Pentester : fiche métier avec les missions, la formation...
PENTESTER PENTESTER
Métiers

Pentester

Vous connaissez les méthodes des hackers et souhaitez les détourner au service de la lutte contre la cybercriminalité ? Vous estimez que le piratage informatique est une pratique bienveillante dès lors qu’on la met au service de l’éthique ?  Devenez pentester, un métier dont l’expertise est de plus en plus recherchée par les entreprises !

Fiche métier mise à jour le
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Très bonne
Salaire débutant : 3 000€
Salaire confirmé : 5 000 €
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Métier

Professionnel de la cybersécurité, le pentester contrôle la sécurité des réseaux informatiques en opérant des tests d’intrusion ou “penetration test” en anglais, d’où l’intitulé de son métier.

Missions du pentester

Les entreprises de plus en plus sujettes aux cybermenaces doivent se doter d’experts en cybersécurité capables de raisonner de la même manière que leurs potentiels attaquants, ceci afin de limiter et anticiper au maximum les failles et intrusions malveillantes dans leur système informatique.

Le pentester est ce professionnel de la sécurité informatique dont la mission consiste à infiltrer « volontairement » un réseau ou une application informatique afin d’en évaluer le niveau de sécurité.

Son approche s’apparente à celle du pirate informatique, utilisant les mêmes techniques et approches que le hacker malveillant, mais en les détournant au bénéfice de l’entreprise.

 

Le pentester réalise des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise

Le pentester réalise des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise

 

Le pentester va ainsi effectuer des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise et fournir des solutions pour réduire la vulnérabilité des systèmes.

Tests d’intrusions, scans de vulnérabilité et audits

Un test d’intrusion, ou test de pénétration, ou encore pentest, est une méthode qui consiste à analyser une cible en se mettant dans la peau d’un attaquant.

Cette cible peut être une IP, une application, un serveur web, ou un réseau complet.

Le scan de vulnérabilité, différent du test d’intrusion, est en fait une composante du test d’intrusion, c’est-à-dire une sous-partie. C’est plus précisément un scan de la cible qui permet d’énumérer les vulnérabilités, sans tenter de les qualifier ou de vérifier si elles sont exploitables.

Les tests d’intrusion ont des objectifs clairs :

  • Identifier les vulnérabilités du SI ou de son application
  • Évaluer le degré de risque de chaque faille identifiée
  • Proposer des correctifs de manière priorisée

Grâce au test d’intrusion, le pentester peut qualifier la sévérité de la vulnérabilité, la complexité de la correction, et l’ordre de priorité qu’il faut donner aux corrections.

Afin de sécuriser l’infrastructure ou l’application, les tests d’intrusion peuvent être réalisés à différents moments de la vie d’une entreprise. Ainsi, ces derniers peuvent être initiés lors de la conception du projet, afin d’anticiper les éventuelles attaques, pendant la phase d’utilisation, à intervalle régulier, et enfin, suite à une cyberattaque afin que celle-ci ne se reproduise plus .

Le test d’intrusion peut se faire de l’extérieur (test d’intrusion externe). Ce test d’intrusion pourra être réalisé de n’importe quelle connexion Internet.

Le test d’intrusion peut également se faire de l’intérieur de l’infrastructure (test d’intrusion interne). Dans ce cas, le test sera opéré sur le LAN (réseau interne de l’entreprise).

Grâce à ces dispositions, le pentester évalue les failles et essaye d’attaquer le système. Les systèmes de défense à savoir l’antivirus et les firewalls sont contournés par les outils mis en avant pour l’intrusion.

Enfin, les missions du pentester peuvent aller au-delà d’un test d’intrusion de système informatique. Elles peuvent concerner la totalité des équipements dont dispose son terrain d’intervention au sein de l’entreprise. Ainsi, le pentester pourra également réaliser des audits complets pour l’entreprise. Il en existe plusieurs types :

  • Audits de code : le code source d’une application est analysé afin de relever toute faille de sécurité.
  • Audits de configuration :  la configuration d’un système ou d’un équipement réseau est fournie au pentester qui compare ensuite ces données à des référentiels officiels (CIS, guides de l’ANSSI…) pour relever tout écart de conformité.
  • Audits d’architecture:  le pentester vérifie la robustesse de l’architecture d’un système d’information face à différentes menaces. Cela est réalisé à partir des documents d’architecture client et d’entretiens.
  • Audit organisationnel: le pentester vérifie l’organisation mise en place par le client d’un point de vue sécurité, de la création d’une équipe dédiée à la gestion des incidents, à partir des documents disponibles et des entretiens avec le client.

RESPONSABILITÉS DU PENTESTER

Responsabilités du pentester

S’introduire légalement dans les systèmes et les réseaux d’une entreprise nécessite pour le pentester de se conformer à un code de conduite et à une discipline stricte.

Le pentester devra documenter le chemin d’attaque qu’il communique à l’organisation, signer un accord de confidentialité et traiter toutes les informations de l’entreprise avec la plus grande prudence. Le pentester devra signaler immédiatement à l’organisation toute violation de sécurité. Enfin, il devra effacer toutes les traces de tests de vulnérabilités pour éviter toute exploitation malveillante des failles précédemment identifiées.

Compétences

Exercer comme pentester demande des compétences nombreuses et étendues :

  • Capacité de compréhension des menaces cybersécurité
  • Capacité à exploiter des sources ouvertes de manière sécurisée
  • Mise en place de plans de veille sur un ou plusieurs secteurs déterminés
  • Détection, qualification et analyse d’informations pertinentes

A cette base théorique, il faut ajouter de très nombreuses connaissances pratiques qui ne peuvent s’acquérir que par l’expérience. Un bon moyen de commencer consiste à participer à des événements tels que « Capture the flag », où l’objectif est de trouver et d’exploiter les vulnérabilités d’un système afin de s’y introduire.

Qualités

  • Rester éthique et légal
  • Curiosité
  • Dynamisme
  • Réactivité
  • Créativité
  • Disponibilité
  • Sens de la confidentialité
  • Aimer le travail en équipe
  • Goût du défi
  • Connaître le droit et les réglementations en vigueur en matière de cybersécurité

En résumé, le pentester est un professionnel de la cybersécurité dont les missions visent à limiter et anticiper au maximum les failles et intrusions malveillantes dans le système informatique de l’entreprise.

Le pentester va ainsi effectuer des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise et fournir des solutions pour réduire la vulnérabilité des systèmes.

 

Le pentester fournit des solutions de sécurité à l’entreprise afin de l’aider dans la lutte contre les cybermenaces

Le pentester fournit des solutions de sécurité à l’entreprise afin de l’aider dans la lutte contre les cybermenaces

Études et formations

Pour devenir pentester , vous devrez justifier d’un diplôme en informatique de niveau BAC + 5 avec une spécialisation en cybersécurité.

Certaines sociétés et entreprises exigent également des certifications en sécurité/produit.

Certains pentesters se sont formés en autodidactes puisqu’il s’agit d’un nouveau métier qui passionne les génies de l’informatique.

D’ailleurs, certains hackers pirates ont choisi de retrouver “le droit chemin“ en devenant pentester au sein de grands groupes et sociétés.

Quelle formation choisir ?

En intégrant le Master of Science, vous obtiendrez les compétences nécessaires pour rejoindre les équipes d’attaque et d’intrusion d’une entreprise. Cette formation permettra aux futurs pentester de comprendre les problématiques techniques d’architecture réseau, de gestion des données et de détection de failles des systèmes. Pour en savoir plus sur la formation…

Salaire

La rémunération d’un pentester varie en fonction de la taille de l’entreprise qui l’emploie et de son expérience.

En moyenne, un pentester débutant qui exerce en France touchera 3000 € par mois contre  5000 € pour un profil sénior.

Aux États-Unis, le salaire annuel moyen d’un pentester avoisine les 110 000 dollars.

 La rémunération d’un pentester varie en fonction de la taille de l’entreprise qui l’emploie et de son expérience.

Dans quelle entreprise travailler ?

Le pentester peut exercer dans divers types d’organisations. En effet, il peut travailler dans les secteurs industriels, pour des sociétés de services ou encore dans le secteur public.

Voici un exemple d’entreprises et institutions qui font appel à des pentesters :

  • Editeurs de logiciels et entreprises informatiques
  • Secteur bancaire
  • Secteur des télécommunications
  • Secteur de la santé

Entreprises qui recrutent des pentesters

AIRBUS

ORANGE CYBERDEFENSE

YES WE HACK

SOPRA STERIA

Des offres d’emploi pour exercer en tant que pentester sont disponibles sur :

Cyberjobs.fr

Monster. fr

Jobrapido.com

LinkedIn

Simplyhired.fr

Wizbii.com

Indeed.com

Jooble.org

Apec.fr

Glassdoor.fr

Pentester freelance

Le pentester peut exercer en tant que freelance indépendant. La première option consiste à créer un statut d’auto-entrepreneur ou une société individuelle auprès de la Chambre de Commerce. Il sera ainsi possible de facturer ses prestations à tout type de clients. Le pentester peut également faire le choix de rejoindre un cabinet d’experts en cybersécurité qui le positionnera sur plusieurs missions.

Le tarif journalier moyen d’un pentester freelance peut varier entre 400 et 1500 euros, en fonction de ses expériences et références en entreprise.

Evolution de carrière

Aux vues de la hausse et de la diversité des menaces cybercriminelles, le pentester devient un expert de plus en plus recherché en entreprise.

En France, les pentesters sont souvent, à la base, des experts en systèmes d’information ou des experts sécurité et réseaux formés par la suite en cybercriminalité. Néanmoins, des formations dédiées au métier de pentester se développent de plus en plus et laissent entendre que le métier a de beaux jours devant lui.

Le pentester et le hacker éthique semblent être étroitement liés de part leurs missions et les deux termes sont souvent utilisés de façon interchangeable . Pourtant, les deux métiers présentent quelques différences.

Ainsi, le pentester met beaucoup plus l’accent sur les étapes ou les processus  permettant de trouver des failles de sécurité sur un système d’information alors que le hacker éthique va plus loin et essaie d’améliorer la sécurité du système cible.

Un hacker éthique est donc un pentester dont la mission est de trouver les moyens pérennes d’améliorer la sécurité du système d’information cible. Après avoir exercé plusieurs années comme pentester, il est donc possible de se spécialiser ensuite en hacking éthique.

Les avantages et inconvénients

Si vous aimez les puzzles, les casse-têtes et autres challenges, faire du pentest votre métier sera pour vous tout sauf ennuyant !

Néanmoins, sachez que le pentester, contrairement à l’imaginaire collectif qui gravite autour de son métier, n’est pas un geek solitaire et insociable.

C’est avant tout un consultant qui doit s’adapter à son auditoire en vulgarisant parfois, et qui doit savoir s’exprimer aussi bien à l’oral qu’à l’écrit . Il ne faut donc pas avoir peur de s’exprimer auprès de cibles variées, direction, équipes, clients, etc.

Le métier est exigeant, il faut savoir se mettre au niveau rapidement, réaliser un travail de veille important et constant car les technologies et les vulnérabilités évoluent aussi vite que les missions du pentester.

Devenir Pentester

Quelles sont les missions du pentester ?

En résumé, le pentester est un professionnel de la cybersécurité dont les missions visent à limiter et anticiper au maximum les failles et intrusions malveillantes dans le système informatique de l’entreprise.

Le pentester va ainsi effectuer des tests d’intrusion pour vérifier la sécurité informatique de l’entreprise et fournir des solutions pour réduire la vulnérabilité des systèmes.

Quel est le salaire du pentester ?

En moyenne, le pentester débutant qui exerce en France touchera  3000 € par mois contre 5000 € pour un profil sénior.

Quel niveau d’étude pour devenir pentester ?

Pour devenir pentester, vous devrez justifier d’un diplôme informatique de niveau BAC + 5 avec une spécialisation en cybersécurité.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un Bac général ou technologique et d’opter pour l’une des spécialités suivantes , mathématiques, sciences de l’ingénieur ou sciences informatiques.

Quelle est la formation pour devenir pentester ?

DEVENIR PENTESTER