fonction de ses expériences et références en entreprise. Choisir ce statut, c’est être conscient des enjeux qui reposent sur vos épaules puisque vous devrez maîtriser le sujet, faire preuve de rigueur, d’organisation et d’un sens de la communication. Tout le monde ne peut ainsi pas devenir indépendant.

Evolution de carrière

Aux vues de la hausse et de la diversité des menaces cybercriminelles, le pentester devient un expert de plus en plus recherché en entreprise.

En France, les pentesters sont souvent, à la base, des experts en systèmes d’information ou des experts sécurité et réseaux formés par la suite en cybercriminalité. Néanmoins, des formations dédiées au métier de pentester se développent de plus en plus et laissent entendre que le métier a de beaux jours devant lui.

Le pentester et le hacker éthique semblent être étroitement liés de part leurs missions et les deux termes sont souvent utilisés de façon interchangeable . Pourtant, les deux métiers présentent quelques différences.

Ainsi, le pentester met beaucoup plus l’accent sur les étapes ou les processus  permettant de trouver des failles de sécurité sur un système d’information alors que le hacker éthique va plus loin et essaie d’améliorer la sécurité du système cible.

Un hacker éthique est donc un pentester dont la mission est de trouver les moyens pérennes d’améliorer la sécurité du système d’information cible. Après avoir exercé plusieurs années comme pentester, il est donc possible de se spécialiser ensuite en hacking éthique.

Les avantages et inconvénients

Si vous aimez les puzzles, les casse-têtes et autres challenges, faire du pentest votre métier sera pour vous tout sauf ennuyant !

Néanmoins, sachez que le pentester, contrairement à l’imaginaire collectif qui gravite autour de son métier, n’est pas un geek solitaire et insociable.

C’est avant tout un consultant qui doit s’adapter à son auditoire en vulgarisant parfois, et qui doit savoir s’exprimer aussi bien à l’oral qu’à l’écrit . Il ne faut donc pas avoir peur de s’exprimer auprès de cibles variées, direction, équipes, clients, etc.

Le métier est exigeant, il faut savoir se mettre au niveau rapidement, réaliser un travail de veille important et constant car les technologies et les vulnérabilités évoluent aussi vite que les missions du pentester.

Devenir Pentester

Quelles sont les missions du pentester ?

En résumé, le pentester est un professionnel de la cybersécurité dont les missions visent à limiter et anticiper au maximum les failles et intrusions malveillantes dans le système informatique de l’entreprise.

Le pentester va ainsi effectuer des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise et fournir des solutions pour réduire la vulnérabilité des systèmes.

Quel est le salaire du pentester ?

En moyenne, le pentester débutant qui exerce en France touchera  3 000 euros par mois à 5 000 euros pour un profil sénior.

Quel niveau d’étude pour devenir pentester ?

Pour devenir pentester, vous devrez justifier d’un diplôme informatique de niveau Bac +3 à Bac+ 5 avec une spécialisation en cybersécurité.

Quel Bac choisir ?

Au lycée, nous vous conseillons de suivre un Bac général ou technologique et d’opter pour l’une des spécialités suivantes en mathématiques, sciences de l’ingénieur ou sciences informatiques.

Quelle est la formation pour devenir pentester ?

À Guardia Cybersecurity School, le Master of Science en deux ans accorde une place importante à l’expertise cyber aussi bien dans la maîtrise technique que dans le déploiement de stratégie et le développement personnel. Une formation dont votre niveau de compétences à la sortie sera élevé. De quoi vous permettre de travailler pour des entreprises qui cherchent des experts.

DEVENIR PENTESTER