Présentation du métier
Contexte de travail
Conditions de travail
Compétences et niveaux attendus
Certifications
Proximité(s)/évolution(s) envisageables
Tendances nationales sur le métier
Pour en savoir plus
PENTESTEUR / PENTESTEUSE
Famille : Développement et test de la solution
Autres appellations en français
- Consultant et auditeur sécurité technique
- Evaluateur sécurité des systèmes et des produits
- Spécialiste cybersécurité/Expert produit/technologie
- Expert(e) audit sécurité et intrusion
- Hacker éthique
Autres appellations en anglais
- System testing and evaluation specialist
- Ethical Hacker
Présentation du métier : Pentesteur
Finalité du métier
Le Pentesteur évalue le système de prévention d'intrusion de sécurité d'une entreprise dans l'objectif de limiter les pertes, consultations, vols et corruptions des données du produit/système
Missions principales
Collecter des données :
En amont de la simulation d'intrusion, le Pentesteur effectue des recherches sur les vulnérabilités techniques et humaines exploitables. Il collecte et répertorie les données sensibles de l'entreprise pouvant ou ayant déjà été concernées par un incident de cybersécurité.
Tester et analyser le système :
Il organise des tentatives de tests d'intrusion du système/produit tel qu'elles pourraient avoir lieu par un tiers malveillant. Ensuite, il évalue le niveau de consultation des données et des pertes puis analyse les risques de corruption associés sur les différents tests d'intrusion réussis.
Conseiller et préconiser des solutions adaptées :
Il préconise les évolutions/améliorations ou patchs du produit/système. Il conseille les clients à propos de systèmes d'alerte qu'il est possible de mettre en place en cas d'intrusion dans l'objectif de sécuriser les données accessibles.
En amont de la simulation d'intrusion, le Pentesteur effectue des recherches sur les vulnérabilités techniques et humaines exploitables. Il collecte et répertorie les données sensibles de l'entreprise pouvant ou ayant déjà été concernées par un incident de cybersécurité.
Tester et analyser le système :
Il organise des tentatives de tests d'intrusion du système/produit tel qu'elles pourraient avoir lieu par un tiers malveillant. Ensuite, il évalue le niveau de consultation des données et des pertes puis analyse les risques de corruption associés sur les différents tests d'intrusion réussis.
Conseiller et préconiser des solutions adaptées :
Il préconise les évolutions/améliorations ou patchs du produit/système. Il conseille les clients à propos de systèmes d'alerte qu'il est possible de mettre en place en cas d'intrusion dans l'objectif de sécuriser les données accessibles.
Contexte de travail
Variables spécifiques au métier
Environnement technique :
L'environnement technique du pentesteur portera sur les documentations techniques, l'architecture du système d'information et de bonnes connaissances en Linux, sécurité réseau, sécurité informatique et développement logiciel (dont langage de développement)
Niveau de technologies :
Le développement des technologies sur les marchés SI influe sur ce métier qui doit s'adapter aux nouvelles technologiques nécessaires pour la prévention et organiser l'ensemble des ressources de manière cohérente.
Expertise sectorielle :
L'expertise sectorielle apportée par le pentesteur va influer sur les projets et clients pour lesquels il intervient. Certains types d'attaques ou données étant plus particulièrement concernés selon certains secteurs.
Culture client en lien avec la technologie :
Selon la maturité des acteurs impliqués dans le projet de transformation, il doit mener un travail variable sur la culture des acteurs clients autour de la technologie et de ses impacts métiers/organisationnels.
L'environnement technique du pentesteur portera sur les documentations techniques, l'architecture du système d'information et de bonnes connaissances en Linux, sécurité réseau, sécurité informatique et développement logiciel (dont langage de développement)
Niveau de technologies :
Le développement des technologies sur les marchés SI influe sur ce métier qui doit s'adapter aux nouvelles technologiques nécessaires pour la prévention et organiser l'ensemble des ressources de manière cohérente.
Expertise sectorielle :
L'expertise sectorielle apportée par le pentesteur va influer sur les projets et clients pour lesquels il intervient. Certains types d'attaques ou données étant plus particulièrement concernés selon certains secteurs.
Culture client en lien avec la technologie :
Selon la maturité des acteurs impliqués dans le projet de transformation, il doit mener un travail variable sur la culture des acteurs clients autour de la technologie et de ses impacts métiers/organisationnels.
Contextes organisationnels
Type et taille d'entreprise :
Le Pentesteur peut être indépendant dans une structure de type spécialisée dans le domaine de la cybersécurité ou dans un groupe qui offre des solutions plus globales (PME ou grande Entreprise de Service Numérique).
En tant qu'indépendant, il peut intervenir dans un domaine très spécialisé d'attaques, en complément d'une prestation de plus grande taille. S'ajoutent des besoins de compétences liés au positionnement de son entreprise et à sa gestion (ex : juridique, comptabilité, fiscalité, gestion de partenariats).
Dans un groupe diversifié, il intervient alors pour des projets internes sur le ou les SI et pourra intervenir sur des missions de conseil pour des clients (ex. : définition de la politique de sécurité globale).
Au sein d'une TPE spécialisée ou en Indépendant : il intervient sur des projets clients externes pour lesquels il réalisera différentes missions de conseil pur à un projet complet, il pourra également intervenir sur des projets en interne.
Le Pentesteur peut être indépendant dans une structure de type spécialisée dans le domaine de la cybersécurité ou dans un groupe qui offre des solutions plus globales (PME ou grande Entreprise de Service Numérique).
En tant qu'indépendant, il peut intervenir dans un domaine très spécialisé d'attaques, en complément d'une prestation de plus grande taille. S'ajoutent des besoins de compétences liés au positionnement de son entreprise et à sa gestion (ex : juridique, comptabilité, fiscalité, gestion de partenariats).
Dans un groupe diversifié, il intervient alors pour des projets internes sur le ou les SI et pourra intervenir sur des missions de conseil pour des clients (ex. : définition de la politique de sécurité globale).
Au sein d'une TPE spécialisée ou en Indépendant : il intervient sur des projets clients externes pour lesquels il réalisera différentes missions de conseil pur à un projet complet, il pourra également intervenir sur des projets en interne.
Conditions de travail
Le rythme de travail
Il varie selon la phase de projet et le nombre de projets simultanés. Il est plus élevé sur la phase de test de la solution en amont, mais reste soutenu dans la phase d'exploitation. Il peut être en forte hausse en période de nouvelle méthodologie d'intrusion et changement de technologie ou de produit.
La disponibilité du service est souvent garantie 24 heures sur 24 et 7 jours sur 7, et de ce fait il est souvent soumis à des astreintes
Déplacements
Les déplacements sont occasionnels. Les rendez-vous se déroulent en présentiel, en visioconférence ou par téléphone.
Les relations professionnelles
Relations internes
- Analyste de la menace
- Analyste SOC
Relations externes
- Clients
- Prestataires
- Fournisseurs
- Chef de projet client
- Directions métiers du client
- DSI client
Compétences et niveaux attendus en 4 niveaux cumulés
Macro compétences
Niveaux et compétences attendues
Exemple concret d'activité pour le niveau attendu
Macro compétences :
Gérer les risques de Cybersécurité
Niveaux et compétences attendues :
1
Mettre à jour le référentiel des risques et analyser les vulnérabilités
2
Rédiger l’ensemble des documents du référentiel (politiques, procédures, normes…)
3
Définir une politique de gestion et sécurisation des données
4
Intégrer la cybersécurité à une politique de gestion globale des risques
Niveau attendu : 2
Exemple concret d'activité pour le niveau attendu :
Le pentesteur identifie et analyse les risques de Cybersécurité, il réalise, les tests, l'analyse des intrusions et potentielles failles et la rédaction de préconisations.
Macro compétences :
Manager la connaissance
Niveaux et compétences attendues :
1
Identifier et catégoriser les connaissances à transmettre
2
Concevoir une architecture de classification des connaissances exploitable selon les usages
3
Piloter l'intégration de la connaissance dans les processus métiers
4
Valoriser et pérenniser les connaissances au sein d'une organisation
Niveau attendu : 3
Exemple concret d'activité pour le niveau attendu :
Il développe et met à jour les données collectées et traitées des précédentes missions afin de partager la base avec son équipe
Macro compétences :
Collecter et exploiter les informations liées au projet
Niveaux et compétences attendues :
1
Identifier les informations nécessaires et mettre en place une veille
2
Agréger et organiser les informations sous forme de résultats exploitables
3
Délivrer une analyse synthétique et une préconisation
4
Anticiper la gestion du cycle de vie des informations et suivre l'évolution du besoin
Niveau attendu : 1
Exemple concret d'activité pour le niveau attendu :
Il recherche, collecte et qualifie les informations et les données sur les vulnérabilités et failles de Cybersécurité
Macro compétences :
Gérer une architecture technique
Niveaux et compétences attendues :
1
Analyser les besoins d'architecture issus des fonctionnalités attendues (ex : flux de données, stockage, puissance de calcul)
2
Anticiper plusieurs scénarios d'architecture technique en fonction des besoins, contraintes et coûts
3
Piloter le déploiement de l'architecture technique avec les acteurs internes/externes
4
Coordonner une vision de l'architecture SI à moyen terme et être référent expert du domaine
Niveau attendu : 1
Exemple concret d'activité pour le niveau attendu :
Il utilise son expertise sur les architectures techniques pour identifier et cartographier les failles et risques du système ou humains.
Macro compétences :
Gérer une architecture fonctionnelle SI
Niveaux et compétences attendues :
1
Analyser les besoins d'architecture fonctionnelle du SI (flux d'informations, destinataires des applications etc.) et leurs impacts
2
Concevoir la cartographie fonctionnelle du SI
3
Anticiper les besoins d'intégration et de développement
4
Piloter l'implémentation dans le SI et être référent de l'équipe de développement
Niveau attendu : 1
Exemple concret d'activité pour le niveau attendu :
Il utilise son expertise sur les architectures fonctionnelles SI pour identifier et cartographier les failles et risques du système ou humains.
Macro compétences :
Analyser et gérer les risques
Niveaux et compétences attendues :
1
Actualiser le référentiel des risques et analyser leurs impacts potentiels
2
Rédiger un plan de gestion des risques selon les objectifs et le contexte
3
Piloter l'ensemble des ressources face aux risques
4
Donner du sens aux mesures et accompagner les acteurs internes/externes impliqués
Niveau attendu : 2
Exemple concret d'activité pour le niveau attendu :
Il pilote et développe la gestion des risques de son projet, préconise les mesures préventives et anticipe les évolutions
Macro compétences :
Mener un diagnostic ou un test/essai technique
Niveaux et compétences attendues :
1
Identifier les normes de résultats obtenus et les procédures de test applicables
2
Concevoir et mettre en place un programme de test/essai ou de diagnostic adapté aux objectifs et contraintes
3
Piloter un processus de test/essai ou de diagnostic et synthétiser ses résultats
4
Anticiper une stratégie et une organisation adaptée aux futures évolutions (techniques, normes et règlements, objectifs etc.)
Niveau attendu : 3
Exemple concret d'activité pour le niveau attendu :
Il rédige le plan de test et pilote la simulation, l'analyse et le compte rendu des résultats et préconisations.
Macro compétences :
Utiliser l'anglais en contexte professionnel
Niveaux et compétences attendues :
Exemple concret d'activité pour le niveau attendu :
Il travaille en anglais pour les échanges mails, téléphoniques, pour les documents et langages informatiques
Macro compétences :
Mener un processus de test en cybersécurité
Niveaux et compétences attendues :
1
Analyser une veille technique permanente sur les attaques potentielles
2
Concevoir et déployer une stratégie d'attaque du système
3
Délivrer les analyses de vulnérabilités et les niveaux de dommages subis
4
Coordonner les contre-mesures au sein des processus de gestion des risques
Niveau attendu : 4
Exemple concret d'activité pour le niveau attendu :
Il rédige le plan de tests, analyse les failles potentielles d'un système et simule une attaque pour récolter les données complémentaires.
Macro compétences :
Actualiser ses connaissances et s'adapter
Niveaux et compétences attendues :
1
Analyser et comprendre les évolutions dans son domaine et les nouveaux besoins
2
Mener un apprentissage autonome et être réactif face a un imprévu ou une nouveauté
3
Créer des contenus actualisés et les diffuser auprès des équipes
4
Coordonner une démarche d'adaptation et d'apprentissage dans un réseau professionnel (ex : plateforme en ligne)
Niveau attendu : 3
Exemple concret d'activité pour le niveau attendu :
Il partage les évolutions de la menace de cyberattaques avec l'ensemble de la chaîne de cybersécurité de son entreprise, de ses clients, voire de ses parties prenantes
Macro compétences :
Dimensionner les moyens humains et matériels pour un projet ou un chantier
Niveaux et compétences attendues :
1
Identifier les besoins humains et matériels nécessaires au projet ou au chantier
2
Préparer, adapter et organiser les aspects techniques ou logiciels nécessaires au projet ou au chantier
3
Mettre en place et coordonner les équipes techniques ou les partenaires, du projet ou du chantier
4
Assurer la conformité du projet ou du chantier sur les aspects sécuritaires, règlementaires, matériels et budgétaires
Niveau attendu : 3
Exemple concret d'activité pour le niveau attendu :
Il réalise des analyses stratégiques sur la totalité du système lors d'une détection de menace et rédige le compte rendu et les préconisations de celle-ci
Proximité(s)/évolution(s) envisageables
La proximité des métiers
Axes de mobilité professionnelle
Sens d'évolution
Sélection de secteur
Numérique
Ingénierie
Études & Conseil
Évènement
Transverses
Autre
Cliquer sur un secteur pour afficher
uniquement les provenances et les
évolutions depuis et vers ce secteur
Cliquer sur les flèches pour accéder à la comparaison des métiers.
Provenances possibles
Evolutions envisageables
Autres provenances
Autres provenances
Provenances lointaines
Provenances lointaines
Provenances moyennes
Provenances moyennes
Proximité forte
Proximité forte
Evolutions moyennes
Evolutions moyennes
Evolutions lointaines
Evolutions lointaines
Autres évolutions
Autres évolutions
Pentesteur
Développeur
Intégrateur logiciels métiers
Consultant avant-vente
Spécialiste systèmes, réseaux et sécurité
Analyste SOC
Analyste de la menace
Spécialiste test et validation
Développeur
Responsable Sécurité de l'information
Ingénieur Machine Learning
Data Protection Officer
Coordinateur de projet
Ces mobilités sont données à titre indicatif, sans valeur d’obligation pour les entreprises et les salariés qui doivent les adapter à leur situation particulière.
