Pentester

L’analyse des vulnérabilités

Tout d’abord, le pentester doit pouvoir détecter les failles et vulnérabilités. Pour cela, il dispose de plusieurs outils.

Le scan de vulnérabilité correspond un peu à une phase d’observation avant le diagnostic : le pentester scanne la cible pour qualifier les vulnérabilités et vérifie si elles peuvent être exploitées.

Il sert d’étape préliminaire au pentest ou test d’intrusion. Celui-ci a 3 objectifs :

• détecter une faiblesse potentielle du SI ou de l’application scannée ;
• évaluer le niveau de risque lié à la faille ;
• proposer les correctifs en priorisant.

Le pentester doit non seulement détecter la vulnérabilité, mais également déterminer sa sévérité et donner un ordre de priorité sur les corrections.

Le test de vulnérabilité

Pour sécuriser l’infrastructure, les tests sont réalisés à différents stades de vie de l’entreprise. Que ce soit à la conception d’un projet, pendant des phases d’utilisation d’un outil, à intervalles réguliers ou bien suite à une cyberattaque : il faut pouvoir mettre en place un planning efficient.

L’objectif reste d’anticiper, de prévenir plutôt que de guérir. Le test d’intrusion peut se faire depuis l’extérieur grâce à n’importe quelle connexion ou bien de l’intérieur depuis le LAN (réseau interne). On les appelle d’ailleurs tests d’intrusion externes et tests d’intrusion interne.

Ils visent principalement à vérifier les systèmes de défense :

• antivirus ;
• firewalls.

Quelles sont les qualités d’un pentester ?

Les qualités les plus recherchées chez un bon pentester sont les suivantes :

• avoir des valeurs éthiques, être dans la légalité ;
• savoir préserver la confidentialité ;
• être curieux ;
• être dynamique et réactif ;
• avoir une certaine créativité pour penser aux différentes possibilités ;
• savoir se rendre disponible ;
• apprécier le travail d’équipe ;
• être pédagogue pour pouvoir expliquer et vulgariser ;
• aimer les challenges et les défis.

Comment devenir pentester ?

Plusieurs cursus sont possibles pour devenir pentester :

• Détenir un bachelor en cybersécurité, puis intégrer le cycle ingénieur en optant pour la spécialisation cybersécurité. Vous pouvez en apprendre plus sur cette spécialisation sur notre page école de cybersécurité.
• Suivre le cycle ingénieur directement après le bac.

Pour former au pentesting, l’ESIEA dispense un mastère spécialisé en sécurité de l’information et des systèmes (abrégé MS-SIS). Il s’agit d’une formation bac +6.

Pour parfaire vos connaissances et devenir pentester professionnel, le programme proposé par notre mastère en cybersécurité vous permettra d’aborder à la fois les langages informatiques et les systèmes d’information. Tout cela vous permettra d’avoir les connaissances nécessaires pour protéger à la fois l’information et les systèmes d’un réseau.

À la fois exigeant et exhaustif, le programme couvre plusieurs grands pôles :

1. Le pôle réseaux permet d’aborder les protocoles, les architectures réseaux, les réseaux informatiques d’entreprise, les réseaux opérateurs, les réseaux mobiles, les réseaux convergents, la qualité de service, la surveillance des grands réseaux ou encore l’analyse de trames.
2. Le pôle sécurité des réseaux, des systèmes d’information et des applications permet quant à lui d’assimiler toutes les connaissances utiles pour appréhender la sécurité des réseaux, des systèmes, des systèmes d’exploitation, des applications et même les outils de sécurité utiles.
3. Le pôle modèles et politiques de sécurité aborde les grandes notions d’audits, de droit de l’information, la gestion des risques et l’anticipation des menaces, le plan de reprise après un sinistre, la sécurité organisationnelle de manière théorique, mais aussi par des études de cas.
4. Le pôle cryptologie pour la sécurité permet d’aborder les grands principes et algorithmes de la cryptologie. La théorie est enseignée en parallèle des applications et outils.

La formation dispense aussi quelques rappels plus génériques sur les systèmes d’exploitation (UNIX, Windows), les réseaux, la programmation (C, Java), et d’autres langages de programmation.

Vous pourrez ainsi voir :

• les normes telles que l’ISO 27001 ;
• le reverse engineering ;
• la virologie ;
• la cryptologie ;
• la programmation sécurisée ;
• l’intelligence économique ;
• la sécurité Windows ;
• la programmation de cartes à puce ;
• etc.

Afin de pouvoir faire de nos étudiants de futurs pentesters accomplis, la pédagogie proposée s’appuie sur une mise en pratique constante. Elle se fait par le biais de projets, de mises en situation, d’études de cas concrets et de scénarios d’urgence.

Les compétences d’un pentester

Évidemment, le métier de pentester demande des connaissances solides en informatique, en développement logiciel et en système informatique. Il va de soi que l’on en attend énormément du pentester, puisque la sécurité même de l’entreprise est en jeu.

Ses connaissances sont particulièrement étendues et peuvent toucher :

• au réseau ;
• à la programmation ;
• aux systèmes d’exploitation et leurs distributions sécurité.

À cela viennent s’ajouter des compétences humaines indispensables :

• psychologie et empathie pour communiquer avec les équipes qui ont conçu les systèmes avec des failles ;
• posséder une éthique personnelle pour mettre à disposition ses compétences à des fins de protection et non de nuisance.

Quel est le salaire d’un pentester ?

Un pentester débutant touchera en moyenne 3 000 € par mois.

En tant que senior, il touchera en moyenne plus de 5 000 € par mois.

À titre informatif, aux États-Unis, le salaire annuel moyen du pentester peut se situer autour de 110 000 dollars.

Quelles évolutions de carrière pour un pentester ?

Aujourd’hui, la hausse de la cybercriminalité est un enjeu colossal pour les entreprises, de la start-up à l’entreprise de renommée mondiale en passant par les organisations officielles.

Le pentester est un expert en cybersécurité dont on peut difficilement se passer : cette tendance devrait largement se confirmer dans les années à venir. Les entreprises préfèrent investir un salaire dans une personne fiable que risquer trop gros avec les hackers malveillants.

À l’heure actuelle, s’il est vrai que la plupart des pentesters se sont hissés à leur poste grâce à un bagage en systèmes d’information et sécurité réseau, les formations dans le domaine se multiplient et se développent.

Après avoir été pentester pendant plusieurs années, vous pourrez aussi vous spécialiser dans le hacking éthique. L’orientation de votre poste sera alors légèrement différente : plutôt que d’anticiper les risques et de proposer des solutions, il vous faudra améliorer le système de sécurité en place de façon constante.