CompTIA PenTest+

Présentation

Ce qui a changé pour PenTest+ en 2026

Le point dur, c'est la retraite du PT0-002 le 17 juin 2025 : si vous avez acheté du matériel d'étude avant cette date, mettez-le de côté, tout le monde passe désormais le PT0-003 (publié en 2024). Le voucher reste à 404 $ US directement auprès de CompTIA, sans hausse depuis deux ans. Là où PenTest+ continue à mériter sa place en 2026, c'est côté fédéral : la certification est listée sur plusieurs rôles cyber du DoD 8140 selon le DoDM 8140.03, ce qui la fait apparaître sur les annonces de pentest avec habilitation. Côté rémunération, les pentesters américains tournent autour de 100 000 à 120 000 $ de médiane (PayScale ~103 000 $, ZipRecruiter ~120 000 $), les profils seniors et red team passant au-dessus — mais pour atteindre le haut de la fourchette il faudra un dossier de niveau OSCP, pas seulement PenTest+.

CompTIA PenTest+ est une certification de niveau intermédiaire qui valide les compétences pratiques en tests d'intrusion et évaluation des vulnérabilités. Elle fait le pont entre les certifications d'entrée de gamme (Security+) et les certifications pratiques avancées (OSCP).

PenTest+ PT0-002 se concentre sur :

• La planification et le cadrage des tests d'intrusion
• La reconnaissance passive et active
• L'analyse des vulnérabilités et l'exploitation
• Les rapports professionnels et la communication

Qui devrait obtenir cette certification ?

PenTest+ est conçue pour :

• Les professionnels de la sécurité souhaitant se spécialiser en sécurité offensive
• Les analystes de vulnérabilités effectuant des évaluations
• Les testeurs d'intrusion juniors cherchant une validation
• Les analystes SOC souhaitant acquérir des connaissances offensives
• Les titulaires de Security+ prêts à se spécialiser

Recommandé : 3-4 ans d'expérience pratique en sécurité de l'information.

Format de l'examen

L'examen PenTest+ PT0-002 comprend :

• Maximum 85 questions
• 165 minutes pour compléter
• Score de passage : 750 (sur une échelle de 100-900)
• Questions à choix multiples et basées sur les performances

Les questions basées sur les performances vous demandent de :

• Analyser les résultats de scans
• Écrire des scripts de base
• Exécuter des attaques simulées

Durée de préparation

PenTest+ vs. CEH vs. OSCP

Compétences clés validées

1. Planification et cadrage

   • Définir les règles d'engagement
   • Comprendre les exigences légales
   • Créer des plans de test

2. Reconnaissance

   • Collecte OSINT
   • Scan actif
   • Identification des vulnérabilités

3. Exploitation

   • Attaques réseau
   • Attaques applicatives
   • Techniques de post-exploitation

4. Rapports

   • Documenter les découvertes de manière professionnelle
   • Communiquer les risques aux parties prenantes
   • Prioriser la remédiation

Impact sur la carrière

Les titulaires de PenTest+ constatent une augmentation de salaire moyenne de 29 % :

• Testeur d'intrusion junior
• Analyste en évaluation des vulnérabilités
• Consultant en sécurité
• Membre junior de Red Team
• Postes DoD/gouvernement (conforme 8570/8140)

Déroulement détaillé de l'examen

L'examen PenTest+ PT0-002 est administré dans les centres Pearson VUE ou via la surveillance en ligne depuis votre domicile. Vous aurez besoin de deux pièces d'identité et d'un espace de travail propre pour le passage à distance. Le moteur d'examen présente un mélange de questions à choix multiples classiques et de questions basées sur les performances (PBQ), qui apparaissent en début d'examen. Les PBQ simulent des scénarios réels où vous interagissez avec un environnement virtuel : analyser des sorties Nmap, écrire un court script Python ou Bash, ou identifier la chaîne d'exploitation correcte pour une cible donnée.

La gestion du temps est cruciale. Avec jusqu'à 85 questions en 165 minutes, vous disposez d'environ deux minutes par question. De nombreux candidats commettent l'erreur de passer trop de temps sur les PBQ au début. Une meilleure stratégie : marquez les PBQ après un premier essai, parcourez rapidement la section à choix multiples, puis revenez aux PBQ avec le temps restant.

Les erreurs courantes incluent la négligence du domaine « Rapports et communication » (18 % de l'examen), qui évalue les compétences rédactionnelles professionnelles plutôt que l'exploitation technique. Les candidats qui se concentrent exclusivement sur les outils de hacking perdent souvent des points faciles sur les questions portant sur les résumés exécutifs, les évaluations de risques et les calendriers de remédiation. Une autre erreur fréquente est de confondre la phase de cadrage avec la phase de reconnaissance.

Stratégie d'étude et ressources

Le parcours d'étude le plus efficace pour PenTest+ combine apprentissage structuré et pratique. Si vous détenez déjà Security+ et avez 2 ans ou plus dans un rôle de sécurité, prévoyez 8 à 10 semaines de préparation.

Ressources recommandées

Cours payants : CompTIA CertMaster Learn + CertMaster Labs fournit le programme officiel avec des labs virtuels intégrés. Le cours PenTest+ de Jason Dion sur Udemy est une alternative économique populaire à moins de 20 $, couvrant les cinq domaines avec des examens blancs.

Plateformes pratiques : Le parcours « Jr Penetration Tester » de TryHackMe s'aligne presque parfaitement avec les objectifs de PenTest+. Les machines « Starting Point » de Hack The Box constituent un complément plus exigeant. Pour la pratique du scripting, le wargame Bandit d'OverTheWire développe les compétences Linux et Bash testées dans le Domaine 5.

Ressources gratuites : La série vidéo PenTest+ de Professor Messer sur YouTube couvre chaque objectif. Le document d'objectifs d'examen de CompTIA (téléchargeable en PDF) devrait être votre liste de contrôle.

Recommandations de lab

Configurez un lab personnel avec Kali Linux attaquant une cible vulnérable comme Metasploitable 3 ou DVWA. Pratiquez la méthodologie complète : définition du périmètre, scan avec Nmap et Nessus Community Edition, exploitation avec Metasploit, élévation de privilèges et rédaction d'un rapport.

Impact concret sur la carrière

PenTest+ vous positionne pour des rôles qui l'exigent dans leurs prérequis. Les postes de testeur d'intrusion junior (65 000 $ à 85 000 $ aux États-Unis) requièrent fréquemment PenTest+ ou CEH. Les rôles d'analyste en évaluation des vulnérabilités (70 000 $ à 95 000 $) dans les secteurs financier et de la santé préfèrent PenTest+ pour sa composante de validation pratique.

En France, les rôles de pentester junior offrent 35 000 EUR à 50 000 EUR, tandis que les postes confirmés atteignent 50 000 EUR à 70 000 EUR. En Belgique et en Suisse, les salaires sont généralement 10 à 20 % supérieurs. Au Canada francophone, les fourchettes se situent entre 55 000 CAD et 80 000 CAD.

Comparée au CEH, PenTest+ coûte nettement moins cher (404 $ contre 1 199 $) tout en offrant une qualification professionnelle similaire. Comparée à l'OSCP, PenTest+ est bien plus accessible et sert de preuve de maîtrise de la méthodologie. De nombreux professionnels l'utilisent comme tremplin : réussir PenTest+ d'abord, puis viser l'OSCP sous 12 à 18 mois.

Ventilation des coûts et ROI

PenTest+ nécessite un renouvellement tous les trois ans. Vous pouvez renouveler en obtenant 60 crédits de formation continue (CE) ou en réussissant une certification de niveau supérieur. Les frais annuels de CE sont de 50 $ par an. Compte tenu de l'augmentation salariale moyenne de 20 000 $ après certification, le retour sur investissement est atteint dès le premier mois.

Conseil pour le financement employeur : De nombreuses organisations couvrent les frais de certification dans le cadre du budget de développement professionnel.

Liste de contrôle de préparation

Avant de vous inscrire à l'examen, confirmez ces critères :

• Vous pouvez expliquer les cinq phases d'un test d'intrusion sans notes
• Vous avez utilisé Nmap, Nessus ou OpenVAS pour scanner un réseau et interpréter les résultats
• Vous savez écrire des scripts Bash et Python de base pour l'automatisation
• Vous comprenez les vulnérabilités web courantes (SQLi, XSS, CSRF)
• Vous avez rédigé au moins un rapport de test d'intrusion fictif
• Vous savez différencier les tests en boîte noire, blanche et grise
• Vous comprenez les aspects juridiques : autorisation, dérive du périmètre, règles d'engagement

Calendrier recommandé : Inscrivez-vous à l'examen 8 à 10 semaines à l'avance. Étudiez 1 à 2 heures en semaine et 3 à 4 heures le week-end, pour un total de 80 à 120 heures.

Conseils d'initiés

Construisez une fiche de synthèse même si l'examen n'est pas à livre ouvert. Le processus de création de notes condensées vous oblige à organiser vos connaissances. De nombreux candidats ayant réussi rapportent que rédiger un résumé d'une page par domaine a été leur technique la plus efficace.

Ne sous-estimez pas les questions de scripting. Le Domaine 5 (Outils et analyse de code) représente 16 %, et les questions exigent de lire du code Python et Bash pour identifier ce qu'il fait. Vous n'avez pas besoin d'être développeur, mais vous devez reconnaître les structures courantes.

Rejoignez le subreddit CompTIA (r/CompTIA) et les canaux Discord PenTest+. Les candidats partagent leurs retours sans violer le NDA. Thèmes récurrents : l'examen est « plus large que prévu » et « les questions de reporting sont des points gratuits si vous vous êtes préparé ».

Planifiez votre examen le matin. Les performances cognitives sont optimales tôt dans la journée, et les PBQ exigent une résolution de problèmes concentrée.

Le document officiel d'objectifs de CompTIA est votre programme. Si vous ne pouvez pas expliquer chaque sous-objectif avec confiance, vous n'êtes pas prêt.