Combien de temps pour devenir pentester junior employable FR 2026 ?

Range selon profil IT préalable (Cyentia 2024, Wavestone Cyber Salary Survey 2026) : (1) **Dev senior 5+ ans XP** : 6-9 mois préparation + OSCP visé = entrée marché 9-12 mois, taux placement 80-90% ; (2) **Admin sys/réseau 3+ ans** : 9-12 mois préparation + OSCP/PNPT = 12-15 mois total, placement 70-80% ; (3) **Profil IT moyen 1-3 ans** : 12-18 mois préparation + OSCP = 18-21 mois, placement 60-70% ; (4) **Profil non-IT total** : 6 mois fondamentaux + 12-18 mois pentest spé = 24-30 mois total, placement 45-60%. **Plancher horaire pratique délibérée** : 800-1 200h labs HTB/TryHackMe/PortSwigger cumulées avant entrée marché junior (Ericsson 1993, *Peak* 2016). Pour 80% reconvertis FR 2026, **objectif réaliste = 12-18 mois** entrée pentester junior 38-48 k€ Paris.

OSCP ou PNPT en 2026 pour pentester junior FR ?

Position contre-consensus tranchée : **OSCP reste numéro un standard FR/Europe** en 2026 (1 599$ exam + 200h pratique requis), reconnu Thales, Sopra Steria, Wavestone, Capgemini, EY Cyber. **PNPT (TCM Security)** plus accessible (399$ + accompagnement), examen pratique 7 jours en environnement Active Directory réaliste, mais reconnaissance FR plus limitée vs OSCP. Stratégie 2026 reconverti : (1) Démarrer OSCP-prep avec PWK 90 jours OffSec + 3-6 mois HTB Tier I-II machines (~150-200 machines) ; (2) Si budget contraint : PNPT comme tremplin (399$) puis OSCP en année 2 ; (3) **OSWE** (web exploitation expert, 1 999$) après OSCP pour spécialisation web. Anti-pattern : viser OSCP sans 200h labs HTB préalables = 60% taux échec premier essai (OffSec 2024). Compter 800-1 000h pratique avant tentative.

Quels labs cyber privilégier pour devenir pentester 2026 ?

Stack labs reconverti pentester FR 2026 : (1) **TryHackMe** mois 1-3 (parcours Pre-Security, Cyber Security 101, Jr Penetration Tester), pédagogie pas-à-pas accessibles débutants, abonnement 14€/mois ; (2) **PortSwigger Web Security Academy** mois 2-4, 250+ labs web GRATUITS, OWASP Top 10 v2021 référence absolue (PortSwigger éditeur Burp Suite) ; (3) **HackTheBox Starting Point + Tier I-II** mois 4-12, 800k+ subs IppSec walkthroughs YouTube référence (700+ machines documentées), abonnement VIP 14€/mois ; (4) **OffSec PWK + OSCP labs** mois 9-15, 90 jours pratique 1 599$ inclus exam ; (5) **Hack The Box Pro Labs / Endgames** mois 12+, environnements Active Directory réalistes pour senior. Cible 12-18 mois reconverti : 800-1 200h labs cumulées. Voir [meilleurs labs cybersécurité 2026](/ressources/reconversion/meilleurs-labs-cybersecurite-2026).

Quel salaire pentester junior FR 2026 et évolution carrière ?

Sources Wavestone Cyber Salary Survey 2026 + APEC + Hays Cyber : **junior 0-2 ans XP** Paris 38-48 k€, province (Lyon 35-42 k€, Toulouse 35-43 k€, Marseille 33-40 k€), bonus 5-15%. **Intermédiaire 3-5 ans** Paris 50-65 k€, senior 5-8 ans 65-90 k€, lead 90-130 k€. **Spé bonus 2026** : pentester web junior 38-48 k€ + 5-10%, pentester infra/red team 40-50 k€ + 5-10%, pentester IA junior 45-58 k€ + 10-25% (premium pénurie LLM Security), pentester cyber maritime Toulon 38-48 k€ + 5-15%. **Freelance TJM 2026** post 5+ ans XP : pentester web junior 600-900€/jour, senior 900-1 300€, lead red team IA 1 500-2 500€. Évolution carrière typique : pentester junior → consultant senior → lead red team → CISO/RSSI 100-200 k€. Voir [freelance cybersécurité France 2026](/ressources/reconversion/freelance-cybersecurite-france-2026).

FCSC ANSSI obligatoire pour pentester junior FR 2026 ?

Position tranchée : **OUI, FCSC France Cybersecurity Challenge ANSSI obligatoire** sur CV pentester junior FR 2026, signal critique recruteurs FR (DGSE, ANSSI, Thales, Sopra Steria, EY Cyber). Édition 2026 : avril-mai annuel, 200 plus de challenges (Web, Crypto, Reverse, Pwn, Forensics, Misc, Hardware, OSINT). **Top 1 000-3 000 mondial = signal recruteurs**. Sans FCSC sur CV = manque preuve démonstrable compétences pentest. Préparation 2026 : (1) **Hackropole.fr** archives ANSSI gratuites 300 plus de challenges FCSC précédents (2019-2025) avec writeups officiels, 100 plus de heures pratique recommandé avant FCSC ; (2) **PicoCTF Carnegie Mellon** mars 14-25 2026 (50 000 plus participants mondiaux) ; (3) **HTB Cyber Apocalypse** mai 2026 (25 000 plus équipes). Cible reconverti pentester FR 2026 : participation FCSC plus PicoCTF + 12-24 writeups GitHub Pages publiés. Voir [meilleurs CTF débutants 2026](/ressources/reconversion/meilleurs-ctf-debutants-2026).

Pentest

Comment devenir pentester en 2026, top 7 priorités

Top 7 priorités classées pour devenir pentester FR 2026 : audit, OWASP, OSCP/PNPT, portfolio HTB, premier poste, salaires 38-95 k€.

Naim Aouaichia

14 mars 202614 min de lectureMis à jour le 15 mai 2026

Devenir pentester
Priorités 2026
OSCP
PNPT
HackTheBox
OWASP Top 10
Pentester junior
Plan carrière pentest
Reconversion pentester
Portfolio cyber

Si je devais devenir pentester en France 2026 avec profil IT préalable 1-3 ans XP, voici les 7 priorités absolues classées par ordre d'importance critique. Le marché 2026 est en pénurie aiguë : 12 000+ postes cyber FR non pourvus dont 25-30% pentest (Wavestone Cyber Salary Survey 2026), salaire junior pentester web 38-48 k€ Paris, freelance senior 900-1 300€/jour HT. Mais 70-80% des reconvertis pentester FR échouent à 18 mois parce qu'ils sautent l'audit profil ou démarrent OSCP sans 800h labs préalables. Cet article documente mon classement des 7 actions critiques 2026 pour devenir pentester employable, avec calendrier opérationnel 12-24 mois, certifications cibles (OSCP 1 599$, PNPT 399$, OSWE 1 999$), portfolio public obligatoire (HackTheBox + FCSC ANSSI + GitHub writeups), premier poste junior, et anti-patterns absolus. Position tranchée : pour reconverti FR sérieux 2026, suivre ce top 7 dans l'ordre exact = 80-90% chance entrée pentester junior 12-18 mois (vs 35-50% improvisation). Voir formation pentest guide 2026 pour panorama formations.

Le bon mental model : pentester = pratique délibérée 800-1 200h, pas certification papier

Position tranchée numéro un : devenir pentester FR 2026 ne se résume pas à passer OSCP. C'est 800-1 200h de pratique délibérée sur labs réalistes (HackTheBox, TryHackMe, PortSwigger) avant la certification. 60% taux échec OSCP premier essai (OffSec 2024) = candidats qui ont sauté la pratique. Position contre-consensus : OSCP certifie un pentester déjà compétent, ne forme pas un débutant.

3 lois de la priorisation pentester 2026 :

Loi des fondamentaux web/réseau d'abord : sans OWASP Top 10 v2021 maîtrisé + Linux/réseau fluence, tu rates 80% des challenges OSCP/PNPT.
Loi de la pratique avant certification : 800-1 000h labs HTB/TryHackMe avant tentative OSCP. Inverser = échec 60%.
Loi du portfolio public dès semaine 1 : recruteurs FR 2026 demandent 12-24 writeups vérifiables GitHub. Démarrer en fin formation = recruteurs invisibles.

Conséquence opérationnelle : pour reconverti FR 2026, respecter l'ordre exact des 7 priorités = différentiateur entre 80-90% succès et 35-50% échec.

Priorité #1 : audit profil pentester (semaines 1-2)

Action : 10-15h évaluation 5 dimensions critiques pentest.

5 dimensions audit pentester 2026

Dimension	Évaluation	Implication 2026
XP code/script	Aucune / basique / intermédiaire / senior	Python obligatoire, Bash 60% missions
Linux fluence	Débutant / intermédiaire / avancé	OverTheWire Bandit niveau 25+ obligatoire
Réseau OSI/TCP/IP	Notions / opérationnel / expert	Wireshark fluence + Nmap maîtrise
Niche pentest visée	Web / infra / mobile / cloud / red team / IA	Détermine certifications cibles
Trésorerie 18-24 mois	<10 k€ / 10-25 k€ / 25 k€+	Couvre OSCP 1 599$ + bootcamp 9 800-12 000€ + vie

Output audit en 1 page : profil, niche pentest visée, durée réaliste, certifications cibles, plan financement.

Métrique succès : audit complet validé avant priorité #2.

Priorité #2 : fondamentaux Linux/réseau/web (mois 1-4)

Action : 200-300h pratique fondamentaux avant pentest spécialisé.

Stack fondamentaux pentester 2026

# Fondamentaux pentester reconverti 2026, 200-300h en 4 mois
 
# Mois 1 : Linux fluence CLI (50-70h)
# - OverTheWire Bandit niveau 0-25 (40-50h)
# - "The Linux Command Line" William Shotts (15h)
 
# Mois 2 : réseau OSI/TCP/IP (50-70h)
# - TryHackMe Pre-Security path complet (40-50h)
# - Wireshark filtres + tcpdump (10-15h)
# - Lecture "Computer Networking Top-Down Approach" Kurose (10h)
 
# Mois 3 : web HTTP/OWASP (50-70h)
# - PortSwigger Web Security Academy Apprentice complet (40-50h)
# - OWASP Top 10 v2021 (10 catégories, 10-15h)
# - Burp Suite Community basics (10h)
 
# Mois 4 : pentest méthodologie (50-70h)
# - TryHackMe Jr Penetration Tester path complet (40-50h)
# - Nmap fluence (10h)
# - Metasploit basics (10h)
 
# Total 4 mois : 200-280h pratique fondamentaux + Anki cartes parallèle 15-20h
 
# Métrique succès : Bandit 25+, PortSwigger Apprentice 100%, Jr Pen Tester complet

Métrique succès : 100% Bandit niveau 25, 100% PortSwigger Apprentice, 100% Jr Pen Tester. Sans = pas prêt OSCP.

Voir meilleurs labs cybersécurité 2026.

Priorité #3 : HackTheBox progression intensive (mois 4-12)

Action : 100-150 machines HTB résolues en 8 mois, niveau Tier I à II.

Plan progression HTB 2026

Période	Machines cible	Type difficulté	Heures cumul
Mois 4-5	HTB Starting Point + 10-15 Easy	Easy walkthroughs IppSec autorisés	80-100h
Mois 5-7	30-40 Easy machines	Easy sans walkthrough	150-200h
Mois 7-9	20-30 Medium	Medium avec hints	200-250h
Mois 9-12	30-40 Medium + Hard intro	Medium sans aide	250-300h

Cible mois 12 cumulé : 100-150 machines HTB résolues + writeups GitHub publiés = profil pentester junior crédible.

Stratégie writeups GitHub

# Template writeup machine HTB 2026
 
## Machine : [Nom HTB]
- Difficulté : Easy / Medium / Hard
- OS cible : Linux / Windows
- Date résolution : YYYY-MM-DD
- Walkthrough utilisé : Oui (IppSec [URL]) / Non / Hint partiel
 
## Reconnaissance
- Nmap scan : [output filtré]
- Services identifiés : [liste ports + versions]
 
## Énumération
- [Service 1] : [méthodes énumération + outils]
- [Service 2] : [méthodes énumération + outils]
 
## Exploitation initiale (foothold)
- Vulnérabilité exploitée : [CVE si applicable + référence]
- Outil/script utilisé : [exploit + commande]
- Privilèges initial : [user]
 
## Élévation de privilèges (root/admin)
- Vulnérabilité exploitée : [vector privesc]
- Outil utilisé : [LinPEAS/WinPEAS/manual]
- Privilèges finaux : [root/SYSTEM/Administrator]
 
## Leçons apprises
- 3 nouvelles techniques apprises
- 2 outils nouveaux maîtrisés
- 1 piège évité (anti-pattern personnel)

Métrique succès mois 12 : 12-24 writeups GitHub publiés vérifiables.

Priorité #4 : certifications OSCP/PNPT (mois 9-15)

Action : OSCP via PWK OffSec ou PNPT TCM Security, selon budget.

Décision OSCP vs PNPT 2026

Critère	OSCP (OffSec)	PNPT (TCM Security)
Coût 2026	1 599$ + retry 249$	399$ + retry 199$
Durée labs	90 jours	Lifetime accès
Format exam	24h pratique + 24h reporting	5 jours pratique + 2 jours reporting
Reconnaissance FR	Standard, accepté tous recruteurs	Émergente, accepté top recruteurs
Préparation requise	800-1 000h labs HTB/PortSwigger	600-800h labs HTB/TryHackMe
Taux réussite premier essai	40-60%	65-75%
ROI carrière FR 2026	Très haut (+5-15 k€ salaire)	Haut (+3-10 k€ salaire)

Position tranchée 2026 : OSCP standard de fait FR/Europe pour pentester junior. PNPT excellent tremplin si budget contraint. OSWE (1 999$) en année 2 pour spécialisation web.

Préparation OSCP 2026

# Plan préparation OSCP reconverti 2026, 6-9 mois avant tentative
 
# Pré-requis validation (mois 1-2 avant inscription PWK)
# - 100+ machines HTB résolues (50% Easy, 30% Medium, 20% Hard)
# - PortSwigger Practitioner 100%
# - TryHackMe Jr Pen Tester + Web Fundamentals + Burp Suite paths
 
# Inscription PWK 90 jours (1 599$ inclus 1 tentative exam)
# - 80-100h cours PWK lecture/vidéos
# - 60-80 machines labs OffSec Proving Grounds
 
# Préparation finale 2-4 semaines avant exam
# - 5-10 machines TJ Null OSCP-like list (Active Directory)
# - Buffer overflow practice (peu utilisé OSCP 2024+ mais sécurité)
# - Reporting templates testés
 
# Exam 24h + reporting 24h
# Cible : 70/100 points (3 machines complètes ou équivalent)
# Taux réussite reconverti bien préparé : 80-90%

Métrique succès : OSCP obtenue mois 12-15. Si échec premier essai, retry mois 16-18.

Priorité #5 : portfolio public + FCSC ANSSI (mois 6-15)

Action : 12-24 writeups GitHub + FCSC ANSSI top 1 000-3 000.

Portfolio public obligatoire 2026

Élément	Volume cible	Plateforme
Writeups HackTheBox/TryHackMe	12-24 publiés	GitHub Pages
Writeups CTF (PicoCTF, FCSC, HTB Cyber Apocalypse)	5-10	GitHub + dev.to
Projet personnel cyber documenté	1-2 (lab AD virtualisé, blog cyber, contribution OSS)	GitHub
Profil LinkedIn pro	Headline + 3-5 posts/mois	LinkedIn
Twitter/X cyber actif	100-300 followers	X

FCSC ANSSI obligatoire (avril-mai annuel)

Top 1 000-3 000 FCSC = signal critique recruteurs FR (DGSE, ANSSI, Thales Cyber, Sopra Steria, EY Cyber, Wavestone). Préparation : 100h+ Hackropole.fr (archives ANSSI 300 plus challenges 2019-2025).

Voir meilleurs CTF débutants 2026.

Métrique succès mois 15 : 20-25 writeups GitHub + FCSC top 3 000 + LinkedIn pro avec 100-200 connexions cyber FR.

Priorité #6 : candidatures premier poste junior (mois 12-18)

Action : 30-50 CV envoyés ciblés + entretiens techniques préparés.

Stratégie candidatures pentester junior FR 2026

Mois	Action	Cible
12-13	CV optimisé pentest + LinkedIn pro	CV 1 page + GitHub portfolio lié
13-14	30-50 candidatures ciblées	Thales, Sopra Steria, Capgemini, Wavestone, EY Cyber, Stormshield, Atos, startups
14-16	Entretiens techniques	5-10 entretiens, taux conversion 30-50%
16-18	Offres CDI + négociation	Plancher 38 k€ Paris, 35 k€ province

Top 10 employeurs pentester junior FR 2026

Thales Cyber Toulouse/Paris (cyber aéronautique-spatial, défense).
Sopra Steria Paris/Lyon (consulting cyber).
Capgemini Paris/Lyon (services cyber).
Wavestone Paris (consulting cyber stratégique).
EY Cyber Paris/Toulouse (audit cyber Big 4).
Stormshield Villeurbanne (NGFW français, filiale Airbus DS).
Atos Paris/Lyon Confluence (cyber industrielle).
Orange Cyberdefense Paris (MSP/SOC).
Sekoia Paris (XDR/CTI startup).
Tehtris Paris (XDR FR).

Plancher salaire négociation pentester junior FR 2026

Paris IDF : 38 k€ minimum, cible 42-48 k€ avec OSCP.
Lyon ARA : 35 k€ minimum, cible 38-42 k€.
Toulouse Occitanie : 35 k€ + spé bonus 10-25% aéronautique-spatial = 38-48 k€.
Marseille PACA : 33 k€ minimum, cible 36-40 k€.

Voir formation cybersécurité Paris 2026, Lyon 2026, Toulouse 2026.

Priorité #7 : montée en compétence senior (mois 18-36)

Action : 18 mois XP CDI puis spécialisation niche premium.

Plan carrière pentester 2026

Période	Niveau	Salaire FR Paris	Action prioritaire
Mois 18-30	Junior 0-2 ans	38-48 k€	Mission CDI + OSWE certification
Mois 30-48	Intermédiaire 3-5 ans	50-65 k€	Spécialisation niche (web, AD, cloud, IA)
Mois 48-72	Senior 5-8 ans	65-90 k€	Lead missions + freelance possible
Mois 72+	Lead/Manager 8+ ans	90-130 k€	Red team lead ou RSSI/CISO

Niches premium 2026 à viser

AI Red Team / LLM Security : pénurie aiguë, premium +10-25%, salaires junior 45-58 k€, freelance lead 1 500-2 500€/jour. Voir formation LLM security guide 2026.
Cloud Security AWS/Azure/GCP : premium +15-25%, certifications AWS Security Specialty (300$).
Red Team Active Directory : OSEP OffSec (1 999$), CRTP/CRTE Pentester Academy.
Cyber industrielle OT : premium +10-20%, niche Toulouse/Lyon.
Pentest mobile (iOS/Android) : niche en croissance, OSWE/OSEE OffSec.

Calendrier opérationnel 18-24 mois pentester FR 2026

Mois	Priorité dominante	Métrique succès
1-2	Audit profil + plan financement	Document audit 1 page validé
3-6	Fondamentaux Linux/réseau/web	Bandit 25+, PortSwigger Apprentice 100%
6-12	HTB progression 100-150 machines	12-24 writeups GitHub publiés
9-15	OSCP préparation + tentative	OSCP obtenue 70/100
12-15	FCSC ANSSI + portfolio public	Top 3 000 FCSC + 100 connexions LinkedIn
12-18	Candidatures premier poste junior	30-50 CV envoyés, 5-10 entretiens
18-24	CDI junior 38-48 k€ Paris	Mission CDI démarré + OSWE prep

Erreurs critiques à éviter absolument 2026

Erreur	Conséquence	Fix opérationnel
OSCP avant 800h labs	60% échec premier essai	100+ machines HTB obligatoires
Sauter PortSwigger	Manque OWASP Top 10 v2021	100% Apprentice obligatoire
Pas de FCSC ANSSI	Manque signal recruteurs FR	FCSC avril-mai annuel obligatoire
Portfolio démarré tard	Recruteurs invisibles	GitHub writeups DÈS mois 4
Niche pentest floue	Concurrence forte sans spé	Web/infra/cloud/IA dès audit profil
OSCP sans préparation reporting	Réussite exam mais rapport raté	Templates reporting testés AVANT
Salaire négo trop bas	Junior accepté 30-32 k€ Paris	Plancher 38 k€ obligatoire
Pas de Plan B si OSCP raté	Démotivation 6 mois	PNPT comme Plan B accessible 399$
Freelance direct post-OSCP	TJM bloqué 350-500€/jour	CDI 18-24 mois avant freelance
Métier pentest sans code	Plafond rapide	Python obligatoire + Bash

Pour aller plus loin

Formation pentest guide 2026, panorama complet formations pentest FR.

Points clés à retenir

Marché pentester FR 2026 : 12 000+ postes cyber FR non pourvus dont 25-30% pentest, salaire junior 38-48 k€ Paris, freelance senior 900-1 300€/jour HT.
Plancher horaire pratique délibérée : 800-1 200h labs HTB/TryHackMe/PortSwigger cumulées avant entrée marché junior (Ericsson 1993, Peak 2016).
Priorité numéro un : audit profil pentester (semaines 1-2). 5 dimensions : XP code/script, Linux fluence, réseau, niche visée, trésorerie 18-24 mois.
Priorité numéro deux : fondamentaux Linux/réseau/web (mois 1-4, 200-300h). OverTheWire Bandit 25+, PortSwigger Apprentice 100%, TryHackMe Jr Pen Tester complet.
Priorité numéro trois : HackTheBox 100-150 machines (mois 4-12). 12-24 writeups GitHub Pages publiés.
Priorité numéro quatre : OSCP ou PNPT (mois 9-15). OSCP standard FR (1 599$, 60% taux échec premier essai si mal préparé), PNPT tremplin accessible (399$).
Priorité numéro cinq : portfolio public + FCSC ANSSI (mois 6-15). 20-25 writeups GitHub + FCSC top 3 000 + LinkedIn pro 100-200 connexions cyber FR.
Priorité numéro six : candidatures premier poste junior (mois 12-18). 30-50 CV ciblés top 10 employeurs FR (Thales, Sopra Steria, Capgemini, Wavestone, EY Cyber, Stormshield, Atos, Orange Cyberdefense, Sekoia, Tehtris).
Priorité numéro sept : montée senior (mois 18-36). OSWE web expert (1 999$), spé niche premium (AI red team +10-25%, cloud +15-25%, OT +10-20%).
Plancher négociation salaire pentester junior FR 2026 : 38 k€ Paris, 35 k€ Lyon/Toulouse, 33 k€ Marseille.
Évolution carrière typique 2026 : pentester junior 38-48 k€ → intermédiaire 50-65 k€ → senior 65-90 k€ → lead 90-130 k€ → CISO/RSSI 100-200 k€.
Anti-pattern numéro un : OSCP avant 800h labs préalables = 60% échec premier essai (OffSec 2024).
Anti-pattern numéro deux : viser OSCP comme finalité. OSCP = ticket entrée, spécialisation niche premium = montée carrière long terme.
Anti-pattern numéro trois : freelance direct post-OSCP sans XP cyber = TJM bloqué 350-500€/jour 12-18 mois. CDI 18-24 mois avant freelance.
FCSC ANSSI obligatoire sur CV pentester junior FR 2026 (avril-mai annuel). Top 1 000-3 000 = signal critique recruteurs FR DGSE/ANSSI/Thales/Sopra Steria/EY Cyber.
Position tranchée 2026 : pour reconverti FR sérieux suivant top 7 priorités dans l'ordre, 80-90% chance entrée pentester junior 12-18 mois (vs 35-50% improvisation).

FILES_CREATED: content/ressources/pentest/devenir-pentester-priorites-2026.md, public/images/ressources/pentest/devenir-pentester-priorites-2026-cover.webp

Questions fréquentes

Combien de temps pour devenir pentester junior employable FR 2026 ?
Range selon profil IT préalable (Cyentia 2024, Wavestone Cyber Salary Survey 2026) : (1) **Dev senior 5+ ans XP** : 6-9 mois préparation + OSCP visé = entrée marché 9-12 mois, taux placement 80-90% ; (2) **Admin sys/réseau 3+ ans** : 9-12 mois préparation + OSCP/PNPT = 12-15 mois total, placement 70-80% ; (3) **Profil IT moyen 1-3 ans** : 12-18 mois préparation + OSCP = 18-21 mois, placement 60-70% ; (4) **Profil non-IT total** : 6 mois fondamentaux + 12-18 mois pentest spé = 24-30 mois total, placement 45-60%. **Plancher horaire pratique délibérée** : 800-1 200h labs HTB/TryHackMe/PortSwigger cumulées avant entrée marché junior (Ericsson 1993, *Peak* 2016). Pour 80% reconvertis FR 2026, **objectif réaliste = 12-18 mois** entrée pentester junior 38-48 k€ Paris.
OSCP ou PNPT en 2026 pour pentester junior FR ?
Position contre-consensus tranchée : **OSCP reste numéro un standard FR/Europe** en 2026 (1 599$ exam + 200h pratique requis), reconnu Thales, Sopra Steria, Wavestone, Capgemini, EY Cyber. **PNPT (TCM Security)** plus accessible (399$ + accompagnement), examen pratique 7 jours en environnement Active Directory réaliste, mais reconnaissance FR plus limitée vs OSCP. Stratégie 2026 reconverti : (1) Démarrer OSCP-prep avec PWK 90 jours OffSec + 3-6 mois HTB Tier I-II machines (~150-200 machines) ; (2) Si budget contraint : PNPT comme tremplin (399$) puis OSCP en année 2 ; (3) **OSWE** (web exploitation expert, 1 999$) après OSCP pour spécialisation web. Anti-pattern : viser OSCP sans 200h labs HTB préalables = 60% taux échec premier essai (OffSec 2024). Compter 800-1 000h pratique avant tentative.
Quels labs cyber privilégier pour devenir pentester 2026 ?
Stack labs reconverti pentester FR 2026 : (1) **TryHackMe** mois 1-3 (parcours Pre-Security, Cyber Security 101, Jr Penetration Tester), pédagogie pas-à-pas accessibles débutants, abonnement 14€/mois ; (2) **PortSwigger Web Security Academy** mois 2-4, 250+ labs web GRATUITS, OWASP Top 10 v2021 référence absolue (PortSwigger éditeur Burp Suite) ; (3) **HackTheBox Starting Point + Tier I-II** mois 4-12, 800k+ subs IppSec walkthroughs YouTube référence (700+ machines documentées), abonnement VIP 14€/mois ; (4) **OffSec PWK + OSCP labs** mois 9-15, 90 jours pratique 1 599$ inclus exam ; (5) **Hack The Box Pro Labs / Endgames** mois 12+, environnements Active Directory réalistes pour senior. Cible 12-18 mois reconverti : 800-1 200h labs cumulées. Voir [meilleurs labs cybersécurité 2026](/ressources/reconversion/meilleurs-labs-cybersecurite-2026).
Quel salaire pentester junior FR 2026 et évolution carrière ?
Sources Wavestone Cyber Salary Survey 2026 + APEC + Hays Cyber : **junior 0-2 ans XP** Paris 38-48 k€, province (Lyon 35-42 k€, Toulouse 35-43 k€, Marseille 33-40 k€), bonus 5-15%. **Intermédiaire 3-5 ans** Paris 50-65 k€, senior 5-8 ans 65-90 k€, lead 90-130 k€. **Spé bonus 2026** : pentester web junior 38-48 k€ + 5-10%, pentester infra/red team 40-50 k€ + 5-10%, pentester IA junior 45-58 k€ + 10-25% (premium pénurie LLM Security), pentester cyber maritime Toulon 38-48 k€ + 5-15%. **Freelance TJM 2026** post 5+ ans XP : pentester web junior 600-900€/jour, senior 900-1 300€, lead red team IA 1 500-2 500€. Évolution carrière typique : pentester junior → consultant senior → lead red team → CISO/RSSI 100-200 k€. Voir [freelance cybersécurité France 2026](/ressources/reconversion/freelance-cybersecurite-france-2026).
FCSC ANSSI obligatoire pour pentester junior FR 2026 ?
Position tranchée : **OUI, FCSC France Cybersecurity Challenge ANSSI obligatoire** sur CV pentester junior FR 2026, signal critique recruteurs FR (DGSE, ANSSI, Thales, Sopra Steria, EY Cyber). Édition 2026 : avril-mai annuel, 200 plus de challenges (Web, Crypto, Reverse, Pwn, Forensics, Misc, Hardware, OSINT). **Top 1 000-3 000 mondial = signal recruteurs**. Sans FCSC sur CV = manque preuve démonstrable compétences pentest. Préparation 2026 : (1) **Hackropole.fr** archives ANSSI gratuites 300 plus de challenges FCSC précédents (2019-2025) avec writeups officiels, 100 plus de heures pratique recommandé avant FCSC ; (2) **PicoCTF Carnegie Mellon** mars 14-25 2026 (50 000 plus participants mondiaux) ; (3) **HTB Cyber Apocalypse** mai 2026 (25 000 plus équipes). Cible reconverti pentester FR 2026 : participation FCSC plus PicoCTF + 12-24 writeups GitHub Pages publiés. Voir [meilleurs CTF débutants 2026](/ressources/reconversion/meilleurs-ctf-debutants-2026).

Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

pentest
Formation pentest 2026 : guide complet (skills, prix, ROI, certifs)
Formation pentest 2026 : 18 compétences offensives, top certifs OSCP/eJPT/Burp, salaires 38-95 k€, TJM freelance 400-1500 €/jour.

Questions fréquentes

Naim Aouaichia

À lire également

Formation pentest 2026 : guide complet (skills, prix, ROI, certifs)