Pentester.

Professionnel autorisé de la sécurité offensive qui simule des attaques réelles contre des systèmes, des applications ou des personnes afin de trouver des faiblesses exploitables avant les adversaires. Cette notion relève de la catégorie Rôles et carrières en cybersécurité.

Professionnel autorisé de la sécurité offensive qui simule des attaques réelles contre des systèmes, des applications ou des personnes afin de trouver des faiblesses exploitables avant les adversaires.

Un pentester (test d'intrusion) est un professionnel autorisé de la sécurité offensive qui imite des attaquants réels pour découvrir des faiblesses exploitables sur le réseau, le cloud, les applications, le mobile, le matériel et les humains. Les missions vont de l'évaluation externe en boîte noire à l'exercice assumed breach et aux opérations red team complètes, chacune se concluant par un rapport écrit avec des preuves de concept reproductibles et un plan de remédiation priorisé. Les pentesters travaillent en général dans des red teams internes, des cabinets de conseil ou des MSSP, et rapportent à un responsable sécurité offensive ou de ligne de service. Les qualifications usuelles combinent des compétences pratiques pointues avec des certifications comme OSCP, OSCE/OSEP, CRTO, GPEN, GXPN ou BSCP, et un historique de CVE publiques, de résultats de CTF ou de recherche.

Les défenses contre Pentester combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Hacker éthique, Ingénieur sécurité offensive.