Zeroday Cyber Academy

Métiers de la cybersécurité

API security vs AppSec vs pentest web : choisir sa trajectoire

API security vs AppSec Engineer vs pentester web 2026 : périmètre, salaires France, certifications, marché, profil idéal, transitions entre les 3 trajectoires.

Naim Aouaichia
16 min de lecture
  • API Security
  • AppSec
  • Pentest Web
  • Carrière
  • Comparaison métiers
  • Trajectoire
  • Reconversion
  • Spécialisation

API security, AppSec Engineer et pentester web sont les trois trajectoires dominantes dans la sécurité applicative en 2026, souvent confondues par les candidats en reconversion ou en début de carrière. Elles partagent le même socle technique (HTTP, web, OWASP) mais divergent significativement sur le périmètre (généraliste vs spécialisé, défensif vs offensif), le quotidien (revue de code vs audit ponctuel vs threat modeling continu), les certifications cibles (OSCP vs BSCP vs OSWE), les fourchettes salariales France 2026 (pentester web 50-68 k€, AppSec 60-80 k€, API security 65-85 k€ pour confirmé), le marché de l'emploi (AppSec et API security tendus, pentester web saturé sur junior), et le profil idéal (background dev pour AppSec/API security, background sysadmin/réseau pour pentest). Cet article détaille les différences concrètes entre les trois trajectoires sur 8 dimensions, le profil idéal pour chacune, les transitions possibles entre les trois, les critères pragmatiques pour choisir selon contexte (background, préférence personnelle, marché géographique), et la trajectoire optimale recommandée pour la majorité des candidats reconversion 2026.

Vue d'ensemble : les 3 trajectoires

Trois métiers proches mais distincts dans la sécurité applicative.

AppSec Engineer

Rôle défensif transverse qui structure la sécurité dans le cycle de développement applicatif (SDLC). Travaille avec les équipes dev pour intégrer la sécurité dès la conception (shift-left), former les développeurs, mettre en place SAST/DAST/SCA, gérer les vulnérabilités, faire des threat modeling.

Périmètre : applications web complètes (frontend + backend + infrastructure applicative).

API Security Engineer

Sous-spécialité d'AppSec focalisée sur les interfaces machine-to-machine (REST, GraphQL, gRPC). Profondeur sur OWASP API Top 10 2023, OAuth 2.0/OIDC, JWT, OpenAPI, GraphQL security, contract testing, API gateway hardening.

Périmètre : APIs exposées (publiques B2C, B2B, internes critiques).

Pentester Web

Rôle offensif. Audit ponctuel d'applications web pour découvrir des vulnérabilités exploitables. Mission par mission, travaille pour cabinet de conseil ou interne, livre des rapports d'audit avec findings et recommandations.

Périmètre : applications web cibles, scope défini par mission.

Comparaison sur 8 dimensions

Tableau récapitulatif des différences clés.

DimensionAppSec EngineerAPI Security EngineerPentester Web
Mission dominanteDéfensif transverse SDLCDéfensif spécialisé APIsOffensif audit ponctuel
Mode dominantPréventif continuPréventif spécialiséRéactif par mission
Référentiel pivotOWASP Top 10 webOWASP API Top 10 2023OWASP WSTG, PTES
Quotidien typeCode review, threat modeling, formation devsAudit OpenAPI, fuzzing schema, OAuth/JWT testsRecon, exploitation, rapport
Outils principauxSemgrep, CodeQL, SonarQube, BurpBurp + extensions API, Schemathesis, 42Crunch, SpectralBurp Pro, Nuclei, custom exploits
Certifications typesBSCP, OSWE, CSSLPBSCP, OSWE, 42CrunchOSCP, OSWE, OSED
Salaire confirmé France 202660-80 k€ Paris65-85 k€ Paris50-68 k€ Paris
Marché 2026Très tendu (offres > candidats)Très tendu (rareté spécialistes)Saturé junior, tendu senior

Périmètre détaillé par trajectoire

Périmètre AppSec Engineer

Couverture large applicative, profondeur transverse :

  • Conception : threat modeling STRIDE, abuse cases, sécurité par design.
  • Développement : SAST en CI (Semgrep, CodeQL), formation secure coding, revue de code sécurité.
  • Build : SCA pour dépendances (Snyk, Trivy, OSV-Scanner), container scanning, secrets scanning.
  • Test : DAST en pre-prod (OWASP ZAP, Burp), tests d'intégration sécurité.
  • Déploiement : configuration sécurisée, observabilité, gestion des secrets en prod.
  • Run : monitoring vulnérabilités, gestion incidents, post-mortem.

Métriques : pourcentage de PRs avec review sécurité, MTTR vulnérabilités critiques, score OWASP SAMM, nombre de findings remontés.

Périmètre API Security Engineer

Spécialisation profondeur sur APIs :

  • Design : revue contracts OpenAPI/GraphQL, vérification security definitions.
  • Authentication : audit OAuth 2.0 flows, JWT validation rigoureuse, mTLS pour B2B critique, FAPI 2.0 banking.
  • Authorization : tests systématiques BOLA (chaque endpoint manipulant un objet), BFLA (admin endpoints), BOPLA (mass assignment + excessive data exposure).
  • Validation : schema validation (Pydantic, Zod, JSON Schema), input fuzzing.
  • Resource consumption : rate limiting, business flow limits, anti-DoS algorithmique.
  • Discovery : inventory shadow APIs, versions oubliées, environnements staging exposés.

Métriques : pourcentage d'APIs avec OpenAPI spec versionnée, score 42Crunch, BOLA findings remontés, couverture OWASP API Top 10.

Périmètre Pentester Web

Audit offensif ponctuel par mission :

  • Pré-engagement : statement of work, scope, rules of engagement, mandat légal.
  • Reconnaissance : OSINT, énumération sous-domaines, techno fingerprinting.
  • Mapping : exploration application, cartographie endpoints, identification surfaces.
  • Exploitation : tests systématiques OWASP Top 10, business logic, chaînes d'exploitation.
  • Reporting : rapport structuré avec findings CVSS, executive summary, recommandations.
  • Restitution : présentation orale, Q&A équipes techniques + management.

Métriques : nombre de missions par an, nombre de findings critical/high par mission, satisfaction client (NPS), temps moyen par audit.

Quotidien type comparé

Trois journées types pour illustrer les différences concrètes.

Journée AppSec Engineer

9h00  - Stand-up équipe sécu
9h30  - Review PRs en attente angle sécurité (8-12 PRs)
11h00 - Threat modeling session sur nouvelle feature paiement (équipe produit)
12h30 - Déjeuner
14h00 - Investigation alerte SCA (CVE critical sur dépendance prod)
15h30 - Coordination remédiation avec équipe backend
16h30 - Préparation formation secure coding pour onboarding nouveaux devs
17h30 - Lecture threat intel + veille
18h00 - Fin

Journée API Security Engineer

9h00  - Stand-up
9h30  - Audit OpenAPI spec d'un nouveau microservice (Spectral + 42Crunch)
11h00 - Tests BOLA systématiques sur endpoints découverts (Burp + Autorize)
13h00 - Déjeuner
14h00 - Pair programming avec dev senior pour fix BFLA détecté
15h30 - Réunion architecture API gateway (choix Kong vs Apigee)
16h30 - Investigation incident production : faux positif rate limiting
17h30 - Documentation runbook OAuth misconfig
18h00 - Fin

Journée Pentester Web

9h00  - Café + revue findings veille (collègues équipe)
9h30  - Mission en cours : audit application e-commerce client
        - Continuation tests business logic (race condition checkout)
11h30 - Démo PoC de XSS stored découvert au manager mission
12h30 - Déjeuner
14h00 - Tests authentification : MFA bypass tentatives
16h00 - Pivot infrastructure : tentative SSRF vers cloud metadata
17h00 - Documentation findings du jour
17h30 - Préparation kick-off mission suivante (lundi)
18h00 - Fin

Différences notables : AppSec et API security travaillent en collaboration continue avec dev, pentester web travaille plus en autonomie sur mission cadrée.

Salaires comparés France 2026

Fourchettes brutes annuelles, région parisienne. Province typiquement -5 à -15 %.

Junior (0-2 ans)

TrajectoireFourchetteMédiane
AppSec Engineer42-55 k€48 k€
API Security Engineer45-58 k€50 k€
Pentester Web38-50 k€44 k€

Confirmé (3-5 ans)

TrajectoireFourchetteMédiane
AppSec Engineer60-80 k€70 k€
API Security Engineer65-85 k€73 k€
Pentester Web50-68 k€58 k€

Senior (6-9 ans)

TrajectoireFourchetteMédiane
AppSec Engineer80-110 k€92 k€
API Security Engineer85-115 k€95 k€
Pentester Web70-95 k€80 k€

Expert / Principal (10+ ans)

TrajectoireFourchetteMédiane
AppSec Engineer100-140 k€115 k€
API Security Engineer105-145 k€120 k€
Pentester Web (red team)90-130 k€105 k€

Variations sectorielles 2026

Au-delà du niveau, secteur et type d'employeur impactent significativement.

Type d'employeurMultiplicateur sur fourchette base
ESN AppSec spécialisée (Synetis, Almond, Intrinsec)1.0 (référence)
Grand groupe (CAC 40, banque, défense)1.0 - 1.15
Scale-up tech (Doctolib, Datadog France, Qonto)1.10 - 1.30
Éditeur sécurité (Snyk France, 42Crunch, GitGuardian)1.10 - 1.25
Banque systémique (BNP, Société Générale, Crédit Agricole)1.05 - 1.15
Pure player AppSec produit (Wiz EMEA)1.20 - 1.40
Freelance (TJM 2026)Pentester 600-1000 €/jour, AppSec 500-900 €/jour

Marché de l'emploi 2026

Tension marché par trajectoire en France.

AppSec Engineer

Très tendu. Volume d'offres très supérieur au pool de candidats. Recrutement difficile pour entreprises, plusieurs mois en moyenne. Profils 3-5 ans particulièrement recherchés.

Indicateurs : delay moyen pourvoir un poste AppSec confirmé Paris : 4-7 mois. Volume offres LinkedIn France 2026 : ~800-1200 ouvertes simultanément.

API Security Engineer

Très tendu, niche. Pool encore plus petit qu'AppSec (spécialisation récente). Profils purs API security restent rares en France 2026 (estimation : moins de 2000 spécialistes dédiés). Demande croissante sous pression NIS2, DORA, CRA.

Indicateurs : delay moyen pourvoir poste API security confirmé : 5-9 mois. Volume offres avec mention API security explicite : ~200-400 ouvertes simultanément (croissant).

Pentester Web

Saturé junior, tendu senior. Cabinets pentest forment en boucle des juniors via apprentissage et alternance. Marché junior très compétitif (forte concurrence candidats). Marché senior reste tendu, particulièrement red team et OSEP+.

Indicateurs : delay moyen poste pentest junior : 1-2 mois. Pour senior 5+ ans : 4-6 mois. Volume offres pentest junior : ~500-800 ouvertes, senior : ~150-300.

Profil idéal par trajectoire

Quel candidat est le mieux taillé pour quelle trajectoire ?

Profil idéal AppSec Engineer

  • Background : 3-7 ans dev backend, full-stack, ou DevOps. Expérience sur applications en production avec utilisateurs externes.
  • Compétences techniques : maîtrise minimum 2 langages de programmation (Python/Java/Go/Node), compréhension CI/CD, lecture fluide multi-stack code.
  • Soft skills : excellent communicateur (collabore avec 10+ équipes dev), pédagogue (forme régulièrement), patient (programme AppSec se mesure en années).
  • Personnalité : aime construire et systématiser, préfère prévention long terme à action ponctuelle.

Profil idéal API Security Engineer

  • Background : 3-6 ans dev backend, focus APIs (REST ou GraphQL en production), idéalement avec expérience OAuth/JWT en consommation.
  • Compétences techniques : profondeur HTTP, OAuth 2.0/OIDC, JWT, OpenAPI 3.x, GraphQL spec. Bonus : crypto appliquée, FAPI 2.0 si banking ciblé.
  • Soft skills : précision technique, capacité à expliquer concepts complexes simplement, curiosité pour les RFCs.
  • Personnalité : aime profondeur sur sujet pointu, préfère expert thématique à généraliste.

Profil idéal Pentester Web

  • Background : 2-5 ans IT (sysadmin, réseau, dev) ou bootcamp cyber + lab personnel intensif. Background dev utile mais pas obligatoire.
  • Compétences techniques : maîtrise OWASP Top 10 web exploitable, Burp Suite avancé, scripting Python/Bash, lecture de code multi-stack pour audit.
  • Soft skills : créativité offensive (penser comme attaquant), persévérance (heures sur même cible), excellent rédacteur (rapports déterminent perception qualité).
  • Personnalité : aime résoudre puzzles, satisfaction du "j'ai trouvé la faille", confortable avec résultats variables (mission productive vs frustrante).

Transitions entre les 3 trajectoires

Les 3 trajectoires partagent un socle commun, transitions possibles dans toutes les directions.

Transitions courantes observées

DeVersDurée typiqueDifficulté
AppSec → API security3-6 moisFaible (sous-spécialisation)
API security → AppSec6-12 moisMoyenne (élargissement périmètre)
Pentester web → AppSec12-18 moisMoyenne (changement mode pensée)
Pentester web → API security6-12 moisFaible (proche techniquement)
AppSec → Pentester web12-18 moisMoyenne (apprentissage offensif)
API security → Pentester web12-18 moisMoyenne (élargissement et offensive)
Dev → AppSec6-12 moisFaible (capitalisation socle dev)
Dev → API security6-12 moisFaible (capitalisation socle dev backend)
Dev → Pentester web18-36 moisPlus difficile (changement complet mode)

Trajectoire de carrière typique observée

Pattern fréquent en France 2026 :

  1. Année 0-3 : Pentester web junior dans cabinet (apprentissage offensif intensif).
  2. Année 3-5 : Pentester web confirmé, ou bascule vers AppSec interne d'une scale-up.
  3. Année 5-8 : AppSec Engineer confirmé, ou spécialisation API security.
  4. Année 8-12 : Senior AppSec / API security Lead, parfois Head of AppSec.
  5. Année 12+ : Head of Application Security, CISO, ou Principal Engineer / Distinguished Engineer.

Ce parcours zigzag offre la meilleure progression salariale et carrière long terme.

Critères de choix pragmatiques

Quatre critères pour décider selon votre contexte personnel.

Critère 1 — Background technique

Mappage background → trajectoire la plus naturelle :

BackgroundTrajectoire facilitéeTrajectoire à éviter
Dev backend (3-5 ans)AppSec ou API security(Pentest pur compliqué sans culture offensive)
Dev frontend purAppSec web (XSS, CSRF, DOM)API security (manque socle backend)
DevOps / SREDevSecOps adjacent (pas dans cet article)(Pentest pur)
Sysadmin / réseauPentest infra ou web(AppSec pur, manque code)
Support IT, helpdeskPentester web junior, AppSec junior(API security profondeur backend)
Reconversion totale (non-tech)Pentester web junior via bootcamp(API security exige socle dev)

Critère 2 — Préférence personnalité

PréférenceTrajectoire alignée
Construire et systématiserAppSec Engineer
Approfondir sujet technique pointuAPI security Engineer
Attaquer creativement, varier missionsPentester web
Travailler en équipe permanenteAppSec ou API security
Travailler en autonomie projetPentester web (mission par mission)
Évoluer vers managementAppSec Engineer (chemin naturel CISO)

Critère 3 — Marché géographique

LocalisationTrajectoire favorisée
Paris / Île-de-FranceToutes (volume offres maximum)
Lyon, Toulouse, Bordeaux, NantesAppSec et API security (scale-up tech)
Province autre métropoleAppSec en remote (ESN), pentester en cabinet local
Petites villes / ruralRemote-first ESN ou freelance
International (London, Berlin, Amsterdam)API security (rare, salaires +30-50 % vs France)

Critère 4 — Horizon temporel

HorizonRecommandation
Embauche court terme (3-6 mois)AppSec Engineer (marché le plus tendu)
Carrière long terme (10+ ans)AppSec puis spécialisation API security
Mobilité internationaleAPI security (compétence transversale et tendue partout)
Freelance dans 3-5 ansPentester web (TJM élevé, missions identifiables)
Évolution managementAppSec Engineer (chemin Head of AppSec → CISO classique)

Anti-patterns dans le choix de trajectoire

Quatre erreurs observées chez candidats reconversion 2026.

Choisir pentester par fascination Hollywood. Idée romantique du hacker qui pénètre tout. Réalité quotidienne : 80 % du temps en documentation, recon répétitive, rapports. Beaucoup de juniors pentest sortent du cabinet en 18 mois faute d'enthousiasme prolongé. Tester la réalité (challenges HackTheBox, bug bounty bénévole) avant de s'engager.

Choisir API security sans socle dev. API security exige profondeur backend. Sans 3+ ans de dev backend, démarrer plutôt par AppSec généraliste, spécialiser API security après acquisition socle.

Choisir AppSec en pensant que c'est moins technique. Erreur. AppSec mature exige profondeur technique multi-stack supérieure à pentester généraliste. Le quotidien implique 5+ langages, frameworks, threat modeling complexe.

Vouloir être polyvalent dès le départ. "Je veux faire pentest + AppSec + API security + cloud security". Impossible la première année. Spécialiser sur un, ouvrir adjacences à 18-24 mois.

Trajectoire optimale pour majorité 2026

Pour un candidat en reconversion sans préférence forte, recommandation pragmatique :

Année 0-2 : AppSec Engineer junior généraliste
            - Marché le plus tendu (embauche rapide)
            - Apprentissage transverse cycle SDLC
            - Salaire médian 48-55 k€ Paris
 
Année 2-4 : AppSec Engineer confirmé + spécialisation API security
            - Devenir le référent API security de son équipe
            - Certifications BSCP puis 42Crunch
            - Portfolio public (bug bounty + contributions OSS)
            - Salaire médian 65-75 k€
 
Année 4-6 : API Security Engineer senior ou AppSec Lead
            - Choix entre spécialisation profondeur (API senior) 
              ou élargissement gestion (AppSec Lead)
            - Salaire médian 80-95 k€
 
Année 6-10 : Principal API Security ou Head of AppSec
            - Direction technique ou management équipe
            - Salaire médian 100-130 k€
 
Année 10+ : Distinguished Engineer ou CISO trajectory
            - Référence technique ou direction sécurité
            - Salaire médian 130 k€+ avec packages

Cette trajectoire maximise embauche court terme, opportunités long terme, et flexibilité (passage possible vers pentest si désir change).

Points clés à retenir

  • Trois trajectoires distinctes dans la sécurité applicative 2026 : AppSec Engineer (défensif transverse SDLC), API Security Engineer (sous-spécialité APIs), Pentester Web (offensif audit ponctuel). Socle commun mais quotidien et carrière différents.
  • Salaires France 2026 confirmé 3-5 ans : Pentester web 50-68 k€, AppSec Engineer 60-80 k€, API Security Engineer 65-85 k€. Différentiel API security vs AppSec se justifie par rareté actuelle, devrait converger 2028-2030.
  • Marché 2026 : AppSec très tendu (offres > candidats), API security très tendu niche (peu de spécialistes), Pentester web saturé junior et tendu senior. Pour reconversion, AppSec offre meilleures opportunités court terme.
  • Profil idéal : AppSec pour devs backend pédagogues qui aiment construire ; API security pour devs backend précis qui aiment profondeur technique ; Pentester web pour profils créatifs offensifs avec endurance.
  • Trajectoire optimale pour majorité reconversion 2026 : AppSec Engineer junior (an 0-2) → AppSec confirmé + spécialisation API security (an 2-4) → API security senior ou AppSec Lead (an 4-6). Maximise embauche court terme et opportunités long terme.

Pour aller plus loin

Questions fréquentes

  • AppSec ou pentest web : quel marché est le plus tendu en 2026 ?
    AppSec Engineer est nettement plus tendu que pentester web pur en France 2026. Volume d'offres AppSec Engineer environ 3x supérieur à pentester web généraliste, alors que le pool de candidats AppSec est plus petit (moins formé historiquement, formations dédiées rares). Salaires AppSec confirmé 60-80 k€ vs pentest web confirmé 50-68 k€ pour expérience équivalente. Marché du pentest web est saturé sur le segment junior (cabinets formant en boucle), reste tendu sur senior + spécialisé (red team, OSEP, OSED). Pour reconversion en 2026, AppSec offre meilleures opportunités d'embauche court terme.
  • API security vs AppSec : différence concrète au quotidien ?
    AppSec couvre l'ensemble des applications web (frontend + backend + infrastructure applicative) avec OWASP Top 10 web comme référentiel pivot, focus XSS/CSRF/injections/CSP. API security est une sous-spécialité focalisée sur les interfaces machine-to-machine (REST, GraphQL, gRPC) avec OWASP API Top 10 2023 comme référentiel, focus BOLA/BFLA/BOPLA/OAuth/JWT. Quotidien AppSec : threat modeling features web complètes, code review multi-stack, gestion vulnérabilités OWASP Top 10. Quotidien API security : audit contrats OpenAPI, fuzzing schema-aware, validation autorisation par objet (BOLA), tests OAuth/JWT. API security est plus profond mais plus étroit qu'AppSec.
  • Pentester web peut-il évoluer vers AppSec ou API security ?
    Oui, transition naturelle dans les deux sens. Pentester web → AppSec : courbe d'apprentissage 6-12 mois, principal acquis = capacité offensive transposée en revue de code défensive. Manque typique : threat modeling formel, gouvernance programme AppSec, soft skills pour collaboration équipes dev. Pentester web → API security : transition plus courte 3-6 mois, focus déjà très proche, bascule technique pure. Inverse (AppSec → pentester web) : transition également possible, valorise la culture défensive en pentest. La trajectoire la plus payante 2026 reste AppSec qui combine technique et programme management.
  • Quelle certification choisir entre les 3 trajectoires ?
    Par trajectoire. Pentester web : OSCP en socle obligatoire (1 649 $), puis OSWE pour spécialisation web exploit dev. Burp Suite Certified Practitioner (BSCP, 99 $) en complément démarrage. AppSec Engineer : BSCP en socle accessible (99 $), puis OSWE comme référence senior. Optionnel CSSLP (749 $) pour grands groupes orientation gouvernance. API security : BSCP en socle, puis 42Crunch certifications (gratuit) pour spécialisation OpenAPI, puis OSWE pour sceau senior. Toutes trois trajectoires bénéficient d'OSWE comme certification senior référence. eWPTX (400 $) est alternative à OSWE accessible budget. Éviter CEH (perçu faible par marché des 3 trajectoires).
  • Salaires comparés des 3 trajectoires en France 2026 ?
    Salaires confirmé 3-5 ans en France 2026 (région parisienne, fourchettes brutes annuelles). Pentester web : 50-68 k€. AppSec Engineer : 60-80 k€. API security Engineer : 65-85 k€ (légère prime spécialisation). Salaires senior 6-9 ans. Pentester web : 70-95 k€. AppSec Engineer : 80-110 k€. API security Engineer : 85-115 k€. Le différentiel API security vs AppSec se justifie par rareté actuelle (moins de candidats spécialisés). Tendance 2026-2030 : convergence probable car formations API security deviennent plus communes, valorisation différentielle se réduit. AppSec Engineer reste le pivot le plus polyvalent en termes d'opportunités.
  • Comment choisir ma trajectoire selon mon profil ?
    Trois critères de décision. 1) Background : background dev backend → API security ou AppSec naturel ; background sysadmin/réseau → pentester web ; background ops/cloud → AppSec ou DevSecOps adjacent. 2) Préférence personnalité : aimer attaquer creativement → pentest ; aimer construire défenses + collaborer dev → AppSec ; aimer profondeur technique sur sujet pointu → API security. 3) Marché géographique : marché tendu français 2026 favorise AppSec et API security en termes d'opportunités, pentest plus saturé sur junior. Choix optimal pour majorité 2026 : AppSec Engineer généraliste avec spécialisation API security à 18-24 mois pour différencier.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également