page title icon Pentesteur – Alexandre Teman

par

Devenir Pentesteur : missions, salaires et parcours dans la cybersécurité

Nous avons le plaisir de recevoir, Alexandre Teman, Pentesteur chez Dassault Systèmes. Ensemble, nous explorons des questions essentielles : Quel salaire peut-on espérer dans ce domaine pointu de la cybersécurité ? Quelles sont les missions principales d’un Pentesteur au sein d’une entreprise technologique de pointe ? Quels défis uniques pose cette profession face à l’évolution constante des cybermenaces ? Comment devient-on Pentesteur ? Quels diplômes ou certifications sont nécessaires pour exceller dans ce métier ?

Merci à Alexandre Teman pour sa participation et nous espérons que l’écoute vous plaira !

Si vous aimez l’épisode, mettez-nous 5 ⭐️⭐️⭐️⭐️⭐️ pour nous encourager.

Pentesteur Salaire

Entre 40k€ et 48k€ brut/an en début de carrière ; jusqu’à 80k€ avec l’expérience.

Pentesteur Formation

Bac+3 à Bac+5 en informatique (école, fac, ou reconversion) + compétences techniques.

Pentesteur c’est quoi

Identifie et exploite les failles de sécurité informatique pour aider à les corriger.

Notes du podcast et liens utiles :

Notre invité : Alexandre Teman –  Profil LinkedIn

Interview faite par : Majdeline Mazza –  Profil LinkedIn

 

Retrouvez la transcription intégrale du podcast Le Gagne-Pain pour obtenir toutes les informations concernant le métier de pentesteur

Majdeline
Bonjour Alexandre.

Alexandre
Bonjour Majdeline.

Majdeline
Merci d’avoir accepté l’invitation du Gagne-Pain. Alexandre, tu es Pentesteur (ou Tester d’intrusion) chez Dassault Systèmes, c’est un métier hyper original. On va avoir l’occasion de revenir sur ton métier, sur l’entreprise dans laquelle tu travailles, mais avant ça, est-ce que tu peux te décrire en quelques mots ?

Alexandre
Merci pour l’invitation, je m’appelle Alexandre, j’ai vingt-six ans, je suis français et j’ai eu mon bac en deux-mille-quinze mois. Aujourd’hui, j’ai un diplôme d’ingénieur en informatique avec une spécialisation en cybersécurité de l’école EPITA. J’exerce le métier de Pentester. C’est la contraction de pénétration testeur. Un Pentester c’est quelqu’un qui fait des pentests et un Pentest c’est un test d’intrusion en français. Un pentesteur c’est un peu comme un hacker mais avec sans le côté malveillant ? Notre but, c’est d’attaquer des cibles informatiques à la demande des clients dans le but de les faire progresser, dans le but de les découvrir avant que potentiellement des vraies personnes malveillantes le fassent.

Majdeline
Ok, c’est très clair, quelle est la différence entre un Pentester et un consultant en cybersécurité ?

Alexandre
Alors je pourrais très bien dire que je suis consultant en cybersécurité, ça ça peut être aiderait à comprendre dans quel milieu je travaille. Maintenant c’est un métier très spécifique et ce qu’on nous demande de faire c’est très spécifique.

Majdeline
D’accord.

Alexandre
Il y a un mot qui a été créé pour ce métier.

Majdeline
Donc c’est une partie de la cybersécurité ?

Alexandre
Exactement c’est une partie que l’on appelle la cybersécurité offensive. C’est un peu comme dans le sport, on attaque ou on défend. Et il y a un dicton qui dit que la meilleure défense, c’est l’attaque. Exactement et donc aujourd’hui les entreprises ont le bon goût de se demander qu’est-ce qui se passerait si on m’attaquerait ?

Majdeline
Ok.

Alexandre
Alors, il y a des consultants cybersécurité qui vont d’une mission à l’autre vont faire des choses assez variées. Peut-être qu’une première mission va être de défendre un périmètre. La mission d’après, on va lui demander de configurer un système de défense. C’est deux choses très intéressantes et très différentes. Et certainement qu’après, on lui demandera quelque chose encore de différent.

Alexandre
Après ça dépend des entreprises, des postes, mais c’est certainement la grande différence. Je ne fais qu’une chose très précise assez répétitive pour être honnête quand pour d’autres postes, on voit plus de choses.

Majdeline
Un peu plus 360 sur la cybersécurité, toi, tu vas vraiment être sur le pentesting et l’offensive. Alors en quoi ça consiste concrètement et quelles sont tes tâches du quotidien ?

Alexandre
Alors c’est là où je vais pouvoir parler donc de mon premier CDI, mon premier job en tant que Pentester donc après mon stage de fin d’études. Donc c’est une entreprise qui s’appelle CoESSI, et les missions auxquelles j’ai pu participer c’était super cool pour être un peu cash parce que l’entreprise a des qualifications du gouvernement. Il y a certaines entreprises qui voilà répondent à certains critères et donc l’État va les autoriser à avoir certains contrats, certaines missions avec des clients importants pour la France. Donc il y a des listes qui existent, c’est tout un système à la fois simple et complexe. Certaines entreprises ont le droit uniquement de travailler avec certains prestataires.

Majdeline
D’accord.

Alexandre
Et vu qu’on était une petite équipe de Pentester, j’ai tout de suite eu accès voilà à des missions très prestigieuses. Donc sans rentrer dans les détails, par exemple, aller dans un hôpital vérifier qu’il n’y a pas trop de failles de sécurité. Aller dans une grande entreprise du CAC 40 pour vérifier que les applications qu’ils utilisent n’a pas de problème de sécurité. Ou alors travailler sur l’envoi de faux mails malveillants. Donc ça ce sont des choses à but éducatif pour les employés. Alors voilà ce sont des missions assez variées, mais qui sont toutes sur le thème de l’offensive. Et toutes très intéressantes.

Majdeline
Sur une mission un peu plus longue, comme ce que tu fais chez Dassault, qu’est-ce que pourrait être tes missions ?

Alexandre
Alors chez Dassault, dans l’esprit, c’est la même chose. C’est-à-dire que je vais avoir, on a un périmètre. Donc, nous on parle souvent de scope peine test. Ça peut être un site web, ça peut être une application mobile, ça peut être le logiciel utilisé pour la comptabilité. Ça peut vraiment être n’importe quel, nous, on parle d’assets, c’est le mot anglais, ce sont des actifs. N’importe quel actif informatique qui aurait besoin d’être testé pour voir s’il est assez robuste face à des attaques. Et donc toutes les semaines ou deux semaines, c’est rarement plus de deux semaines. On va me donner un nouveau scope (périmètre). On va dire voilà Alexandre pendant deux semaines, tu vas travailler sur cette application web qui est utilisée chez Dassault Systèmes pour x et y raison. Essaye de trouver des vulnérabilités, tu les écris, on prend des preuves et ensuite à la fin on va voir l’équipe en charge de ces applications et on leur restitue notre travail.

Majdeline
Ok. Ils vont se faire gronder derrière ?

Alexandre
Surtout pas, c’est quelque chose qui est assez présent dans nos métiers de pentesteur, c’est le côté humain en fait. Il faut faire très attention…

Majdeline
Je me dis ils doivent qu’ils doivent te redouter dans les équipes ?

Alexandre
Oui alors tu soulèves un point assez vrai. Malgré le fait que ça fasse un peu caricature, c’est assez vrai. Il ne faut surtout pas tomber dans le « on vous engueule » ou quoi que ce soit qui serait de ce genre-là. Ce serait très contre-productif pour l’entreprise. Et moi, je suis payé par l’entreprise donc je veux le bien de l’entreprise. Et puis au niveau rapport humain, ce serait assez exécrable.

Majdeline
C’est clair.

Alexandre
Donc on a une approche contraire beaucoup plus ludique. Et on fait des choses assez techniques. Souvent les personnes en face de nous chez Dassault systèmes, je suis entouré de gens très intelligents, mais ils ne peuvent pas connaître toutes les attaques informatiques. Ce n’est pas leur job. Donc, on doit vulgariser, expliquer, remontrer, reprouver, en discuter, pour qu’à la fin, ils aient bien compris à quel point ça peut être grave et surtout comment le corriger.

Majdeline
Donc de ce que je comprends dans ce genre d’entreprise, comme Dassault Systèmes, il y a tellement d’applications, tellement de scope comme tu disais que tu ne t’ennuies jamais et qu’il y aura toujours du boulot ?

Alexandre
Exactement par exemple dans l’équipe où je travaille, ils préparent des plannings sur un an. Ils savent déjà à peu près sur un an tous les assets qui doivent être testés avec des prévisions de date. C’est aussi la chance dans les entreprises avec des process assez puissants comme chez Dassault Systèmes, les choses sont bien faites.

Majdeline
Ok donc en résumé un Pentester peut être soit sur une mission assez brève. Il vient tester et il donne ses recommandations, soit sur une mission plus longue dans une entreprise comme Dassault Systèmes, ou il a pas mal de choses à tester et où il peut rester sur le long terme dans une entreprise.

Alexandre
Exactement. Dans tous les cas une campagne de Pentest, c’est-à-dire de réaliser un Pentest de A à Z, ce n’est jamais plus de deux trois semaines maximum. Donc là où j’étais avant, on faisait de la prestation de service. À savoir que c’était d’autres entreprises qui nous commandaient des Pentests. Et souvent là, il y a aussi une notion budgétaire, si on commande un Pentest de trois semaines, ça n’a pas du tout le même prix qu’un Pentest d’une semaine.

Majdeline
D’accord.

Alexandre
Donc ça va être plus bref que ce qu’il faudrait parce qu’il y a une notion d’argent. À l’inverse chez Dassault Systèmes, je travaille en interne donc il n’y a pas du tout de pression budgétaire. Alors si elle existe, mais ce n’est pas un lien direct entre nos capacités de pentest. Est-ce que ça va gagner plus ou moins d’argent chez Dassault Systèmes

Majdeline
Ok.

Alexandre
Donc, c’est un petit peu différent dans le contexte des pentest mais dans la réalisation, c’est la même chose.

Majdeline
Comme on parle de budget, j’en profite pour poser la question Gagne-Pain. Combien ça gagne un un Pentester ?

Alexandre
Alors en toute transparence un Pentester ce sont les fourchettes un petit peu plus hautes dans le métier de la cybersécurité. En sortie d’école, on peut prétendre à des salaires, je dirais, entre quarante-mille bruts par an à peut-être être quarante-huit-mille si on a déjà certaines qui ont compétence alléchante pour les entreprises. Un petit exemple, ça peut très bien arriver qu’en sortie d’école, on maîtrise déjà le Pentest sur des applications dans le cloud. Ça c’est des choses qui peuvent être très demandées ne serait-ce que pour quelqu’un qui sort d’école, donc on peut justifier des plus gros salaires. Et après, c’est un métier qui évolue assez correctement en termes de salaire. Quand on est un peu plus expérimenté, on peut justifier des salaires entre cinquante à quatre-vingt-mille euros même bruts par an quand on a des grosses spécialités sur plusieurs types de pentest et surtout une grosse expérience. Comme beaucoup de métiers dans le monde de l’entreprise, c’est le passage en tant que manager qui peut faire un peu plus grimper les salaires.

Majdeline
Alexandre, parle-nous un peu de toi. Est-ce que tu étais déjà passionnée par le code, quelles étaient tes aspirations pour faire ce métier ?

Alexandre
Bien sûr. J’ai mon parcours, un petit peu plus atypique que mes collègues Pentesters. Je vais peut-être d’abord dire en général mes collègues leurs évolutions, ce que je vois de manière assez classique. Dans tous les cas, ce n’est pas le diplôme qui prime, quelle école tu as fait ou C’est sûr. Notamment dans mon métier. Mais par contre, ils ont souvent quelque chose en commun. Ils ont commencé assez tôt à s’intéresser à la cybersécurité et plus particulièrement donc au pentesting ou à l’hacking. En conséquence, quand ils sont arrivés en études d’informatique, que ce soit en fac, que ce soit en école, ils avaient une appétence telle qu’ils sont arrivés au niveau pour devenir Pentester.

Majdeline
Ok. Alors la motivation prime ?

Alexandre
Oui. Et aussi la pratique, parce que ce sont des gens qui pratiquent matin, midi et soir. Moi, je suis arrivé en école d’ingénieur, sans quasiment jamais avoir ouvert un ordinateur.

Majdeline
Ah c’est hyper intéressant. La caricature de ce métier, c’est le geek qui est à fond et qui est voilà, il se dit j’ai trouvé un métier, je suis content et du coup, il va vers ça…

Alexandre
Bien sûr, moi la vérité, je suis devenu geek plus qu’autre chose…

Majdeline
Ok donc tu n’avais pas forcément le parcours type de tes collègues ? De ce fait, c’est un peu rassurant, je pense pour ceux qui nous écoutent et qui aimeraient faire ce métier. C’est que vous n’êtes pas forcément obligé de base d’avoir une appétence et en fait la rigueur, le travail paye !

Alexandre
Oui, exactement.

Majdeline
Alexandre, quelles sont pour toi les trois principales compétences requises pour ce job ?

Alexandre
Alors si je devais citer trois compétences pour le métier de Pentester. La première qui est un peu non négociable, c’est de savoir attaquer. Quand je dis savoir attaquer, c’est-à-dire qu’une attaque informatique. C’est un peu la quintessence de beaucoup de choses dans l’informatique. Autrement dit, la compréhension du système en lui-même. La compréhension de l’attaque. Sur quel point ça va jouer, à quel moment ça va essayer de faire, de faire des choses malveillantes. Comment la lancer. Ça il y a des outils à disposition, mais ils ont souvent plein de petites options, il faut les connaître pour le jour J. Utiliser la bonne et aussi savoir les dégâts qu’elles peuvent faire. On me demande beaucoup. et c’est questions en entretien : Est-ce que dans ce contexte-là, tu utiliserais cet outil ? Oui, il n’y a pas de souci. Non, ça pourrait couper le réseau de l’entreprise et ce serait trop dangereux. Savoir maîtriser une attaque informatique dans son ensemble. Deuxièmement, être curieux. Les attaques informatiques, il en sort beaucoup tous les jours. Des failles sont découvertes tous les jours. De la plus petite à la plus grande donc c’est aussi notre rôle de se tenir informé sur toutes les technologies existantes, leurs failles et aussi parfois de l’assemblage de technologie qui crée des failles. De ce fait, il faut avoir une curiosité de chaque instant dans n’importe quel environnement. Que l’on sache aller chercher les bonnes infos. On ne peut pas tout savoir quand on arrive dans un test, c’est on apprend sur le tas. Mais il faut avoir une très bonne curiosité et aussi savoir retrouver les réponses à ces questions. Être curieux et savoir se documenter en cybersécurité. Et enfin, troisième qualité, c’est de savoir restituer. Le cœur de ce métier, c’est de faire des attaques informatiques. Mais je suis jugé sur la restitution. C’est l’unique moment on va se dire, il a fait mon boulot ou j’ai bien compris pourquoi il a travaillé pendant cinq jours dans son coin. C’est crucial de savoir restituer, et il y a beaucoup de qualités qui se cachent derrière. Dans mon métier, il faut être humble. C’est-à-dire que parfois, on va faire de grosses trouvailles. Il faut trouver les mots justes pour qu’il y ait un esprit d’avancement commun au sujet de la vulnérabilité. Il faut savoir vulgariser, bien évidemment. Ce n’est pas tout le monde qui maîtrise les attaques informatiques. Ce n’est pas le métier de tout le monde. Donc c’est notre job de trouver des mots. La vulgarisation, ça peut aller assez loin. Ça peut m’arriver en restitution de dire, imaginez-vous un château-fort. C’est un peu comme s’il y avait une porte à l’arrière du château-fort fort qui donne tout de suite accès au coffre. Peut-être que là, on comprend mieux que mon coffre n’est pas très bien protégé. Je pense que déjà si on a ces 3 qualités, c’est un bon point de départ pour entrer dans le monde du Pentest professionnel.

Majdeline
Ok très clair et dans tout ça qu’est-ce qui te plaît le plus et qu’est-ce qui te plaît le moins ?

Alexandre
Alors ce qui me plaît le plus, c’est l’effervescence intellectuelle qu’il y a dans une équipe de Pentest. C’est-à-dire que ça peut arriver par exemple que j’ai un collègue qui travaille sur une autre application. On ne travaille pas du tout sur le même sujet, mais qu’à un moment, je pense avoir trouvé une vulnérabilité, je ne sais pas comment l’exploiter. Paf, il vient derrière mon ordi, on passe à deux cerveaux, et tout va plus vite. On trouve, on est content et après, on va célébrer ça avec un bon petit café comme beaucoup de gens dans le monde de l’entreprise. Donc c’est assez intéressant de faire travailler son cerveau sur des choses très techniques tout le temps. Maintenant, il y a aussi des côté très sympathique . J’ai chance de le faire au quotidien ça c’est quand même plutôt agréable. Ce qu’il y a de moins agréable dans mon métier, c’est qu’il faut écrire un rapport de restitution. D’un autre côté, c’est très important parce que ce sera la seule trace écrite de nos travaux. En général les gens quand on leur fait la restitution orale, ils ne peuvent pas tout assimiler donc, ce sera écrit sur le rapport. Et ces rapports, peuvent être assez longs. On fait des synthèses, on met des preuves, on met des recommandations, on met des notes entre guillemets. Ces rapports peuvent vite atteindre cinquante soixante pages sur certaines campagnes de pentest. En conséquence, il faut le taper gentiment à la main. Nous par exemple chez Dassault Systèmes, on utilise des outils pour nous aider à taper ces rapports pour qu’il y ait une qualité professionnelle. Certains pourraient dire c’est de la flemmardise, mais c’est de la très bonne flemmardise parce qu’on travaille plus vite, on a des meilleurs rendus et on arrive directement expliquer les problématiques qu’on trouve.

Majdeline
Oui et l’IA vous aide aussi peut-être ?

Alexandre
L’IA c’est un super sujet dans le monde du Pentest. Déjà il y a une question qu’on me pose beaucoup, c’est : Est-ce que ChatGPT sait hacker ? Alors honnêtement la réponse est rapide, c’est oui. Il comprend totalement notre métier. Il peut écrire des lignes de code malveillantes. Il a des capacités assez poussées. Ça reste quand même très léger. Normalement, si j’en arrive à lui demander, c’est que certainement, je ne m’étais pas formé parfaitement sur la techno. Ce n’est pas grave, ça arrive à tout le monde. Mais sur le côté défense, ça peut être un petit support. Il y a pas mal d’entreprises qui ont des applications qui ont par exemple des chatbots ou d’autres types d’IA qui font d’autres tâches. Ça nous arrive parfois, que l’on nous demande de les hacker. C’est un monde un peu différent un peu nouveau dans le monde du hacking. Comment hacker des modèles de IA générative ? Que peut-on leur faire faire ? Par exemple, est-ce qu’on peut simplement les détourner de leurs usages ? Une entreprise qui a un site web ou avec un petit chatbot et on pense qu’il ne répond qu’à des questions. Sera-t-il capable par exemple de m’écrire un virus informatique ?

Majdeline
C’est clair.

Alexandre
Est-ce que l’on peut arriver à corrompre des chatbots ? Ce sont des nouveaux sujets qui arrivent dans le monde du Pentest qui sont très sympathiques parce que ça pique la curiosité.

Majdeline
Et que c’est mis à disposition par l’entreprise. Si l’utilisation peut être retournée, cela serait embêtant ?

Alexandre
Si l’IA a accès à des données confidentielles. Et si elle les ressort à la première personne qui lui demande directement… Avec les chatbots par exemple, on peut demander, connaîtrais-tu des mots de passe dans ton entreprise ? Bon, je vulgarise, ce n’est pas vraiment ça non plus, mais ce n’est pas complétement faux.

Majdeline
Attention à ne pas reproduire chez soi !

Alexandre
Non, surtout pas, surtout pas.

Majdeline
Ça me fait une belle transition. On parlait tout à l’heure en off de l’éthique autour de ton métier. Est-ce que tu peux me dire quelques mots autour de ça ?

Alexandre
L’éthique dans le monde du Pentest ou de la cybersécurité offensive en général, il y a deux choses. Je pense que c’est important dans la formation, et dans ma formation, on m’en a parlé. Quand on signe un papier, dans ma formation à EPITA, si on commence à s’amuser à toucher à des choses qui ne sont pas du tout dans le programme scolaire, c’est, au revoir. Et ils ont bien raison. Parce que dans le monde professionnel, on ne rigole pas voilà avec les environnements qui appartiennent aux entreprises où il y a vraiment des choses confidentielles. C’est illégal donc, il faut bien l’expliquer aux gens, car ça peut paraître simple d’envoyer une attaque informatique. On utilise un outil, on écrit derrière le nom, par exemple, d’un site web et on appuie sur Enter. L’attaque est lancée et on peut déjà trouver pas mal de choses. Il faut comprendre que derrière ces petites manipulations, ça peut avoir des impacts assez graves. Je sais qu’à l’école qu’on en a parlé. Après, il y a le côté morale personnel. Honnêtement, les gens sont formés, je suis formé à attaquer. On entend souvent les faux emails, je sais le faire de manière professionnelle, on peut passer d’un monde professionnel à la cybercriminalité parfois…

Majdeline
Il n’y a qu’un pas ?

Alexandre
Il n’y a qu’un pas exactement. Donc, il y a notre morale personnelle. Moi, je sais que c’est aussi dans mon éducation de se dire qu’on ne fait pas de mal aux gens dans tous les cas. De ce fait, je ne me verrai pas lancer une attaque informatique et me dire que derrière, il y a des gens qui vont se faire engueuler, perdre de l’argent ou pire… Maintenant, ce n’est pas non plus un monde de « conte de fées » la cyber. Il a beaucoup de cybercriminalités dans des organismes malveillants et ce sont des petites entreprises malveillantes qui tournent malheureusement très bien avec des fortes capacités. Ce ne sont que des exceptions qui confirment la règle. Les gens qui font du Pentest mettent tous leur savoir-faire entre guillemets pour « le bon côté de la force ».

Majdeline
C’est une petite référence ?

Alexandre
Oui, une petite rèf au passage…

Majdeline
On nous interroge régulièrement sur l’utilisation de l’anglais. Est-ce que c’est particulièrement utile d’avoir un anglais professionnel dans ton métier de Pentester ?

Alexandre
Oui, et je vais donner mon exemple qui est assez parlant. Dassault Systèmes est un environnement anglophone. Par exemple, c’est dans les critères de recrutement d’avoir un anglais professionnel et notamment sur les sujets techniques de cybersécurité. Comme dans beaucoup de métiers de l’informatique, je pense que c’est très important d’être à l’aise en anglais. A tout moment, on peut tomber sur une entreprise dans laquelle l’environnement est anglophone et là, il n’y a pas de choix.

Majdeline
On parlait tout à l’heure de formation et tu as fait l’école EPITA. Est-ce qu’il y a d’autres formations qui te paraissent intéressantes ?

Alexandre
Toutes les formations autour de l’informatique seront bonnes. Comme je le disais souvent, ça va être aussi l’investissement mit dans cette formation qui primera. C’est vrai que les écoles d’ingénieurs informatiques, il y a ce côté assez large sur la science informatique qui peut être assez juste quand on veut exercer des métiers très techniques. Maintenant toute autre formation d’informatique sera bonne. Il y a aussi beaucoup de formations pour faire de la reconversion en cybersécurité. Parfois, c’est en lien avec l’informatique, par exemple des administrateurs système ou des gens qui faisaient de la data par exemple. Ou alors des gens qui faisaient des métiers sans aucun rapport… Je me rappelle avoir discuté avec quelqu’un qui était postier. Qui était reconverti dans la cybersécurité quand j’étais en stage. Il y a plusieurs formations qui existent. Il y a beaucoup de métiers, certains techniques comme le mien, d’autres beaucoup moins techniques. Et peut-être plus accessibles rapidement si on veut entrer dans la cyber. Il y a un large panel de formations en ligne. Donc celui qui veut, il peut le faire.

Majdeline
Ok, dans le métier de Pentester, le diplôme importe beaucoup, ou ce sont les compétences et le travail qui prennent le dessus ?

Alexandre
Dans tous les entretiens d’embauche que j’ai fait, la grosse partie de l’entretien, c’étaient des questions techniques et des mises en situation. Et très souvent même de vrais tests réels qu’on demande de réaliser sur un temps imparti. Je pense sincèrement qu’on peut avoir la meilleure école possible sur son CV et ne pas réussir les tests, tu ne seras pas pris. A l’inverse, si tu réussis les tests brillamment, je pense qu’on peut presque n’avoir aucun diplôme. On aura beaucoup de valeur quand même sur le marché.

Majdeline
On est vite testé sur nos compétences et finalement très peu sur le diplôme ?

Alexandre
Complètement.

Majdeline
Ok, c’est rassurant. Continues-tu à te former régulièrement ?

Alexandre
Oui, tous les jours. Dans mon métier, parfois, j’arrive sur des environnements dans lesquels je suis moins habitué. Donc naturellement, je vais devoir me documenter, revoir s’il n’y a pas des gens qui ont fait des tutos par exemple. Comment attaquer ce genre d’environnement ou autre. Un petit exemple, il n’y a pas longtemps, on m’a demandé de travailler sur une application mobile. C’était la première fois que je le faisais donc j’ai dû tout réapprendre et c’était très intéressant.

Majdeline
Ok. Est-ce que tu aurais des conseils de films, séries, livres, podcasts en rapport avec ton métier ?

Alexandre
Alors tout ce qui est film et série sincèrement, on décrit souvent les hackers avec la cyber malveillante. La cybercriminalité ça ressemble pas vraiment à ce que je fais au quotidien. Maintenant, il y a beaucoup de conférences faites par des Pentesteurs qui sont très fiers de raconter comment ils ont réussi à faire de nouvelles attaques. Ce sont des conférences déjà assez techniques, mais mon métier est technique. Des conférences comme Le Hack ou le SSTIC que j’aime beaucoup. Ce sont des conférences françaises assez techniques avec des Pentesteurs qui trouvent certaines failles. Des conférences qu’on peut retrouver sur YouTube. Il y a également la Defcon aux États-Unis qui racontent leurs exploits de manière assez fun et déjanté et fréquemment, ils ont des trouvailles assez drôles. Vous pourrez aller voir une de leurs vidéos les plus connues. Ce sont des hackers spécialisés dans les ascenseurs. Pour voilà ça paraît bête, mais vérifier si avec un ascenseur on ne peut pas accéder aux étages auxquels on ne pourrait pas accéder. C’est assez brillant comme conférence, je vous laisse la regarder.

Majdeline
Pour conclure, aurais-tu, un conseil à donner à une personne qui t’écoute et qui potentiellement serait intéressée par le Pentest ?

Alexandre
Oui, je lui dirais de s’investir beaucoup voilà dans les capacités techniques et aussi bien comprendre que ce métier. C’est un métier, et c’est professionnel. Ce n’est pas entre guillemets « pour rire », je ne suis pas là pour attaquer pour rien. Il y a des contrats, il y a des délais, il y a des environnements respectés, je ne peux pas tout faire. Par exemple, il y a des attaques qui pourraient faire en sorte que le service soit indisponible. Et ce serait injustifié d dire parce que Alexandre tester l’application, le site web ne marche pas pendant une semaine. Donc parfois un peu moins fun que ce qu’on pourrait penser. Derrière, il y a quand même un côté assez éthique. On met ses connaissances au service du bien. En conséquence, soyez motivés, soyez passionnés. Il y a beaucoup de place en cyber, c’est dynamique, on vous attend.

Majdeline
Merci beaucoup Alexandre, à bientôt.

Alexandre
Merci à vous.

Laisser un commentaire

Podcast Le gagne pain

menu

Episodes
À propos
L'équipe
Contact

Nous suivre

DISPONIBLE SUR

Apple Podcast
Spotify
Deezer
YouTube

© 2025 Le Gagne Pain | Politique de confidentialité | Mentions légales | Site web réalisé par nymyproduction.com