Pourquoi je n'embaucherai plus jamais de pentester junior
Confession d'un fondateur : depuis qu'un agent IA fait ma recon, le ROI d'un pentester junior est mort. Et c'est une excellente nouvelle pour les seniors.
Je vais dire tout haut ce que beaucoup de fondateurs de boîtes de
cybersécurité pensent tout bas : le pentester junior, comme métier d'entrée,
est mort. Ce n'est pas une provocation. C'est ce que mes chiffres m'ont prouvé
en trois mois.
Ce que faisait un junior
Pendant des années, on confiait aux juniors la même chose : la recon. Énumérer
300 sous-domaines, scanner les ports, fingerprinter les stacks, tester les
low-hanging fruits, trier les résultats, écrire un rapport intermédiaire.
Trois à cinq jours de travail. Facturé 600 à 1000 € par jour au client. Marge
correcte pour le cabinet, expérience formatrice pour le junior, point d'entrée
pour devenir senior dans deux ou trois ans.
C'est ce modèle qui s'effondre.
Ce que fait Sentinelle aujourd'hui
Un agent IA offensif fait la même recon en quarante minutes. Pas
approximativement. Mieux : il chaîne des signaux faibles qu'un humain rate par
fatigue, et il produit un rapport reproductible avec les commandes exactes.
Quand je compare les deux livrables côte à côte, le rapport de l'agent gagne
huit fois sur dix.
Coût : quelques dollars de tokens. Pas un salaire de junior + charges +
management + temps de formation.
L'erreur classique
L'erreur, c'est de penser que ça remplace les seniors. C'est l'inverse. Ça
libère les seniors du travail répétitif qu'ils détestent, et ça leur rend le
temps pour la créativité offensive l'exploit chain non documenté, l'abus de
logique métier, le 0day. C'est là que la valeur ajoutée humaine reste totale.
Donc je n'embauche plus de juniors. J'embauche directement des seniors, je
leur paie un salaire premium, et je leur donne dix Sentinelle. Le ROI par tête
est 4 à 5× supérieur à l'ancien modèle.
L'objection « comment forme-t-on les juniors alors ? »
Honnête réponse : autrement. Les juniors deviennent seniors en passant six à
douze mois à piloter des agents IA, à apprendre à lire leurs rapports, à
challenger leurs conclusions, à écrire les playbooks. C'est un autre chemin
d'apprentissage, plus rapide et plus stratégique. Le junior n'est plus un
sous-traitant de la recon, c'est un opérateur d'agents.
Ceux qui résistent à cette évolution vendent encore des prestations au forfait
et facturent leur 1000 €/jour de recon. Ils vont disparaître en silence,
comme les développeurs qui refusaient le contrôle de version en 2008.
Pour les pentesters indépendants
Si tu lis ça et que tu es pentester freelance, voici le seul conseil qui
compte : utilise un agent IA dès aujourd'hui, même gratuitement. Le marché
du « pentester généraliste qui fait de la recon manuelle » va se vider. Le
marché du « pentester senior augmenté par IA » va exploser.
Sentinelle a un plan gratuit pour ça. C'est ce que je donnerais à mon moi de
2024 si je pouvais.
Le test honnête
Si tu doutes : prends une cible autorisée (un programme de bug bounty public),
lance Sentinelle dessus, et compare ce qu'il trouve avec ce que tu aurais
trouvé en deux jours. Si tu trouves plus que lui, écris-moi. Je veux te payer.
Si l'inverse et c'est ce qui va arriver alors tu sais quoi faire avec ton
workflow.
Cet article vous a plu ?
Écrit par
Chris
Constructeur de solutions tech · IA agentique & sécurité offensive
Passionné de tech et constructeur de produits, je bâtis Sentinelle — un agent IA autonome de sécurité offensive. J'écris ici sur l'IA agentique, le pentest assisté par IA et ce que j'apprends en construisant des outils offensifs.
