Qu'est ce qu'un Pentester ?

Le Pentester (Penetration Tester, ou testeur d'intrusion) est un expert sécurité offensif. Sa mission : attaquer un système (web, mobile, API, infrastructure, réseau interne, IoT) avec l'autorisation de son propriétaire pour identifier les failles avant qu'un attaquant malveillant ne les exploite. C'est un rôle clé dans une approche sécurité mature, qui complète le travail défensif des équipes AppSec / SOC.

On distingue le pentester interne (employé permanent d'une boîte produit-first ou d'une banque) du pentester en cabinet (Synacktiv, Akerva, Wavestone, etc.) qui livre des missions pour des clients.

Pourquoi recruter un Pentester ?

Toute organisation tech qui traite de la donnée sensible ou un volume critique d'utilisateurs a besoin d'audits offensifs réguliers - pas juste annuels. Un pentester interne permet :

• de tester en continu plutôt qu'une fois par an,
• de répondre aux questionnaires sécurité client (SOC2 fait un audit annuel obligatoire),
• de challenger les choix d'architecture avant qu'ils ne soient en prod,
• de mentorer les équipes dev sur les patterns sécurisés.

Quel rôle joue le Pentester ?

Le Pentester est rattaché à l'équipe sécurité (sous le CISO). Il rapporte à un Lead Pentest, un Head of Offensive Security ou un CISO. Il collabore avec les développeurs (pour reproduire et fixer les vulnérabilités trouvées), l'AppSec Engineer (sur les outils SAST), et le SOC (pour comprendre les détections).

Son terrain : missions de pentest avec scope défini (un produit, une API, un réseau interne), red teaming plus large (simulation d'attaquant avec objectif), recherche de vulnérabilités, et rédaction de rapports clairs.

Quelles sont les missions du Pentester ?

• Conduire des pentests : web, mobile, API, infrastructure, cloud, réseau interne.
• Faire du red teaming : simulation d'attaque réaliste avec objectifs (exfiltration, élévation de privilèges).
• Rédiger des rapports techniques : vulnérabilités, CVSS scoring, recommandations actionnables.
• Reproduire et trier les bug bounty reports : prioriser, valider, coordonner les fixes.
• Construire et maintenir l'arsenal : outils internes, scripts, payloads, exploits.
• Former les développeurs : sessions awareness, démos d'exploitation.

Quelles compétences clés ?

• 3-8 ans d'expérience en pentest, sécurité offensive ou bug bounty
• Maîtrise des familles de vulns : OWASP Top 10, IDOR, SSRF, RCE, deserialization, race conditions
• Outils : Burp Suite, Metasploit, Nmap, custom scripting (Python, Go)
• Connaissance des stacks modernes (web, mobile, cloud) et legacy (réseau, AD)
• Capacités scripting fortes (Python, Bash, parfois Rust/Go)
• Certifications appréciées : OSCP, OSWE, GPEN, CRTO, etc.

Les soft skills

Curiosité scientifique extrême, persévérance (un pentest peut prendre 2 semaines pour 1 finding majeur), capacité à écrire un rapport lisible (pas du jargon obscur), éthique forte (autorisation, scope, responsible disclosure), et envie de transmettre.

Quel salaire pour un Pentester ?

En cabinet (consultant) : junior 40K€-55K€, confirmé 55K€-75K€, senior 75K€-100K€. En interne (produit-first / fintech / défense) : souvent +10 à 20% par rapport au cabinet. Les profils freelance facturent 600€-1200€/j.

Comment évolue la carrière d'un Pentester ?

Évolution vers Lead Pentester, Senior Red Teamer, Manager pentest en cabinet, ou bascule vers AppSec Engineer, Security Architect, CISO. Certains se mettent freelance ou créent leur cabinet. D'autres rejoignent les programmes bug bounty top-tier en pleins temps.