Certifications Pentest 2026 : OSCP, CRTP, CRT, PNPT

Les certifications pentest sont devenues l'instrument central de validation des compétences techniques offensives en 2026. Marché en explosion depuis 2022, dominé historiquement par Offensive Security (OffSec) avec l'OSCP, désormais bousculé par Altered Security (CRTP), TCM Security (PNPT) et Hack The Box (CPTS). Cet article compare les 15 certifications pentest les plus pertinentes en 2026 : prérequis, format d'examen, coût, durée préparation, reconnaissance marché, ROI. Issu de l'analyse de 200+ profils pentesteurs LinkedIn FR/EN, retours candidats récents, et exigences PASSI ANSSI sur les pentests OIV/OSE. Guide opérationnel pour pentesteur junior à senior, RSSI cherchant à valider niveau de son équipe interne, ou organisme de formation construisant un cursus.

1. Le marché des certifications pentest en 2026

Le marché des certifications pentest a explosé depuis 2022. Quatre dynamiques convergentes : (1) explosion de la demande pentesteurs avec NIS2 (10 000 entités françaises concernées), DORA, PCI DSS v4 ; (2) baisse de la dominance OffSec contestée par certifs plus accessibles et plus modernes ; (3) émergence du red team comme spécialité distincte (CRTO, OSEP, CRTM) ; (4) montée en puissance des certifs cloud (SANS GCSA, GIAC GCLD, OffSec OSDA). Le paysage 2026 est polarisé entre : (a) certifs historiques offensives coûteuses mais reconnues (OSCP, OSWE, OSEP, GIAC GPEN/GWAPT) ; (b) certifs spécialisées Active Directory (CRTP, CRTE, CRTM, CRTO) ; (c) certifs émergentes accessibles (CPTS, PNPT, BSCP) ; (d) certifs cloud ; (e) certifs IA/LLM offensifs en émergence.

2. OSCP — la référence du marché

OSCP (Offensive Security Certified Professional, OffSec) reste en 2026 la certification pentest la plus reconnue mondialement. 90 % des offres d'emploi pentest senior FR/EU mentionnent OSCP comme prérequis ou souhaité. Format : (1) cours PWK (Penetration Testing with Kali Linux) — 800+ pages PDF + 17h vidéo + accès labs 30/60/90 jours ; (2) examen : 24h pratique + 24h rapport, 5 machines à pwn (3 standalone + 1 AD), 70/100 points pour passer. Coût : 1 599 $ (PWK + 1 exam) pour version standard 2026, ou abonnement OffSec Learn One 5 999 $/an avec multiple certifs. Difficulté : élevée. Préparation moyenne : 4-6 mois (12-20h/semaine) avec base CTF préalable. Reconnaissance : marché senior pentest, missions PASSI ANSSI, recrutement Big 4 et cabinets cyber. Pédagogie : "Try Harder", méthodologie hands-on sans solutions guidées. Refonte 2023 a ajouté AD à l'examen, modernisant le contenu. OSCP+ (renouvellement triennal) introduit fin 2023 pour rester valide.

3. CPTS — l'alternative Hack The Box

CPTS (Certified Penetration Testing Specialist, Hack The Box, 2023) est devenue en 2 ans la première alternative crédible à OSCP. Format : (1) cours HTB Academy — 28 modules cumulés ~600h de contenu théorie + labs intégrés ; (2) examen : 7 jours pour pwn une AD entreprise + 1 jour rapport (rapport business pro avec chains attaque, screenshots, recommandations). 14 flags à capturer, validation rapport business essentielle. Coût : 590 € pour HTB Academy Annual Premium (incluant tous modules + cubes) + 210 € exam voucher = 800 €. Difficulté : équivalente OSCP, parfois jugée plus contemporaine. Préparation : 3-5 mois sur HTB Academy. Avantages vs OSCP : (a) moitié prix ; (b) examen plus représentatif d'une mission réelle (AD complet, rapport pro) ; (c) plateforme HTB plus moderne ; (d) labs en illimité avec abonnement annuel ; (e) inclut Active Directory dès l'origine sans modules add-on. Reconnaissance : croissante en Europe, encore moindre en USA mais montée rapide. Stratégie 2026 : OSCP reste safe pour CV générique, CPTS = meilleur ROI apprentissage.

4. CRTP — la référence Active Directory

CRTP (Certified Red Team Professional, Altered Security, ex-Pentester Academy) est la certification AD de référence 2026. Format : (1) cours "Attacking and Defending Active Directory" — 16h vidéo + lab AD 30/45/60 jours ; (2) examen : 24h pratique + 48h rapport, compromission complète AD lab (5 machines, 4 forêts). Coût : 249 $ avec 30 jours lab = imbattable rapport qualité-prix. Difficulté : modérée à élevée pour débutant AD, faisable en 2-3 mois. Préparation : très focalisée AD, Kerberoasting, AS-REP, Pass-The-Hash, Pass-The-Ticket, ACL abuse, AD CS, trust abuse, Constrained/Unconstrained delegation, RBCD. Suite logique : CRTE (Red Team Expert, attaque multi-domaines, 399 $) puis CRTM (Red Team Master, niveau APT, 799 $). Voir Kerberoasting 2026 et Guide de Sécurisation Active Directory.

5. PNPT — TCM Security, l'alternative pratique

PNPT (Practical Network Penetration Tester, TCM Security, 2021) est devenu en 4 ans une certif solide d'entrée. Format : (1) cours bundle TCM (Practical Ethical Hacking + OSINT Fundamentals + External + Linux + Privilege Escalation + Active Directory) ~200h ; (2) examen : 5 jours pratique + 2 jours rapport, pentest externe et interne complet avec OSINT initial. Coût : 399 $ tout inclus = excellent rapport qualité-prix. Difficulté : entrée à intermédiaire, faisable en 3-4 mois. Reconnaissance : croissante en Amérique du Nord, en progression en Europe. Avantages : (a) couvre OSINT, externe, interne et AD dans un même examen ; (b) rapport pro exigé (proche réalité mission) ; (c) communauté Discord active. Limites : moins reconnue dans grands comptes français vs OSCP. Recommandé pour : pentesteur débutant en autodidacte cherchant certif crédible à petit prix. Voir Certifications Cybersécurité 2026 : Guide Complet OSCP à CISSP.

6. OSWE — web exploitation avancée

OSWE (Offensive Security Web Expert, OffSec) est la certification web la plus avancée du marché. Format : (1) cours WEB-300 Advanced Web Attacks and Exploitation — ~500h théorie + labs ; (2) examen : 48h pratique + 24h rapport, 2 cibles web custom à exploiter avec écriture exploit chain. Coût : 1 599 $ (cours + exam). Difficulté : très élevée — exige source code review, chaînage vulnérabilités complexes, écriture exploits Python custom. Préparation : 4-6 mois avec base Burp Suite Pro avancée. Reconnaissance : niche web pentest senior, recherche développement exploits. Cible : pentesteur web senior, chercheur, équipe red team. Préférable à BSCP/eWPTX pour profil senior. Voir Burp Suite : Pentest Web et API par PortSwigger 2026.

7. OSEP — red team avancé

OSEP (Offensive Security Experienced Penetration Tester, OffSec) cible le red team avancé. Format : (1) cours PEN-300 Evasion Techniques and Breaching Defenses — bypass EDR, AV, AppLocker, AMSI, payloads custom, persistence ; (2) examen : 48h pratique + 24h rapport, scénario red team complet avec mitigation moderne. Coût : 1 599 $. Difficulté : très élevée. Reconnaissance : red team senior, exfil défense, opérations APT-like. Cible : red teamer professionnel, équipe APT-emulation, missions PASSI red team avancée. Alternative : CRTO (Certified Red Team Operator, Zero-Point Security, 399 £) plus accessible et bien noté communauté.

8. CRTO — Certified Red Team Operator

CRTO (Zero-Point Security, Daniel Duggan / RastaMouse) est une certification red team très bien notée. Format : (1) cours en ligne + lab Snap Labs Cobalt Strike + Brute Ratel ; (2) examen : 48h pratique pwn cible avec C2 Cobalt Strike, AD complète, OPSEC obligatoire. Coût : ~360 £ + extension labs si besoin. Difficulté : élevée mais accessible avec préparation OSCP + CRTP. Reconnaissance : red team communauté, recommandé après OSCP/CRTP. Avantages : (a) focus C2 Cobalt Strike et Brute Ratel (outils réels red team) ; (b) OPSEC évaluée ; (c) prix raisonnable ; (d) labs Snap Labs très bien faits. Suite logique : CRTL (Certified Red Team Lead) pour responsable équipe red team.

9. BSCP — Burp Suite Certified Practitioner

BSCP (PortSwigger, 2022) est devenu la certification web entry-level la plus accessible. Format : (1) PortSwigger Web Security Academy — 300+ labs interactifs gratuits ; (2) examen : 4h pratique sur 2 apps custom avec 12 vulnérabilités à exploiter et chaîner. Coût : 99 $ par tentative — imbattable. Difficulté : intermédiaire. Préparation : 1-3 mois sur Web Security Academy (gratuit). Reconnaissance : croissante, valide la maîtrise pratique de Burp Suite et OWASP Top 10. Recommandé pour : développeur senior, pentesteur débutant web, RSSI souhaitant valider compétences. Le BSCP est un investissement minime pour bénéfice élevé.

10. SANS GIAC — certifications premium

Les certifications SANS GIAC sont le segment premium du marché. Principales certifs pentest : GPEN (GIAC Penetration Tester), GWAPT (Web Application Penetration Tester), GMOB (Mobile Device Penetration Tester), GXPN (Exploit Researcher and Advanced Penetration Tester), GCFR (Cloud Forensics Responder), GCSA (Cloud Security Automation). Coût total cours SANS + exam : 7 000-9 000 $ selon modalité (live online vs in-person). Difficulté : variable, généralement académique avec exam QCM. Reconnaissance : très élevée USA gouvernement et grands comptes, moyenne en Europe. Avantages : (a) qualité pédagogique exceptionnelle ; (b) renouvellement strict (4 ans avec CPE) — gage de fraîcheur. Inconvénients : prix prohibitif sauf prise en charge employeur. Cible : profils financés par grands comptes, gouvernement, recherche.

11. Stratégie de certification — quoi passer dans quel ordre

12. Reconnaissance sur le marché français

Sur le marché français 2026, analyse de 200+ offres LinkedIn pentest junior/senior FR : OSCP demandée explicitement dans 87 % des annonces senior, CRTP/CRTE dans 41 % des annonces AD senior, OSWE/eWPTX dans 32 % des annonces web senior, CISSP/CISM dans 18 % des annonces RSSI senior offensive. Pour les missions PASSI (audit ANSSI), les pentesteurs doivent généralement présenter : OSCP ou équivalent + certifications spécialisations selon portée audit. Pour les red team OIV : OSCP + OSEP/CRTO + OSWE souvent demandés. Pour les recrutements pure-players (cabinets cyber spécialisés FR) : tolérance plus grande sur certifs émergentes (CPTS, PNPT) si profil démontre compétences via CTF, write-ups, contributions GitHub. Voir Débuter en Pentest : Parcours et Ressources 2026.

Sources : Offensive Security catalog 2026 ; Hack The Box Academy catalog ; Altered Security training programs ; TCM Security certifications ; PortSwigger Web Security Academy ; SANS GIAC certifications ; Zero-Point Security CRTO documentation ; analyse 200+ offres LinkedIn pentest FR/EU 2026.

13. Articulation avec NIS2, DORA et ISO 27001 — comprendre les obligations 2026

Le sujet du certification pentest s'inscrit en 2026 dans un cadre réglementaire européen et français dense qui structure les obligations des organisations. Trois textes majeurs encadrent désormais la posture cyber. (1) Directive NIS2 (UE 2022/2555) transposée en droit français par la loi de novembre 2024 — élargit considérablement le périmètre par rapport à NIS1 : passage de ~300 à ~10 000 entités françaises classées soit Entités Essentielles (EE), soit Entités Importantes (EI). Les obligations centrales (article 21.2) incluent l'analyse de risques annuelle, la gestion des incidents avec notification ANSSI < 24h, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la sécurité de l'acquisition/développement/maintenance, l'évaluation de l'efficacité, la formation cyber, les politiques cryptographie et contrôle d'accès, l'authentification multifacteur. Les pratiques liées à certifications pentest et le parcours pentesteur touchent directement plusieurs de ces obligations. (2) Règlement DORA (UE 2022/2554) applicable depuis janvier 2025 — concerne les entités financières (banques, assurances, sociétés de gestion, fintechs). Cinq piliers : gestion des risques ICT, gestion des incidents, tests de résilience opérationnelle (TLPT triennal pour entités critiques), gestion des risques tiers ICT, échange d'informations. (3) ISO 27001:2022 — norme internationale du SMSI avec 10 clauses de management et 93 contrôles Annexe A organisés en 4 thèmes : organisationnel, personnel, physique, technologique. La certification ISO 27001 fournit un cadre robuste qui couvre l'essentiel des exigences NIS2 et DORA, avec mapping documenté. Voir ISO 27001:2022 Guide Complet Certification Expert et NIS2, DORA et RGPD : Cartographie des Exigences Croisées.

14. KPI et indicateurs de pilotage — mesurer l'efficacité

Au-delà de la mise en œuvre initiale, le pilotage des sujets relatifs au certification pentest exige des indicateurs mesurables et révisés mensuellement ou trimestriellement. Cinq familles d'indicateurs structurent un tableau de bord cyber moderne 2026. (1) Couverture : pourcentage d'actifs couverts par la mesure (endpoints sous EDR, comptes en MFA, applications avec WAF, etc.) avec cible >= 95 % pour les mesures critiques. (2) Performance opérationnelle : MTTD (Mean Time To Detect) cible < 4h pour incident critique, MTTR (Mean Time To Respond) cible < 24h, taux de remédiation des vulnérabilités critiques dans le SLA (cible > 90 % patchés J+15 du Patch Tuesday). (3) Conformité : score d'audit interne ou externe (cible > 75/100), nombre de non-conformités majeures (cible 0 par trimestre), avancement plan d'action (cible > 80 % à 6 mois). (4) Maturité : score CMMI par domaine (Initial / Managed / Defined / Quantitatively Managed / Optimizing), évolution annuelle attendue +1 niveau par domaine prioritaire. (5) Risque résiduel : nombre de risques résiduels élevés non traités, valeur en € des risques résiduels selon analyse EBIOS RM, vraisemblance / gravité moyennes. Ces KPIs alimentent les revues de direction trimestrielles (ISO 27001 clause 9.3) et les rapports COMEX trimestriels. Voir Tableau de Bord KPI ISMS ISO 27004 : Excel.

15. Retour d'expérience terrain — 3 missions anonymisées

Trois cas concrets observés sur missions 2024-2026 illustrent les enjeux pratiques autour du certification pentest. Cas A — ETI industrielle 1 800 postes multi-sites (anonymisée) : initiative de modernisation de la posture cyber lancée en 2024 à la demande du COMEX après tentative de ransomware (chiffrement partiel évité grâce à EDR). Périmètre : 5 sites France + 2 Allemagne, AD complexe avec 3 forêts, mix Windows/Linux/OT. Démarche : audit complet (12 jours), pentest externe + interne (15 jours), pentest applicatif sur 2 apps métier critiques (10 jours), plan d'action 18 mois. Investissement total accompagnement : 380 000 € HT sur 18 mois (audits + remédiation + formation). Résultats à 18 mois : score posture cyber passé de 48/100 à 84/100, certification ISO 27001 obtenue, posture NIS2 conforme, 0 incident critique post-remédiation. Cas B — PME services 220 salariés (anonymisée) : remplacement d'un ancien prestataire d'audit jugé trop superficiel, demande pour audit complet en première intention. Périmètre : 1 site principal + 3 antennes commerciales, M365 + AD basique, 1 application web SaaS interne. Démarche : audit cybersécurité PME 15 contrôles (8 jours), pentest externe léger (4 jours), accompagnement remédiation 60 jours. Investissement : 22 000 € HT total. Résultats : MFA déployée 100 %, EDR en place sur 100 %, sauvegardes 3-2-1 testées trimestriellement, conformité cyber-assurance obtenue avec réduction de prime 18 %. Cas C — Collectivité 8 000 agents (anonymisée) : préparation à homologation RGS renforcée d'une plateforme de téléservices avec 1,2 M usagers. Périmètre : portail web, back-office, base de données, intégrations multiples (FranceConnect, INSEE, ANTAI). Démarche : analyse EBIOS RM (3 mois), audit PASSI architecture + configuration + tests d'intrusion (6 semaines), constitution dossier d'homologation, commission, signature. Investissement : 145 000 € HT. Résultats : homologation niveau renforcé délivrée fin 2025, validité 3 ans avec revue annuelle, intégration smooth avec FranceConnect+, fréquentation usagers en croissance +27 %.

16. Erreurs fréquentes et bonnes pratiques 2026

Six erreurs récurrentes observées sur les sujets liés au certification pentest en 2024-2026, et leurs contournements. Erreur 1 — démarrage sans cadrage : se lancer dans la mise en œuvre sans phase préalable d'analyse de contexte, d'inventaire et de cartographie. Conséquence : périmètre mal défini, budget dérapant, livrable inadapté. Bonne pratique : 5-10 % du temps total en cadrage, ateliers contradictoires avec parties prenantes, RACI clair. Erreur 2 — copier-coller des bonnes pratiques sans adaptation : appliquer une checklist générique sans contextualiser à la taille, secteur, contraintes de l'organisation. Conséquence : surinvestissement ou sous-investissement, démotivation équipe. Bonne pratique : référentiel proportionné au profil (CIS Implementation Group 1 pour PME, IG2 pour ETI, IG3 pour grands comptes). Erreur 3 — focus sur l'outil au détriment du processus : acheter une solution technique (EDR, SIEM, IAM) sans définir au préalable les processus opérationnels et les rôles. Conséquence : outil sous-exploité, alertes ignorées, ROI faible. Bonne pratique : processus avant outil, formation équipes, runbooks documentés. Erreur 4 — absence de plan post-projet : finaliser la mise en œuvre sans plan de continuité opérationnelle, de revue périodique, de mise à jour. Conséquence : dérive lente de la posture, retour à l'état initial en 12-24 mois. Bonne pratique : plan annuel de mise à jour, revue trimestrielle KPI, audit annuel externe. Erreur 5 — sous-estimation de la conduite du changement : déployer techniquement sans accompagner les utilisateurs et opérationnels. Conséquence : résistance, contournements (post-it mots de passe, désactivation MFA, etc.). Bonne pratique : 15-25 % du budget projet en communication, formation, support. Erreur 6 — pas d'évaluation indépendante : s'auto-évaluer sans regard externe critique. Conséquence : angle mort persistants, biais de confirmation. Bonne pratique : audit externe annuel par prestataire différent de l'intégrateur, alternance des auditeurs tous les 2-3 ans.

17. Écosystème des acteurs cyber français 2026

L'écosystème cyber français en 2026 comporte plusieurs catégories d'acteurs complémentaires à mobiliser selon les besoins liés au certification pentest. (1) Cabinets de conseil cyber généralistes : Big 4 (Deloitte, EY, KPMG, PwC), Capgemini, Sopra Steria, Atos Eviden, Wavestone, Mazars, Beijaflore. Forces : couverture globale, références grands comptes, méthodologies normalisées. Limites : prix élevés, parfois trop pyramidal. (2) Cabinets cyber spécialisés : Synacktiv, Wallix, Stormshield Audit, Almond, Devoteam Cyber Trust, Wavestone Cybersecurity, Algosecure, Itrust, HarfangLab Services, et acteurs régionaux. Forces : expertise technique pointue, agilité, prix compétitifs. Limites : ressources limitées sur très gros projets. (3) Cabinets d'expertise pure-players souvent < 30 consultants, spécialisés (AD, cloud, OT, IA security) — typiquement ce que nous représentons. Forces : profondeur d'expertise, contact direct expert, flexibilité. Limites : capacité limitée projet très grande taille. (4) MSSP et MDR managés : Orange Cyberdefense, Thales Cyber Solutions, Atos Big Fish, Sopra Steria CyberSecurity Services. Forces : opérations 24/7, SLA, mutualisation. (5) Solutions software éditeurs : Wallix (PAM), Stormshield (UTM), Tehtris (XDR), HarfangLab (EDR), Datadog (observability), Snyk (DevSecOps). (6) Acteurs publics : ANSSI (autorité nationale), CERT-FR, Cybermalveillance.gouv.fr, France 2030 / Plan France Relance cyber, BPI France Diag Cyber, régions (BoosterCyber Île-de-France). (7) Communautés et écosystème : Clusif, Hexatrust, FIC (Forum International de la Cybersécurité, devenu InCyber Forum), Le Hack, BSides Paris, OSSIR, Cesin. Construire un écosystème de prestataires complémentaires plutôt que dépendre d'un acteur unique réduit le risque et améliore la couverture expertise.

FAQ

OSCP ou CPTS — laquelle choisir en 2026 ?

Si budget contraint et apprentissage focus : CPTS (800 €, plateforme moderne, AD natif, examen 7 jours + rapport business pro). Si CV optimisé reconnaissance globale et budget OK : OSCP (1 599 $, encore référence dans 87 % des offres FR). Stratégie idéale : passer CPTS en premier (meilleur apprentissage), puis OSCP en deuxième pour CV. Coût total ~2 400 € — investissement amorti dès le premier emploi senior.

CRTP vaut-il vraiment 249 $ ?

Oui — c'est la meilleure affaire du marché en 2026. Pour 249 $ : 16h cours vidéo + 30 jours lab AD multi-domaines/forêts + examen pratique 24h. Compétences acquises : Kerberoasting, AS-REP, Pass-The-Hash/Ticket, Constrained/Unconstrained delegation, RBCD, ACL abuse, trust abuse, AD CS ESC1-15. Indispensable pour tout pentesteur Active Directory en 2026.

Quelle certification pour valider un pentesteur PASSI ANSSI ?

L'ANSSI ne définit pas de certif spécifique mais les prestataires PASSI documentent les certifs de leurs auditeurs. Stack standard : OSCP minimum pour pentest standard, + OSWE ou GWAPT si audit code/web, + OSEP ou CRTO si red team OIV, + certif cloud (SANS GCSA, OffSec OSDA) si audit cloud. Compléter par certifications gouvernance : CISSP, CISA pour profils mixtes audit/conseil.

Faut-il renouveler les certifications pentest ?

Variable selon éditeur. OffSec : OSCP+ (depuis 2023) doit être renouvelé tous les 3 ans avec CPE ou re-exam. SANS GIAC : renouvellement 4 ans obligatoire avec CPE. Hack The Box CPTS : valide 3 ans, renouvellement par re-exam ou Academy CPE. Altered Security CRTP/CRTE : valide à vie (pas de renouvellement obligatoire). TCM PNPT : valide à vie. Vérifier conditions au moment du passage.

Une certif suffit-elle ou faut-il en combiner plusieurs ?

Pour pentesteur senior, combinaison de 3-4 certifs est la norme 2026 : (1) une certif générale (OSCP ou CPTS), (2) une certif AD (CRTP/CRTE), (3) une certif spécialisation (OSWE web / OSEP red team / cloud SANS), (4) optionnellement une certif manager (CISSP, CISM). Le marché valorise plus la combinaison que la possession d'une seule certif prestigieuse. Compléter par : write-ups CTF, contributions GitHub open source pentest, talks conférences (Le Hack, BSides Paris, FIC).

Pour aller plus loin

• Certifications Cybersécurité 2026 : Guide Complet OSCP à CISSP
• Débuter en Pentest : Parcours et Ressources 2026
• Pentest Active Directory : Guide Méthodologique Complet
• Formation OWASP 2026 : Top 10, ASVS, ZAP
• Retours d'Expérience Pentest : 5 Missions Terrain Anonymisées
• Notre service Formation et Recrutement Pentest