Cabinet pentest PME — 8 critères pour bien choisir, signaux d'alerte à éviter
Vous cherchez un cabinet pentest pour votre PME française. Le marché va du freelance senior à 1 200 €/jour au cabinet enterprise calibré ETI / grands comptes. Voici les 8 critères qui distinguent un cabinet adapté à une PME, les 9 signaux d'alerte à éviter, et le modèle de devis qui doit vous être remis avant signature.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
En bref
Le bon cabinet pentest PME a typiquement 5 à 30 pentesters, certifie ses intervenants OSCP ou équivalent, propose un atelier de cadrage gratuit avant devis, partage un rapport anonymisé sous NDA, inclut le re-test et héberge ses données en UE. Si plus de 3 critères manquent, passez votre chemin.
Les 8 critères pour choisir un cabinet pentest PME
À utiliser comme grille de comparaison entre 2-3 cabinets shortlistés. Chaque critère doit être vérifié par écrit dans le devis ou par documents fournis avant signature.
Certifications des pentesters intervenants
Vérifier au minimum OSCP (Offensive Security Certified Professional). Idéalement OSEP, OSWE, CEH ou GIAC selon le périmètre. Demander le profil de qui intervient réellement sur votre mission, pas du « cabinet » en général.
Méthodologie écrite et défendable
OWASP Top 10 + OWASP API Top 10 pour le web, PTES pour la structure générale, CVSS v3.1 pour le scoring. Un cabinet qui ne peut pas vous remettre une méthodologie écrite à la demande n'a probablement pas de méthodologie réelle.
Atelier de cadrage technique avant devis
Un cabinet sérieux passe 30-60 minutes en atelier technique avec un pentester senior avant d'émettre un devis. Ça permet de cadrer le périmètre, d'éviter les surprises et de produire un devis défendable plutôt qu'un tarif au pifomètre.
Exemple de rapport partageable sous NDA
Le cabinet doit pouvoir vous partager un rapport anonymisé sous NDA avant signature. Si la réponse est « non, c'est confidentiel » sans NDA possible, c'est un signal d'alerte fort sur la qualité réelle des livrables.
Re-test inclus ou clairement chiffré
Le re-test des vulnérabilités critiques et hautes doit être inclus dans la mission ou clairement chiffré dans le devis. Un cabinet qui « facture en plus » le re-test au cas par cas pénalise votre suivi de remédiation.
Couverture assurance RC professionnelle
Le cabinet doit pouvoir fournir une attestation d'assurance responsabilité civile professionnelle couvrant les missions de pentest. Indispensable si un test cause un incident accidentel ou si une vulnérabilité critique non remontée provoque un dommage ultérieur.
Hébergement des données et conformité RGPD
Les rapports, preuves d'exploitation et findings sont des données sensibles. Vérifier l'hébergement (idéalement UE), le chiffrement au repos, les conditions de conservation et de destruction, la clause de portabilité en sortie.
Références sectorielles et proximité culturelle
Demander au moins 2 références clients dans un secteur proche du vôtre. Un cabinet qui travaille principalement avec des banques sera moins agile sur une PME SaaS B2B, et inversement. La proximité culturelle compte pour la qualité du cadrage et de la restitution.
9 signaux d'alerte qui doivent vous faire fuir
Un signal seul peut être contextuel. Trois cumulés sont rédhibitoires. Cinq sont le signe d'un cabinet de catalogue, pas d'un cabinet pentest sérieux.
- Tarif fixe affiché sur site sans atelier de cadrage technique préalable
- Promesse de rapport sous 24h ou 48h sans précision sur la phase manuelle
- Aucun pentester certifié OSCP ou équivalent dans l'équipe
- Refus de partager un rapport anonymisé sous NDA
- Méthodologie floue : « on utilise nos outils internes »
- Pas de proposition de re-test ou re-test facturé séparément à 100% du prix mission
- Hébergement des données hors UE sans clause RGPD explicite
- Aucune attestation d'assurance RC professionnelle fournie sur demande
- Aucune référence client partageable, même anonymisée
Cabinet, plateforme ou freelance : choisir selon le contexte
Cabinet (5-30 pentesters)
Mission cadrée, rapport défendable, équipe redondante, RC pro. Recommandé pour test annuel, exigence client B2B, assurance cyber.
Budget : 5–25 k€ par mission selon scope
Plateforme SaaS
Scan continu + quelques heures manuelles. Recommandé en complément d'un pentest cabinet, pas en remplacement. Workspace en ligne pour le suivi.
Budget : 6–18 k€/an d'abonnement
Freelance senior
Excellent technique mais pas de redondance. Recommandé pour mission limitée, hors exigence contractuelle forte. RC pro à vérifier.
Budget : 700–1 100 €/jour
Voir aussi le comparatif neutre : cabinet vs plateforme et pentest vs PTaaS.
Le modèle de devis qui doit vous être remis
Un devis défendable d'un cabinet pentest sérieux contient au minimum ces 8 sections. À utiliser comme grille de relecture avant signature.
- Périmètre détaillé : URLs, environnements, comptes de test, exclusions explicites.
- Méthodologie : référentiels appliqués (OWASP, PTES), profondeur du test (boîte noire/grise/blanche).
- Fenêtre d'intervention : plages horaires de test, durée totale, jours-homme estimés.
- Profil des intervenants : noms et certifications des pentesters affectés.
- Livrables : rapport exécutif + technique, preuves d'exploitation, plan de remédiation, restitution.
- Re-test : inclus ou tarifé, fenêtre temporelle, périmètre.
- Conditions juridiques : NDA, RC pro, conservation et destruction des données.
- Tarif détaillé : jours-homme × TJM, frais annexes, conditions de règlement.
Pour aller plus loin
- Cabinet vs plateforme — comparatif neutre — différences structurelles sans mention nominative.
- Exemple de rapport pentest — structure du livrable et 5 vulns types.
- Prix pentest PME — fourchettes, drivers de coût, devis types.
- Méthodologie pentest Laucked — déroulement, livrables, re-test (pos 1.26 sur « livrables pentest »).
Cadrer une mission avec Laucked ?
Le diagnostic gratuit qualifie votre périmètre et alimente un devis défendable (les 8 sections ci-dessus, par défaut). 48 à 72 heures, sans engagement.