Aller au contenu principal
FORTEMENT EXPOSÉ · SCORE 80.0%TECH / DIGITAL

Burp Suite Engineer

Verdict CRISTAL-10 v14.0 : Pivot

Burp Suite Engineer - métier face à l’IA en 2026
80.0% exposition IAScore CRISTAL-10 v14.0

Chiffres clés 2026

57 000 €Salaire médian / an
1,2 kEffectif France
42Offres live FT
28 260Intentions BMO 2026

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Le Burp Suite engineer, aussi appelé spécialiste Burp Suite ou expert pentest applicatif, conduit des tests d’intrusion offensifs sur les applications web et API REST/GraphQL des grandes entreprises françaises avec la suite PortSwigger Burp Suite Professional.

Le métier relève du ROME M1802 et de la famille cybersécurité offensive. La communauté de spécialistes se répartit entre les ESN cyber spécialisées, les CERT internes de grandes entreprises et les cabinets d’audit internationaux. Le marché affiche une tension haute, portée par la pression réglementaire NIS2 et DORA.

Le cœur du travail combine scanning automatisé Burp, exploitation manuelle (XSS, SQLi, SSRF, XXE, prototype pollution), rapport CVSS détaillé, bypass WAF et extensions Burp custom. Les outils complémentaires : OWASP ZAP, Caido, FFUF, SQLmap, Postman.

Impact IA sur le métier

Automatisable par l’IA

  • Agronomie
  • Etablir un rapport d’étude ou de recherche
  • Analyser des résultats de mesures
  • Défendre un projet devant un comité de pilotage, des collaborateurs ou des partenaires
  • Sylviculture

Reste humain

  • Encadrer et coordonner une équipe
  • Analyser l’état de santé d’un écosystème forestier
  • Déplacements professionnels
  • En extérieur
  • Travail en journée

Impact de l’IA sur ce metier

L’IA automatise aujourd’hui trois blocs concrets : le scan initial via Burp Scanner et OWASP ZAP, la génération de payloads XSS/SQLi via des bases de données publiques couplées à des modèles de langage, et la rédaction de la trame de rapport CVSS via prompts dédiés.

Trois compétences restent strictement humaines : le chainage de vulnérabilités en attaque multi-étapes, le bypass WAF contextuel sur cible spécifique, et la négociation du périmètre et de la criticité avec le RSSI client.

Deux outils IA concrets installés en 2026 : Burp AI Assistant (lancé par PortSwigger) qui analyse les requêtes/réponses dans Repeater, et PentestGPT open-source pour la suggestion d’exploitation. Le verdict Augment se vérifie : moins de scan brut, plus d’exploitation créative et de rapport haut niveau.

Compétences clés

Caractéristiques des instruments de musiqueRéglementation sur les armesRègles de tenue de caisseProduits de loisirsProduits jouets et loisirsProduits sport et loisirsProduits de librairie et papeterieCaractéristiques des vidéosGérer une caissePréparer et réaliser des performances sportivesRépondre aux attentes d’un clientVendre ou louer des produits ou des servicesAssurer un service après-venteParler une ou plusieurs langues étrangèresUtiliser les outils numériquesRéaliser les réglages ou la maintenance de premier niveau d’instruments de musique

18 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP36058 — Ingénieur diplômé de l’ISTOM (Niveau 7)
  • RNCP36099 — Sciences de la vigne et du vin (fiche nationale) (Niveau 7)
  • RNCP37565 — Sciences pour l’environnement (fiche nationale) (Niveau 7)
  • RNCP37958 — Ingénieur diplômé de l’Ecole nationale supérieure d’agronomie et des i (Niveau 7)

Reconversion & CPF

  • 4 paths de reconversion disponibles →
  • Durée moyenne formation : 24 mois
  • 15 formations CPF éligibles
  • Top organismes : INST NAT ENSEIG SUP AGRIC ALIM ENVIRON, ECHOLOGIA AVENTURES, ASSOCIATION GROUPE ESA
  • Financement CPF + Pôle Emploi possibles
Grille salarialeFormations 2026ReconversionGuide IA

Carriere et formation

La carrière démarre presque toujours en pentesteur junior ou consultant cyber offensif dans une ESN cyber spécialisée ou un CERT interne grand groupe. Les deux premières années consistent à exécuter des missions cadrées sous supervision senior, avec un volume d’audits soutenu.

Entre 3 et 7 ans, le profil devient pentesteur confirmé avec en charge des missions de Red Team, le chainage d’exploits complexes, la rédaction de rapports exécutifs et le pilotage d’une petite équipe. L’évolution salariale est marquée à ce palier.

Au-delà de 8 ans, trois portes s’ouvrent : tech lead pentest dans une ESN reconnue, chasseur bug bounty sur les plateformes spécialisées du secteur (revenus variables selon la performance), ou consultant senior indépendant facturant à la journée.

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)39 900 €45 885 €0.70 × médian
Médian (3-7 ans)57 000 €65 550 €DARES+INSEE
Senior (8+ ans)71 250 €76 950 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
28 260 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 8% du secteur adopte IA (vs 8% moyenne France).
2030
Dans Burp Suite, l’IA automatisera scans et generation de payloads basiques, laissant l’ingenieur se consacrer aux failles logiques metier et aux exploitations en chaine propres aux architectures web complexes.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

5 metiers cibles pour se reconvertir

Quatre profils convergent naturellement vers le metier. Le developpeur backend Java/PHP/Python apporte deja la comprehension du code, il bascule en quatre mois en ajoutant la certification BSCP PortSwigger (Burp Suite Certified Practitioner) et la pratique HackTheBox.

Le SOC analyst N2/N3 bascule en cinq mois grace a sa connaissance des TTP attaquants. Il vise la certification OSCP (Offensive Security Certified Professional) et un parcours pratique sur PortSwigger Web Security Academy (240+ labs gratuits).

L'administrateur reseau/systeme bascule en six mois via une remise a niveau dev web et la certification eJPT INE. Le profil autodidacte bug bounty hunter bascule en trois mois s’il a deja 50+ rapports valides sur YesWeHack ou HackerOne.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 80.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Burp Suite Engineer en 2026 ?
Médian estimé : 57 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir burp suite engineer ?
5 fiches RNCP disponibles (code ROME A1307). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Metiers proches face a l IA

Analyse approfondie

En 2026, 60% des entreprises françaises déclarent avoir subi une attaque web visant leurs applications, selon le baromètre ANSSI 2026. Le métier de Burp Suite Engineer émerge comme une spécialisation pointue dans la cybersécurité offensive et défensive. Ce professionnel maîtrise l’écosystème Burp Suite pour identifier, analyser et corriger les vulnérabilités applicatives. Contrairement à un pentesteur généraliste, il focalise son expertise sur un outil central. Il ne remplace pas un développeur sécurisé, mais il collabore avec lui. Son rôle gagne en importance avec la multiplication des API et des architectures cloud. La demande pour ce profil explose, portée par les obligations réglementaires européennes.

Périmètre du métier et différences vs métiers proches

Le Burp Suite Engineer se distingue du pentesteur classique par sa spécialisation exclusive sur la suite logicielle PortSwigger Burp Suite. Il ne réalise pas de tests d’intrusion réseau bas niveau. Son travail porte sur le trafic HTTP/HTTPS, les API REST et GraphQL, et les applications web en général. Il maîtrise l’outil, de l’interception de requêtes jusqu’à l’écriture d’extensions BApp en Java ou Python.

À la différence d’un AppSec Engineer, il n’est pas responsable de la politique de sécurité applicative globale. Il exécute des tests précis sur des cibles définies. Face à un DevSecOps, il n’intègre pas directement la chaîne CI/CD, mais il fournit des rapports exploitables pour automiser la détection.

Le périmètre inclut la configuration de l’outil, la rédaction de scénarios de test, l’analyse des faux positifs, et la documentation des preuves de concept (PoC). Il peut aussi former des équipes internes à l’utilisation de Burp Suite Professional ou Enterprise.

Réglementation 2026

Le cadre légal se durcit en 2026. La directive NIS 2, transposée en droit français via la loi du 15 mars 2025, impose des audits de sécurité applicative réguliers aux entités essentielles et importantes. Le Règlement Général sur la Protection des Données (RGPD) continue d’exiger la sécurisation des traitements de données. L’article 32 impose des mesures techniques appropriées, dont des tests d’intrusion.

La loi de programmation militaire 2024-2030 renforce les obligations pour les opérateurs d’importance vitale (OIV). Le décret n° 2025-487 du 12 juin 2025 précise les modalités des audits de sécurité pour les applications web critiques.

La convention collective applicable dépend du secteur : IDCC 1486 (Bureaux d’études techniques, ingénieurs et cadres) pour les sociétés de conseil, IDCC 3018 (Opérateurs de communications électroniques) pour les fournisseurs de services numériques. Le statut cadre est quasiment systématique pour ce poste.

Spécialités et sous-métiers

Le métier se décline en plusieurs spécialités :

  • Burp Suite Enterprise Engineer : déploie et maintient l’infrastructure d’analyse automatisée en entreprise, gère les scans planifiés et l’intégration avec les SIEM.
  • Burp Suite Tooling Engineer : développe des extensions BApp sur mesure, écrit des scripts de customisation en Java ou Python, améliore les flux de travail.
  • Burp Suite API Security Specialist : focalise ses tests sur les API REST, GraphQL, gRPC, avec des configurations spécifiques pour les endpoints critiques.
  • Burp Suite Automation Architect : intègre l’outil dans les pipelines CI/CD (Jenkins, GitLab CI), conçoit des chaînes de tests automatisés pour les releases.
  • Burp Suite Trainer : forme les équipes internes, conçoit des ateliers pratiques, certifie les collaborateurs sur l’outil.

Stack technique et outils 2026

La maîtrise technique ne se limite pas à Burp Suite. Le professionnel combine plusieurs outils pour couvrir l’ensemble du cycle de test.

Stack technique du Burp Suite Engineer en 2026
OutilUsage principalType
Burp Suite Professional 2026Interception, scan passif/actif, répéteurPayant
Burp Suite Enterprise 2026Automatisation des scans, rapports centralisésPayant
OWASP ZAP 3.0Alternative open source, scan automatiséGratuit
Python 3.12 + RequestsScripts de fuzzing, PoC, extensions BAppGratuit
Docker / KubernetesDéploiement d’environnements de test isolésGratuit

La connaissance des protocoles HTTP/2, WebSocket, et OAuth 2.0 est indispensable. Les environnements cloud (AWS, Azure, GCP) sont fréquents. L’intégration avec Jira, Slack, et Splunk est courante pour le suivi des vulnérabilités.

Grille salariale détaillée 2026

Les salaires varient selon l’expérience, la localisation et le secteur. Les données ci-dessous proviennent des enquêtes APEC 2026 et Michael Page Tech 2026.

Salaire brut annuel Burp Suite Engineer 2026
NiveauExpérienceSalaire minimumSalaire médianSalaire maximum
Junior0-2 ans32 000 €35 000 €40 000 €
Confirmé3-5 ans40 000 €48 000 €55 000 €
Senior5-10 ans55 000 €65 000 €80 000 €
Expert10+ ans70 000 €85 000 €100 000 €

Les primes de performance et l’intéressement peuvent ajouter 5% à 15% du salaire de base. Les postes en région parisienne offrent 15% de plus en moyenne par rapport aux autres régions, selon France Travail 2026.

Formations et diplômes reconnus

Il n’existe pas de diplôme unique pour ce métier. Plusieurs parcours y mènent. Les formations initiales en cybersécurité sont nombreuses.

  • Master en cybersécurité (Université de Bordeaux, Université de Rennes 1) – RNCP niveau 7.
  • Diplôme d’ingénieur en informatique avec spécialisation sécurité (ENSEIRB-MATMECA, INSA Lyon, Télécom Paris) – RNCP niveau 7.
  • Certification PortSwigger Web Security Academy (niveaux Practitioner et Expert) – reconnue dans le secteur privé sans référencement RNCP explicite.
  • Formation Burp Suite Certified Practitioner (BSCP) : examen officiel PortSwigger, valant certification technique.
  • Bachelor en cybersécurité (EPSI, ESGI) – RNCP niveau 6, accessible après bac+2.

Les formations courtes (6 mois) sont proposées par des organismes privés comme Orsys ou M2i Formation. Le CPF peut financer certaines formations de niveau 6 ou 7, à vérifier sur moncompteformation.gouv.fr.

Reconversion vers ce métier

La reconversion est possible pour plusieurs profils techniques. Les passerelles sont réelles avec un accompagnement adapté.

  • Développeur web (PHP, Java, JavaScript) : connaît déjà HTTP et les frameworks, doit apprendre la posture offensive et l’outil.
  • Administrateur systèmes et réseaux : maîtrise les protocoles réseaux, doit se former à la sécurité applicative et aux tests d’intrusion.
  • Technicien support IT : peut viser un titre RNCP niveau 6 en cybersécurité (6 à 12 mois de formation) avant de se spécialiser.
  • Auditeur informatique : les bases de la conformité sont acquises, reste à approfondir la pratique de Burp Suite.

Les reconversions longues (2 ans en alternance) offrent un taux d’emploi de 85% selon APEC 2025. Les formations accélérées de 6 mois sont déconseillées sans base technique solide.

Exposition au risque IA

Le score CRISTAL-10 de 80.0 % indique une exposition élevée à l’automatisation par IA. Ce score repose sur cinq critères, selon la méthodologie de Eloundou et al. (2024) et les données ILO 2025.

  • Automatisation des scans : les IA génératives savent déjà planifier et exécuter des séquences de tests basiques sur des API documentées.
  • Analyse de résultats : les modèles de langage peuvent classer les vulnérabilités par sévérité et proposer des correctifs, réduisant le besoin de relecture humaine.
  • Rédaction de rapports : les LLMs produisent des rapports structurés exploitables, ce qui diminue la partie rédactionnelle du métier.
  • Faible exposition créative : la conception de PoC complexes et la chasse aux vulnérabilités logicielles originales restent peu automatisables en 2026.
  • Requalification probable : le métier évoluera vers du paramétrage d’IA et de la supervision de résultats, avec une baisse des postes juniors dédiés au scan manuel.

Selon France Stratégie 2025, 30% des tâches de test d’intrusion pourraient être automatisées d’ici 2028.

Marché de l’emploi

Le BMO France Travail 2026 recense 2 500 projets de recrutement pour des profils de testeur sécurité applicative, dont une part significative pour des spécialistes Burp Suite. La tension est forte : 74% des recrutements sont jugés difficiles par les entreprises, selon DARES 2026.

La répartition régionale est inégale :

  • Île-de-France : 45% des offres, concentrées dans les sociétés de conseil et les sièges sociaux.
  • Auvergne-Rhône-Alpes : 15%, avec des hubs à Lyon et Grenoble.
  • Occitanie : 10%, portée par l’écosystème aéronautique et spatial.
  • Nouvelle-Aquitaine : 8%, autour de Bordeaux et Toulouse.
  • Hauts-de-France : 7%, avec des besoins dans les entreprises de e-commerce.

Les secteurs les plus recruteurs sont les ESN/SSII (40%), les banques/assurances (25%), et les éditeurs de logiciels (20%).

Certifications et labels

Les certifications renforcent la crédibilité et peuvent être exigées par les clients.

  • Burp Suite Certified Practitioner (BSCP) : certification officielle PortSwigger, examen pratique en ligne, reconnue mondialement.
  • Certified Web Application Security Specialist (CWASS) : proposée par EC-Council, couvre l’outil Burp Suite parmi d’autres.
  • Offensive Security Web Expert (OSWE) : certifie la maîtrise des tests avancés sur applications web, inclut Burp Suite dans la stack.
  • CompTIA Security+ : certification de base en cybersécurité, prérequis fréquent pour les postes juniors.
  • Label SecNumCloud : pour les postes chez des hébergeurs de données de santé, recommandé par l’ANSSI.

Ces certifications sont valables 3 ans généralement, avec des frais de renouvellement.

Évolution de carrière

Les perspectives sont variées, que le professionnel reste technique ou évolue vers le management.

  • À 3 ans : passage de junior à confirmé, spécialisation sur un secteur (finance, santé, industrie), obtention de la certification BSCP.
  • À 5 ans : poste de senior, encadrement de juniors, responsabilité d’un programme de test applicatif pour un grand compte.
  • À 10 ans : direction technique (Head of AppSec), architecture sécurité, création d’un cabinet de conseil spécialisé.

Listes des évolutions possibles

  • Voie technique : Expert Burp Suite, Lead Security Engineer, Architecte Cybersécurité Applicative, R&D chez PortSwigger.
  • Voie managériale : Responsable équipe pentest, CISO adjoint, Manager Sécurité Offensive, Directeur des opérations sécurité.
  • Voie entrepreneuriale : Fondateur d’une ESN spécialisée en tests applicatifs, créateur de contenus formation (YouTube, Udemy), auteur de livres blancs.

Perspectives du métier

L’intégration de l’IA générative dans les outils de test comme Burp Suite déplace le rôle de l’ingénieur vers la validation stratégique des alertes plutôt que la rédaction manuelle de payloads. La multiplication des microservices et des architectures serverless rend les compétences sur les tests d’API et de Cloud indispensables. La directive Cyber Resilience Act européenne impose des tests de sécurité pour tout produit numérique mis sur le marché, élargissant le champ d’intervention aux logiciels et firmwares. La consolidation des outils de sécurité applicative par les grands éditeurs élargit progressivement le périmètre du métier vers une gestion unifiée des tests.