1_ BLOG (6).png

Analyste en Cybersécurité : Le Pentester

Publié le 23 décembre 2019

Temps de lecture 2 minutes

Nous avons interrogé “BLUE”, notre Pentester Formateur, pour mieux cerner et surtout mieux appréhender ce métier en forte demande.


Pentester ? oui mais encore ?

Blue : “Le Pentester (“penetration tester”) est un auditeur technique en sécurité des systèmes d’information.


Son périmètre d’action : 

  • tests d’intrusion en fonction de différents périmètres :
  • site web
  • serveurs
  • applications mobiles
  • logiciels (dont clients lourds)
  • audit d’outils “fait maison”

En d’autres termes, une entreprise fera appel à un Pentester pour tester la fiabilité et la sécurité de son système."


Comment reconnaît-on un Pentester ?

Blue “Il n'y a pas de profil type pour devenir Pentester, on le devient par légitimité en fonction de ses compétences propres et prouvées. 

Pour gagner en légitimité justement, on passera souvent par des exercices techniques en ligne via rootme / hackthebox avec un nombre de points public qui donne une vraie valeur ajoutée. 

Autre solution : les bugs bounty. Une plateforme qui partage un cas client et qui fait appel à tous pour trouver les failles potentielles (par exemple HackerOne et YesWeHack).

Ça peut sembler étrange d’aller se tester online pour justifier de ses compétences, mais la réalité c’est qu’il y a de grosses disparités et donc des moyens de valorisation qui sortent du cadre.


Lorsque l’on n’est pas issu directement du monde de la Tech, il est parfois compliqué de trouver un premier emploi dans cet univers. Le plus simple et d’avoir un premier label sécurité (formation analyste cybersécurité à la Wild Code School) et quelques compétences techniques (références HacktheBox)”



Le job du Pentester

Blue : “Les missions du Pentester sont souvent courtes, de 1 à 2 semaines. 2 catégories :

  • Blackbox : intrusion sans aucune info. Test très réaliste … mais moins précis.
  • Whitebox : toutes les infos pour auditer au mieux … plus poussé.

Parfois on peut aussi faire appel à lui pour des missions plus longues: 

  • RedTeam : intrusion physique, carte blanche de la part de l’entreprise, seule la Direction est au courant.

Le pentester peut travailler en tant que prestataire, ou dans un service spécialisé interne dans de grandes entreprises.

Généralement, c’est un métier que l’on exerce rarement plus de 10 ans. En toute logique, l’étape suivante consiste à passer manager d’une équipe technique ou à se spécialiser dans la recherche (en sécurité informatique toujours).

D’entrée de jeu le pentester gagne environ 38/45 000 €/an et montera jusqu’à 50K après 4 ou 5 ans d’expérience.”



Pour aller plus loin, Blue, explique nous l’une de tes missions :

Blue : “Tu rêves ! Accord de confidentialité oblige, il est impossible pour moi d’en citer même une (la durée de confidentialité est de 30 ans).

Le plus simple si tu veux en savoir plus c’est de regarder, par exemple, le cas de  General Motors sur la plateforme de hackerone, et de te plonger dans l’univers de la Cybersécurité sans plus attendre !”




Encore merci Blue pour ces explications, et ne t'inquiète pas, on a Blueté ta photo.