Observatoire des métiers du numérique, de l’ingénierie, du conseil et de l’événement
Présentation du métier
Contexte de travail
Conditions de travail
Compétences et niveaux attendus
Certifications
Proximité(s)/évolution(s) envisageables
Tendances nationales sur le métier
Pour en savoir plus

PENTESTEUR / PENTESTEUSE

Famille : Développement et test de la solution
Autres appellations en français
  • Consultant et auditeur sécurité technique
  • Évaluateur sécurité des systèmes et des produits
  • Spécialiste cybersécurité/Expert produit/technologie
  • Expert(e) audit sécurité et intrusion
  • Hacker éthique
Autres appellations en anglais
  • System testing and evaluation specialist
  • Ethical Hacker

Présentation du métier : Pentesteur

Le Pentesteur évalue le système de prévention d'intrusion de sécurité d'une entreprise dans l'objectif de limiter les pertes, consultations, vols et corruptions des données du produit/système
Collecter des données :
En amont de la simulation d'intrusion, le Pentesteur effectue des recherches sur les vulnérabilités techniques et humaines exploitables. Il collecte et répertorie les données sensibles de l'entreprise pouvant ou ayant déjà été concernées par un incident de cybersécurité.

Tester et analyser le système :
Il organise des tentatives de tests d'intrusion du système/produit tel qu'elles pourraient avoir lieu par un tiers malveillant. Ensuite, il évalue le niveau de consultation des données et des pertes puis analyse les risques de corruption associés sur les différents tests d'intrusion réussis.

Conseiller et préconiser des solutions adaptées :
Il préconise les évolutions/améliorations ou patchs du produit/système. Il conseille les clients à propos de systèmes d'alerte qu'il est possible de mettre en place en cas d'intrusion dans l'objectif de sécuriser les données accessibles.

Contexte de travail

Environnement technique :
L'environnement technique du pentesteur portera sur les documentations techniques, l'architecture du système d'information et de bonnes connaissances en Linux, sécurité réseau, sécurité informatique et développement logiciel (dont langage de développement)

Niveau de technologies :
Le développement des technologies sur les marchés SI influe sur ce métier qui doit s'adapter aux nouvelles technologiques nécessaires pour la prévention et organiser l'ensemble des ressources de manière cohérente.

Expertise sectorielle :
L'expertise sectorielle apportée par le pentesteur va influer sur les projets et clients pour lesquels il intervient. Certains types d'attaques ou données étant plus particulièrement concernés selon certains secteurs.

Culture client en lien avec la technologie :
Selon la maturité des acteurs impliqués dans le projet de transformation, il doit mener un travail variable sur la culture des acteurs clients autour de la technologie et de ses impacts métiers/organisationnels.
Type et taille d'entreprise :
Le Pentesteur peut être indépendant dans une structure de type spécialisée dans le domaine de la cybersécurité ou dans un groupe qui offre des solutions plus globales (PME ou grande Entreprise de Service Numérique).

En tant qu'indépendant, il peut intervenir dans un domaine très spécialisé d'attaques, en complément d'une prestation de plus grande taille. S'ajoutent des besoins de compétences liés au positionnement de son entreprise et à sa gestion (ex : juridique, comptabilité, fiscalité, gestion de partenariats).

Dans un groupe diversifié, il intervient alors pour des projets internes sur le ou les SI et pourra intervenir sur des missions de conseil pour des clients (ex. : définition de la politique de sécurité globale).
Au sein d'une TPE spécialisée ou en Indépendant : il intervient sur des projets clients externes pour lesquels il réalisera différentes missions de conseil pur à un projet complet, il pourra également intervenir sur des projets en interne.

Conditions de travail

Il varie selon la phase de projet et le nombre de projets simultanés. Il est plus élevé sur la phase de test de la solution en amont, mais reste soutenu dans la phase d'exploitation. Il peut être en forte hausse en période de nouvelle méthodologie d'intrusion et changement de technologie ou de produit. La disponibilité du service est souvent garantie 24 heures sur 24 et 7 jours sur 7, et de ce fait il est souvent soumis à des astreintes
Les déplacements sont occasionnels. Les rendez-vous se déroulent en présentiel, en visioconférence ou par téléphone.
Relations internes
  • Analyste de la menace
  • Analyste SOC
Relations externes
  • Clients
  • Prestataires
  • Fournisseurs
  • Chef de projet client
  • Directions métiers du client
  • DSI client

Compétences et niveaux attendus en 4 niveaux cumulés

Macro compétences
Niveaux et compétences attendues
Exemple concret d'activité pour le niveau attendu
Macro compétences :
Gérer les risques de Cybersécurité
Niveaux et compétences attendues :
Niveau attendu : 2
Exemple concret d'activité pour le niveau attendu :
Le pentesteur identifie et analyse les risques de Cybersécurité, il réalise, les tests, l'analyse des intrusions et potentielles failles et la rédaction de préconisations.
Macro compétences :
Manager la connaissance
Niveaux et compétences attendues :
Niveau attendu : 3
Exemple concret d'activité pour le niveau attendu :
Il développe et met à jour les données collectées et traitées des précédentes missions afin de partager la base avec son équipe
Macro compétences :
Collecter et exploiter les informations liées au projet
Niveaux et compétences attendues :
Niveau attendu : 1
Exemple concret d'activité pour le niveau attendu :
Il recherche, collecte et qualifie les informations et les données sur les vulnérabilités et failles de Cybersécurité
Macro compétences :
Gérer une architecture technique
Niveaux et compétences attendues :
Niveau attendu : 1
Exemple concret d'activité pour le niveau attendu :
Il utilise son expertise sur les architectures techniques pour identifier et cartographier les failles et risques du système ou humains.
Macro compétences :
Gérer une architecture fonctionnelle SI
Niveaux et compétences attendues :
Niveau attendu : 1
Exemple concret d'activité pour le niveau attendu :
Il utilise son expertise sur les architectures fonctionnelles SI pour identifier et cartographier les failles et risques du système ou humains.
Macro compétences :
Analyser et gérer les risques
Niveaux et compétences attendues :
Niveau attendu : 2
Exemple concret d'activité pour le niveau attendu :
Il pilote et développe la gestion des risques de son projet, préconise les mesures préventives et anticipe les évolutions
Macro compétences :
Mener un diagnostic ou un test/essai technique
Niveaux et compétences attendues :
Niveau attendu : 3
Exemple concret d'activité pour le niveau attendu :
Il rédige le plan de test et pilote la simulation, l'analyse et le compte rendu des résultats et préconisations.
Macro compétences :
Utiliser l'anglais en contexte professionnel
Niveaux et compétences attendues :
Niveau attendu : 2
Exemple concret d'activité pour le niveau attendu :
Il travaille en anglais pour les échanges mails, téléphoniques, pour les documents et langages informatiques
Macro compétences :
Mener un processus de test en cybersécurité
Niveaux et compétences attendues :
Niveau attendu : 4
Exemple concret d'activité pour le niveau attendu :
Il rédige le plan de tests, analyse les failles potentielles d'un système et simule une attaque pour récolter les données complémentaires.
Macro compétences :
Actualiser ses connaissances et s'adapter
Niveaux et compétences attendues :
Niveau attendu : 3
Exemple concret d'activité pour le niveau attendu :
Il partage les évolutions de la menace de cyberattaques avec l'ensemble de la chaîne de cybersécurité de son entreprise, de ses clients, voire de ses parties prenantes
Macro compétences :
Gérer les systèmes de supervision de la sécurité
Niveaux et compétences attendues :
Niveau attendu : 1
Exemple concret d'activité pour le niveau attendu :
Il récolte et organise les données et les informations sur les risques, les alertes et la veille qu'il réalise dans une base de données.
Macro compétences :
Dimensionner les moyens humains et matériels pour un projet ou un chantier
Niveaux et compétences attendues :
Niveau attendu : 3
Exemple concret d'activité pour le niveau attendu :
Il réalise des analyses stratégiques sur la totalité du système lors d'une détection de menace et rédige le compte rendu et les préconisations de celle-ci

Certifications

Liste des certifications

Hors branche

Proximité(s)/évolution(s) envisageables
La proximité des métiers

Axes de mobilité professionnelle

Sens d'évolution
Sélection de secteur
Numérique
Numérique
Ingénierie
Ingénierie
Études & Conseil
Études & Conseil
Évènement
Évènement
Transverses
Transverses
Autre
Cliquer sur un secteur pour afficher uniquement les provenances et les évolutions depuis et vers ce secteur
Cliquer sur les flèches pour accéder à la comparaison des métiers.
Provenances possibles
Evolutions envisageables
Autres provenances Autres provenances
Provenances lointaines Provenances lointaines
Provenances moyennes Provenances moyennes
Proximité forte Proximité forte
Evolutions moyennes Evolutions moyennes
Evolutions lointaines Evolutions lointaines
Autres évolutions Autres évolutions
Pentesteur
Conseiller support technique
Technicien Informatique
Développeur
Développeur applications
Spécialiste test et validation
Analyste SOC
Analyste de la menace
Spécialiste jumeau numérique
Expert en Intelligence Artificielle
Spécialiste DevOps
Intégrateur logiciels métiers
Ces mobilités sont données à titre indicatif, sans valeur d’obligation pour les entreprises et les salariés qui doivent les adapter à leur situation particulière.

Tendances nationales sur le métier: Pentesteur

offres d'emploi sur un an
offres d'emploi sur un an

Répartition des offres d'emploi sur le dernier semestre

Aucune donnée

Expérience requise au recrutement

Aucune donnée

Niveau de formation requis au recrutement

Aucune donnée

Types de contrats au recrutement

Aucune donnée
%}

Taille des entreprises qui recrutent

Aucune donnée

Les compétences les plus demandées au recrutement

Aucune donnée