Fiche métier : Pentester

Les diplômes pour exercer dans la cybersécurité sont de niveau élevé, avec souvent des profils recherchés à bac +3 minimum pour comprendre l’informatique, puis un bac +5 spécialisé en sécurité, obtenu à l’université ou en école. À savoir : toute entreprise qui souhaite embauche un pentester lui fait passer des tests. Il peut avoir comme mission de tenter de hacker le système et de faire ensuite des recommandations à l’entreprise avant d’être embauché.

Bac +3. Un BUT Informatique, un BUT Réseaux et télécommunications offrent des parcours orientés en systèmes des réseaux, mais il existe également des licences professionnelles en informatique avec des spécialisations dédiées à la sécurité permettant une première approche concrète : cybersécurité et cyberdéfense ; administration et sécurité des réseaux, etc. Des écoles comme Guardia Cybersecurity School délivrent également des Bachelors plus ou moins généralistes ou l’on étudie la gestion d’un système d’information, les méthodes de cybersécurité, l’administration des systèmes et réseaux…

Bac +5. Après un premier diplôme (classe préparatoire, Bachelor, BTS en informatique ou BUT, le plus souvent), les recruteurs privilégient les profils issus :

• d’une école d’informatique ou d’ingénieurs intégrant une spécialisation en sécurité informatique. Guardia Cybersecurity School propose, par exemple, un Master of Science – MSc – Expert en cybersécurité qui permet de répondre à des besoins en cybersécurité de haut niveau pour des entreprises françaises ou internationales. Citons encore le master Sécurité des systèmes d’information de l’Université de technologie de Troyes (UTT).

• de l’université, avec des masters en informatique proposant des parcours ciblés comme Sécurité, fiabilité et performance du numérique délivré par l’Université Pierre-et-Marie-Curie, Sécurité de l’information et cryptologie, à Limoges, ou Sécurité des systèmes informatiques, à l’Université de Rouen.

___________________________________

Se renseigner sur le Bachelor et le MSc en cybersécurité de Guardia Cybersecurity School.

« Pentest » pour « penetration testing » en anglais, ou « test d’intrusion » en français. Le pentester est un hacker – mais un gentil hacker –, celui qui vous veut du bien et dont le rôle va consister à vous protéger. Comment ? En s’introduisant dans un système informatique, que ce soit celui d’une école, d’un ministère, d’une entreprise (tout dépend de son client) pour en tester sa fiabilité et sa sécurité. Comme un vrai hacker, il va identifier les vulnérabilités informatiques de l’entreprise, les utiliser pour comprendre leurs conséquences et surtout, pour conseiller son client sur la meilleure façon de les corriger. Le but d’un pentest est double : identifier les risques pour une entreprise (vol d’argent, de secrets de fabrication, d’informations sensibles, etc.) et l’aider à corriger son système informatique (qui comprend les badges, les caméras, les ordinateurs, les serveurs, le réseau WiFi…).

À partir de la demande initiale de son client, le pentester fait une proposition commerciale dans laquelle il imagine des scénarios possibles d’attaque, le type de hackers susceptibles de s’attaquer au système et le nombre de jours nécessaires pour effectuer sa mission. Chacune est différente, puisqu’il découvre des entreprises de tailles diverses, différents secteurs d’activité et de multiples métiers. La deuxième partie de son travail consiste à enquêter sur les métiers de la société, leurs méthodologies (c’est-à-dire les différentes étapes qui composent un métier), les logiciels utilisés, les risques que pense courir l’entreprise, comment est organisé son système d’information, comment travaillent les personnes du service informatique… Vient ensuite la phase technique, celles du test d’intrusion, pour chercher les vulnérabilités – et c’est là toute la plus-value du pentester et la puissance de l’humain –, car lui seul peut imaginer les possibles intrusions. Le pentester crée, enfin, un rapport d’audit précisant toutes les vulnérabilités trouvées, leur degré critique et celles à traiter en priorité.

Le pentester doit être curieux, effectuer une veille permanente (ce qui représente le quart de son temps de travail) pour être en permanence à jour. Son côté « joueur » lui permet (pour le bien de son client), de se glisser dans la peau d’un hacker afin de mettre à jour les failles de son système informatique. Il est bien sûr patient, acharné, rigoureux… tout en aimant contourner les règles ! Il existe d’ailleurs, en plus des formations à acquérir, une partie autodidacte importante. Des simulations de pentest sur internet (nommées CTF) existent, par exemple, pour se former et s’entraîner. Régulièrement, un événement appelé la « Nuit du hack » permet à des professionnels du hacking de se retrouver pour des conférences, des workshops, et des épreuves en live.

Selon l’APEC, la rémunération d’un débutant sur ce type de fonction s’échelonne le plus souvent entre 2 900 € et 3 300 € brut par mois, selon la taille de l’entreprise. Au bout de 10 ans d’expérience environ, il peut gagner entre 3 700 € et plus de 4 500 € brut, voire davantage selon, encore une fois, la réputation et la taille de la structure pour laquelle il travaille. Il peut également décider de travailler en indépendant.