Un pentester (penetration tester, ou testeur d'intrusion) est un professionnel de la cybersécurité offensive qui simule des attaques réelles contre les systèmes d'information d'une organisation — avec son autorisation écrite formelle — afin d'identifier les vulnérabilités exploitables et de documenter les chemins d'attaque. Le pentester livre un rapport structuré avec des recommandations de remédiation priorisées selon le score CVSS. Le métier se décompose en cinq types principaux en France 2026 : pentest web et API (50 % du marché), pentest interne Active Directory (25 %), pentest externe (10 %), pentest mobile (10 %), pentest physique et red team (5 %). Les compétences clés combinent technique offensive (Linux, Windows, AD, OWASP, Burp Suite, Impacket), rédaction de rapport français structuré et communication client — soit environ 40 % technique, 40 % rédactionnel, 20 % communication. Salaires juniors 40-58 k€ bruts annuels selon région, progression senior 65-90 k€, consulting indépendant TJM 700-1 400 €. Cet article détaille la définition précise, les activités quotidiennes, les types de pentest, la distinction avec red team et bug bounty, les compétences, les certifications, les salaires et les critères pour évaluer la compatibilité personnelle avec le métier.
1. Définition précise : ce qu'est un pentester
Un pentester est un auditeur offensif de cybersécurité qui simule des attaques pour révéler les faiblesses d'un système d'information avant qu'un attaquant réel ne les exploite. Trois dimensions définissent précisément le métier.
Dimension technique
Le pentester utilise les mêmes outils, techniques et procédures (TTPs selon le référentiel MITRE ATT&CK) qu'un attaquant réel : reconnaissance, énumération, exploitation, escalade de privilèges, mouvement latéral, persistance, exfiltration. La différence avec un attaquant : l'autorisation écrite du propriétaire du système (Rules of Engagement signés).
Dimension juridique et contractuelle
Le pentest est strictement encadré par un contrat : scope précis (quelles IP, quels services, quelles applications), durée (dates de début et de fin), fenêtre horaire, contacts d'escalade en cas de problème, modalités de reporting. Sans autorisation écrite, l'activité constitue un accès frauduleux à un STAD (Système de Traitement Automatisé de Données) au titre de l'article 323-1 du Code pénal français, passible de 3 ans d'emprisonnement et 100 000 € d'amende. Cadre juridique détaillé dans Les prérequis réels pour travailler en cybersécurité.
Dimension livrable
Le pentest produit un rapport structuré de 30 à 80 pages en moyenne : synthèse exécutive pour les dirigeants, résumé technique, inventaire des vulnérabilités avec CVSS (Common Vulnerability Scoring System), chemins d'attaque reproduits, captures d'écran, preuves d'exploitation, recommandations de remédiation priorisées. Ce rapport est le produit final de la mission, pas l'exploitation elle-même.
2. Les activités quotidiennes d'un pentester
Une semaine type de mission pentest (5 jours ouvrés, scope moyen) illustre le rythme réel du métier.
| Jour | Activité dominante | Livrables intermédiaires |
|---|---|---|
| Lundi matin | Réunion de lancement avec client, validation RoE, vérification scope | Compte-rendu de cadrage |
| Lundi après-midi | Reconnaissance passive (OSINT, DNS, Shodan, dorks Google) | Inventaire cibles consolidé |
| Mardi | Reconnaissance active (Nmap complet, énumération services) + début exploitation | Captures des premiers scans |
| Mercredi | Exploitation approfondie, escalade de privilèges, mouvement latéral | Notes structurées dans un outil type Obsidian ou Dradis |
| Jeudi | Post-exploitation, extraction de preuves, exploration du périmètre étendu | Inventaire vulnérabilités en draft |
| Vendredi matin | Rédaction rapport (synthèse exécutive, résumé technique) | Rapport en draft |
| Vendredi après-midi | Finalisation rapport, relecture, préparation restitution | Rapport final livré au client |
La restitution orale au client se fait généralement la semaine suivante, en présentiel ou visioconférence, avec deux audiences distinctes : l'équipe technique (détails d'exploitation et recommandations) et le comité de direction (synthèse exécutive, criticité globale, priorités).
Un pentester junior enchaîne typiquement 15 à 25 missions par an en ESN offensive, soit environ 2 missions par mois, avec des périodes plus denses (avant la trêve estivale, avant les audits annuels de décembre).
3. Les cinq types de pentest en France
Chaque mission pentest est classifiée par le scope technique. Les cinq types suivants couvrent 95 % du marché français en 2026.
Pentest web et API (≈ 50 % du marché)
Audit d'applications web (sites publics, back-offices, dashboards SaaS) et d'API REST ou GraphQL. Le référentiel dominant est OWASP Top 10 (2021, mis à jour 2025) et OWASP API Security Top 10 (2023). Outil central : Burp Suite Professional.
Vulnérabilités typiques recherchées : injection SQL, XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), SSRF (Server-Side Request Forgery), IDOR (Insecure Direct Object Reference), race conditions, deserialization, server-side template injection, broken authentication.
Pentest interne Active Directory (≈ 25 %)
Audit d'un parc Active Directory d'entreprise avec accès initial réseau (comme un attaquant ayant franchi le périmètre externe). Objectifs : élévation de privilèges, compromission du domaine, accès aux données sensibles.
Techniques classiques : Kerberoasting, AS-REP roasting, exploitation de délégations mal configurées, abus de privilèges ACL (Access Control List), relay NTLM, Pass-the-Hash, Pass-the-Ticket, DCSync, Golden Ticket. Outils : Impacket (secretsdump, psexec, wmiexec, GetUserSPNs, GetNPUsers, ntlmrelayx), BloodHound, CrackMapExec, Rubeus, Mimikatz (en lab client uniquement).
Pentest externe (≈ 10 %)
Audit du périmètre exposé internet d'une organisation : services publics, DNS, SMTP, VPN, RDP. Approche initiale sans aucun accès — simulation d'un attaquant externe.
Techniques : reconnaissance OSINT (Open Source Intelligence), scan de ports massif, identification de services exposés, exploitation de CVE sur services exposés, brute force ciblé, détection de fuites de credentials sur breaches publics.
Pentest mobile iOS et Android (≈ 10 %)
Audit d'applications mobiles, souvent couplé à l'audit de l'API backend. Spécificités : reverse engineering des binaires (IPA, APK), analyse du stockage local (Keychain iOS, KeyStore Android), interception du trafic via proxy malgré certificate pinning, abus des deep links et intents Android.
Outils : Frida, Objection, MobSF, Burp Suite avec configuration mobile, Hopper ou Ghidra pour le reverse.
Pentest physique et red team (≈ 5 %)
Tentative d'intrusion physique combinée à social engineering (phishing ciblé, appels téléphoniques, prétextage) et objectif long terme (3 à 6 mois). Réservé aux profils seniors avec expérience pentest classique préalable.
4. Pentester vs red team vs bug bounty hunter : trois métiers distincts
Confusion fréquente dans les fiches de poste. Trois métiers avec des temporalités et des livrables différents.
| Dimension | Pentester | Red Team Operator | Bug Bounty Hunter |
|---|---|---|---|
| Durée mission | 5-15 jours ouvrés | 3-6 mois | Variable, continu |
| Objectif | Exhaustivité vulnérabilités | Objectif précis et persistant | Découvrir vulnérabilités critiques |
| Scope | Défini contractuellement | Large, "assume breach" souvent | Défini par programme (scope limité) |
| Livrable | Rapport structuré 30-80 pages | Rapport stratégique + timeline | Rapport vulnérabilité par vulnérabilité |
| Rémunération | Salaire ESN ou TJM | Salaire ou TJM premium | Prime par vulnérabilité validée |
| Discrétion attendue | Coordination avec client | Dissimulation des opérations | Strict respect des scopes |
| Fréquence d'opération | 15-25 missions / an | 2-4 engagements / an | En continu |
Un pentester confirmé bascule souvent vers red team après 3-5 ans d'expérience, ou complète en parallèle par du bug bounty pour exposer son niveau technique réel.
5. Compétences et certifications clés
Compétences techniques fondamentales
- Linux avancé : commandes courantes automatiques, scripting Bash, services systemd, analyse de logs.
- Windows avancé : Active Directory (Kerberos, NTLM, LDAP), PowerShell, WMI, Event Viewer, Registry.
- Réseau : TCP/IP, DNS, HTTP/HTTPS, TLS, NAT, VLAN, analyse Wireshark.
- Python intermédiaire : scripts d'automation, wrappers Impacket, extensions Burp.
- OWASP Top 10 2021 compris en profondeur avec exploitation pratique.
- Cadre légal français : article 323, autorisation écrite, confidentialité.
Stack d'outils usuelle
| Catégorie | Outils dominants |
|---|---|
| Reconnaissance | Nmap, Gobuster, Feroxbuster, Ffuf, Amass, Shodan |
| Exploitation web | Burp Suite Pro, OWASP ZAP, sqlmap, XSStrike, commix |
| Exploitation AD | Impacket, BloodHound, CrackMapExec, Rubeus, SharpHound |
| Post-exploitation | Metasploit, Sliver, Havoc, Cobalt Strike (red team) |
| Reverse mobile | Frida, Objection, MobSF, Hopper, Ghidra |
| Prise de notes | Obsidian, Notion, CherryTree, Dradis (collaborative) |
Certifications reconnues
| Certification | Éditeur | Coût | Niveau | Reconnaissance FR |
|---|---|---|---|---|
| eJPT v2 | INE | ≈ 250 € | Entrée pratique | Moyenne-forte |
| PNPT | TCM Security | ≈ 400 € | Pentest AD interne | Forte et en hausse |
| OSCP | Offensive Security | ≈ 1 600 € | Référence marché | Très forte |
| OSWE | Offensive Security | ≈ 1 600 € | Pentest web avancé | Forte |
| OSEP | Offensive Security | ≈ 1 600 € | Post-exploitation | Moyenne |
| CRTO | Zero-Point Security | ≈ 400 $ | Red team moderne | Forte et en hausse |
| GWAPT / GPEN | GIAC | ≈ 949 $ | SOC side analyst | Moyenne |
Pour l'ordre chronologique précis et la préparation détaillée, voir Les étapes pour devenir pentester : plan complet.
6. Salaires, trajectoires et évolutions
| Niveau | Expérience | Salaire brut annuel (province) | Salaire brut annuel (IDF) |
|---|---|---|---|
| Pentester junior | 0-2 ans | 40-52 k€ | 45-58 k€ |
| Pentester confirmé | 2-4 ans | 50-62 k€ | 55-70 k€ |
| Pentester senior | 4-7 ans | 60-80 k€ | 65-90 k€ |
| Lead pentester / pentest manager | 7+ ans | 75-95 k€ | 80-110 k€ |
| Red team operator senior | 5+ ans | 80-105 k€ | 90-130 k€ |
| Consulting indépendant | 5+ ans | TJM 700-1 200 € | TJM 800-1 400 € |
Fourchettes Apec Cadres Cybersécurité 2023-2024, Numeum et observatoires LinkedIn France. Les profils avec OSCP + PNPT tirent structurellement la fourchette haute dès le premier poste. La bascule en consulting indépendant classique après 4-6 ans d'expérience salariée.
Bifurcations après 3-5 ans de pentest
- Red Team : simulations longues, Cobalt Strike, objectifs persistants.
- AppSec Security Engineer : bascule du côté construction sécurisée, avec conservation du mindset offensif.
- Security Research : découverte de 0day, publication CVE, conférences (SSTIC, Pass the SALT, BlackHat).
- Lead technique ou manager d'équipe pentest : management avec maintien partiel de la technique.
- Consulting indépendant : freelance, TJM 800-1 400 € avec un réseau constitué.
Pour le marché du pentest junior et les trajectoires d'accès, voir le pillar Peut-on devenir pentester sans expérience ?.
7. Pour qui le métier de pentester convient-il ?
Le métier attire massivement mais ne convient pas à tous les profils. Quatre traits distinguent les pentesters qui tiennent dans le métier au-delà de 5 ans.
Traits qui fonctionnent
- Curiosité technique soutenue : envie de démonter systématiquement le fonctionnement d'un système.
- Rigueur documentaire : goût de l'écriture structurée, précision du vocabulaire technique.
- Tolérance à la frustration prolongée : accepter qu'une piste ne mène nulle part après 4 heures d'efforts.
- Éthique stricte : respect du scope, confidentialité à vie, refus des actions grises.
Traits qui signalent un mauvais match
- Rejet de la rédaction écrite (40 % du métier).
- Besoin de gratification rapide et de résultats immédiats.
- Besoin de relations humaines directes et constantes au quotidien.
- Difficultés avec les cadres contractuels stricts.
Pour l'auto-évaluation personnelle avant reconversion pentest, voir Comment savoir si la cybersécurité est faite pour vous. Pour les profils sys/réseau particulièrement bien positionnés vers le pentest interne AD, voir Quel métier cyber viser quand on vient du système et du réseau ?. Pour les développeurs qui visent AppSec puis pentest web, voir Quel métier cyber viser quand on vient du développement ?.
Points clés à retenir
- Pentester = auditeur offensif cadré contractuellement : simule des attaques avec autorisation écrite pour identifier les vulnérabilités.
- Répartition du temps : environ 40 % technique + 40 % rédactionnel + 20 % communication. Le rapport est le livrable central.
- 5 types de pentest : web et API (50 %), AD interne (25 %), externe (10 %), mobile (10 %), physique et red team (5 %).
- Distinction : pentester (5-15 j cadré) vs red team (3-6 mois persistant) vs bug bounty (continu, prime par vuln).
- Certifications clés : eJPT → PNPT → OSCP dans l'ordre. OSCP = référence marché incontournable.
- Salaires : 40-58 k€ junior → 65-90 k€ senior → TJM 800-1 400 € indépendant IDF.
- Traits qui comptent : curiosité, rigueur documentaire, tolérance à la frustration, éthique stricte. Le pentest est juridiquement l'activité cyber la plus encadrée.
Pour l'ensemble des métiers cybersécurité avec matrice d'accessibilité par profil, voir Les métiers de la cybersécurité : guide complet. Pour la réalité marché pentest junior (goulot d'étranglement, portfolio HackTheBox), voir Peut-on devenir pentester sans expérience ?. Pour le plan opérationnel 18 mois étape par étape, voir Les étapes pour devenir pentester : plan complet. Le bootcamp DevSecOps de Zeroday inclut un module pentest encadré avec préparation eJPT intégrée, méthodologie de rapport et labs HackTheBox accompagnés — base solide avant de viser PNPT puis OSCP en autonomie.
