Comment devenir Pentester / Hacker Éthique ?

En bref

  • Salaire : 45k à 75k € brut/an en France (2026)
  • Niveau d'études : Bac+5 et plus (5 ans et plus)
  • Domaine : Tech & Intelligence Artificielle
  • Conditions d'exercice : Bureau / Télétravail
  • Code ROME : M1810

Le pentester, également appelé testeur d'intrusion ou hacker éthique, est un expert en cybersécurité offensive qui simule des cyberattaques réelles contre les systèmes d'information de ses clients afin d'en révéler les failles avant qu'un attaquant malveillant ne les exploite. Mandaté par contrat (avec une autorisation écrite formelle appelée Rules of Engagement), il met en œuvre des techniques d'intrusion identiques à celles utilisées par les cybercriminels, mais dans un cadre légal strict et avec un objectif défensif. Son rôle est devenu indispensable dans un contexte où la France a enregistré près de 4 000 cyberattaques significatives en 2025 selon le rapport ANSSI.

En 2026, le marché français du pentest est en pleine explosion. Selon l'ANSSI, le CESIN et Numeum, la France compte environ 12 000 professionnels actifs en sécurité offensive (pentesters, Red Teamers, consultants intrusion) sur un total de 25 000 ingénieurs cyber, avec un déficit national estimé à 15 000 postes. Le taux d'insertion des diplômés en cybersécurité dépasse 98 % à six mois et la croissance annuelle des effectifs Red Team atteint +30 % depuis 2023, portée par la directive NIS2, le règlement DORA pour la finance et la qualification PASSI de l'ANSSI. Le code ROME associé est M1810 — Production et exploitation de systèmes d'information, avec une variante M1802 (Expertise et support en systèmes d'information) pour les profils consultants.

Au quotidien, le pentester alterne entre missions de tests d'intrusion (Black Box, Grey Box ou White Box), audits techniques et restitution client. Une mission type dure entre 5 et 20 jours et suit un protocole rigoureux : cadrage et signature du Rules of Engagement, reconnaissance passive (OSINT), reconnaissance active (scans Nmap, énumération), exploitation (Metasploit, Burp Suite, exploits maison), post-exploitation (élévation de privilèges, mouvements latéraux, persistance), puis rédaction d'un rapport détaillé en français contenant un score CVSS pour chaque vulnérabilité et des recommandations de remédiation. Le pentester restitue ensuite ses résultats aux équipes techniques et au RSSI, parfois en présence de la direction générale.

Les environnements de travail sont variés : cabinets de conseil cyber (Wavestone, Synacktiv, Quarkslab, Sogeti ESEC, Sopra Steria CyberSecurity), pure players de la sécurité offensive (Almond, Devoteam Cyber Trust, Orange Cyberdefense, Stormshield, Wallix), ESN avec practice cyber, cellules internes des grandes entreprises (CAC 40, OIV, OSE), agences gouvernementales (ANSSI, ComCyber, DGSI) ou freelance via les plateformes de bug bounty HackerOne, YesWeHack et Intigriti. Le télétravail est très répandu (60 à 80 % des offres) sauf pour les missions classifiées Diffusion Restreinte ou Secret Défense qui imposent une présence sur site sécurisé.

Le pentester exerce un métier passionnant mais exigeant qui suppose une éthique irréprochable, une veille technologique permanente et une capacité à expliquer ses découvertes à des publics non techniques. Au-delà de la dimension purement technique, il joue un rôle pédagogique majeur : sensibiliser les équipes IT, former les développeurs au Secure Coding et aider les DSI à prioriser leurs investissements de sécurité. C'est un métier où chaque mission est différente et où l'on apprend en permanence — un profil particulièrement adapté aux esprits curieux, persévérants et joueurs.

Salaire

45k - 75k € brut annuel

Niveau d'études : Bac+5 et plus · Durée : 5 ans et plus

Missions principales

  • Réaliser des tests d'intrusion externes, internes, applicatifs web, mobiles, API, IoT, Active Directory et Cloud (AWS, GCP, Azure) selon le périmètre défini avec le client
  • Mener des phases de reconnaissance OSINT (Open Source Intelligence) pour cartographier la surface d'attaque exposée d'une organisation
  • Exploiter manuellement des vulnérabilités complexes (injection SQL, XSS stockée, RCE, désérialisation, SSRF, IDOR, contournements d'authentification)
  • Conduire des audits Active Directory à la recherche de chemins d'attaque (BloodHound, Kerberoasting, AS-REP Roasting, NTLM Relay, ADCS abuse)
  • Effectuer des opérations Red Team longues (1 à 3 mois) simulant un APT, incluant phishing, intrusion physique et contournement EDR/XDR
  • Rédiger des rapports techniques détaillés en français contenant un score CVSS 3.1, des preuves d'exploitation et des recommandations de remédiation classées par criticité
  • Restituer oralement les résultats aux équipes techniques, au RSSI et à la direction générale en adaptant le discours au public cible
  • Développer et maintenir des outils internes (scripts Python, modules Metasploit, payloads C, implants en Go ou Rust) pour automatiser les tests récurrents
  • Participer à des programmes de bug bounty publics (HackerOne, YesWeHack, Intigriti, Bugcrowd) pour entretenir ses compétences offensives
  • Assurer une veille active sur les CVE critiques, les advisories ANSSI, les threat reports MITRE ATT&CK et les techniques de TTPs des groupes cybercriminels
  • Sensibiliser et former les équipes développement aux bonnes pratiques de Secure Coding (OWASP Top 10, ASVS, SAMM)
  • Contribuer à la qualification PASSI de son cabinet auprès de l'ANSSI et respecter strictement le code de déontologie associé

Compétences requises

  • Suite offensive Burp Suite Pro, OWASP ZAP, Caido pour l'audit web et API
  • Frameworks d'exploitation Metasploit, Cobalt Strike, Sliver, Mythic, Havoc
  • Outils de reconnaissance Nmap, Masscan, Amass, Subfinder, Shodan, Censys, Maltego
  • Énumération et exploitation Active Directory : BloodHound, Rubeus, Mimikatz, Impacket, Certipy, NetExec
  • Langages Python, PowerShell, Bash, C/C++, Go, Rust pour développement d'outils et bypass d'EDR
  • Reverse engineering avec IDA Pro, Ghidra, Radare2, x64dbg pour l'analyse de binaires
  • Pentest Cloud AWS / GCP / Azure : Pacu, ScoutSuite, CloudGoat, Microburst, Stormspotter
  • Pentest mobile iOS et Android : Frida, Objection, MobSF, Drozer, jadx
  • Vulnérabilités OWASP Top 10, OWASP API Security Top 10, OWASP MASVS, CVSS 3.1
  • Référentiels MITRE ATT&CK, NIST SP 800-115, PTES, OSSTMM, OWASP WSTG
  • Certifications offensives OSCP, OSEP, OSWE, OSED, OSCE3, CRTP, CRTE, CRTO, BSCP
  • Connaissance approfondie du cadre légal français (Loi Godfrain, RGPD, LPM, NIS2, DORA) et des qualifications ANSSI (PASSI, PASSI LPM)
  • Cryptographie appliquée : TLS, JWT, OAuth2, PKI, attaques sur algorithmes faibles (padding oracle, BREACH)
  • Maîtrise de Linux Kali / Parrot OS, Windows Server, Active Directory, environnements virtualisés (Proxmox, VMware, VirtualBox)
  • Anglais technique courant (lecture des CVE, advisories, reports HackerOne, conférences DEF CON / Black Hat / SSTIC)

Formations pour devenir Pentester / Hacker Éthique

Grille salariale détaillée

  • Pentester Junior (0-2 ans) : 45 000 – 55 000 € brut/an
  • Pentester Confirmé (2-5 ans) : 55 000 – 75 000 € brut/an
  • Pentester Senior / Red Teamer (5-10 ans) : 75 000 – 100 000 € brut/an
  • Lead Pentester / Head of Offensive Security (8+ ans) : 95 000 – 130 000 € brut/an

Avantages et inconvénients

Les plus

  • Salaire très attractif et progression rapide (45-75 k€ junior, jusqu'à 130 k€ pour les experts OSCE3 / vulnerability researchers)
  • Métier passionnant et stimulant intellectuellement, chaque mission est différente
  • Forte demande nationale et internationale (déficit de 15 000 experts cyber en France selon l'ANSSI)
  • Possibilité de télétravail (60 à 80 % des offres) et flexibilité horaire
  • Reconnaissance professionnelle élevée via les conférences (SSTIC, Hack.lu, Le Hack), CVE et bug bounty

Les moins

  • Charge mentale importante : responsabilité écrasante lorsqu'on découvre des failles critiques sur des systèmes vitaux (hôpitaux, centrales, banques)
  • Stress des deadlines courtes (missions de 5 à 20 jours) avec obligation de résultat rapportable
  • Veille technologique permanente très chronophage (CVE, exploits, frameworks) souvent réalisée le soir et le week-end
  • Risque juridique et éthique constant : un test mal cadré peut entraîner des poursuites pénales (Loi Godfrain, RGPD)
  • Syndrome de l'imposteur très répandu face à l'étendue infinie des techniques offensives à maîtriser
  • Difficulté à déconnecter mentalement et tendance au burn-out, particulièrement en Red Team

Secteurs qui recrutent

  • Cabinets de conseil cybersécurité (Wavestone, Almond, Sopra Steria CyberSecurity, Capgemini Cybersecurity, Devoteam Cyber Trust)
  • Pure players de la sécurité offensive (Synacktiv, Quarkslab, Sogeti ESEC, Lexfo, Amossys, Opencyber)
  • Éditeurs et intégrateurs cyber français (Stormshield, Wallix, HarfangLab, Tehtris, Sekoia, Patrowl)
  • Opérateurs télécoms et MSSP (Orange Cyberdefense, Thales Cyber Solutions, Atos Eviden, Airbus CyberSecurity)
  • Industries de défense et aérospatiale (Thales, Dassault Systèmes, MBDA, Naval Group, Safran, Airbus)
  • Banques, assurances et fintech soumises à DORA (BNP Paribas, Société Générale, Crédit Agricole, AXA, Qonto)
  • OIV (Opérateurs d'Importance Vitale) et OSE santé, énergie, transport (EDF, RTE, SNCF, AP-HP, Engie)
  • Agences gouvernementales et institutions (ANSSI, DGSI, ComCyber, DGSE, COSSI, CNIL)
  • Plateformes de bug bounty (YesWeHack, HackerOne, Intigriti, Bugcrowd) en complément de l'activité salariée
  • Freelance et consulting indépendant via Comet, Malt, Crème de la Crème, ou en cabinet personnel

Évolution de carrière

Le pentester dispose de nombreuses passerelles d'évolution dans l'écosystème cyber français en pleine expansion. Après 2 à 4 ans d'expérience, il accède au poste de Pentester Senior ou Lead Pentester (60 000 à 85 000 € brut/an) où il pilote des missions complexes, encadre les juniors et contribue aux avant-ventes commerciales. Avec 4 à 7 ans d'expérience, il peut basculer en Red Team Operator (70 000 à 100 000 €) pour mener des opérations longues simulant des APT, ou évoluer vers le poste de Consultant Sécurité Offensive Senior chez Wavestone, Synacktiv, Quarkslab ou Almond. Vers 7 à 10 ans, les profils les plus expérimentés visent les rôles d'Architecte Cybersécurité (80 000 à 110 000 €), de Manager d'équipe Pentest (90 000 à 120 000 €) ou de Head of Offensive Security dans une grande entreprise ou un OIV. Certains rejoignent l'ANSSI, la DGSI, ComCyber ou le COSSI en tant qu'experts techniques. D'autres se spécialisent en recherche de vulnérabilités (Vulnerability Researcher chez Quarkslab ou Synacktiv, salaires jusqu'à 130 000 €) ou en exploit development pour des programmes type Pwn2Own. Le freelance est très répandu après 5 ans d'expérience, avec des TJM situés entre 700 et 1 200 € par jour, voire plus pour les profils OSCE3 ou CRTO. Enfin, la voie entrepreneuriale est attractive : de nombreux pentesters seniors ont fondé leur cabinet (Patrowl, Sekoia, HarfangLab, Hackuity) ou rejoint des plateformes de bug bounty comme YesWeHack en tant qu'ambassadeurs.

Questions fréquentes sur le métier de Pentester / Hacker Éthique

Quelle est la différence entre un pentester et un hacker éthique ?
Les deux termes sont souvent utilisés de manière interchangeable, mais il existe une nuance. Le pentester (testeur d'intrusion) est un professionnel mandaté par contrat pour réaliser des tests d'intrusion limités dans le temps et le périmètre, généralement entre 5 et 20 jours, avec un Rules of Engagement signé. Le hacker éthique est un terme plus large qui englobe le pentester mais aussi les chercheurs en vulnérabilités, les bug hunters et les Red Teamers. Tout pentester est un hacker éthique, mais tous les hackers éthiques ne sont pas pentesters au sens strict du terme. En France, l'ANSSI utilise plutôt le terme officiel testeur d'intrusion ou auditeur PASSI.
Quelles certifications faut-il viser pour devenir pentester en 2026 ?
La certification de référence reste l'OSCP (Offensive Security Certified Professional) d'Offensive Security, considérée comme un quasi-prérequis pour les postes seniors. Pour aller plus loin, l'OSEP (Penetration Tester Expert), l'OSWE (Web Expert), l'OSED (Exploit Developer) et la certification fusionnée OSCE3 sont très valorisées. Pour le pentest Active Directory, les CRTP, CRTE et CRTO d'Altered Security sont devenus des standards. Le CEH (EC-Council) reste demandé dans certains appels d'offres publics. Pour les missions PASSI en France, la qualification ANSSI du cabinet est obligatoire. Comptez 1 200 à 2 500 € par certification, souvent prises en charge par l'employeur.
Quel est le salaire d'un pentester en France en 2026 ?
En 2026, un pentester junior gagne entre 45 000 et 55 000 € brut par an en France, selon les chiffres Numeum, APEC et CESIN. Un profil confirmé (2 à 5 ans d'expérience) se situe entre 55 000 et 75 000 €. Un pentester senior ou Red Teamer (5 à 10 ans) atteint 75 000 à 100 000 €, voire 130 000 € pour les experts OSCE3 ou les chercheurs de vulnérabilités chez Synacktiv ou Quarkslab. À Paris, les salaires sont 10 à 15 % plus élevés. En freelance, le TJM moyen oscille entre 700 et 1 200 € par jour, et peut dépasser 1 500 € pour les missions Red Team complexes. Le bug bounty peut générer un complément de revenus de 10 000 à 100 000 € par an pour les hunters réguliers.
Quel parcours suivre pour devenir pentester après le bac ?
Le parcours classique en 5 ans est : Bac général avec spécialités Maths + NSI, puis BUT Informatique ou prépa MPI, puis Master Cybersécurité ou diplôme d'ingénieur en sécurité (EPITA SRS, ESIEA SI&S, INSA Centre Val de Loire, ENSIBS Vannes). En parallèle des études, il est essentiel de pratiquer sur des plateformes comme HackTheBox, TryHackMe, Root-Me et de participer à des CTF (Capture The Flag) comme le SSTIC, le FCSC ou la Nuit du Hack. La certification OSCP est généralement obtenue en fin d'études ou dans les premières années de carrière. Les bootcamps cyber (Guardia Cybersecurity School, Oteria, ESD Academy) constituent une voie alternative en 3 ans. Enfin, les profils autodidactes très actifs sur HackerOne ou YesWeHack peuvent aussi trouver des postes, le portfolio de découvertes valant souvent plus que le diplôme.

Métiers similaires

Références officielles

Approfondissez avec les sources publiques françaises de référence (France Travail, ONISEP).

Explorer tout le domaine Tech & Intelligence Artificielle

Découvrez les 61 métiers du domaine Tech & Intelligence Artificielle : salaires, formations, débouchés et perspectives d'évolution.