Articles / Le pentest va se scinder en deux métiers. Êtes-vous dans le

Le pentest va se scinder en deux métiers. Êtes-vous dans le bon ?

ump — Un mot de passe pourri new 2026-05-21 · Voir sur Substack ↗

Image extraite du Substack
Image qui sera attachée aux posts (selon les formats configurés sur le compte) https://substackcdn.com/image/fetch/$s_!SEJV!,w_1456,c_limit,f_auto,q_auto:good,…
← Retour
📢 Tweet Teaser pending review
261 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

L'IA ne va pas tuer le pentest. Elle va le scinder en deux métiers. L'un payant, l'autre de plus en plus concurrentiel. Si tu cherches encore des XSS en 2025, tu es déjà du mauvais côté. https://unmotdepassepourri.substack.com/p/le-pentest-va-se-scinder-en-deux

📅 08/06 à 19h47 dans 15j
🧵 Thread pending review
1565 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/7

1/ Le code est désormais écrit par Claude/Cursor. Les SQLi basiques et XSS non échappés disparaissent. Les pentests juniors vivaient de ça. Ce segment rapporte déjà moins, et ça empire chaque trimestre.

2/7

2/ Le pentest agentique est déjà là. Pas dans 5 ans : aujourd'hui. Recon → scan → exploit → rapport, tout orchestré. La partie "lancer les bons outils dans le bon ordre" — le cœur du job junior — se commoditise à vue d'œil.

3/7

3/ Incident PocketOS (avril 2026) : un agent IA efface la prod + backups en 9 sec via un appel API légal. Aucun CVE, aucun bug. Burp, Nessus, Nuclei ? Blind. C'est une vulnérabilité d'architecture, pas de code.

4/7

4/ Le delta se déplace. Les vulns techniques (XSS, RCE, buffer overflow) régressent. Les vulns d'architecture cloud/IAM/orchestration explosent. Mais 80 % des pentesteurs ne savent pas auditer un rôle IAM ou un workflow agent.

5/7

5/ Dans 5 ans, un audit IAM sur AWS rapportera plus qu'un bug bounty applicatif. Les pentesteurs qui continuent à scanner du code sans toucher à l'infra seront sur le segment le plus concurrentiel — et le moins payant.

6/7

6/ Le pentest ne meurt pas. Il se scinde. D'un côté l'agentic security et l'audit d'archi. De l'autre, du scan commoditisé. Si tu ne sais pas encore ce qu'est un boundary policy IAM, tu as 18 mois pour te mettre à niveau.

7/7

7/ Lire l'article complet : pourquoi cette migration est déjà en cours, quelles compétences acquérir, et pourquoi ignorer ce shift te positionnera du mauvais côté de la fracture. https://unmotdepassepourri.substack.com/p/le-pentest-va-se-scinder-en-deux

📅 15/06 à 12h10 dans 22j
💡 Standalone #1 pending review
217 chars
Sans lien · Matin 7h30–9h · 70% du mix

PocketOS, avril 2026 : agent IA efface la prod + backups en 9 sec via API légale. Aucun CVE, aucun bug. Burp n'aurait rien vu. C'est une vulnérabilité d'architecture. Et 80 % des pentesteurs ne savent pas les auditer.

📅 10/06 à 07h33 dans 17j
💬 Standalone #2 pending review
231 chars
Sans lien · Matin 7h30–9h · 70% du mix

Le code généré par Claude est plus propre que celui d'un dev junior pressé. Les XSS basiques se raréfient. Si ton business model repose encore sur du scan de formulaires, tu es en train de perdre ton marché sans t'en rendre compte.

📅 17/06 à 08h33 dans 24j
🔥 Provoc pending review
246 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Dans 5 ans, un audit IAM AWS rapportera plus qu'un bug bounty applicatif. Les pentesteurs qui scannent encore du code sans toucher à l'infra cloud seront sur le segment le moins payant. La question n'est pas "si", c'est "es-tu déjà du bon côté ?"

📅 19/06 à 19h50 dans 26j