Voici un métier méconnu de l’univers de la cybersécurité : le Pentester. spécialiste de la sécurité informatique, il est l'artisan discret qui œuvre dans l'ombre pour protéger les systèmes d'information contre les cybermenaces. Une sorte de James Bond des temps modernes.
Cette fiche métier s'adresse à ceux qui envisagent de plonger dans ce monde fascinant, offrant un aperçu complet des compétences, des défis et des opportunités de cette profession. Elle est également destinée aux entreprises désireuses de comprendre comment choisir le meilleur Pentester freelance pour sécuriser leurs données sensibles. Découvrez avec nous les facettes de ce métier essentiel.
Imaginez que votre maison représente le système informatique d'une entreprise. Un Pentester, c'est un expert en sécurité qui teste la solidité des serrures, des fenêtres et des murs de votre maison pour s'assurer qu'un cambrioleur ne puisse pas entrer facilement. Dans le monde numérique, ce "cambrioleur" serait un hacker malveillant cherchant à accéder illégalement aux données de l'entreprise.
Le Pentester utilise donc diverses méthodes et outils pour simuler des attaques informatiques, comme un cambrioleur essaierait différentes méthodes pour entrer dans une maison. L'objectif est de trouver les points faibles avant qu'un vrai hacker ne le fasse. Après avoir identifié ces vulnérabilités, le Pentester conseille l'entreprise sur la manière de renforcer sa sécurité, tout comme un expert en sécurité vous dirait de changer une serrure défectueuse ou de renforcer une porte.
Le rôle principal d'un Pentester est de simuler des attaques informatiques sur les systèmes d'information d'une entreprise pour identifier et corriger les failles de sécurité. Cette profession, souvent comparée à celle d'un hacker éthique, consiste à adopter la perspective d'un attaquant pour mieux protéger les systèmes informatiques.
Il utilise diverses techniques de hacking pour découvrir les failles et propose ensuite des solutions pour renforcer la sécurité.
Le terme "pentester" est une contraction de l'expression anglaise "penetration tester", qui se traduit littéralement par "testeur d'intrusion". Ce mot appartient au domaine de la cybersécurité.
D'après les informations recueillies sur Glassdoor, le Salaire Annuel Moyen d'un Pentester est de 51 619 euros par an. La fourchette de salaire se situe entre 45000 euros et 53000 euros par an.
Le TJM pour un Pentester Freelance est de 600 euros en moyenne. Bien entendu, la rémunération varie en fonction de l'expérience, des compétences, et du type de mission.
Le métier de Pentester exige de posséder un ensemble de compétences techniques (hard skills) et personnelles (soft skills) pour mener à bien ses missions.
Se former à ce métier implique un parcours éducatif et professionnel spécifique. Voici les étapes et ressources principales.
Voici un aperçu des trajectoires possibles pour un pentester souhaitant progresser dans sa carrière.
Secteur d’activité Assurance
Mission / Projet Analyste sécurité en charge de :
• Analyser des surfaces d’attaque et identifier des actifs à évaluer
• Identifier les vulnérabilités et évaluer les risques liés
• Analyser les résultats de scan de vulnérabilités via l’outil Cycognito
• Rédiger les recommandations à appliquer en fonction des besoins et des contraintes métiers
• Assurer la communication avec les équipes techniques et métiers
• Suivre et valider la mise en place des remédiations initialement proposées
Secteur d’activité
Mission / Projet • Audits techniques (Architecture, configuration)
• Test d’intrusion (Web, API, mobile, réseau ...)
• Phishing & Redteam
• Audit de code (Analyse de code et mise en place des recommandations de développement sécurisé
• Sensibilisation des utilisateurs aux menaces et aux risques des cyberattaques
• Formation et sensibilisation au développement sécurisé
Descriptif Consultante sécurité au sein du cabinet de Serma S3 pendant 2 ans et demi.
Au cours de cette période, des missions d’audit de sécurité technique : intrusion réseau, infrastructure et applicatifs ont été réalisé par rapport aux référentiels OWASP et CIS.
Effectif équipe Equipe de 10 pentesters et un chef de projet
Tâches / Réalisations Audit & conseil techniques :
• Architecture : Analyse des documents d’architecture (Analyse des faiblesses de sécurité ainsi que la recommandation
d’implémentation des mesures de sécurité : cloisonnement des sous-réseaux, mise en place des équipements de sécurité,
suppression des protocoles non sécurisés, étude des flux…)
• Configuration : Analyse des configuration équipements systèmes (Serveur, bases de données, pare-feu…) et recommandation de
durcissement de ses derniers celons le CIS.
Test d’intrusion :
• Web : Injection, XSS, SCRF, LFI/RFI, escalade de privilège horizontale ou verticale)
• API : Injection, XSS, SCRF, LFI/RFI, escalade de privilège horizontale ou verticale)
• Mobile : Injection, XSS, SCRF, LFI/RFI, escalade de privilège horizontale ou verticale)
• Réseau : Détection et exploitation des vulnérabilités sur des équipements du réseau, protocoles non sécurisés utilisés en interne…
• Phishing & Redteam
Formation et sensibilisation :
• Formation du personnel contre les risques de phishing et les intrusions physique
• Formation d’audit de code / top10 OWASP
Outils et techniques Nmap, BurpSuite, SQLmap, Dirsearch, Nessus, MobSF
Mission / Projet Audits techniques (Architecture, configuration)
Test d’intrusion (Web, API, mobile, réseau ...)
Descriptif Consultante sécurité au sein du cabinet de conseil Devoteam pendant
1 an et demi.
Au cours de cette période, des missions d’audit de sécurité technique
(intrusion réseau, infrastructure et applicatifs ont été réalisé par rapport aux référentiels OWASP et CIS.
Effectif équipe Equipe de 10 pentesters
Tâches / Réalisations Audits techniques
• Architecture : Analyse des documents d’architecture : présence/ absence de cloisonnement des sous réseaux, mise en place des équipements de sécurité, présence de protocoles non sécurisés, étude des flux…)
• Configuration : Analyse des configuration équipements systèmes (Serveur, bases de données, pare-feu…) et recommandation de durcissement de ses derniers celons le CIS.
Test d’intrusion
• Web : Injection, XSS, SCRF, LFI/RFI, escalade de privilège horizontale ou verticale)
• API : Injection, XSS, SCRF, LFI/RFI, escalade de privilège horizontale ou verticale)
• Mobile : Injection, XSS, SCRF, LFI/RFI, escalade de privilège horizontale ou verticale)
• Réseau : Détection et exploitation des vulnérabilités sur des équipements du réseau, protocoles non sécurisés utilisés en interne…
Outils et techniques Nmap, BurpSuite, SQLmap, Dirsearch, Nessus, MobSF