pentest@cyberini: ~ $ nmap -sV 10.10.10.7 PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 445/tcp open smb $ exploit –target smb [*] Session opened… root@target:~# FICHE MÉTIER Devenir Pentester Salaire · Compétences · Formation Le guide complet 2026 cyberini.com

Mis à jour le 21/06/2026. Rédigé par Michel Kartner, consultant-formateur en cybersécurité

Devenir Pentester en 2026 : fiche métier, salaire et formation

Le pentester (ou testeur d’intrusion) est le hacker éthique des entreprises : payé pour attaquer légalement un système informatique afin d’en révéler les failles avant les vrais attaquants. C’est l’un des métiers les plus recherchés de la cybersécurité offensive, accessible y compris en reconversion à condition d’acquérir de solides compétences techniques. Cette fiche détaille concrètement les missions, le salaire en 2026, les compétences indispensables, les certifications qui comptent, et le parcours de formation pour devenir pentester.

Qu’est-ce qu’un pentester ? (définition)

Un pentester réalise des tests d’intrusion (en anglais penetration tests, d’où « pentest ») : il simule des cyberattaques réelles sur un système d’information, une application web, un réseau ou une infrastructure cloud, à la demande de l’organisation qui en est propriétaire. Son objectif n’est pas de nuire, mais de documenter les vulnérabilités et de fournir des recommandations concrètes pour les corriger.

métier de pentester : débouchés, salaires

Contrairement à une idée répandue, le pentester ne « casse » pas au hasard : il suit une méthodologie rigoureuse et un périmètre contractuel strict (le « scope »), encadré juridiquement par une autorisation écrite. Sortir de ce périmètre, c’est commettre un délit. C’est cette dimension légale et méthodique qui sépare le hacking éthique du piratage.

J’ai personnellement réalisé des tests d’intrusion de part mon travail en tant qu’indépendant. L’idée était d’opérer à 100% à distance en proposant des prestations de pentest web. Des clients me contactaient (ou j’en démarchais) afin de tester la robustesse de leur site web. Par exemple à la suite d’une cyber attaque, après la déploiement d’un nouveau service, etc. La démarche est souvent la même : cadrer le périmètre pour préparer un contrat. Choisir une plage de dates, obtenir les identifiants si besoin (notamment des comptes de test). Et enfin, réaliser le pentest tout en rédigeant un rapport final qui précède la facture. Aujourd’hui, être pentester indépendant est l’une des activités les plus prisées dans le domaine. Je propose par ailleurs un cours complet et gratuit à tous les apprenants qui le désirent en fin de leur formation pentest.

Quelles sont les missions concrètes d’un pentester ?

Une mission de pentest se déroule généralement en cinq grandes phases, que tout pentester maîtrise :

  1. Reconnaissance (OSINT) : collecte d’informations publiques sur la cible (noms de domaine, adresses IP, technologies utilisées, fuites de données, empreinte numérique des employés).
  2. Scan et énumération : cartographie active du système — ports ouverts, services, versions logicielles, utilisateurs — à l’aide d’outils comme nmap, gobuster ou Nessus.
  3. Exploitation : tentative d’exploitation des failles identifiées (injection SQL, faille d’authentification, vulnérabilité connue) pour obtenir un accès non autorisé.
  4. Post-exploitation et élévation de privilèges : une fois entré, le pentester cherche à étendre son contrôle (devenir administrateur, se déplacer latéralement dans le réseau, accéder à des données sensibles).
  5. Rapport et restitution : la phase la plus importante, et la plus sous-estimée. Le pentester rédige un rapport détaillé classant chaque vulnérabilité par criticité (avec un score CVSS), explique comment elle a été exploitée, et fournit des recommandations de correction actionnables.

On distingue plusieurs types de tests selon le niveau d’information fourni au pentester : black box (aucune information, comme un attaquant externe), grey box (informations partielles, ex. un compte utilisateur), et white box (accès complet au code et à l’architecture). Chacun répond à un besoin différent.

Quel salaire pour un pentester en 2026 ?

Le métier est bien rémunéré, porté par une forte demande. Les fourchettes ci-dessous agrègent plusieurs baromètres français récents (Glassdoor, Seyos, Jedha, LearnThings, Zeroday Cyber Academy, période janvier–mai 2026). Ce sont des salaires bruts annuels :

Niveau d’expérienceSalaire brut annuel (France)Équivalent mensuel brut
Junior / débutant (0–2 ans)35 000 € – 48 000 €≈ 2 900 € – 4 000 €
Confirmé (3–6 ans)45 000 € – 65 000 €≈ 3 750 € – 5 400 €
Senior / expert (6 ans et +)65 000 € – 95 000 €≈ 5 400 € – 7 900 €
Lead / spécialiste de niche90 000 € – 130 000 €≈ 7 500 € – 10 800 €

Plusieurs facteurs font varier ces montants :

  • La localisation : l’écart Paris / régions va de 10 à 20 %, et peut atteindre 30 % sur les profils seniors dans la finance ou la défense.
  • Les certifications : une certification OSCP ajoute en moyenne 5 000 à 15 000 € brut annuels, soit une prime de 10 à 20 %.
  • Le statut freelance : en indépendant, le TJM (tarif journalier moyen) s’échelonne d’environ 400–500 €/jour en junior à 800–1 200 €/jour en expert, et dépasse 1 500 €/jour sur les niches premium (red team, IA offensive, OT/ICS). Personnellement, je faisais au forfait selon les tâches à accomplir, par exemple 2000€ l’ensemble qui était prévu pour durer une semaine.

Le marché de l’emploi du pentester : réalité 2026

La cybersécurité reste un secteur en tension. Selon l’OPIIEC (l’observatoire des métiers du numérique), 25 000 postes supplémentaires devraient être créés d’ici 2028, sur un vivier actuel d’environ 45 000 professionnels qui devra presque doubler. Entre juin 2023 et juin 2024, plus de 23 000 offres d’emploi en cybersécurité ont été recensées en France, en progression de 49 % par rapport à 2019.

Une nuance importante, par souci d’honnêteté : le métier de pentester spécifiquement est plus exigeant à l’entrée que le discours ambiant ne le laisse croire. Le volume d’offres « pentester » pur est plus restreint que celui d’autres métiers cyber comme l’analyste SOC ou le DevSecOps. La pénurie est surtout aiguë sur les profils expérimentés et les niches premium, moins sur les juniors fraîchement formés, qui doivent se démarquer par leur pratique réelle (labs, CTF, bug bounty) plus que par un simple certificat. Bonne nouvelle : c’est exactement là qu’une formation très pratique fait la différence.

Quelles compétences pour devenir pentester ?

Compétences techniques (hard skills)

  • Systèmes : maîtrise approfondie de Linux (notamment Kali Linux) et de Windows, y compris l’Active Directory.
  • Réseaux : protocoles TCP/IP, DNS, HTTP, capacité à analyser le trafic (Wireshark).
  • Sécurité web : connaissance du Top 10 de l’OWASP (injection, XSS, failles d’authentification…), manipulation de requêtes HTTP (Burp Suite).
  • Scripting : Python et Bash sont indispensables pour automatiser les tâches et adapter des exploits.
  • Outils offensifs : nmap, Metasploit, Burp Suite, John the Ripper, linpeas/winpeas, et l’écosystème Kali en général.

Compétences humaines (soft skills)

  • Rédaction : un pentester passe une part importante de son temps à rédiger des rapports clairs et exploitables. Savoir vulgariser une faille pour un public non technique est crucial.
  • Curiosité et rigueur éthique : le respect strict du périmètre légal n’est pas négociable.
  • Veille permanente : les techniques et vulnérabilités évoluent en continu.
  • Anglais technique : la quasi-totalité de la documentation et des certifications est en anglais.

Quelles certifications pour un pentester ?

Les certifications les plus reconnues sur le marché français en 2026 sont, par ordre de progression :

  • PJPT / PNPT (TCM Security) : excellentes certifications d’entrée, orientées pratique.
  • OSCP (Offensive Security) : la référence du marché, exigeante et 100 % pratique. C’est celle qui est le plus souvent demandée dans les offres d’emploi.
  • OSEP, CRTO : certifications avancées pour les profils confirmés et le red teaming.

En complément, une certification officielle française reconnue par l’État (inscrite au RNCP ou au Répertoire Spécifique) facilite le financement de la formation via le CPF et rassure les employeurs sur le sérieux du parcours.

Comment devenir pentester ? Le parcours de formation

Il n’existe pas un seul chemin pour devenir pentester. Trois voies principales coexistent :

  1. La voie académique : école d’ingénieur ou master spécialisé en cybersécurité (bac+5). Solide mais longue et coûteuse.
  2. La reconversion via une formation professionnelle : la voie la plus rapide pour un adulte déjà dans la vie active, souvent finançable par le CPF. Idéale si elle est orientée pratique.
  3. L’autoformation : possible grâce aux plateformes de labs (TryHackMe, Hack The Box) et aux CTF, mais demande une grande discipline et ne délivre pas de certification reconnue.

Le point déterminant, quelle que soit la voie, c’est la pratique réelle. Un recruteur préfère un candidat qui a résolu des dizaines de machines vulnérables et documenté ses démarches, plutôt qu’un profil purement théorique. C’est pourquoi une bonne formation au pentest doit reposer sur des environnements d’entraînement concrets (machines virtuelles, labs Kali, exercices type DVWA), et pas seulement sur des vidéos.

Se former au pentest avec Cyberini

Notre formation pentest en ligne est conçue autour de la pratique : labs Kali, méthodologie complète, scoring CVSS et rédaction de rapports professionnels. Elle prépare à une certification reconnue par l’État (RS7394), est éligible au CPF et labellisée ANSSI. Découvrir le programme →

Débouchés et évolution de carrière

Le métier de pentester ouvre vers de nombreuses évolutions :

  • Hacker éthique et bug bounty hunter (chasse aux failles rémunérée sur plateformes)
  • Consultant en sécurité offensive en ESN spécialisée
  • Membre puis lead d’une red team (équipe d’attaque interne)
  • Évolution vers des fonctions d’analyste SOC ou de management de la sécurité (RSSI)
  • Spécialisation premium : pentest cloud, IoT/hardware, IA offensive (red teaming de LLM) — les niches les mieux rémunérées en 2026

Foire aux questions

Peut-on devenir pentester sans diplôme ?

Oui, c’est possible, mais à une condition : démontrer des compétences techniques réelles. Le secteur valorise la pratique (labs, CTF, contributions, portfolio) autant, voire plus, que le diplôme. Une formation certifiante reconnue par l’État renforce nettement la crédibilité d’un profil autodidacte ou en reconversion.

Peut-on devenir pentester en reconversion ?

Oui. C’est même l’un des secteurs cyber les plus ouverts aux reconversions, surtout pour les personnes venant de l’informatique (développement, administration système/réseau). Le passage demande une montée en compétences sérieuse et beaucoup de pratique, mais il est tout à fait réaliste avec une formation adaptée.

Combien de temps faut-il pour devenir pentester ?

Cela dépend de votre point de départ. Pour une personne ayant déjà des bases solides en informatique, plusieurs mois de formation intensive et de pratique suffisent à atteindre un niveau junior employable. Pour un débutant complet, il faut compter plus de temps, car les prérequis (systèmes, réseaux, scripting) doivent être acquis d’abord.

Pentester ou hacker éthique : quelle différence ?

Les deux termes sont souvent employés comme synonymes. « Hacker éthique » est un terme plus large qui englobe toute activité de sécurité offensive légale, tandis que « pentester » désigne plus spécifiquement le professionnel qui réalise des tests d’intrusion encadrés contractuellement.

Le métier de pentester est-il menacé par l’IA ?

L’IA automatise certaines tâches répétitives (scan, reconnaissance), mais elle ne remplace pas le raisonnement créatif et contextuel du pentester. Au contraire, une nouvelle niche émerge : le red teaming de l’IA (tester la sécurité des systèmes d’IA eux-mêmes), parmi les spécialisations les mieux payées en 2026.

Vous souhaitez vous lancer ? Découvrez notre formation pentest certifiante, ou explorez les autres métiers de la cybersécurité.