On ne va pas se mentir : le métier de pentester (ou hacker éthique) fait fantasmer. On s’imagine tous en sweat à capuche dans une cave, à taper trois lignes de commande pour faire tomber une banque. La réalité est un poil différente. C’est un job technique, exigeant, où la persévérance compte plus que le génie.
Si tu es là, c’est que tu veux savoir comment te former sérieusement sans tomber dans le panneau des formations « miracle » qui te promettent de devenir expert en 3 jours pour 5000 balles. On va voir ensemble ce qui marche, ce qui ne marche pas, et comment structurer ton apprentissage pour être employable.
À retenir :
- Le marché recrute, mais le ticket d’entrée est technique : oubliez les formations « miracle » de 3 jours si vous partez de zéro.
- La pratique (CTF, Labs) vaut 10 fois plus que la théorie : un bon pentester passe sa vie sur HackTheBox ou Root-Me.
- Attention aux certifications « papier » : privilégiez les certifs pratiques (OSCP, PNPT) aux QCM théoriques (CEH) pour être crédible.
- Le salaire est attractif (35k€ – 50k€ junior), mais la rédaction de rapports représente 40% du job. Ce n’est pas que du terminal vert sur fond noir.
Pentester, c’est quoi exactement (et ce que ce n’est pas) ?
Commençons par la base. Être pentester, c’est être payé pour casser légalement des systèmes afin de trouver les failles avant les vrais pirates. Mais attention à la nuance : lancer un scan automatisé avec un outil comme Nessus, ce n’est pas du pentest. Ça, n’importe qui peut le faire. Le vrai pentest est manuel, créatif et contextuel. Tu dois comprendre la logique business de ta cible pour la détourner.
Tes missions vont varier. Tu peux faire du Pentest Web (chercher des failles sur des sites), du Pentest Interne (attaquer l’Active Directory d’une entreprise depuis ses bureaux), ou même du Mobile et de l’IoT. Mais oublie tout de suite le mythe du hacker solitaire sans foi ni loi. Dans la vraie vie, tu bosses avec un contrat béton et un périmètre strict.
⚠️ AVERTISSEMENT SÉCURITÉ : le cadre légal n’est pas une option
En France, les articles 323-1 et suivants du Code pénal sont clairs : accéder ou se maintenir frauduleusement dans un système est un délit puni de prison. Ne lance jamais un scan ou une attaque sans une autorisation écrite explicite (un mandat) du propriétaire du système. S’entraîner sur le site de la mairie ou de ton voisin, c’est le meilleur moyen de finir avec un casier judiciaire, pas un job.
Quel type de formation choisir selon votre profil ?
C’est la jungle des offres de formation. Pour faire simple, ton choix dépend de ton background actuel et de ton objectif de carrière. Voici un comparatif brut pour t’aider à y voir plus clair :
| Type de formation | Durée / Coût estimé | Pour qui ? | Avantage principal | Inconvénient majeur |
|---|---|---|---|---|
| Cursus Académique (Master / Bac+5) | 2 à 5 ans / Gratuit (public) à 8k€/an | Étudiants, reconversion longue | La voie royale pour les grands groupes et le management. | Souvent en retard techniquement sur la réalité du terrain. |
| Bootcamps Intensifs | 3 à 6 mois / 3000€ – 6000€ | Techs en reconversion (SysAdmin, Dev) | Opérationnel très vite, focus 100% pratique. | Rythme violent, difficile si on part de zéro en IT. |
| Autodidacte Certifié | À vie / < 500€ (abonnements) | Passionnés disciplinés | Coût imbattable, respect technique immédiat. | Demande une discipline de fer et 0 encadrement. |
Si tu hésites encore entre l’attaque et la défense, sache que les bases sont souvent communes. D’ailleurs, si tu préfères construire des murs plutôt que les casser, tu peux regarder où réaliser une formation pour être analyste SOC (Blue Team), un métier tout aussi recherché.
Enfin, il existe la formation continue courte (5 jours). Soyons clairs : c’est utile pour un Admin Sys qui veut comprendre comment un attaquant réfléchit, mais on ne devient pas pentester en une semaine. C’est de l’acculturation, pas de la professionnalisation.
Le programme technique : les compétences non négociables
Si ta formation ne couvre pas ces points, fuis. Le pentest, c’est une pyramide de connaissances. Tu ne peux pas exploiter une faille réseau si tu ne comprends pas comment un paquet IP transite.
Voici le socle minimum vital :
Certifications : le vrai juge de paix
Dans la tech, les diplômes c’est bien, les certifs c’est mieux. Mais attention, toutes ne se valent pas.
Le « Gold Standard » technique reste l’OSCP (Offensive Security Certified Professional). C’est un examen de 24h où tu dois hacker 5 machines. C’est dur, c’est cher, ça demande des nerfs d’acier (leur devise est « Try Harder »), mais si tu l’as sur ton CV, les portes s’ouvrent. C’est la preuve ultime que tu sais faire, pas juste réciter.
Des alternatives plus modernes et pédagogiques montent en puissance, comme le PNPT de TCM Security ou l’eJPT pour débuter en douceur sans se dégoûter. Par contre, méfie-toi du CEH (Certified Ethical Hacker). C’est un QCM théorique. Les RH l’aiment bien pour filtrer les CV, mais techniquement, elle est souvent moquée par les experts car elle ne prouve aucune compétence pratique.
N’oublie jamais ton portfolio. Un profil Root-Me ou HackTheBox bien classé, ou des CVE (failles officielles) que tu as découvertes, valent souvent plus qu’un Master aux yeux d’un recruteur technique.
💡 CONSEIL : le rapport est roi
Tu peux avoir réussi l’exploit le plus complexe du monde en assembleur, si tu ne sais pas l’expliquer au DSI ou au PDG, ça ne vaut rien. Le client paie pour comprendre son risque et savoir comment le corriger. Un bon pentester est d’abord un excellent communicant à l’écrit. Ne néglige pas cette partie.
Comment financer sa formation (parce que c’est pas donné) ?
Se former coûte cher, surtout si tu vises des bootcamps ou des certifs officielles. Heureusement, en France, on a des dispositifs.
Le premier réflexe, c’est le CPF. Vérifie bien que la formation visée est enregistrée au RNCP (Répertoire National des Certifications Professionnelles), sinon tu ne pourras pas débloquer tes fonds. Si tu es salarié et que tu veux monter en compétence, regarde du côté des OPCO de ton entreprise.
Pour les demandeurs d’emploi, l’AIF (Aide Individuelle à la Formation) de Pôle Emploi peut compléter le financement si tu montes un dossier prouvant la pénurie de main-d’œuvre dans la cyber (ce qui n’est pas dur à prouver). Petite astuce : si tu es actuellement en pause pro pour santé, vérifie si c’est possible de faire une formation pendant un arrêt maladie, ça demande des autorisations spécifiques mais ça peut être un move stratégique pour préparer ton retour.
Et vous, vous êtes plutôt team « autodidacte sur Root-Me » ou « formation encadrée avec diplôme » ? Dites-moi en commentaire quel parcours vous tente le plus.
