Quelle différence entre pentester et red team ?

Le pentesting vise à identifier un maximum de vulnérabilités sur un périmètre défini dans un temps imparti. Objectif : couverture large pour remédier. Le red team simule une attaque réaliste d'un groupe malveillant ciblé (APT, ransomware) avec un objectif précis (accès à des données, prise de contrôle). Objectif : tester la capacité de détection et de réponse de la défense (blue team). Le pentest se déroule typiquement sur 5-15 jours avec périmètre technique, les engagements red team durent 4-12 semaines avec techniques furtives (évasion EDR, social engineering, persistance). Le pentest produit un rapport exhaustif des vulnérabilités, le red team produit une chronologie d'attaque montrant ce qui a été détecté ou raté. Les deux sont complémentaires : le pentest améliore la surface, le red team améliore la défense.

Quel est le salaire d'un pentester en France ?

En 2026, fourchettes indicatives : pentester junior (0-3 ans) : 38 000 à 55 000 € brut annuel, selon cabinet et région. Pentester confirmé (3-7 ans) : 55 000 à 85 000 €. Pentester senior (7+ ans, expertise forte) : 80 000 à 130 000 €, parfois plus en freelance ou dans des entreprises de niche. Les profils spécialisés (cloud pentest, hardware, reverse engineering, ICS/SCADA) ou titulaires de certifications difficiles (OSCE, OSEE, GXPN) atteignent le haut de la fourchette. En freelance : 700 à 1 500 € HT par jour. La pénurie de talents en cybersécurité offensive tire les salaires à la hausse. Paris concentre les opportunités et rémunérations les plus élevées, avec un écart de 15-25% vs régions. Les carrières bifurquent souvent vers : consultant senior, responsable pentest, RSSI, architecte sécurité, chercheur, ou entrepreneur (création de cabinet, bug hunter à plein temps).

Le pentesting est-il légal en France ?

Légal uniquement avec autorisation explicite et écrite du propriétaire du système testé. Sans cette autorisation, les articles 323-1 à 323-8 du Code pénal punissent l'accès et le maintien frauduleux dans un système de traitement automatisé de données (jusqu'à 5 ans de prison et 150 000 € d'amende pour les cas aggravés). L'autorisation doit être formalisée par : un contrat d'audit précisant le périmètre exact (IP, URL, horaires), une lettre d'autorisation signée par la personne habilitée à engager l'entreprise, des règles de communication en cas de découverte de données sensibles. Les programmes de bug bounty constituent une autorisation générique encadrée par la plateforme. Attention : tester sur un périmètre non autorisé (même accidentellement) peut avoir des conséquences pénales. La règle : en cas de doute, ne pas tester. Les profils PASSI et PASSI LPM qualifiés par l'ANSSI bénéficient en plus d'un cadre formalisé spécifique.

Quelles certifications pour devenir pentester ?

La certification de référence mondiale est l'OSCP (Offensive Security Certified Professional), examen de 24 heures très pratique. En progression : OSWE (web), OSEP (évasion), OSCE3 (expert). Autres certifications reconnues : CRTP / CRTE / CRTM (Pentester Academy, Active Directory), CRTO (Red Team Ops), GPEN / GWAPT / GXPN (GIAC/SANS, coûteuses mais très reconnues grandes entreprises), eCPPT / eWPT / eWPTX (INE/eLearnSecurity, plus accessibles). Pour des spécialités : CEH (EC-Council, plus généraliste, parfois décrié par la communauté mais demandé dans certains appels d'offres), CREST (reconnaissance britannique exigeante). En France, la qualification PASSI de l'ANSSI est importante pour travailler dans le secteur public et pour les OIV. Expérience pratique : Hack The Box, TryHackMe, plateformes CTF, écriture de write-ups et contribution à la communauté sécurité. Les recruteurs valorisent l'expérience terrain autant que les certifications.

Pentester : définition, compétences, salaire et cadre légal

Acronymes: Pentest · VAPT · test d'intrusion
Certifications phares: OSCP · OSWE · CRTP · GPEN · PASSI (FR)
Durée type d'un pentest: 5 à 15 jours selon le périmètre
Salaire junior: 38 000 à 55 000 €
Salaire senior: 80 000 à 130 000 €

01 — DéfinitionQu'est-ce qu'un pentester ?

Un pentester (contraction de penetration tester), ou testeur d'intrusion, est un professionnel de la cybersécurité qui simule des attaques informatiques sur un système, une application ou un réseau, dans un cadre légal défini par contrat, afin d'identifier les vulnérabilités et de proposer des remédiations avant qu'un attaquant malveillant ne les exploite.

Le pentester incarne la sécurité offensive éthique : il utilise les mêmes techniques et outils que les attaquants réels, mais avec une autorisation explicite du propriétaire du système et un objectif de défense. Contrairement à un attaquant malveillant, il documente tout ce qu'il fait et livre un rapport détaillé permettant de corriger les failles.

Le métier est parfois appelé ethical hacker (« hacker éthique »), bien que cette expression soit débattue dans la communauté cyber qui préfère souvent les termes « pentester » ou « chercheur en vulnérabilités » selon le contexte.

Ce que fait un pentester au quotidien

Cadrage de la mission avec le client : périmètre, objectifs, contraintes, horaires.
Reconnaissance (recon) : collecte d'informations sur la cible, souvent à partir de sources publiques (OSINT).
Cartographie : identification des services, technologies, versions.
Recherche de vulnérabilités : scans automatisés, analyse manuelle, exploitation des connaissances CVE.
Exploitation : démonstration de l'exploitabilité réelle des vulnérabilités détectées.
Post-exploitation : élévation de privilèges, déplacement latéral, exfiltration simulée (selon le périmètre).
Documentation : prise de notes systématique, captures d'écran, preuves.
Rédaction du rapport : executive summary, détail technique, plan de remédiation.
Restitution : présentation orale au client, accompagnement à la remédiation.

Le pentester n'est pas un pirate : c'est un auditeur technique qui utilise les mêmes outils que les pirates, mais dans un cadre strict et avec l'objectif inverse. Confondre les deux est une erreur juridique et éthique.

02 — TypesLes différentes catégories de pentests

Selon le niveau d'information initial

Black box (boîte noire)

Le pentester n'a aucune information préalable sur la cible autre que son identification (nom de domaine, IP publique). Il doit tout découvrir par lui-même. Simule le scénario d'un attaquant externe sans accès préalable. Plus long (reconnaissance poussée nécessaire), mais réaliste : reflète ce qu'un attaquant opportuniste verrait. Utile pour tester la surface d'exposition externe.

Grey box (boîte grise)

Le pentester dispose d'informations partielles : comptes utilisateurs de test, documentation fonctionnelle, architecture générale, parfois le code source partiel. Simule un attaquant ayant obtenu un accès initial limité (via phishing, ex-employé) ou un utilisateur interne mal intentionné. C'est le type le plus courant en entreprise : bon compromis entre profondeur et durée.

White box (boîte blanche)

Le pentester a accès complet aux informations : code source, architecture détaillée, comptes administrateurs, documentation exhaustive. Permet une analyse très approfondie et exhaustive. Privilégié pour les applications critiques, les audits de conformité, les revues de code sécurisé. Efficace mais coûteux en temps.

Selon la cible technique

Pentest applicatif web

Audit d'une application web (site, API, backend). Recherche les vulnérabilités du OWASP Top 10 : injections, authentification défaillante, exposition de données, XXE, broken access control, misconfiguration, XSS, désérialisation, composants vulnérables, logging insuffisant. Le pentest le plus fréquent en entreprise.

Pentest applicatif mobile

Audit d'applications iOS et Android. Analyse : stockage local, communications réseau, authentification, gestion des permissions, obfuscation, détection de root/jailbreak. Référentiel : OWASP Mobile Security Testing Guide.

Pentest infrastructure (réseau interne)

Audit d'un réseau interne de l'entreprise. Recherche d'équipements vulnérables, accès non contrôlés, faiblesses Active Directory, patches manquants. Souvent conduit avec un accès physique au réseau (sur site ou VPN). Les techniques AD (Kerberoasting, AS-REP Roasting, Pass-the-Hash, BloodHound) sont centrales.

Pentest externe (périmètre Internet)

Audit des services exposés sur Internet : serveurs web, VPN, email, FTP, services distants. Simule un attaquant opportuniste ou ciblé depuis l'extérieur. Combine reconnaissance OSINT et tests actifs.

Pentest cloud

Spécialité en forte croissance. Audit des environnements AWS, Azure, GCP : configuration IAM, buckets S3, fonctions serverless, containers, secrets management, métadonnées. Outils dédiés (Pacu, ScoutSuite, Prowler, CloudFox). Approche différente du pentest traditionnel car la responsabilité partagée fournisseur/client implique de ne tester que ce qui relève du client.

Pentest API

Audit des interfaces programmatiques (REST, GraphQL, SOAP, gRPC). Référentiel : OWASP API Security Top 10 (Broken Object Level Authorization BOLA, injection, authentification, mass assignment, throttling). Souvent inclus dans le pentest web moderne.

Pentest Active Directory

Spécialisation précise : audit des environnements AD Windows. Recherche de misconfigurations, chemins d'élévation, relations de trust exploitables. Certifications dédiées (CRTP, CRTE, CRTM).

Pentest sans fil (Wi-Fi)

Audit des réseaux Wi-Fi d'entreprise. Attaques sur WPA2/WPA3, réseaux invités, BYOD, points d'accès sauvages, captive portals. Nécessite un accès physique au périmètre.

Pentest industriel / OT / ICS-SCADA

Audit des systèmes industriels (automates, SCADA, DCS). Extrêmement sensible car ces systèmes pilotent des processus physiques. Tests souvent réalisés sur bancs de test plutôt qu'en production. Référentiels : IEC 62443, guides ANSSI. Marché de niche en croissance (énergie, eau, transports).

Pentest hardware / IoT

Audit de dispositifs physiques : objets connectés, cartes électroniques, firmwares. Analyse physique, extraction de firmware, rétro-ingénierie, canaux auxiliaires. Demande des compétences très spécifiques.

Pentest social engineering

Tests de la dimension humaine : campagnes de phishing, vishing, intrusion physique. Cadre éthique strict indispensable. Doit être coordonné avec RH et direction. De plus en plus intégré dans les engagements red team.

Engagements avancés

Red team

Simulation d'attaque réaliste d'un groupe cybercriminel ou APT sur une durée longue (4-12 semaines) avec objectifs précis. Utilise toutes les techniques (technique, humaine, physique). Teste la capacité de détection et réponse de la blue team (SOC) en conditions réelles. Plus coûteux qu'un pentest classique mais valeur stratégique supérieure.

Purple team

Exercice collaboratif red team + blue team. Les attaquants partagent leurs techniques en temps réel avec les défenseurs pour tester et améliorer les détections. Très formateur pour les équipes SOC.

03 — MéthodologiesRéférentiels et cadres

PTES — Penetration Testing Execution Standard

Référentiel communautaire structurant le processus de pentest en 7 phases : engagement préalable, renseignement, modélisation des menaces, analyse de vulnérabilités, exploitation, post-exploitation, reporting. Largement utilisé comme base méthodologique.

OWASP WSTG & MSTG

Web Security Testing Guide et Mobile Security Testing Guide de l'OWASP : checklists exhaustives pour les audits web et mobile. Références opérationnelles incontournables.

NIST SP 800-115

Technical Guide to Information Security Testing and Assessment. Référentiel américain largement utilisé pour les audits techniques.

OSSTMM — Open Source Security Testing Methodology Manual

Méthodologie ouverte publiée par l'ISECOM. Approche très structurée et formelle, moins utilisée en pratique que PTES mais référence académique.

MITRE ATT&CK

Base de connaissances des tactiques, techniques et procédures (TTP) utilisées par les acteurs malveillants. Pas une méthodologie de test mais référentiel incontournable pour structurer les scénarios (notamment en red team). Complémentée par MITRE ATLAS pour les menaces sur les systèmes d'IA.

PASSI — Prestataire d'Audit de Sécurité des Systèmes d'Information

Qualification française de l'ANSSI pour les prestataires réalisant des audits de sécurité. Comporte 5 domaines :

Audit d'architecture.
Audit de configuration.
Audit de code source.
Test d'intrusion.
Audit organisationnel et physique.

Un prestataire peut être qualifié sur un ou plusieurs domaines. La variante PASSI LPM (Loi de Programmation Militaire) est exigée pour les audits des Opérateurs d'Importance Vitale. En 2026, environ 30 prestataires sont qualifiés PASSI en France, et moins pour LPM. Exigence croissante pour les marchés publics et certains secteurs régulés.

CREST

Organisme britannique de certification de prestataires et de pentesters individuels. Très reconnu dans le monde anglo-saxon et financier.

OWASP SAMM et BSIMM

Modèles de maturité pour les programmes de sécurité applicative. Plutôt organisationnels, mais utilisés pour définir la portée et la fréquence des pentests dans une politique de sécurité globale.

Déroulé type d'une mission

Cadrage (J-15 à J-7) : définition du périmètre, contrat, autorisation écrite, planification, liste de contacts d'urgence.
Kick-off (J-1) : réunion de lancement, validation des derniers détails.
Reconnaissance (J1-J2) : collecte OSINT, identification des cibles.
Scan et cartographie (J2-J3) : énumération des services, versions, technologies.
Analyse manuelle et exploitation (J3-J8) : détection de vulnérabilités, exploitation, post-exploitation.
Rédaction (J8-J12) : rapport détaillé avec preuves et recommandations.
Restitution (J13-J15) : présentation orale, réponses aux questions, plan d'action.
Retests (plusieurs semaines après) : vérification de la remédiation des vulnérabilités critiques.

04 — OutilsLa boîte à outils du pentester

Systèmes et distributions

Kali Linux : distribution de référence, regroupe des centaines d'outils offensifs préinstallés. Maintenu par Offensive Security.
Parrot Security OS : alternative légère, orientée vie privée.
BlackArch, Pentoo : alternatives moins populaires mais spécialisées.

Reconnaissance et OSINT

Nmap : scan de ports et services, outil fondamental.
Masscan, RustScan : scans très rapides sur grands périmètres.
Amass, Subfinder, Assetfinder : énumération de sous-domaines.
Shodan, Censys, Fofa : moteurs de recherche de services exposés.
theHarvester, Maltego : agrégation OSINT.
Whois, dig, crt.sh : informations DNS et certificats.

Web

Burp Suite (PortSwigger) : proxy et suite d'audit web de référence. Version Community gratuite, Professional payante. Outil incontournable.
OWASP ZAP : alternative open source, maintenu par Checkmarx.
Nuclei : scanner moderne basé sur templates, très utilisé pour scan à grande échelle.
SQLmap : automatisation des tests d'injection SQL.
FFUF, Gobuster, Dirsearch : énumération de répertoires et fichiers.
Wfuzz, Hakrawler, katana : crawling et fuzzing.

Exploitation et post-exploitation

Metasploit Framework : plateforme d'exploitation la plus connue, maintenue par Rapid7.
Cobalt Strike (Fortra) : commercial, référence des red teams professionnelles. Attention : largement détourné par les attaquants réels.
Sliver : alternative open source à Cobalt Strike.
Havoc, Brute Ratel : autres frameworks C2.
Mimikatz : extraction de credentials Windows, outil incontournable sur AD.
Impacket : bibliothèque Python pour protocoles Windows (SMB, Kerberos, DCOM).

Active Directory

BloodHound : cartographie et analyse des chemins d'élévation dans AD. Outil révolutionnaire.
PowerView, SharpView : énumération AD.
Rubeus : manipulation de tickets Kerberos.
CrackMapExec (NetExec) : outil d'énumération et exploitation AD.
Certipy : attaques AD Certificate Services.

Mots de passe

Hashcat : craqueur de hash le plus performant (GPU).
John the Ripper : alternative historique, très flexible.
Hydra : bruteforce de services en ligne.
SecLists : collection de wordlists.

Cloud

Pacu : framework AWS offensif.
CloudFox : reconnaissance cloud multi-provider.
Prowler, ScoutSuite : audit de configurations cloud.
ROADtools : Azure AD offensif.
TrufflehogJS, Gitleaks : recherche de secrets exposés.

Mobile

MobSF : Mobile Security Framework, analyse statique et dynamique.
Frida : instrumentation dynamique.
Objection : runtime mobile exploration.
apktool, jadx : décompilation Android.

Reverse engineering

Ghidra : framework de reverse de la NSA, open source.
IDA Pro, Binary Ninja : commerciaux, références historiques.
radare2 / Cutter : alternative open source.
x64dbg, OllyDbg : debuggers Windows.

Platformes d'entraînement

Hack The Box : plateforme leader de CTF et labs offensifs.
TryHackMe : orientée apprentissage progressif.
PentesterLab : focus web avancé.
Root-Me : plateforme française populaire.
HackerOne CTF, YesWeHack Dojo : gratuits, orientés bug bounty.
PortSwigger Web Security Academy : excellent contenu gratuit sur le web.

05 — CompétencesLe profil du pentester

Compétences techniques fondamentales

Réseau : TCP/IP, DNS, HTTP(S), VPN, routage.
Systèmes : Linux, Windows, Active Directory, PowerShell, bash.
Développement : Python (indispensable), bash, Go. Lecture de JavaScript, Java, C, C++.
Web : HTTP, HTML, JS, frameworks populaires, APIs REST/GraphQL, authentification (OAuth, JWT, SAML).
Bases de données : SQL, NoSQL.
Cryptographie : principes, algorithmes communs, failles typiques.
Cloud : AWS/Azure/GCP fondamentaux.

Méthodologie et soft skills

Curiosité : moteur principal du métier.
Méthodique : documenter, structurer, organiser.
Créativité : détourner les usages, trouver l'angle.
Persévérance : certaines exploitations demandent des jours.
Rédaction : le rapport est le livrable principal — qualité critique.
Communication : savoir vulgariser en restitution client.
Éthique : tentation de dépasser le périmètre, de garder des accès, de publier trop vite.
Gestion du stress : missions en parallèle, deadlines serrées, vulnérabilités critiques à signaler d'urgence.

Formations initiales

Écoles d'ingénieurs avec spécialisation sécurité (Télécom SudParis, EURECOM, ENSIBS, ESIEA, EPITA SRS).
Masters universitaires en sécurité des SI.
Bac+3 / Licence pro cyber de plus en plus nombreuses.
Autodidactes : très présents dans la profession, beaucoup de pentesters talentueux sans diplôme spécifique cybersécurité. Les certifications et l'expérience terrain priment.

Certifications

Offensive Security (OSCP et suite)

OSCP (Offensive Security Certified Professional) : certification de référence mondiale. Examen pratique de 24 heures sur labs à exploiter. Environ 1 600-2 000 € formation + examen. Référence dans les annonces.
OSWE (Web Expert) : spécialisation web avancée.
OSEP (Experienced Pentester) : techniques d'évasion.
OSED (Exploit Development) : développement d'exploits.
OSCE³ : certification expert (combinaison OSWE + OSEP + OSED).
OSEE : Exploitation Expert, l'une des certifications les plus difficiles au monde.

Pentester Academy

CRTP : Certified Red Team Professional, spécialisé Active Directory.
CRTE : Expert, niveau supérieur.
CRTM : Master, niveau expert.

ZPS et autres alternatives modernes

CRTO (Red Team Ops, Zero-Point Security) : très reconnue red team.
eCPPT, eWPT, eWPTX (INE) : certifications pratiques accessibles.
Altered Security : certifications AD avancées.

GIAC / SANS

GPEN : Certified Penetration Tester.
GWAPT : Web Application Penetration Tester.
GXPN : Exploit Researcher & Advanced Penetration Tester.
GRTP : Red Team Professional.
Très valorisées en grandes entreprises, mais coûteuses (7 000-9 000 $ par certification).

Autres certifications mentionnées

CEH (EC-Council) : plus généraliste, parfois décriée par la communauté mais demandée dans certains appels d'offres.
CREST (organisme britannique) : CRT, CCT Inf, CCT App. Très reconnu au Royaume-Uni et secteur financier.
PASSI : qualification française, attention c'est une qualification d'entreprise pas individuelle, mais les pentesters travaillant dans un PASSI bénéficient du cadre.

06 — SalaireRémunérations sur le marché français

Fourchettes indicatives 2026

Junior (0-3 ans)

Paris : 42 000 - 55 000 € brut annuel.
Régions : 38 000 - 48 000 €.
Diplôme bac+5 ou certifications (OSCP en atout majeur).
Souvent en cabinet de conseil, ESN sécurité, ou PME spécialisée.

Confirmé (3-7 ans)

Paris : 60 000 - 85 000 €.
Régions : 55 000 - 75 000 €.
Capable de piloter des missions complexes en autonomie.
Certifications multiples attendues (OSCP + OSWE ou CRTP).

Senior (7-12 ans)

Paris : 80 000 - 110 000 €.
Régions : 70 000 - 95 000 €.
Expertise verticale (cloud, red team, Active Directory, web avancé).
Rôles de lead : responsable pentest, architecte sécurité offensive.

Expert / Principal (12+ ans)

Paris, grands groupes : 110 000 - 150 000 €.
Top profils (recherche, CVE publiques, conférences) : 150 000 € et plus.
Souvent responsable red team, directeur de pôle, chercheur sécurité.

Freelance

Junior/confirmé : 600 - 900 € HT par jour.
Senior : 900 - 1 300 € HT par jour.
Expert reconnu : 1 300 - 1 800 € HT par jour.
Marché freelance dynamique mais nécessite réseau, réputation, gestion administrative.

Évolutions de carrière

Senior pentester → responsable pentest → directeur technique : progression verticale cabinet.
Pentester → RSSI : transition vers management sécurité, nécessite renforcement gouvernance.
Pentester → architecte sécurité : retour côté défense.
Pentester → chercheur : recherche de vulnérabilités, publications, CVE, conférences.
Pentester → bug hunter : plateformes de bug bounty à plein temps (modèle hybride fréquent).
Pentester → entrepreneur : création de cabinet, produit SaaS, outil.
Pentester → formateur / enseignant : transmission, conférences, écoles.

Acteurs du marché en France

Cabinets PASSI qualifiés et gros acteurs

Quelques références françaises : Wavestone, Synacktiv, Quarkslab, Orange Cyberdefense, Almond, Thales, Intrinsec, Mandiant (Google), Accenture Security, Deloitte, EY, PwC, KPMG, Sogeti, Capgemini, Atos/Eviden.

Éditeurs et startups

Acteurs plus jeunes : HTTPCS, Onyphe, LeHack, Hackuity, Patrowl.io, Defants, YesWeHack (bug bounty plateforme).

Freelance via plateformes

Réseaux type Comet, Malt, Crème de la Crème mettent en relation pentesters freelance et clients.

07 — Cadre légalPentesting et droit en France

L'autorisation écrite : condition fondamentale

Le pentesting est strictement encadré par la loi. Sans autorisation écrite du propriétaire du système, toute intrusion — même sans dommage — tombe sous les articles 323-1 à 323-8 du Code pénal :

Article 323-1 : accès ou maintien frauduleux dans un STAD (système de traitement automatisé de données) — jusqu'à 3 ans de prison et 100 000 € d'amende, aggravations prévues.
Article 323-2 : entrave au fonctionnement — jusqu'à 7 ans et 300 000 €.
Article 323-3 : introduction, modification, suppression frauduleuses de données — jusqu'à 7 ans et 300 000 €.
Sanctions aggravées quand la cible est un STAD de l'État ou relatif à un OIV (Article 323-4-1).

Ce que doit contenir l'autorisation

Identité précise du demandeur : personne morale habilitée à engager l'entité.
Identité précise du prestataire : raison sociale, intervenants nominatifs parfois.
Périmètre technique : liste exhaustive des actifs autorisés (IP, URL, plages, applications).
Périmètre temporel : dates de début et fin, plages horaires.
Types de tests autorisés : tests destructifs, DDoS, social engineering, intrusion physique.
Contacts d'urgence : qui appeler si incident.
Règles de confidentialité : traitement des données sensibles rencontrées.
Signature datée par personne habilitée.

Périmètre de sous-traitance

Quand un système est hébergé chez un tiers (hyperscaler, MSSP, éditeur SaaS), l'autorisation du client ne suffit parfois pas : certains providers exigent une notification préalable (AWS, Azure, GCP ont des procédures dédiées), ou interdisent certains types de tests (DDoS typiquement). Tester à l'insu du provider peut violer les CGU et engager la responsabilité du pentester.

Découverte fortuite hors périmètre

Que faire si un pentester découvre une vulnérabilité sur un système non autorisé ? Règles à suivre :

Ne pas exploiter.
Documenter précisément la découverte.
Informer immédiatement le client sponsor de la mission.
Suivre la procédure de divulgation responsable.
Pour les systèmes de l'État, procédures ANSSI spécifiques.

Divulgation responsable

Quand un pentester découvre une vulnérabilité produit (hors contexte client), la pratique recommandée est la divulgation responsable : signaler confidentiellement à l'éditeur, lui laisser le temps de corriger (90 jours typiquement), puis publier éventuellement un avis public. Les plateformes de bug bounty structurent ce processus.

Loi LOPMI (2023)

La Loi d'Orientation et de Programmation du Ministère de l'Intérieur de janvier 2023 a introduit de nouvelles dispositions, notamment l'obligation de dépôt de plainte sous 72h pour bénéficier d'une indemnisation par la cyber-assurance. Impact indirect sur les pentesters : demande accrue d'évaluation de la sinistralité.

Protection juridique et éthique du pentester

Au-delà de l'autorisation, plusieurs bonnes pratiques protègent :

Contrat de prestation signé avant toute action technique.
Lettre d'autorisation (rules of engagement) conservée pendant toute la mission.
Traçabilité de toutes les actions effectuées.
Non-altération des données et systèmes hors nécessité technique.
Confidentialité stricte du contenu des données découvertes.
Assurance responsabilité civile professionnelle adaptée.
Formation continue aux aspects juridiques et éthiques.

Cas des chercheurs en sécurité indépendants

La loi République numérique de 2016 a apporté des protections aux chercheurs de bonne foi signalant des vulnérabilités à l'ANSSI (article L. 2321-4 du Code de la défense). Elle n'autorise pas à tester sans autorisation, mais protège contre certaines poursuites lors de divulgations de bonne foi suivant les règles éthiques.

08 — FAQQuestions fréquentes

Faut-il un diplôme en informatique pour devenir pentester ?

Non, mais il faut des compétences solides acquises d'une manière ou d'une autre. La profession compte beaucoup d'autodidactes talentueux. Le chemin typique en 2026 : base technique (écoles, université, reconversion), certifications (OSCP avant tout), expérience terrain (CTF, bug bounty, stages, juniorat en cabinet). Les profils autodidactes avec un portfolio solide (CVE publiées, contributions open source, présentations en conférences) sont souvent très valorisés. Un diplôme cyber facilite l'entrée en cabinet mais n'est pas déterminant pour la suite.

Un pentest automatisé remplace-t-il un pentester humain ?

Non. Les outils automatisés (DAST, SAST, scanners) détectent les vulnérabilités connues et certaines mauvaises configurations. Ils sont utiles et nécessaires. Mais ils manquent : les failles de logique métier, les enchaînements de vulnérabilités, les subtilités de contrôle d'accès, la créativité d'exploitation. Un pentester humain apporte l'intelligence contextuelle et adversariale. La combinaison scans automatisés + pentest manuel annuel ou biannuel est la bonne pratique. Les offres de « pentest automatisé » sont utiles en scanning continu mais ne remplacent pas un test manuel.

Combien coûte un pentest pour une entreprise ?

Varie selon périmètre, type et prestataire. Ordres de grandeur 2026 pour le marché français :

Audit d'une application web simple : 5 000 - 15 000 €.
Audit d'une application web complexe ou mobile : 12 000 - 30 000 €.
Audit infrastructure interne (quelques centaines d'hôtes) : 15 000 - 40 000 €.
Pentest externe périmètre Internet (taille moyenne) : 8 000 - 20 000 €.
Engagement red team : 40 000 - 150 000 € et plus.
Audit PASSI LPM OIV : 50 000 - 300 000 € selon périmètre.

Pour les PME, des offres pentest ciblées ou des programmes de bug bounty peuvent être plus accessibles que les audits traditionnels.

Doit-on faire un pentest tous les ans ?

Recommandé pour les systèmes exposés et critiques. Les bonnes pratiques : pentest annuel sur les applications critiques et l'infrastructure externe, pentest avant toute mise en production majeure, pentest ciblé après évolution significative, scanning continu entre les pentests, intégration d'un programme de bug bounty pour compléter. Les référentiels (ISO 27001, PCI DSS, certaines exigences sectorielles) imposent des pentests périodiques. Certaines entreprises matures complètent par du red team annuel et des exercices purple team trimestriels.

Quels sont les risques éthiques du métier ?

Plusieurs tentations à gérer : dépasser le périmètre autorisé (curiosité), conserver des accès après la mission (utile mais illégal), divulguer des informations sensibles découvertes, utiliser les outils pour des activités personnelles non autorisées, monétiser des vulnérabilités découvertes sur le marché noir. Le métier demande une intégrité constante. Les sanctions pour manquement sont sévères : perte de certifications (OSCP retirée en cas de faute grave), poursuites pénales, fin de carrière. L'éthique n'est pas optionnelle.