Les testeurs de pénétration simulent des cyberattaques afin d’identifier et de signaler des failles de sécurité sur les systèmes informatiques, les réseaux et les infrastructures, y compris les sites Internet.

En tant que testeur d’intrusion, vous effectuerez des tests autorisés sur les systèmes informatiques afin d’exposer les faiblesses de leur sécurité qui pourraient être exploitées par des criminels. Vous pouvez choisir de vous spécialiser dans la manipulation d’un type particulier de système, comme :

• réseaux et infrastructures
• Systèmes d’exploitation Windows, Linux et Mac
• systèmes informatiques embarqués
• applications web/mobiles
• Systèmes de contrôle SCADA (contrôle de supervision et acquisition de données)
• Internet des objets (IoT).

En plus d’identifier les problèmes, vous pouvez également fournir des conseils sur la façon de minimiser les risques.

Vous pouvez travailler en interne pour de grandes entreprises où la sécurité du système est une fonction cruciale. Cependant, le plus souvent, vous travaillerez pour un cabinet de conseil en sécurité ou une organisation de gestion des risques, où vous travaillerez avec des clients externes pour tester la vulnérabilité de leurs systèmes. Il est également possible de travailler en indépendant, en obtenant des contrats auprès d’organisations.

Les testeurs de pénétration sont également connus sous le nom de testeurs de stylo ou de pirates éthiques.

Responsabilités

En tant que testeur d’intrusion, vous comprendrez les systèmes informatiques complexes et les termes techniques de cybersécurité. Vous devrez :

• travailler avec les clients pour déterminer leurs exigences à partir du test, par exemple le nombre et le type de systèmes qu’ils aimeraient tester
• planifier et créer des méthodes de pénétration, des scripts et des tests
• effectuer des tests à distance du réseau d’un client ou des tests sur site de son infrastructure pour exposer les faiblesses de la sécurité
• simuler des failles de sécurité pour tester la sécurité relative d’un système
• créer des rapports et des recommandations à partir de vos conclusions, y compris les problèmes de sécurité découverts et le niveau de risque
• conseiller sur les méthodes pour corriger ou réduire les risques de sécurité pour les systèmes
• présenter vos constatations, risques et conclusions à la direction et aux autres parties concernées
• Considérez l’impact que votre « attaque » aura sur l’entreprise et ses utilisateurs
• comprendre comment les failles que vous identifiez pourraient affecter une entreprise ou une fonction commerciale si elles ne sont pas corrigées.

Un salaire

• Les salaires de départ des testeurs d’intrusion diplômés ou juniors se situent généralement entre 300 000 et 400 000 F CFA.
• Avec de l’expérience, vous pouvez gagner entre 500 000 F CFA et 750 000 F CFA, pouvant aller jusqu’à 800 000 F CFA pour les postes de direction et de chef d’équipe. Cependant, ce chiffre peut être considérablement plus élevé selon l’industrie dans laquelle vous travaillez.

Les salaires varient en fonction d’un éventail de facteurs, notamment vos compétences, votre expérience et vos qualifications, votre emplacement, le type d’employeur pour lequel vous travaillez (par exemple, en interne ou dans le conseil) et le secteur dans lequel vous travaillez.

Vous recevrez généralement une gamme d’avantages sociaux qui peuvent inclure des primes, un régime de retraite d’entreprise, une assurance médicale privée, une adhésion à un gymnase et des opportunités de formation et de développement parrainées.

Les chiffres sur les revenus ne sont donnés qu’à titre indicatif.

Heures d’ouverture

Une semaine de travail de 37 heures est standard dans ce rôle, mais les pratiques de travail flexibles sont courantes et vous devrez peut-être travailler en dehors d’un horaire typique de 9h à 17h.

Comme de nombreux testeurs d’intrusion travaillent à domicile et à distance (à partir d’emplacements en dehors du lieu de travail de l’organisation), vous pourrez parfois choisir vos heures de travail.

Le travail à temps partiel est possible. Des contrats à court terme et du travail indépendant sont également disponibles. Avec plusieurs années d’expérience, vous pouvez évoluer vers une activité d’indépendant ou de conseil.

À quoi s’attendre

• Vous pouvez travailler dans un bureau ou à domicile et êtes susceptible de voyager fréquemment pour rencontrer des clients (sauf si vous travaillez en interne). La plupart, sinon la totalité, de votre temps sera passé devant un ordinateur lorsque vous n’êtes pas en réunion.
• Des emplois sont disponibles dans tout le Royaume-Uni et la sécurité de l’emploi est généralement bonne.
• Vous aurez un niveau élevé de responsabilité et devrez vous sentir à l’aise avec cela, tout en maintenant un niveau élevé de concentration et d’attention aux détails.
• Les femmes sont actuellement sous-représentées dans la profession. Il existe divers programmes pour encourager davantage de femmes à participer aux tests de pénétration et à d’autres rôles techniques. 
• Il existe des opportunités pour les experts qualifiés en cybersécurité de travailler à l’étranger.

Qualifications

Pour entrer dans cette industrie, vous aurez généralement besoin d’un diplôme pertinent, d’une connaissance approfondie des systèmes d’exploitation informatiques et d’au moins deux à quatre ans d’expérience dans un rôle lié à la sécurité de l’information.

Les matières de diplôme utiles comprennent:

• l’informatique
• informatique et systèmes d’information
• la cyber-sécurité
• informatique légale
• la gestion du réseau
• ingénierie des systèmes informatiques.

Il est peu probable que vous passiez directement de l’obtention du diplôme à un poste de testeur d’intrusion et aurez généralement besoin d’une certaine expérience dans l’industrie. Cependant, certaines organisations ont commencé à proposer des postes de testeur d’intrusion aux diplômés. Lorsque des postes d’entrée aux diplômés sont offerts, il est probable qu’il y ait des niveaux élevés de concurrence.

Si votre diplôme est dans un domaine sans rapport, étudier pour un diplôme de troisième cycle lié à la sécurité de l’information pourrait améliorer vos perspectives d’employabilité dans le secteur de la cybersécurité. Vous pourriez ensuite progresser vers des rôles de test d’intrusion. Recherchez des cours de troisième cycle en cybersécurité .

Il est également possible de suivre un apprentissage diplômant en cybersécurité, combinant travail et études à temps partiel à l’université.

En plus des diplômes pertinents, vous devrez souvent avoir une ou plusieurs qualifications professionnelles (les rôles de stagiaire et de diplômé incluront généralement une formation et une certification dans ces qualifications dans le cadre du rôle). Ceux-ci inclus:

• Testeur de pénétration enregistré CREST (CRT)
• Professionnel certifié en sécurité offensive (OSCP)
• Certification Certified Ethical Hacker (CEH)
• Certification de testeur de pénétration GIAC (GPEN)
• systèmes de certification d’entreprise des principaux fournisseurs et fournisseurs d’équipements tels que Microsoft (MCP, MCSE) ou Cisco (CCNA Security).

Vous pouvez acquérir ces qualifications et certifications grâce à des rôles de cybersécurité, mais certaines peuvent être obtenues en autodidacte. Jetez un œil aux offres d’emploi pour les testeurs d’intrusion pour avoir une idée des certifications que les employeurs recherchent.

Il est également possible de travailler en tant que testeur d’intrusion sans diplôme si vous avez une expérience significative en sécurité de l’information et détenez des certifications de l’industrie.

Vous devrez peut-être effectuer des vérifications d’habilitation de sécurité lorsque vous postulez à des emplois.

Compétences

Vous aurez besoin d’avoir :

• une compréhension approfondie des systèmes informatiques et de leur fonctionnement
• excellente communication orale et écrite pour expliquer vos méthodes à un public technique et non technique
• souci du détail, être capable de planifier et d’exécuter des tests tout en tenant compte des exigences du client
• la capacité de penser de manière créative et stratégique pour pénétrer les systèmes de sécurité
• bonne gestion du temps et sens de l’organisation pour respecter les délais des clients
• intégrité éthique digne de confiance avec un niveau élevé d’informations confidentielles
• la capacité de penser latéralement et « en dehors des sentiers battus »
• compétences de travail en équipe, pour soutenir les collègues et partager des techniques
• compétences exceptionnelles en analyse et en résolution de problèmes et la persistance à appliquer différentes techniques pour faire le travail
• compétences en affaires pour comprendre les implications de toutes les faiblesses que vous trouvez
• engagement à mettre à jour en permanence votre base de connaissances techniques.

Employeurs

Il existe des opportunités de travailler en tant que testeur d’intrusion dans les secteurs public et privé, sur une base salariée ou indépendante (contrat).

Les employeurs typiques comprennent les sociétés de conseil en sécurité qui emploient des testeurs d’intrusion pour travailler sur les contrats des clients. Vous pouvez également travailler en interne pour des entreprises nationales et multinationales telles que des services financiers, des entreprises de services publics ou des organisations gouvernementales, ainsi que pour des petites et moyennes entreprises.

Il est courant de trouver du travail dans cette industrie en soumettant des candidatures spéculatives ciblées directement aux entreprises. Cela peut être une approche particulièrement efficace si vous cherchez à travailler avec des petites et moyennes entreprises, qui peuvent être plus susceptibles d’embaucher des testeurs d’intrusion moins expérimentés.

Développement professionnel

Le développement professionnel continu constitue une partie vitale de votre carrière, car vous devrez garder une longueur d’avance sur les nouvelles méthodes de piratage en gardant vos compétences et vos connaissances à jour. Vous devrez vous tenir au courant des technologies actuelles et de la façon dont elles peuvent être exploitées par des criminels.

Il existe des programmes d’études supérieures, qui offrent généralement un programme de développement structuré, un mentorat et la possibilité d’effectuer des stages dans divers départements.

Il est courant d’entreprendre des qualifications spécifiques à l’industrie pour démontrer votre compréhension, vos connaissances et votre expérience. Les qualifications professionnelles de l’industrie sont proposées par un certain nombre d’organisations, dont la plupart offrent différents niveaux d’accréditation, du niveau d’entrée au niveau de gestion. 

Les perspectives de carrière

Votre premier rôle sera généralement celui d’administrateur système junior, de développement informatique ou de support informatique. Avec de l’expérience et des qualifications professionnelles pertinentes, vous pouvez évoluer vers le rôle de testeur d’intrusion.

Après avoir travaillé en tant que testeur d’intrusion pendant environ trois à cinq ans, vous pouvez évoluer vers un poste de chef d’équipe. Ensuite, avec deux à trois années d’expérience supplémentaires en tant que chef d’équipe, vous serez considéré pour des rôles de chef de projet et de gestion à plus grande échelle et serez également considéré comme un praticien spécialisé.

Avec plusieurs années d’expérience, vous pouvez évoluer vers le conseil ou vous installer en tant qu’indépendant testeur d’intrusion.

Les perspectives de carrière sont bonnes à tous les niveaux pour les personnes possédant la bonne combinaison de compétences, de qualifications et d’expérience.