Aller au contenu principal
SOUS PRESSION · SCORE 55.0%COMMERCE / VENTE

Penetration Tester

Verdict CRISTAL-10 v14.0 : Adapt — compétences à faire évoluer

Penetration Tester - métier face à l’IA en 2026
55.0% exposition IAScore CRISTAL-10 v14.0

Chiffres clés 2026

57 000 €Salaire médian / an
2 800Offres live FT
60 384Intentions BMO 2026

Tension marché : 1.84% postes vacants (62 977 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Le métier de penetration-tester (hacker éthique) consiste à simuler des cyberattaques pour identifier les failles de sécurité des systèmes d’information. Il relève du code ROME M1805 (Consultant en cybersécurité), et non du D1501 erroné.

En France, la profession affiche une tension de marché élevée, portée par la multiplication des incidents cyber et le renforcement des obligations réglementaires (NIS2, RGPD). Les ESN, les cabinets de conseil spécialisés et les grandes entreprises recrutent activement sur ce profil, et France Travail publie des offres régulières sur le code M1805.

Les principaux secteurs recruteurs sont la banque, l’assurance, les télécoms et les éditeurs de logiciels, ainsi que les administrations et les opérateurs d’importance vitale. Les profils certifiés OSCP ou CREST et les experts en sécurité offensive bénéficient d’une forte employabilité.

Impact IA sur le métier

Automatisable par l’IA

  • Adapter une stratégie de vente à une cible ou un produit
  • Présenter et valoriser un produit ou un service
  • Mettre en oeuvre des actions commerciales et promotionnelles
  • Analyser les indicateurs de performance après chaque action marketing afin d’améliorer les opérations commerciales et développer le chiffre d’affaires
  • Implémenter des stratégies de marketing local

Reste humain

  • Développer et animer un réseau de partenaires commerciaux susceptibles de favoriser la mise en relation avec des prospects
  • Former les équipes de terrain aux spécificités des produits et actions marketing
  • Accompagner les points de vente pour les aider à optimiser leurs résultats grâce aux observations de terrain
  • Travail les week-ends et jours fériés
  • Zone départementale

Impact de l’IA sur ce metier

Trois tâches sont partiellement automatisées : la reconnaissance passive (scan de sous-domaines, OSINT) via des assistants d’IA générative pour l’analyse de données, la génération de payloads de base pour les failles connues, et la rédaction de rapports standardisés avec des modèles de langage dédiés.

Trois activités restent fondamentalement humaines : l'exploitation de vulnérabilités complexes nécessitant une compréhension fine des systèmes, la créativité pour contourner les défenses avancées, et la validation finale des livrables.

Les pentesters utilisent aussi des assistants de code IA pour le scripting rapide en Python ou PowerShell. Les outils d’IA déployés incluent les assistants génératifs (analyse de code malveillant, génération de rapports) et les modèles de langage (recherche de CVE, synthèse de logs), ainsi que des outils collaboratifs IA pour la documentation d’équipe.

L’IA ne remplace pas le jugement du pentester mais accélère les tâches répétitives.

Compétences clés

Techniques de vente et de promotionArgumentation commercialeGestion de la relation client (CRM)Marketing MixTechniques de négociation avancéesTechniques commercialesTechniques de présentation de produitStratégies de fidélisation clientGérer des réclamations et litigesOrganiser, aménager un espace de venteAssurer une veille concurrentielle activeEffectuer un reporting régulier à la hiérarchieOrganiser et participer aux divers événements d’animation (petits déjeuners, salons, conférences…) et ainsi qu’aux différentes réunions commercialesVeiller à diffuser une bonne image de son entreprise auprès des points de vente de son réseauSuperviser l’application de la politique commerciale et du contrat de partenariat ou de franchiseRelayer la communication de son entreprise auprès des points de vente de son réseau

19 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

6 fiches disponibles. Top 4 :

  • RNCP37213 — Commercialisation éco-responsable (Niveau 4)
  • RNCP38362 — Management commercial opérationnel (Niveau 5)
  • RNCP38368 — Négociation et digitalisation de la relation client (Niveau 5)
  • RNCP38831 — Conseiller de vente omnicanale mode et beauté (Niveau 4)

Reconversion & CPF

  • 4 paths de reconversion disponibles →
  • Durée moyenne formation : 36 mois
  • 15 formations CPF éligibles
  • Top organismes : GP FORMATIONS, FORMATION ET CONSEIL, LYCEE GENERAL ET TECHNOLOGIQUE PABLO PIC
  • Financement CPF + Pôle Emploi possibles
Grille salarialeFormations 2026ReconversionGuide IA

Carriere et formation

La carrière démarre comme pentester junior dans une ESN ou un CERT. Le débutant exécute des tests d’intrusion guidés, rédige des rapports et apprend les méthodologies OWASP et PTES.

Après quelques années, le confirmé mène des campagnes complexes, encadre des juniors et possède une ou plusieurs certifications (OSCP, CREST). Avec l’expérience, le senior pilote des missions d’envergure, crée des outils sur mesure et conseille la direction.

Le poste de lead pentester / manager gère une équipe et les relations clients. Les horaires sont classiques mais avec des astreintes possibles lors de tests en conditions réelles ou d'incidents. La progression salariale est rapide grâce à la pénurie de talents.

Les secteurs les plus offrants restent la banque, l’assurance, les télécoms et les éditeurs de logiciels. L'expatriation (Suisse, Luxembourg, États-Unis) reste une option attractive pour les profils confirmés.

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)39 900 €45 885 €0.70 × médian
Médian (3-7 ans)57 000 €65 550 €DARES+INSEE
Senior (8+ ans)71 250 €76 950 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
60 384 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 6% du secteur adopte IA (vs 8% moyenne France).
2030
Le penetration tester exploite l’IA pour automatiser la découverte de vulnérabilités connues, mais la créativité d’attaque sur des systèmes inédits reste une compétence profondément humaine.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

5 metiers cibles pour se reconvertir

Pour un pentester souhaitant pivoter, trois cibles de reconversion se degagent. La premiere est architecte de securite (ROME M1802, 65 000-85 000 EUR), qui conçoit les systemes de defense.

La seconde est consultant en securite cloud (ROME M1801, 60 000-80 000 EUR), specialise AWS, Azure ou GCP.

La troisieme est formateur en cybersecurite (salaire median 50 000 EUR), misant sur la pedagogie.

Deux autres voies : analyste SOC (ROME M1803, 45 000-60 000 EUR) pour une approche defensive, ou chercheur en securite (bug bounty, R&D).

Les formations CPF mobilisables incluent les certifications OSCP, CEH et les parcours RNCP en cybersecurite. Le marche offre des transitions fluides grace a la polyvalence technique acquise.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 55.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Penetration Tester en 2026 ?
Médian estimé : 57 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir penetration tester ?
6 fiches RNCP disponibles (code ROME D1501). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Metiers proches face a l IA

Analyse approfondie

Penetration tester : fiche complète 2026

Le penetration tester, ou testeur d’intrusion, simule des cyberattaques pour découvrir les failles des systèmes informatiques avant les pirates. En 2026, la recrudescence des ransomwares et la pression réglementaire poussent les organisations à renforcer leur sécurité offensive. Ce métier technique, classé sous le code ROME D1501, affiche un score d’exposition à l’IA de 55 % au barème CRISTAL-10, illustrant une automatisation partielle des tâches répétitives mais une dépendance forte au jugement humain. Avec un salaire médian de 35 000 euros brut par an, la profession attire des profils variés, issus de l’informatique ou de la reconversion.

Périmètre du métier et différences vs métiers proches

Le penetration tester se distingue de l’expert en cybersécurité défensive (SOC analyst) par son approche offensive : il attaque pour mieux défendre. Contrairement au consultant en sécurité qui conseille sur les politiques, le testeur d’intrusion exécute des tests techniques sur des périmètres définis (réseau, application web, mobile). L’auditeur de sécurité, lui, se concentre sur la conformité réglementaire (RGPD, ISO 27001) tandis que le pentester valide l’efficacité des contrôles en conditions réelles. Le pirate éthique peut aussi réaliser des campagnes d’ingénierie sociale, ce que ne fait pas un ingénieur en sécurité système. Enfin, le red teamer est un pentester senior qui coordonne des simulations complexes, souvent en équipe.

Cadre réglementaire 2026

Le cadre légal impose aux entreprises de sécuriser leurs données. Le RGPD (Règlement général sur la protection des données) exige des mesures techniques appropriées, dont les tests d’intrusion pour prévenir les fuites. L’AI Act 2026 de l’Union européenne classe les systèmes d’IA selon leur risque : un pentester doit s’assurer que les modèles déployés ne présentent pas de failles exploitables, ce qui ajoute une couche de responsabilité. La CSRD (Corporate Sustainability Reporting Directive) oblige les grandes entreprises à publier leurs risques cyber, rendant les audits de pénétration plus fréquents. Le Code du travail encadre les conditions de réalisation des tests : les employeurs doivent autoriser explicitement ces opérations, sous peine de poursuites pour accès non autorisé. Enfin, la convention collective Syntec (pour les sociétés de services) s’applique souvent aux postes de pentester dans le conseil.

Spécialités et sous-métiers

Le métier se décline en plusieurs spécialités selon la cible des tests.

  • Pentester web : teste les applications web, API et services en ligne. Utilise des techniques d’injection SQL, XSS, CSRF. C’est la spécialité la plus répandue.
  • Pentester mobile : se concentre sur les applications iOS et Android, analyse le code, le stockage local et les communications réseau.
  • Pentester cloud : audite les configurations AWS, Azure ou Google Cloud, recherche des bucket S3 ouverts, erreurs IAM, vulnérabilités de conteneurs.
  • Pentester réseau & infrastructure : teste la sécurité des équipements (routeurs, switchs), des pare-feux et des VPN. Inclut le test de bornes Wi-Fi.
  • Pentester industriel (OT) : audite les systèmes SCADA, automates programmables, réseaux de capteurs. Exige des connaissances en protocoles spécifiques (Modbus, Profinet).

Outils et environnement technique

Le penetration tester utilise un arsenal logiciel principalement open source. Kali Linux est la distribution de référence, regroupant des centaines d’outils. Burp Suite (version professionnelle) est standard pour l’analyse des applications web, avec des modules de proxy, d’intrusions et de scan passif. Metasploit Framework permet d’exploiter des vulnérabilités connues et d’automatiser des post-exploitations. Nmap reste l’outil de cartographie réseau incontournable. Wireshark sert à l’analyse approfondie des paquets et à la détection de protocoles faibles. Pour les tests d’ingénierie sociale, des outils comme Gophish ou Social-Engineer Toolkit (SET) sont courants. Les plateformes cloud (AWS, Azure) offrent des services de tests intégrés comme Inspector ou Defender. Enfin, l’IA générative est utilisée pour générer des payloads ou synthétiser des rapports, mais reste secondaire.

Grille salariale 2026

Salaire brut annuel en euros selon l’expérience et la localisation
ProfilParis et Île-de-FranceRégions
Junior (0-2 ans)35 000 – 40 00030 000 – 35 000
Confirmé (3-5 ans)45 000 – 55 00038 000 – 48 000
Senior (+5 ans)55 000 – 70 00048 000 – 60 000

Le salaire médian de 35 000 euros correspond à un débutant parisien. Les primes de certification (OSCP, CISSP) peuvent ajouter 3 000 à 8 000 euros par an. Les profils cloud ou OT perçoivent une prime de rareté de 10% à 15%.

Formations et diplômes

L’accès au métier peut se faire par des formations généralistes en informatique, puis une spécialisation en cybersécurité. Un bac+2 (BTS SIO option cybersécurité) ou un bac+3 (BUT réseaux et télécommunications, licence professionnelle métiers de la cybersécurité) constituent un premier palier. Les deux tiers des pentesters sont titulaires d’un master en informatique spécialisé (cybersécurité, systèmes embarqués). Des écoles d’ingénieurs (INSAT, ESIEA, Télécom Paris) intègrent des modules de pentesting. Les formations courtes (AFPA, CNAM) proposent des titres professionnels de niveau bac+2, souvent complétés par des certifications. Les bootcamps (privés) durent de 3 à 9 mois et misent sur la pratique, mais leur reconnaissance varie.

Diplômes et certifications les plus courants
NiveauDiplôme / CertificationDurée
Bac+2BTS SIO – cybersécurité2 ans
Bac+3BUT R&T – cybersécurité3 ans
Bac+5Master cybersécurité (université ou école)5 ans
CertificationOSCP (Offensive Security Certified Professional)Variable (3-12 mois)

Reconversion vers ce métier

Trois profils de reconversion sont courants.

  • Développeur web full-stack : ses compétences en code (PHP, Python, JavaScript) et en architecture web facilitent l’apprentissage du pentesting côté application. Passerelles via des bootcamps de 3 à 6 mois suivis d’un stage.
  • Administrateur réseaux et systèmes : maîtrise des infrastructures, des serveurs Linux/Windows, des protocoles. Peut se spécialiser en sécurité offensive après une formation courte (MOOC, certification).
  • Technicien support IT : connaissance de base des systèmes et du réseau. Reconversion plus longue (formation diplomante de 12 à 18 mois, type AFPA cybersécurité), mais possible avec de la motivation.

La validation des acquis de l’expérience (VAE) est une voie pour faire reconnaître des compétences autodidactes, notamment pour les autodidactes ayant monté leur propre lab.

Exposition au risque IA

Avec un score de 55 % au CRISTAL-10, le penetration tester est modérément exposé à l’automatisation par l’IA. Les tâches répétitives comme le scan de vulnérabilités, la génération de rapports synthétiques ou l’énumération de sous-domaines sont déjà confiées à des outils IA (ex : modèles de langage pour produire des payloads, analyseurs automatiques de logs). En revanche, la validation des faux positifs, l’interprétation contextuelle des failles et la conception de scénarios d’attaque originaux restent largement humaines. L’IA générative accélère le travail mais ne remplace pas l’expertise métier : les entreprises exigent un rapport humain pour expliquer les risques à la direction. Le risque de substitution partielle existe pour les pentesters juniors, mais les seniors qui maîtrisent l’IA comme assistant verront leur valeur augmenter.

Marché de l’emploi

Le marché est dynamique, tendu pour les profils expérimentés. Les ESN et les cabinets de conseil en cybersécurité embauchent massivement, notamment les grands groupes (Capgemini, Atos, Sopra Steria) ainsi que les sociétés spécialisées (Orange Cyberdefense, Airbus CyberSecurity). Les banques, assurances et opérateurs télécoms ont des équipes internes de pentesting. La demande est forte dans les secteurs régulés (santé, énergie, défense). Les start-up et scale-up cloud-native recrutent aussi, mais avec des budgets plus serrés. La région Île-de-France concentre une majorité des offres, mais les grandes métropoles (Lyon, Toulouse, Bordeaux) connaissent une croissance significative. Le télétravail est répandu, jusqu’à 80% pour les missions techniques, ce qui élargit le vivier géographique. En 2026, les postes en CDI restent majoritaires, avec une part croissante de missions freelance (20-30% du marché).

Certifications et labels reconnus

Les certifications techniques sont cruciales pour valider les compétences. L’OSCP (Offensive Security Certified Professional) est la plus reconnue pour le pentesting offensif, suivie de la CEH (Certified Ethical Hacker) et de la GPEN (GIAC Penetration Tester). Pour la gestion de la sécurité, le CISSP (Certified Information Systems Security Professional) est exigé pour les postes seniors ou de management. Du côté des labels, la certification ISO 27001 (système de management de la sécurité de l’information) n’est pas individuelle mais atteste de la maturité des processus de l’employeur. Le label Qualiopi est requis pour les organismes de formation, ce qui garantit la qualité des parcours de reconversion. Enfin, la certification ANSESI (Agence nationale de la sécurité des systèmes d’information) pour les prestataires de services de confiance qualifiés (audit de sécurité) s’applique aux sociétés de pentesting, pas aux individus.

Évolution de carrière

En 3 ans, un pentester junior peut évoluer vers un poste de consultant sécurité offensif confirmé, en accumulant des certifications et des missions variées. Après 5 ans, deux voies s’ouvrent : la spécialisation technique (expert cloud, mobile, OT) ou le management d’équipe (responsable d’une cellule de test, chef de projet). Une troisième voie est la direction technique (CTO d’une PME de cybersécurité). À 10 ans, le professionnel peut devenir architecte de sécurité, responsable de la sécurité des systèmes d’information (RSSI), ou consultant indépendant avec un réseau de clients. Le passage par la fonction publique (ANSSI, ministères) est également possible pour les profils très qualifiés.

Perspectives du métier

L’essor de l’IA générative pousse à automatiser les phases de reconnaissance et de reporting, mais aussi à tester la sécurité des modèles eux-mêmes via des attaques adversariales. Les tests d’intrusion sur les systèmes embarqués, les objets connectés et les jumeaux numériques se développent, et la réglementation comme l’AI Act et la CSRD rend les pentests obligatoires dans de plus en plus de secteurs. Les attaques ciblant les infrastructures cloud-native imposent une mise à jour continue des compétences, et la pénurie de talents en cybersécurité offre des perspectives aux entrants tout en faisant croître la pression salariale.