
Sommaire
Ce que font vraiment ces experts : pentesting, red team et cybersécurité offensive
Le terme « hacker éthique » recouvre plusieurs réalités très proches : on parle selon les entreprises de pentester (testeur d’intrusion), d’expert en cybersécurité offensive, de red teamer ou encore de consultant en sécurité. La mission centrale reste la même : simuler des attaques informatiques pour identifier les failles avant que des acteurs malveillants ne le fassent.
Ce métier appartient au secteur de l’informatique et des télécommunications mais il recrute aussi bien dans les ESN (entreprises de services numériques), les cabinets de conseil en cybersécurité, les banques, les OPCo industrielles et, de plus en plus, les start-ups Fintech. La demande explose depuis 2020 et les profils qualifiés restent rares, ce qui crée une tension salariale structurelle favorable aux candidats.
La photographie salariale brute : ce que disent les sources
Avant d’interpréter, posons les faits. Les quatre sources mobilisées donnent des ordres de grandeur cohérents une fois converties à la même référence temporelle (mars 2026).
HelloWork, qui agrège des données d’offres réelles, positionne les pentesteurs sur une fourchette plus large[2] :
| Niveau | Brut annuel (2026) | Net mensuel estimé | Note |
|---|---|---|---|
| Débutant | 28 400 € – 35 300 € | 1 883 € – 2 340 € | 0–2 ans, sans certification majeure |
| Junior (2–4 ans) | 42 000 € – 48 000 € | 2 800 € – 3 200 € | Médiane HelloWork : 44 550 € |
| Médian (4–7 ans) | 58 000 € – 66 000 € | 3 850 € – 4 380 € | Médiane HelloWork : 64 500 € |
| Confirmé senior | 64 500 € – 78 800 € | 4 264 € – 5 219 € | 7 ans+, certifié, lead ou spécialité pointue |
EC-Council, l’organisme international émetteur de la certification CEH (Certified Ethical Hacker), chiffre le salaire moyen d’un hacker éthique en France à 45 000 € brut/an en 2026 [3]. Ce chiffre, publié directement pour 2026, ne requiert pas de revalorisation. Il est légèrement en dessous des autres sources car il agrège tous niveaux d’expérience confondus dans une moyenne simple — ce qui dilue mécaniquement vers le bas.
GSD Council cite de son côté le salaire moyen américain à 135 269 $ par an en 2024 [4]. Après conversion (1 $ = 0,93 €) et application du coefficient de revalorisation 2024–2025 (+2,8 % + 2,0 % = +4,9 %), on obtient environ 131 400 € pour un profil équivalent aux États-Unis en 2026 (donnée 2024 revalorisation appliquée : 135 269 × 0,93 × 1,049 ? 131 400 €). Ce chiffre illustre l’écart transatlantique : les États-Unis paient plus du double de la France pour le même profil. Cet écart s’explique par la concentration de big techs, des marchés du talent plus compétitifs et une culture de négociation salariale différente.

Pondération et médiane IIS : comment on arrive à 56 800 € par an
Les sources ne parlent pas tout à fait du même périmètre : France Travail couvre l’ensemble des experts cyber, HelloWork se concentre sur les pentesteurs, EC-Council produit une moyenne globale et GSD Council décrit le marché américain. Pour construire l’IIS Top-Metiers.fr 2026, nous avons choisi de pondérer les sources officielles françaises plus fortement.
On note que la fourchette France Travail (28 700 € – 60 000 €) et la médiane HelloWork (64 500 €) divergent de 7 à 8 % sur le haut de gamme. Cette divergence s’explique : France Travail intègre des contrats à durée déterminée, des postes en alternance et des missions courtes qui tirent la courbe vers le bas. HelloWork ne recense que des offres publiées, donc essentiellement des emplois permanents à profil recherché actif.
Salaire selon l’ancienneté : la progression en chiffres
La cybersécurité offensive est un métier où la courbe salariale est particulièrement pentue dans les 7 premières années. Un débutant qui décroche sa première certification en moins de deux ans peut espérer une revalorisation de 30 à 40 %. Passé 10 ans, la progression ralentit sauf en cas de spécialisation très pointue (forensics, reverse engineering de malwares, architecture zero-trust…).
| Tranche d’expérience | Brut annuel estimé (IIS 2026) | Net mensuel approx. | Levier principal |
|---|---|---|---|
| 0 – 1 an (stagiaire / alternant) | 22 000 € – 28 000 € | 1 450 € – 1 850 € | Formation, diplôme BAC+5 |
| 1 – 3 ans (junior) | 34 000 € – 44 000 € | 2 250 € – 2 900 € | Première certif, secteur d’activité |
| 3 – 6 ans (confirmé) | 50 000 € – 65 000 € | 3 300 € – 4 300 € | Portfolio de missions, spécialisation |
| 7 – 12 ans (senior) | 65 000 € – 82 000 € | 4 300 € – 5 400 € | OSCP, CEH, management technique |
| 12 ans+ (expert / lead) | 80 000 € – 110 000 €+ | 5 300 € – 7 200 €+ | Indépendant, RSSI, conseil C-level |
Le plancher débutant IIS 2026 est fixé à 34 000 € en rémunération annuelle brute. Ce chiffre correspond à un premier poste en CDI hors Île-de-France, sans certification reconnue mais avec un diplôme technique (BUT informatique, licence pro ou master en cybersécurité). En dessous, il faut s’interroger sur les perspectives d’évolution de l’entreprise ou négocier d’autres avantages (télétravail, formation certifiante prise en charge, variable sur missions).
La cible senior IIS 2026 est établie à 82 000 € annuels bruts. Ce seuil correspond à un profil de 7 ans ou plus, titulaire d’au moins une certification de rang international (OSCP, CEH, GPEN), capable de conduire des missions red team complètes et de rédiger des rapports de remédiation complets. Les offres publiées confirment cette trajectoire : un poste de DevSecOps Senior en start-up Fintech est affiché entre 50 000 et 60 000 € dès 2026 [1], ce qui positionne le haut de la fourchette senior bien au-delà avec négociation et primes incluses.

Impact de la localisation sur le salaire
Comme dans beaucoup de métiers IT, la géographie reste un paramètre déterminant. Mais la généralisation du télétravail depuis 2020 a partiellement rebattu les cartes : un pentesteur senior basé à Lyon peut aujourd’hui travailler pour une ESN parisienne sans perdre de salaire, avec un coût de la vie inférieur.
Voir le détail par région (données HelloWork actualisées 2026)
| Région | Médiane brut/an (2026) | Net/mois approx. | vs. médiane nationale IIS |
|---|---|---|---|
| Île-de-France | 58 500 € [2] | 3 870 € | +3 % |
| Auvergne-Rhône-Alpes | 51 200 € | 3 390 € | ?10 % |
| Provence-Alpes-Côte d’Azur | 50 000 € | 3 310 € | ?12 % |
| Occitanie | 48 800 € | 3 230 € | ?14 % |
| Haute-Savoie (ex. Annecy) | 47 500 € estimé | 3 150 € | ?16 % |
| Espagne (comparatif) | 35 000 € – 65 000 € | — | Très hétérogène |
Ce qui ressort clairement : l’Île-de-France ne surpaye plus autant qu’avant. L’écart avec Lyon ou Marseille s’est resserré à 10–15 %, là où il atteignait 20–25 % avant 2020. Pour un profil senior acceptant le full-remote, la localisation devient presque neutre sur le brut — et largement avantageuse sur le net disponible si l’on soustrait le coût du logement.
L’offre publiée pour Annecy (Haute-Savoie) par EPSYL en 2026 — entre 45 000 et 50 000 € pour un ingénieur cybersécurité [1] — illustre bien que les territoires de taille intermédiaire, proches de clusters industriels ou technologiques, offrent désormais des rémunérations compétitives, souvent assorties d’une qualité de vie supérieure.
Certifications et compétences : les vrais multiplicateurs de salaire
Dans ce métier, le diplôme ouvre la porte, mais la certification la verrouille du bon côté. Un pentesteur sans certification peut se retrouver bloqué autour de 45 000 € pendant des années, là où son homologue certifié OSCP franchira allègrement les 65 000 € en quelques mois.
Voir le tableau d’impact des certifications sur le salaire (estimations IIS 2026)
| Certification | Organisme | Impact salarial estimé | Niveau |
|---|---|---|---|
| CEH (Certified Ethical Hacker) | EC-Council | +5 à +15 % | Intermédiaire |
| OSCP (Offensive Security Certified Professional) | OffSec | +15 à +25 % | Avancé |
| GPEN (GIAC Penetration Tester) | GIAC / SANS | +10 à +20 % | Avancé |
| CPENT / LPT | EC-Council | +10 à +18 % | Expert |
| CISSP | ISC² | +12 à +22 % (profils RSSI) | Management / architecture |
Au-delà des certifications, certaines compétences techniques rares font exploser les prétentions salariales :
- Reverse engineering de malwares : profil très recherché par les SOC et les CERT gouvernementaux, +20 à +30 % vs. pentester classique
- Développement d’exploits (vulnérabilités 0-day) : compétence rare, accessible principalement aux profils 10 ans+
- Cloud security offensif (AWS, Azure, GCP) : +10 à +15 % avec la migration massive vers le cloud
- OT/ICS security (infrastructures industrielles) : niche très bien rémunérée, peu de candidats formés
- Red teaming APT simulation : missions longues, très bien valorisées, principalement en ESN de haut niveau ou en indépendant
Primes, variables et avantages : la part cachée de la rémunération
Le brut annuel ne raconte pas toute l’histoire. Dans le secteur de la cybersécurité, plusieurs éléments de rémunération complémentaires méritent attention :
- Prime sur certification : de nombreuses ESN versent une prime unique de 1 000 à 3 000 € à l’obtention d’une certification de niveau avancé (OSCP, GPEN).
- Intéressement et participation : présent dans les grandes structures, il représente généralement 5 à 10 % du brut annuel en cybersécurité.
- Variable sur mission : en cabinet de conseil ou en start-up, une part variable de 5 à 15 % est fréquente sur les profils seniors.
- Véhicule de fonction ou forfait mobilité : courant dans les offres Fintech et les postes itinérants entre clients.
- Formation prise en charge : les préparations OSCP (coût : 1 400 à 2 000 €) sont souvent financées par l’employeur via le plan de formation ou le CPF.
- Télétravail complet : valorisé indirectement, le full-remote permet une économie réelle de 3 000 à 8 000 €/an sur les frais de déplacement et de logement selon la localisation.
- Freelance / portage salarial : un pentesteur senior indépendant facture entre 600 et 1 000 € HT/jour. Sur 180 jours facturés par an, cela représente 108 000 à 180 000 € de chiffre d’affaires brut — bien au-delà du salariat, mais avec les charges et l’irrégularité afférentes.
Le gap transatlantique : pourquoi les États-Unis paient le double
Le salaire moyen américain d’un hacker éthique s’établit à l’équivalent de 131 400 € par an en 2026 (converti et revalorisé depuis 135 269 $ en 2024) [4]. C’est 2,3 fois la médiane française IIS. Comment expliquer un tel écart ?
Premièrement, le marché américain est plus concentré en termes de grandes entreprises tech et de contrats gouvernementaux classifiés (DoD, NSA, CISA), qui paient au prix fort. Deuxièmement, la culture de la négociation salariale individuelle tire les rémunérations vers le haut. Troisièmement, le coût de la vie dans les hubs tech (San Francisco, New York, Washington D.C.) est nettement supérieur au coût de la vie en France.
En revanche, ce gap a un intérêt pratique pour les professionnels français : les entreprises américaines qui recrutent en remote international (phénomène en forte croissance depuis 2022) proposent parfois des packages en dollars à des prestataires européens, créant de facto un avantage concurrentiel pour les profils français certifiés et anglophones. C’est un levier de négociation à ne pas négliger.
FAQ — Décoder sa fiche de paie de Hacker éthique / Pentester
Quelle est la différence entre salaire brut et salaire net sur ma fiche de paie ?
Le salaire brut est la référence inscrite dans votre contrat de travail et dans toutes les statistiques salariales (y compris cet article). Il représente ce que l’employeur vous verse avant déduction des cotisations sociales salariales.
Le salaire net est ce qui est réellement versé sur votre compte bancaire. En France, pour un cadre IT (cas le plus fréquent pour un pentesteur), le taux de cotisation salariale est d’environ 25 à 28 % du brut selon le statut et les accords de branche.
- Exemple : 56 800 € brut/an = environ 3 550 € net/mois (hors impôt sur le revenu).
- Le net affiché par HelloWork inclut déjà ces cotisations mais pas le prélèvement à la source (impôt sur le revenu), variable selon votre situation personnelle.
- Pour un salaire de 56 800 € brut, comptez environ 5 à 12 % supplémentaires prélevés à la source selon votre foyer fiscal.
Qu’est-ce que la convention collective applicable à mon poste de pentesteur ?
La très grande majorité des hackers éthiques salariés en France relève de la Convention Collective Nationale des bureaux d’études techniques, cabinets d’ingénieurs-conseils et sociétés de conseil, dite SYNTEC (IDCC 1486).
Cette CCN définit notamment :
- Des coefficients de classification (de 150 ETAM à 3.3 Cadres) qui déterminent un salaire minimum conventionnel. Un pentesteur débutant est généralement classé en ETAM position 2.1 ou 2.2, un senior en cadre position 2.1 ou 2.2.
- Les règles d’aménagement du temps de travail (forfait jours très répandu dans l’IT : 218 jours/an).
- Les conditions de remboursement des frais professionnels en déplacement chez les clients.
- L’accès à l’intéressement et à la participation selon la taille de l’entreprise.
Vérifiez toujours que votre code IDCC est bien 1486 en bas de votre fiche de paie. Si vous êtes dans une banque ou une compagnie d’assurance, la CCN applicable peut être différente (banque : IDCC 2120) avec des minima parfois supérieurs.
Mon salaire est-il classé cadre ou non-cadre ? Qu’est-ce que ça change concrètement ?
Le statut cadre (AGIRC-ARRCO cadre, article 4 ou article 4 bis) est très fréquent dès le niveau confirmé dans la cybersécurité. Il a plusieurs implications sur la fiche de paie :
- Cotisation retraite complémentaire différente : les cadres cotisent à des taux plus élevés, mais bénéficient de meilleures retraites complémentaires.
- Prévoyance cadre obligatoire : l’employeur doit cotiser à hauteur d’au moins 1,5 % du salaire sur la tranche A pour financer la prévoyance (décès, invalidité, incapacité).
- Forfait jours : les cadres sont souvent au forfait jours (218 j/an), ce qui supprime les heures supplémentaires classiques mais peut inclure une convention sur le temps de travail à lire attentivement.
- La mention APEC sur votre bulletin confirme votre statut cadre (l’APEC est l’Association Pour l’Emploi des Cadres).
En pratique, être cadre ne change pas énormément le net mensuel, mais cela affecte vos droits en cas d’arrêt maladie (maintien de salaire) et vos prestations de prévoyance.
Puis-je négocier ma rémunération variable et comment la lire sur mon bulletin ?
Oui, et c’est même fortement conseillé dans ce secteur où l’offre est inférieure à la demande. La rémunération variable d’un pentesteur peut prendre plusieurs formes :
- Prime sur objectifs individuelle : conditionnée à des KPIs (nombre de missions, score de satisfaction client, certifications obtenues). Elle apparaît sur la fiche de paie dans la ligne « prime exceptionnelle » ou « prime sur objectifs » et est soumise à cotisations et impôts comme le salaire classique.
- Intéressement : versé en fonction des résultats de l’entreprise, exonéré de cotisations sociales salariales mais soumis à l’impôt sur le revenu (sauf placement sur PEE). Ligne dédiée sur le bulletin, souvent versée en une fois en milieu d’année.
- Participation : obligatoire dans les entreprises de plus de 50 salariés, calculée selon une formule légale, bloquée 5 ans (sauf déblocage anticipé). Exonérée si placée sur PEE ou PERCO.
- Prime de certification : souvent non contractuelle, donc à demander par écrit en amont. Imposable comme un salaire ordinaire.
Astuce de négociation : demandez toujours à ce que les objectifs déclencheurs du variable soient précis, mesurables et atteignables, et qu’ils figurent dans un avenant écrit au contrat ou dans une lettre de mission.
Que signifie « portage salarial » et est-ce adapté au métier de pentesteur ?
Le portage salarial est un statut hybride entre le salariat et l’indépendance. Vous facturez vos missions à vos clients, et une société de portage transforme votre chiffre d’affaires en salaire, en gérant les cotisations sociales. C’est très courant dans le pentesting pour plusieurs raisons :
- Les missions sont souvent ponctuelles (2 semaines à 3 mois) et multi-clients.
- Vous conservez le statut de salarié (accès au chômage, retraite, maladie) sans créer de structure juridique propre.
- La société de portage prélève en général 5 à 12 % du chiffre d’affaires HT en frais de gestion.
Sur votre fiche de paie en portage : le brut affiché est calculé à partir de votre CA après déduction des frais de gestion et des frais professionnels déclarés. Le taux de transformation CA vers net varie entre 45 et 55 % selon votre situation. Exemple : 800 €/jour × 150 jours = 120 000 € CA HT. Après frais de gestion (8 %) et cotisations sociales, le net perçu sera d’environ 55 000 à 65 000 €, soit un bulletin de paie mensuel moyen de 4 600 à 5 400 € net.
Au-delà de 3 à 4 ans d’activité soutenue, la création d’une SASU ou d’une EURL devient souvent plus avantageuse fiscalement.
Sources et références
-
[1] France Travail — Métierscope : Fiche métier « Expert / Experte en cybersécurité », données salariales 4e trimestre 2025 et offres d’emploi 2026. Salaire médian mensuel observé : 2 393 € – 5 000 € brut/mois. Source officielle française, organisme public.
candidat.francetravail.fr — Fiche M1856 -
[2] HelloWork : Observatoire des salaires « Pentester », données agrégées issues des offres d’emploi publiées sur la plateforme. Données régionales et niveaux d’expérience. Publication 2024–2025.
www.hellowork.com — Salaires Pentester -
[3] EC-Council (Ethical Hacking Salary) : EC-Council est l’organisme certificateur international qui délivre la certification CEH (Certified Ethical Hacker). La donnée française (45 000 €/an, 2026) est issue de leur baromètre international des salaires par pays. Donnée non soumise à revalorisation (publiée pour 2026).
www.eccouncil.org — Ethical Hacking Salary -
[4] GSD Council (Global Skills Development Council) : Rapport sur les salaires des hackers éthiques, focus marché américain. Donnée 2024 : 135 269 $ (65,03 $/h). Convertie en euros (taux 0,93) et revalorisée 2024–2025 (+4,9 %) pour obtenir l’équivalent 2026 : environ 131 400 €. Utilisée à titre comparatif transatlantique uniquement.
www.gsdcouncil.org — Ethical Hacker Salary - [5] Diplômes et formation Hacker éthique
terminales.fr
Diplômes, formations et études pour devenir Hacker éthique.










