Pentester

Une entreprise ou un organisme craint pour les informations sensibles qui pourraient être accessibles par son site web, son application, son réseau, etc. Il peut s’agir d’informations sur l’entreprise elle-même ou sur ses clients, par exemple des données de santé ou des renseignements bancaires. La meilleure option pour s’assurer que des hackers ne puissent pas y accéder : faire volontairement appel à un hacker ! C’est le rôle du pentester, qui va tester la sécurité de tous types de systèmes informatiques et repérer les points d’entrée potentiels afin de pouvoir les fermer et renforcer la sécurité. C’est un métier en vogue, les questions de cybersécurité s’imposant de plus en plus aux entreprises.

Bien sûr, au cours de ses missions, le pentester risque de tomber lui-même sur des informations qui sont censées restées secrètes ! Cela pourrait porter préjudice à l’entreprise…  Mais c’est là qu’intervient le côté éthique qui le distingue des hackers aux intentions moins nobles : les contrats incluent des clauses de confidentialité s’assurant qu’aucune fuite n’aura lieu suite aux tests.

Le pentester peut se voir confier des missions en mode boîte noire, boîte grise, ou boîte blanche. Dans le premier cas, il commence la mission sans aucune information sur le système qu’il est chargé de tester. C’est ce qui se rapproche le plus d’une véritable attaque externe par un hacker et permet de mettre le système à l’épreuve. Dans le deuxième cas, il dispose de quelques informations qui peuvent l’aider dans sa tâche, et dans le dernier, il a tous les renseignements nécessaires sur le système, y compris l’accès au code source et les accès administrateur.

Le pentester est un peu un outsider. Il n’exerce pas ses missions au sein même de l’équipe. Souvent, il est dépêché par une société de services auprès de l’entreprise cliente, pour des missions qui excèdent rarement quelques jours. Le cœur de métier est donc plutôt solitaire… Toutefois, cela ne signifie pas qu’il ne lui faut pas une bonne dose de compétences relationnelles. En effet, une fois ses tests effectués, il lui faut expliquer aux équipes internes quelles sont les failles de sécurité qu’il a repérées et leur soumettre des suggestions d’améliorations, le tout sans provoquer de friction ni vexer personne ! Sans oublier que certaines missions de pentest particulièrement complexes peuvent s’effectuer à plusieurs, rendant indispensable la capacité à travailler en équipe.

Le métier de pentester exige avant tout des compétences techniques sur trois niveaux : le réseau, l’administration système, et le développement. En effet, pour être capable de hacker un site web, une application, ou tout autre système informatique, une connaissance approfondie de leur fonctionnement est nécessaire. Quant au développement, il se révèle indispensable puisque de nombreux aspects des tests sont automatisés. Le pentester doit donc être capable de les programmer lui-même et d’en comprendre les résultats. Bien sûr, la sécurité informatique se trouve au cœur de ses compétences. La cryptographie, les systèmes de codage, les audits de sécurité n’ont pas de secret pour lui. Il lui faut aussi assurer une veille solide et permanente sur les différentes techniques de piratage et sur les innovations techniques.

Enfin, il ne faut pas négliger les capacités d’expression orale et écrite, afin d’exposer clairement les résultats des tests et les propositions de solutions aux personnes concernées.

Au quotidien, le pentester utilise des langages de programmation comme Python, Java, PHP ou encore C/C++. Il doit être incollable sur les systèmes d’exploitation comme Linux. La suite Burp est l’un des outils incontournables du métier de pentester : développée par PortSwigger, elle est dédiée à la sécurité informatique des plateformes web et existe en version gratuite, certaines fonctionnalités n’étant toutefois incluses que dans la version payante. Si Burp est favorisé par de nombreux hackers éthiques, il existe d’autres outils de ce type, comme OWASP ZAP, scanner de sécurité d’applications web, ou Vega.

Les entreprises recherchent tout particulièrement des profils avec un Bac +5, issus d’écoles d’ingénieurs ou titulaires d’un Master, avec de préférence une spécialisation en cybersécurité. Mais d’autres parcours peuvent mener à ce métier, par exemple une licence professionnelle dans les métiers de l’informatique, idéalement en administration et sécurité des systèmes et des réseaux, ou encore un Bachelor universitaire de technologie en informatique. Parce qu’il s’agit d’un nouveau métier, les autodidactes peuvent aussi tenter leur chance. A noter qu’il existe par ailleurs des certifications spécifiques, telles que la certification de piratage éthique OSCP (Offensive Security Certified Professional), qui peuvent être un plus sur un CV.

Pour un débutant, le salaire moyen d’un pentester tourne autour de 3 000 euros par mois, ou 33 000 à 36 000 euros brut par an.

L’évolution hiérarchique logique après quelques années en tant que pentester consiste à viser un poste de responsable de la sécurité informatique ou responsable de sécurité des systèmes d’information. Mais d’autres voies sont aussi possibles, notamment des spécialisations par système, ou l’ambition de créer sa propre ESN (Entreprise de services du numérique) ou son cabinet de conseil.