Aller au contenu principal
FORTEMENT EXPOSÉ · SCORE 80.0%TECH / DIGITAL

Testeuse de Pénétration

Verdict CRISTAL-10 v14.0 : Pivot

Testeuse de Pénétration - métier face à l’IA en 2026
80.0% exposition IAScore CRISTAL-10 v14.0

Chiffres clés 2026

45 000 €Salaire médian / an
27Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Evaluer, prévenir, et gérer les risques et la sécurité
  • Tester un logiciel, un système d’informations, une application
  • Documenter les interventions et les anomalies rencontrées
  • Communiquer, lire et rédiger des documents techniques, des rapports, des notes en anglais
  • Utiliser des outils de cryptographie pour sécuriser les données

Reste humain

  • Communiquer clairement les risques de sécurité aux parties prenantes
  • En milieu nucléaire
  • Déplacements professionnels
  • Possibilité de télétravail
  • Travail en horaires décalés

Compétences clés

Normes de sécuritéRéseaux informatiques et télécomsLicence pro mention métiers de l’informatique : administration et sécurité des systèmes et des réseauxLicence pro mention métiers des réseaux informatiques et télécommunicationsGestion des accès et des identitésExpert en cybersécuritéExpert en cybersécurité des systèmes d’informationLicence pro mention métiers de l’informatique : systèmes d’information et gestion de donnéesRéaliser une veille technique ou technologique pour anticiper les évolutionsMettre à jour un dossier, une base de donnéesActualiser régulièrement ses connaissancesPiloter les fonctionnalités des équipements et systèmes de sécurité informatiqueIdentifier les anomalies dans les résultats des testsDévelopper des stratégies de mitigation des risquesRéaliser des audits de sécurité pour identifier les vulnérabilitésAnalyser les logs pour identifier les tentatives d’intrusion

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Grille salarialeFormations 2026ReconversionGuide IA

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)31 499 €36 223 €0.70 × médian
Médian (3-7 ans)45 000 €51 749 €DARES+INSEE
Senior (8+ ans)56 250 €60 750 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
La testeuse de pénétration s’appuie sur des outils automatisés pour les scans de surface, mais l’exploration créative des vecteurs d’attaque, la simulation de comportements adversariaux complexes et la rédaction des recommandations restent des missions humaines.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 80.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Testeuse de Pénétration en 2026 ?
Médian estimé : 45 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir testeuse de pénétration ?
5 fiches RNCP disponibles (code ROME M1866). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Metiers proches face a l IA

Analyse approfondie

Testeuse de pénétration

Périmètre du métier

La testeuse de pénétration simule des cyberattaques autorisées pour identifier les failles d’un système d’information. Elle évalue la robustesse des réseaux, des applications et des infrastructures cloud. Son travail s’inscrit dans une démarche proactive de cybersécurité, souvent sous forme de red team. Contrairement à un auditeur de sécurité, elle cherche activement à exploiter les vulnérabilités plutôt qu’à les inventorier. Le périmètre inclut les tests d’intrusion externes, internes, sans connaissance (boîte noire) ou avec information partielle (boîte grise). Selon l’ANSSI, 72 % des entreprises françaises ont subi au moins une tentative d’intrusion en 2025 (source : ANSSI, Rapport sur l’état de la menace 2025). Ce métier représente environ 8 000 postes en France en 2026 (estimation APEC).

Réglementation 2026

à partir de août 2026, l’AI Act européen impose des règles strictes sur les systèmes d’intelligence artificielle utilisés dans les tests de pénétration. Les outils automatisés de scanning doivent être déclarés et leurs algorithmes audités. La réglementation NIS 2, transposée fin 2025, oblige les opérateurs de services importants à réaliser au moins un test d’intrusion par an (source : France Travail, Guide sectoriel cybersécurité 2026). Les données de test doivent être pseudonymisées et le consentement des clients formalisé. La CNIL rappelle dans ses lignes directrices de 2026 que l’exploitation de failles sans autorisation expose à des sanctions pénales, même en environnement de test. De plus, le RGPD impose une notification des incidents dans les 72 heures si des données personnelles sont accidentellement compromises. Le cadre légal évolue aussi avec la certification de cybersécurité des prestataires (PASSI de l’ANSSI).

Spécialités et domaines d’intervention

La profession se divise en plusieurs spécialités. La testeuse en infrastructure se concentre sur les réseaux, les serveurs et les firewalls. Celle spécialisée en applications web analyse les vulnérabilités OWASP Top 10. La mobile pentest cible iOS et Android, avec des outils comme Objection et Frida. Le cloud pentest concerne AWS, Azure et GCP, où les configurations IAM sont souvent mal paramétrées. Une branche émergente est le test d’intrusion IoT, qui examine les objets connectés. Enfin, le social engineering (phishing, appels) complète les approches techniques. D’après l’ENISA, 68 % des tests en 2025 portaient sur les applications web (source : ENISA Threat Landscape 2025). Des entreprises comme Synacktiv, YesWeHack et Acunetix recrutent ces profils.

  • Infrastructure réseau et systèmes
  • Applications web et API
  • Cloud computing (AWS, Azure, GCP)

Outils et technologies 2026

La boîte à outils s’est enrichie avec l’IA. Burp Suite Pro reste l’étalon pour le web, souvent couplé à des plugins d’intelligence artificielle pour générer des payloads. Metasploit Framework intègre des modules de contournement EDR. Nmap et Masscan pour la découverte réseau, mais avec des versions compatibles AI Act. Les plateformes de bug bounty (HackerOne, YesWeHack) permettent de tester à grande échelle. Les scanners automatisés comme Qualys et Rapid7 InsightVM sont couramment déployés, mais le jugement humain reste nécessaire pour interpréter les faux positifs. L’outil OSINT Maltego sert à la phase de reconnaissance. Selon McKinsey, l’utilisation de solutions IA dans le pentest a augmenté de 34 % entre 2024 et 2026 (source : McKinsey, Cybersecurity AI Report 2026).

Grille salariale 2026

Rémunération annuelle brute selon l’expérience (source APEC)
ExpérienceSalaire médianPremier décileDernier décile
Débutante (0-2 ans)38 000 €32 000 €45 000 €
Confirmée (3-6 ans)50 000 €42 000 €62 000 €
Senior (7-12 ans)68 000 €55 000 €85 000 €
Experte (13+ ans)85 000 €70 000 €110 000 €
Lead / Manager d’équipe95 000 €80 000 €130 000 €

Le salaire médian 2026 de 45 000 €/an correspond à 3-4 ans d’expérience. Les primes de bug bounty peuvent augmenter le revenu de 10 % à 30 %. À Paris, les salaires sont 10 % plus élevés qu’en région (source : France Travail, Enquête salaires cybersécurité 2026).

Formations et certifications RNCP

Plusieurs formations sont enregistrées au RNCP. Le titre « Expert en cybersécurité » (RNCP 37354) niveau 7 est dispensé par des écoles comme EPITA, ESIEA et 42. Le mastère spécialisé en cybersécurité de Télécom Paris est aussi reconnu. Des certifications internationales valident les compétences : OSCP (Offensive Security Certified Professional) est la plus courante, avec un taux de réussite de 50 % en 2025 (source : Offensive Security). La certification eLearnSecurity eJPT est adaptée aux débutantes. Le RNCP propose aussi un titre de « Technicien en sécurité des systèmes d’information » niveau 5. France Compétences a répertorié 37 certifications liées au pentest en 2025, dont 15 accessibles en alternance (source : France Compétences, Répertoire 2025).

Principales certifications et niveaux (source RNCP, France Compétences)
CertificationNiveauOrganismeCoût moyen (€)
OSCPAvancéOffensive Security1 500
eJPTDébutanteLearnSecurity400
GPEN (GIAC)ExpertSANS Institute7 500
CREST (CCT)ProfessionnelCREST International2 000
PASSI (ANSSI)NationalANSSI4 000

Reconversion professionnelle

De nombreuses reconversions viennent du développement web ou de l’administration systèmes. Des bootcamps comme Ironhack, Le Wagon ou 42 accélèrent l’acquisition des bases. La formation « Développeur sécurité pentest » chez Simplon (niveau 6) dure 8 mois. Selon la DARES, 22 % des testeurs de pénétration en poste en 2026 sont issus d’une reconversion (source : DARES, Enquête formation professionnelle 2025). Le compte personnel de formation (CPF) peut financer jusqu’à 15 000 € de cursus. L’association CyberWomen et le Campus Cyber proposent des programmes dédiés aux femmes en reconversion. Les passerelles vers le métier passent souvent par l’obtention de l’OSCP, qui nécessite 3 à 6 mois de préparation intensive. Les profils de techniciennes réseau ont un taux de succès de 73 % dans leur nouvelle carrière (source : APEC, Mobilité professionnelle 2025).

Exposition à l’IA selon CRISTAL-10

L’indice CRISTAL-10 attribue un score de 80,0 % à la testeuse de pénétration, signifiant une forte exposition à l’intelligence artificielle. Les tâches de reconnaissance et de scanning sont automatisées par des IA génératives. L’analyse des logs et des patterns est accélérée par des modèles de deep learning. Cependant, l’exploitation créative de vulnérabilités et le social engineering restent des domaines où le jugement humain domine. McKinsey estime que 45 % du temps de test pourrait être automatisé d’ici 2030 (source : McKinsey, AI in Cybersecurity 2026). L’outil Copilot for Security de Microsoft assiste déjà dans la rédaction de rapports. Les testeurs doivent donc maîtriser les prompts et la validation des résultats de l’IA. L’INSEE note que les métiers d’expertise en sécurité informatique ont connu une croissance de 28 % entre 2020 et 2025 (source : INSEE, Emploi et numérique 2025).

Marché de l’emploi en 2026

La demande en testeurs de pénétration dépasse l’offre. Le BMO 2025 de France Travail indique 3 200 projets de recrutement en cybersécurité offensive, dont 1 800 dans des PME. Le délai de recrutement moyen est de 4,5 mois. Les régions Île-de-France, Auvergne-Rhône-Alpes et Occitanie concentrent 65 % des offres. Les secteurs les plus demandeurs sont la finance (banques, FinTech), les télécoms et les administrations publiques. Des entreprises comme Thales, Orange Cyberdefense et Airbus Defence and Space recrutent en volume. Le télétravail est possible pour 70 % des missions (source : APEC, Observatoire des métiers IT 2026). Le salaire d’embauche a augmenté de 8 % par rapport à 2024. Les freelances facturent entre 500 et 1 200 €/jour pour une mission de pentest, selon YesWeHack (source : YesWeHack, Baromètre freelance 2026).

  • Banque et assurance (35 % des offres)
  • Conseil et ESN (29 %)
  • Administrations et collectivités (18 %)

Évolution de carrière

Après 3 à 5 ans de terrain, la testeuse peut devenir architecte sécurité, responsable SOC ou consultante spécialisée. La progression vers chef de projet sécurité ou responsable cyber dans un grand groupe est fréquente. Les passerelles vers l’investigation numérique ou l’audit de conformité existent. Certaines optent pour l’entrepreneuriat en créant leur propre société de pentest ou en rejoignant une plateforme de bug bounty. La certification OSCE (Offensive Security Certified Expert) ouvre les portes des red teams de haut niveau. Selon le RNCP, 41 % des testeurs de pénétration évoluent vers un poste de management dans les 8 ans (source : RNCP, Étude d’insertion 2025). La mobilité interne est favorisée par les grandes entreprises : 63 % des embauches en cybersécurité se font en interne (source : APEC).

Perspectives du métier

L’IA offensive pousse les testeurs à intégrer des compétences en adversarial AI, tandis que la généralisation du cloud hybride multiplie les surfaces d’attaque. La réglementation européenne, notamment l’AI Act et le Cyber Resilience Act, exige des audits de sécurité dès la conception des produits. Les compétences en OSINT et en renseignement de source ouverte deviennent stratégiques, de même que la maîtrise des certifications étatiques comme le label PASSI. La convergence du pentest avec les pipelines DevSecOps fait évoluer le métier vers un profil hybride alliant expertise technique, connaissance juridique et capacité d’adaptation aux outils d’IA.