Devenir pentester sans expérience est possible mais exigeant : 12 à 24 mois d'effort structuré, un portfolio HackTheBox avec 15+ machines compromises et writeups publics, une certification reconnue marché (eJPT puis PNPT puis OSCP idéalement), et un positionnement honnête face à la réalité — le pentest junior est le métier cyber le plus demandé par les candidats et le moins offert par le marché (ratio typique 10-15 candidats pour 1 offre selon Apec 2023-2024). Les salaires juniors atteignent 40-58 k€ bruts annuels en France, mais le tri CV est sévère : sans portfolio démontrable, un profil reconverti sans expérience passe derrière les profils expérimentés. Cet article détaille la réalité du marché, les trois trajectoires d'accès (développeur, système-réseau, reconversion totale), le portfolio HackTheBox obligatoire, les certifications à passer, le socle technique spécifique, et la stratégie de recherche qui contourne le goulot d'étranglement du marché junior.
1. La réalité du marché : pentest junior, l'entonnoir le plus étroit de la cyber
Le pentest est le métier cyber le plus désiré par les candidats en reconversion. C'est aussi l'un des moins offerts par le marché français en volume pour les profils juniors. Ce double effet crée un goulot d'étranglement qu'il faut assumer avant d'engager 18-24 mois d'apprentissage spécialisé.
| Indicateur | Source | Valeur |
|---|---|---|
| Ratio candidats / offres pentest junior | Apec Cadres Cybersécurité 2023-2024 | 10-15 pour 1 |
| Part des ESN qui recrutent en pentest junior | Panel ESN 2024 | ≈ 30-40 % seulement |
| Délai médian de premier emploi après formation pentest | Retours communautaires FR | 4-8 mois post-formation |
| Salaire junior pentest Île-de-France | Apec 2024, Numeum | 45-58 k€ bruts |
| Salaire junior pentest province | Apec 2024 | 40-52 k€ bruts |
| Taux de certifiés OSCP qui trouvent un poste < 12 mois | Retours communautaires FR | ≈ 65-80 % |
Trois conclusions opérationnelles. D'abord, le pentest junior est accessible mais exige plus d'efforts que SOC L1 ou analyste GRC. Ensuite, le portfolio et la certification (typiquement OSCP) font la différence : un junior certifié OSCP avec portfolio HackTheBox trouve en 4-8 mois, un junior sans preuves prend 12+ mois ou n'y arrive pas. Enfin, la trajectoire via un premier métier cyber (SOC L1, DevSecOps junior, AppSec junior) puis bascule pentest en 18-24 mois est statistiquement plus fiable qu'une reconversion directe vers pentest.
2. Les trois trajectoires d'accès au pentest junior
Le parcours vers le pentest junior dépend fortement du profil de départ. Trois trajectoires structurantes, classées par rapidité et probabilité de succès.
Trajectoire 1 — Profil admin AD ou système-réseau confirmé (le plus rapide)
Durée type : 12-18 mois. Le socle Active Directory, Linux serveur et réseau est déjà acquis — exactement ce qui est exploité en pentest interne (Kerberoasting, AS-REP roasting, mouvement latéral, relay NTLM). Pour le détail de cette trajectoire spécifique, voir Quel métier cyber viser quand on vient du système et du réseau ?.
Plan-type : eJPT v2 à M+3, PNPT à M+9, 15 machines HackTheBox AD à M+12, OSCP optionnel à M+18.
Trajectoire 2 — Profil développeur confirmé
Durée type : 12-18 mois. Le socle code, frameworks web et compréhension applicative est déjà acquis. La bascule se fait plus naturellement vers AppSec junior (voir Quel métier cyber viser quand on vient du développement ?), puis éventuellement pentest web spécialisé.
Plan-type : eJPT v2 à M+3, PortSwigger Web Security Academy complet à M+6, 10 machines HackTheBox web à M+9, OSWE (OffSec Web Expert) optionnel à M+18.
Trajectoire 3 — Reconversion totale sans bagage IT
Durée type : 24-30 mois. C'est la trajectoire la plus longue et la plus risquée. Elle exige d'abord d'acquérir tout le socle IT (voir Entrer en cybersécurité en partant de zéro), puis de spécialiser vers l'offensif.
Plan-type : 6 mois de pré-préparation IT, 9 mois de bootcamp cyber généraliste, 3 mois d'emploi SOC L1 ou DevSecOps junior (stabilisation + revenu), 12 mois de spécialisation pentest en parallèle avec certifications. Taux d'abandon plus élevé, premier poste pentest souvent accessible vers M+30.
3. Le portfolio HackTheBox : le filtre d'entrée du marché pentest
Sans portfolio HackTheBox démontrable, un candidat pentest junior ne passe pas le tri CV. Les recruteurs techniques consultent systématiquement deux URL avant de lire la lettre de motivation : le profil HackTheBox public et le GitHub public.
Composition minimale du portfolio à 12 mois
| Élément | Seuil minimal acceptable | Seuil fortement différenciant |
|---|---|---|
| Machines HackTheBox compromises | 15 machines Easy à Hard | 30+ machines incluant 5+ Insane |
| Rang HackTheBox public | Pro Hacker | Guru ou Omniscient (top 5 %) |
| Writeups GitHub publics de ces machines | 10 writeups détaillés | 20+ writeups avec analyse post-exploit |
| Participation à CTF publics | 2-3 CTF (FCSC, RootMe team) | 5+ CTF avec résultats publiés |
| Contribution outils open source | 0 (optionnel) | 1-3 contributions (Impacket, BloodHound, Nuclei) |
| Blog ou série LinkedIn technique | 0 (optionnel) | 3-6 articles par an |
Les machines HackTheBox retirées peuvent être publiées en writeup sans restriction selon la charte HTB. Les machines actives ne peuvent pas, sous peine de ban. Toujours vérifier le statut avant publication.
Structure d'un writeup HackTheBox exploitable pour recruteur
- Résumé en 3-5 lignes (cible, difficulté, chemin exploité).
- Reconnaissance initiale (Nmap complet avec options choisies et justifiées).
- Énumération des services détectés (commandes exactes, résultats).
- Identification de la vulnérabilité exploitable (CVE si connue, technique si 0day lab).
- Exploitation (code ou outil utilisé, justification des choix).
- Escalade de privilèges.
- Leçons apprises (techniques nouvelles, erreurs à ne pas reproduire).
Cette structure est exactement celle attendue d'un pentester junior en entreprise quand il livre un rapport final de mission.
4. Les certifications pentest par ordre recommandé
Trois certifications indépendantes surveillées structurent un parcours pentest junior crédible. Les passer dans l'ordre évite l'écueil classique de l'OSCP prématuré avec taux d'échec élevé.
| Certification | Éditeur | Coût | Durée de prépa | Reconnaissance FR 2026 |
|---|---|---|---|---|
| eJPT v2 | INE | ≈ 250 € | 1-3 mois | Moyenne-forte, pratique |
| PNPT | TCM Security | ≈ 400 € | 4-6 mois | Forte et en hausse, AD interne |
| OSCP | Offensive Security (bundle PEN-200) | ≈ 1 600 € | 6-12 mois | Très forte, référence |
| OSWE (web) | Offensive Security | ≈ 1 600 € | 6-10 mois | Forte, spécialisation AppSec |
| OSEP (post-exploit) | Offensive Security | ≈ 1 600 € | 6-12 mois | Niche, post-OSCP |
| CRTO | Zero-Point Security | ≈ 400 $ | 2-4 mois | Forte en red team moderne |
OSCP reste la référence marché en 2026, mais n'est pas un point de départ. Un candidat qui attaque l'OSCP sans eJPT ou PNPT préalable affiche statistiquement un taux d'échec à 60-70 % à la première tentative. Préparation sérieuse : 600-800 heures cumulées, 50+ machines HackTheBox et Offensive Security Proving Grounds compromises, 3-4 mois intensifs en post-préparation de la machine PEN-200.
5. Le socle technique spécifique au pentest
Au-delà du socle cyber général (voir Quelles bases techniques avant de se lancer en cybersécurité ?), le pentest exige une boîte à outils et une méthode de travail spécifiques.
Outils de reconnaissance et scan
- Nmap : maîtrise complète des options (
-sC -sV -oN, scripts NSE, timing profiles). - Gobuster, Feroxbuster, Ffuf : bruteforce de répertoires et sous-domaines.
- Nuclei : scan de vulnérabilités par templates personnalisables.
- Wireshark et tcpdump : analyse de trafic réseau.
Outils d'exploitation web
- Burp Suite Community puis Pro : référence absolue AppSec, 80 % du temps pentest web.
- OWASP ZAP : alternative open source.
- sqlmap : injection SQL automatisée.
- XSStrike : détection XSS avancée.
Outils Active Directory
- BloodHound : cartographie des relations de privilèges AD.
- Impacket suite (secretsdump, GetNPUsers, GetUserSPNs, psexec, wmiexec, smbclient, ntlmrelayx).
- Rubeus : manipulation Kerberos côté Windows.
- CrackMapExec / NetExec : automation post-exploitation AD.
- Mimikatz : extraction de credentials Windows (à utiliser en lab uniquement).
Exemple concret de script de reconnaissance initiale sur une cible lab (HackTheBox, TryHackMe). À utiliser exclusivement sur des cibles autorisées :
#!/bin/bash
# Reconnaissance initiale d'une cible lab.
# ATTENTION : utiliser UNIQUEMENT sur cibles autorisees
# (TryHackMe, HackTheBox, Offsec Proving Grounds, ou lab proprietaire).
# Usage : bash recon.sh 10.10.10.42
set -u
TARGET="${1:-}"
if [ -z "$TARGET" ]; then
echo "Usage : bash recon.sh <IP_CIBLE>"
exit 1
fi
OUT_DIR="recon_${TARGET//./_}_$(date +%Y%m%d)"
mkdir -p "$OUT_DIR"
echo "=== Nmap rapide top 1000 TCP + detection services ==="
nmap -sC -sV -oN "$OUT_DIR/nmap_top1000.txt" "$TARGET"
echo ""
echo "=== Nmap complet TCP (tous ports) ==="
nmap -p- -T4 --min-rate 1000 -oN "$OUT_DIR/nmap_all_tcp.txt" "$TARGET"
echo ""
echo "=== Detection HTTP si port 80 ou 443 ouvert ==="
if grep -qE "^(80|443).*open" "$OUT_DIR/nmap_top1000.txt"; then
WORDLIST="/usr/share/wordlists/dirb/common.txt"
[ -f "$WORDLIST" ] || WORDLIST="/usr/share/dirb/wordlists/common.txt"
if [ -f "$WORDLIST" ]; then
gobuster dir -u "http://$TARGET/" -w "$WORDLIST" -t 20 \
-o "$OUT_DIR/gobuster_http.txt" --no-error
else
echo "Wordlist absente, installer dirb ou seclists."
fi
fi
echo ""
echo "=== Enumeration SMB si port 445 ouvert ==="
if grep -qE "^445.*open" "$OUT_DIR/nmap_top1000.txt"; then
enum4linux-ng "$TARGET" > "$OUT_DIR/enum4linux.txt" 2>&1 || true
smbclient -L "//$TARGET/" -N >> "$OUT_DIR/smb_shares.txt" 2>&1 || true
fi
echo ""
echo "=== Recon terminee - livrables dans $OUT_DIR ==="
ls -la "$OUT_DIR"Ce script reflète le workflow réel de reconnaissance initiale : recon rapide, recon approfondie, énumération par service selon les ports ouverts. Tout pentester junior doit savoir écrire et adapter ce genre de script.
6. Stratégie de recherche du premier poste pentest junior
Le tri CV pentest junior est sévère. La stratégie ci-dessous augmente significativement le taux de retour.
Quand commencer à candidater
Pas avant d'avoir au minimum : eJPT v2 obtenue + 10 machines HackTheBox publiées avec writeups + rang Pro Hacker minimum. Avant ce seuil, les candidatures épuisent le réseau pour rien. Après, le ratio réponse/candidature triple.
Où candidater en priorité
- ESN spécialisées cybersécurité offensive : Almond, Synacktiv, Intrinsec, LEXFO, Tehtris, Hackuity, HeadMind Partners. Exigent un bon niveau technique démontré mais forment volontiers les juniors.
- Scale-ups tech avec équipes red team internes : Doctolib, Criteo, Dataiku, Algolia, Swile. Postes rares mais moins concurrentiels côté junior traditionnel.
- Secteur bancaire : Société Générale, BNP Paribas CIB, Crédit Agricole, ING. Équipes red team internes structurées, recrutent en alternance et junior.
- Bug bounty en parallèle : YesWeHack, Intigriti FR, HackerOne. Démontre l'autonomie et produit des CVE dès avant embauche.
Les ESN généralistes (Capgemini, Sopra Steria, Atos) recrutent peu en pentest pur junior — elles recrutent davantage sur audit général avec dimension pentest ponctuelle.
Préparation de l'entretien technique
L'entretien pentest junior comporte systématiquement un test technique. Trois formats rencontrés :
- Machine HackTheBox à compromettre en temps limité (1-3 heures, sur VM préparée).
- Écriture d'un mini-rapport sur une vulnérabilité imaginaire avec contexte donné.
- Code review offensive : identifier les vulnérabilités dans 100-200 lignes de code.
La préparation ne s'improvise pas : 2-4 semaines de révision ciblée sur les rooms et machines déjà faites, avec focus sur la méthodologie (comment on attaque, pas juste ce qu'on trouve).
7. Trajectoire salariale et évolution pentest
Progression salariale type en pentest en France 2026. Fourchettes Apec, Numeum, LinkedIn Salary.
| Niveau | Expérience | Salaire brut annuel (province) | Salaire brut annuel (IDF) |
|---|---|---|---|
| Pentester junior | 0-2 ans | 40-52 k€ | 45-58 k€ |
| Pentester confirmé | 2-4 ans | 50-62 k€ | 55-70 k€ |
| Pentester senior | 4-7 ans | 60-80 k€ | 65-90 k€ |
| Lead pentester / pentest manager | 7+ ans | 75-95 k€ | 80-110 k€ |
| Consulting indépendant expérimenté | 5+ ans | TJM 700-1 200 € | TJM 800-1 400 € |
Les profils avec OSCP + PNPT tirent statistiquement la fourchette haute dès le premier poste (+ 3 à 5 k€). Les profils avec OSWE ou OSEP après 2-3 ans d'expérience accèdent à des postes AppSec ou red team avancés avec un différentiel supplémentaire.
Bascule vers consulting indépendant
Classique après 4-6 ans d'expérience salariée. TJM de 700 à 1 400 € selon profil et spécialisation. Exige le socle certifs + un réseau professionnel solide constitué en salarié. Les anciens d'ESN offensives réputées (Synacktiv, Almond, Intrinsec) basculent fréquemment en indépendant avec un carnet de commandes construit pendant le salariat.
Pour les erreurs qui freinent une reconversion pentest, voir Reconversion cybersécurité : les 10 erreurs à éviter.
Points clés à retenir
- Pentest junior = entonnoir le plus étroit de la cyber : ratio candidats / offres 10-15 pour 1. Différenciation par portfolio et certifs obligatoire.
- Trois trajectoires : admin AD / sys-réseau (12-18 mois, la plus rapide), développeur (12-18 mois), reconversion totale (24-30 mois, la plus risquée).
- Portfolio HackTheBox minimum : 15 machines compromises, rang Pro Hacker, 10 writeups GitHub publics, 2-3 CTF publics.
- Certifications dans l'ordre : eJPT v2 puis PNPT puis OSCP. Ne pas attaquer OSCP en premier (taux d'échec 60-70 %).
- Socle technique spécifique : Nmap, Gobuster, Burp Suite Pro, BloodHound, Impacket, CrackMapExec. Cadre légal strict (article 323 du Code pénal).
- Salaires juniors 40-58 k€ selon région. Trajectoire +5 ans : 65-90 k€. Consulting indépendant TJM 700-1 400 € après 4-6 ans salarié.
Pour un cadrage global de la reconversion cyber, voir Le guide reconversion pillar. Pour calibrer son profil d'entrée par bagage initial, voir Entrer en cybersécurité en partant de zéro. Pour les bascules depuis dev ou système / réseau spécifiquement, voir Quel métier cyber viser quand on vient du développement ? et Quel métier cyber viser quand on vient du système et du réseau ?. Le bootcamp DevSecOps Zeroday inclut un module pentest encadré avec préparation eJPT, labs HackTheBox et méthodologie rapport — base solide avant de viser PNPT puis OSCP en autonomie.
