Zeroday Cyber Academy

Pentest

Salaire pentester en France : grille 2026 par niveau

Salaire pentester 2026 : junior 35-45k€, confirmé 45-65k€, senior 65-95k€. Impact OSCP, TJM freelance 400-1200€/jour, Paris vs régions, secteurs qui paient.

Naim Aouaichia
9 min de lecture
  • Pentester
  • Salaire
  • Rémunération
  • Carrière
  • Freelance
  • OSCP
  • Red Team
  • Marché de l'emploi

Le salaire d'un pentester en France en 2026 s'échelonne de 35 000 € brut annuels pour un junior à plus de 90 000 € pour un profil senior spécialisé, avec un différentiel moyen de 85 % entre le premier et le dernier échelon. La rareté du profil est évaluée à 66 % de pénurie sur le marché français, ce qui tire les rémunérations vers le haut depuis trois ans. Cet article détaille les fourchettes par niveau d'expérience, l'impact mesurable des certifications (OSCP, OSEP, CRTO), les TJM freelance réels, et les secteurs qui paient le mieux.

Grille salariale par niveau d'expérience (France, 2026)

Les fourchettes ci-dessous agrègent les baromètres Seyos, Jedha, LearnThings et Glassdoor pour la période janvier-avril 2026. Elles portent sur un poste de pentester généraliste (web + infra) en CDI temps plein, hors bonus et avantages.

NiveauExpérienceParis (brut/an)Grandes villesRégions
Junior0-2 ans38 000 - 45 000 €35 000 - 42 000 €32 000 - 40 000 €
Confirmé3-5 ans45 000 - 60 000 €42 000 - 55 000 €40 000 - 50 000 €
Senior6-9 ans60 000 - 80 000 €55 000 - 70 000 €50 000 - 65 000 €
Lead / Principal10+ ans80 000 - 110 000 €70 000 - 95 000 €65 000 - 85 000 €

Ces chiffres correspondent au salaire fixe. Les bonus et variables pèsent 5 à 15 % du fixe selon le secteur, et peuvent monter à 25 % chez les éditeurs SaaS américains ou les banques d'investissement. Les actions (stock options, BSPCE, RSU) sont fréquentes dans les scale-ups cyber françaises et ne sont pas comptabilisées ici.

Impact mesurable des certifications

Les certifications ne font pas le pentester, mais elles structurent les grilles de négociation et filtrent les CV côté recruteur. Deux certifications dominent le marché français en 2026.

OSCP - la référence du métier

L'OSCP (Offensive Security Certified Professional) reste la certification la plus demandée dans les offres d'emploi pentester. Son impact sur le salaire est désormais bien documenté.

  • Prime salariée : 5 000 à 15 000 € brut annuels à poste équivalent, soit une augmentation de 10 à 20 %.
  • Prime freelance : +100 à +150 €/jour sur le TJM moyen.
  • Effet filtre : environ 60 % des offres senior en pentest exigent ou recommandent fortement l'OSCP, contre 30 % il y a trois ans.
  • Coût d'investissement : 1 749 USD pour le pack PEN-200 + examen (8 mois d'accès), 1 999 USD pour un an.

Certifications avancées et spécialisées

Au-delà de l'OSCP, les certifications spécialisées commandent des primes plus élevées car elles adressent des marchés plus étroits et plus techniques.

CertificationFocusPrime salariée indicativeCoût
OSEPPentest avancé / évasion AV-EDR10-20k€1 749 USD
OSWEPentest applicatif whitebox8-15k€1 749 USD
OSCE3Trilogie expert OffSec15-25k€~5 000 USD cumulé
CRTORed team operator (Cobalt Strike)8-15k€399 GBP
CRTLRed team lead12-20k€999 GBP
GPEN / GXPNSANS - secteur régulé / défense10-18k€8 780 USD par cert

TJM freelance : le vrai marché

Le passage en freelance intervient généralement entre 3 et 6 ans d'expérience. Il démultiplie le revenu brut, au prix d'une charge administrative et commerciale non triviale.

Grille TJM France 2026

NiveauTJM bas de fourchetteTJM haut de fourchetteJours vendus/an réalisteCA brut annuel
Junior (2-3 ans)400 €/j500 €/j150-17060-85 k€
Confirmé (3-6 ans)500 €/j700 €/j170-19085-133 k€
Expert (6-10 ans)700 €/j1 000 €/j170-200119-200 k€
Spécialiste senior1 000 €/j1 500 €/j150-180150-270 k€

Les TJM supérieurs à 1 200 €/jour concernent les profils red team / adversary emulation avec portfolio public (blog technique, CVE, talks), ou les spécialistes sectoriels (industriel, SCADA, aérospatial) avec habilitations.

Ce qu'on oublie dans le calcul

Le TJM brut facturé n'est pas le revenu net. Pour un freelance en SASU ou EURL en France :

  • Charges sociales : 40 à 45 % du revenu après frais professionnels.
  • Impôt sur les sociétés + dividendes : 15 % + 30 % PFU = arbitrage complexe.
  • Jours non facturés : prospection, formation, administratif, congés, maladie (estimation 40-60 jours/an).
  • Frais professionnels : matériel, certifications, déplacements, assurances RC pro, comptable.

Un TJM de 700 €/jour facturé 180 jours génère environ 126 k€ de CA brut, soit un net en poche d'environ 65 à 80 k€ selon la structure fiscale - comparable à un poste salarié senior à 75-85 k€ bruts avec bonus et avantages.

Variables géographiques et sectorielles

Paris vs régions

L'écart Paris-régions s'est resserré depuis 2022 avec la généralisation du télétravail, mais reste significatif.

  • Junior : +10 à 15 % à Paris.
  • Confirmé : +15 à 20 %.
  • Senior : +20 à 30 % sur les postes in-house en finance ou défense.
  • Freelance : écart plus faible (5-10 %) car les missions se vendent souvent au national.

Les métropoles régionales qui tirent les salaires vers le haut : Toulouse (aérospatial, défense), Lyon (banque, industrie), Rennes (DGA, CIR cyber), Lille (retail et assurance), Nice-Sophia Antipolis (R&D tech).

Secteurs qui paient le mieux

Le secteur d'activité pèse parfois autant que l'expérience sur la fiche de paie.

Finance / banque / assurance   :  +15 à +25 % vs moyenne marché
Défense / aérospatial          :  +10 à +20 % + primes habilitation
Éditeurs SaaS / scale-ups tech :  +10 à +20 % + equity
Conseil spécialisé cyber       :  +5 à +15 %
Industrie (OT / SCADA)         :  +5 à +15 % (niche, peu de concurrence)
Grands comptes CAC 40 (interne):  moyenne marché + bonus annuel
ESN généraliste                :  base marché, voire en dessous
Secteur public                 :  -10 à -25 % (mais stabilité)

Évolution de carrière et plafonds de verre

La trajectoire salariale type d'un pentester sur 10 ans illustre l'écart entre les voies possibles.

Année 0  (sortie bootcamp/école) : 35-40k€
Année 2  (junior autonome)       : 42-48k€
Année 4  (confirmé OSCP)         : 55-65k€
Année 6  (senior spé.)           : 70-85k€
Année 8  (lead / principal)      : 85-110k€
Année 10 (bifurcation)           :
   → Staff / architect security  : 100-140k€
   → CISO / head of offsec       : 110-160k€
   → Freelance expert            : 150-250k€ CA brut
   → Co-fondateur startup        : variable + equity

Le palier autour de 85-100 k€ est le plus discuté : il sépare la rémunération pure technique des postes à responsabilité (management, architecture, direction). Beaucoup de pentesters seniors refusent cette bascule et choisissent alors le freelance comme seul levier de progression économique.

Bug bounty et revenus complémentaires

Le bug bounty est un complément de revenu sérieux pour les pentesters confirmés. Les chiffres 2026 pour le marché français et européen :

  • Bug bounty casual (2-5 h/semaine, profil confirmé) : 3 000 à 15 000 € bruts annuels.
  • Bug bounty sérieux (10-20 h/semaine, profil senior) : 15 000 à 80 000 €/an.
  • Bug hunter full-time (top 1 %) : 100 000 à 500 000 €/an, concentré sur HackerOne, Bugcrowd, Intigriti, YesWeHack.

En 2026, le top earner français sur YesWeHack dépasse le million d'euros cumulés sur sa carrière. Ce modèle reste extrêmement minoritaire : moins de 5 % des chasseurs inscrits dépassent 20 k€/an nets, principalement à cause de la concurrence et de la volatilité du flux de programmes.

Négociation salariale : leviers concrets

Trois leviers structurent toute négociation pentester en 2026, par ordre d'efficacité.

  1. Portfolio tangible : CVE publiées avec CVSS documenté, write-ups HackTheBox ou Root-Me, talks acceptés (Nuit du Hack, Hack.lu, Pass the Salt, Hexacon), contributions à des outils open source (impacket, BloodHound, Nuclei). Un CV techniquement vérifiable pèse 5 à 10 k€ de négociation.
  2. Spécialisation revendiquée : Active Directory, cloud (AWS, Azure), mobile, ICS/SCADA, LLM security, smart contracts. Les profils spécialisés capturent la prime de rareté.
  3. Certifications ciblées : OSCP en base, puis OSEP ou CRTO selon la trajectoire.

Les leviers qui ne fonctionnent plus en 2026 : l'accumulation de certifications généralistes sans portfolio, le CEH seul (déprécié sur le marché technique), les années d'expérience en SOC N1 revendiquées comme pentest.

Points clés à retenir

  • Fourchette 2026 France : 35 k€ pour un junior à 110 k€+ pour un lead, avec un écart Paris-régions de 10 à 30 %.
  • L'OSCP reste la certification à ROI immédiat : +10 à 20 % sur le salaire, +100-150 €/jour sur le TJM.
  • Le freelance commence à être mathématiquement intéressant autour de 700-800 €/jour et 170+ jours facturés, soit environ 5-6 ans d'expérience.
  • Finance, défense et scale-ups SaaS paient 15 à 25 % au-dessus de la moyenne marché. Le secteur public paie 10 à 25 % en dessous mais offre stabilité et formation.
  • Le plafond technique pur se situe autour de 100-110 k€ ; au-delà, il faut accepter un rôle de lead, passer en freelance spécialisé, ou bifurquer vers CISO / architect security.

Pour structurer une trajectoire cohérente vers ces niveaux de rémunération, le plan en 7 étapes pour devenir pentester détaille les jalons techniques et certifications à viser. Si tu pars de zéro sans background cyber, le guide devenir pentester sans expérience pose les prérequis concrets et les options de formation.

Questions fréquentes

  • Quel est le salaire d'un pentester débutant en France en 2026 ?
    Un pentester junior (0-2 ans d'expérience) gagne entre 35 000 € et 45 000 € brut annuels à Paris, et 32 000 € à 40 000 € en région. La fourchette s'élargit vers 42-48k€ pour les profils issus d'un bootcamp reconnu ou diplômés ingénieur avec une certification type eJPT ou PNPT en poche dès l'embauche.
  • Combien rapporte une certification OSCP sur le salaire ?
    L'OSCP (Offensive Security Certified Professional) ajoute en moyenne 5 000 à 15 000 € brut annuels sur un poste salarié en France, soit une prime de 10 à 20 %. Sur le marché freelance, elle justifie un saut de TJM d'environ 100 à 150 € par jour. L'OSCP reste la certification la plus demandée dans les offres d'emploi pentester en 2026.
  • Quel TJM viser en pentester freelance ?
    En 2026, un pentester freelance facture 400-500 €/jour en junior (0-2 ans), 500-700 €/jour en confirmé (3-6 ans), et 800-1 200 €/jour en expert (>6 ans avec OSCP ou OSEP). Les profils red team senior avec spécialité Active Directory ou cloud dépassent fréquemment les 1 000 €/jour sur des missions longues.
  • Paris paie-t-il vraiment beaucoup plus que la province ?
    L'écart moyen Paris / régions se situe entre 10 et 20 % sur un poste salarié équivalent, et peut monter à 30 % sur des profils seniors dans la finance ou la défense. En revanche, le coût de la vie compense souvent l'écart : en TJM freelance, la différence est plus faible car les missions se vendent au national voire à l'international.
  • Quels secteurs paient le mieux les pentesters ?
    Trois secteurs se détachent nettement en 2026 : finance et assurance (banques systémiques, +15 à 25 % vs moyenne marché), défense et aérospatial (habilitations secret défense, primes importantes), et éditeurs SaaS scale-ups (BSPCE, stock options, équity). Le conseil généraliste et les ESN classiques sont en bas de la fourchette.
  • Quelle différence de salaire entre pentester interne et consultant externe ?
    Un consultant externe en ESN ou cabinet de conseil est payé 5 à 15 % de moins qu'un pentester interne équivalent, mais bénéficie d'une variété de missions plus large, ce qui accélère la progression technique et donc salariale. Les pentesters internes des grands groupes (CAC 40, tech scale-ups) sont en haut de la fourchette grâce aux bonus annuels et aux actions.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également