LauckedLAUCKED
DiagnosticPentestGuardConformitéTarifs
Obtenir mon diagnostic · 48h
← Blog/19 avril 202611 min de lecture

Combien coûte un test d'intrusion ? Guide budget, ROI et décision

Si vous êtes CEO, CFO ou DAF d'une PME et que vous cherchez "combien coûte un test d'intrusion", vous voulez surtout savoir : est-ce que ça vaut le coup, maintenant, pour mon entreprise ? Cet article répond à la question budgétaire, au ROI réel et au cadre de décision à présenter en CODIR, sans jargon technique.

Réponse courte

Un test d'intrusion (pentest) coûte entre 3 000 € et 15 000 € HT en France en 2026 pour une PME. Le prix dépend du périmètre testé (web, API, infrastructure, cloud), du nombre de jours-homme nécessaires (5 à 20 jours) et de la séniorité du pentester (TJM 700 à 1 500 € HT). Pour un premier scope ciblé sur une application web métier, comptez 4 000 à 8 000 € HT.
Lancer le diagnostic gratuitVoir l'offre pentestExemple de rapport
R
Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

19 avril 2026·11 min de lecture·Fondateurs·LinkedIn
OSCP · OSEP · OSWE
NDA avant échange
Méthodologie OWASP / PTES
Rapport exécutif + technique
Re-test inclus
Basé en France

Cluster prix pentest — choisissez votre angle

  • Budget cible PME

    Fourchettes par taille d'entreprise, ROI et arbitrages business

  • Vous êtes ici
    Drivers de coût

    Jours-homme, profondeur du test, complexité technique

  • Focus pentest web

    Tarifs par périmètre web, multi-rôles, intégrations tierces

Vous savez déjà que c'est pour vous ? Voir l'offre Pentest PME : périmètre, méthodologie, livrables →

Estimer la fourchette de mon pentest

Trois questions pour situer l'ordre de grandeur. C'est une estimation marché, pas un devis : chaque mission Laucked est chiffrée après un diagnostic gratuit.

1. Quelle surface tester ?
2. Quel périmètre ?
3. Une conformité visée ?

Ordre de grandeur estimé

4 500 – 9 000 € HT

soit environ 6–10 jours-homme de test manuel, rapport et re-test inclus.

Obtenir mon chiffrage exact (diagnostic gratuit)Voir la méthodologie

Fourchettes indicatives basées sur les TJM et jours-homme observés sur le marché français en 2026 (≈ 800–900 € HT/jour). Elles ne constituent pas une grille tarifaire Laucked. Le prix réel dépend du périmètre exact, défini lors du cadrage technique qui suit le diagnostic.

Coût d'un test d'intrusion par type en 2026

Type de pentestDurée typiqueFourchette de prix HT
Web ou API simple3 à 6 jours3 500 à 9 000 €
Web ou API complète6 à 10 jours8 000 à 18 000 €
Infra et réseau PME5 à 10 jours6 000 à 15 000 €
Mobile (iOS et Android)8 à 12 jours10 000 à 22 000 €
Cloud (AWS, Azure, GCP)5 à 12 jours7 000 à 20 000 €
Red team ou multi-stage15 à 30 jours25 000 à 60 000 €

Fourchettes de marché observées en France en 2026, croisées avec les baromètres Hiscox, CESIN et la grille publique Intuity 2026. Ces ordres de grandeur sont pédagogiques et non attribuables à Laucked. Chaque mission est dimensionnée sur devis après atelier de cadrage technique.

Ordres de grandeur observés sur le marché français

Voici les ordres de grandeur observés sur le marché français en 2026 selon la profondeur et le périmètre. Ces fourchettes sont pédagogiques, chaque mission Laucked est dimensionnée sur devis après atelier de cadrage technique.

  • Scope ciblé :pentest sur une application web ou une API, 5 à 10 jours de test manuel, rapport exploitable, couverture OWASP Top 10 + logique métier. Format adapté à un premier pentest sur un produit SaaS B2B.
  • Scope intermédiaire :pentest web + API + comptes privilégiés + re-test après correction, 10 à 20 jours de mission. Format qui répond à la majorité des questionnaires sécurité clients et des renouvellements d'assurance cyber.
  • Scope complet / régulé :pentest externe + pentest interne (Active Directory, cloud multi-compte, Kubernetes), revue d'architecture, tests mobile, scénarios multi-stage. Pertinent pour ETI, grands comptes, secteurs régulés (HDS / Ségur, DORA / DSP2, NIS2 EE/EI), ou périmètres intégrant des composants IA / LLM en production.

La fourchette varie de 5-10x selon deux facteurs : la taille du périmètre (nombre d'URL, endpoints API, rôles utilisateurs, environnements cloud) et la profondeur (boîte noire rapide vs boîte blanche avec revue de code ciblée, multi-stage avec chaînage).

Les 5 facteurs qui font varier le prix

  1. Périmètre technique :1 application web simple : 5j. 1 app + 30 endpoints API + 4 rôles utilisateurs : 10-15j. Plateforme multi-tenant avec webhooks et intégrations OAuth : 15-25j. Chaque endpoint API ajoute 0.3 à 0.8 jour de test.
  2. Type d'accès :boîte noire (sans doc, sans compte) : +30% de temps vs boîte grise (compte fourni). Boîte blanche (accès code source) : 20% plus rapide mais exige un pentester senior avec compétence revue de code.
  3. Livrables attendus :rapport technique seul vs rapport + synthèse dirigeant + re-test 30j + restitution visio 1h : surcoût significatif (jour-pentester additionnel). Rapport conforme à un framework client (ISO 27001 A.8.29, SOC 2 CC7.1) : surcoût marginal de structure.
  4. Séniorité du pentester :junior (0-3 ans) : 400-600 €/j. Confirmé (3-7 ans, OSCP) : 700-1000 €/j. Senior (7+ ans, OSEP/OSWE) : 1000-1500 €/j. Pour une PME, confirmé avec OSCP est le sweet spot qualité/prix.
  5. Urgence et confidentialité :mission sous 10 jours au lieu de 4-6 semaines : +20-50%. NDA renforcé, poste isolé, signature en bureau sécurisé : +10-20%. Pentest « purple team » avec SOC/blue team en miroir : +30-80%.

Le calcul ROI à présenter en CODIR

Le ROI d'un pentest repose sur trois leviers, à chiffrer pour votre PME :

1. Risque évité (défensif). Probabilité annuelle qu'une PME française soit compromise = 15 à 30% selon taille + secteur (baromètre CESIN 2024). Coût moyen d'un incident = 50 k€ à 500 k€ (ANSSI + Hiscox). Risque annuel attendu = 15 à 150 k€. Un pentest à 5 k€ qui réduit ce risque de 40-60% = 6 à 90 k€ de valeur prévenue.

2. Déblocage commercial (offensif). Un pipeline B2B avec des deals à 6 chiffres implique généralement un questionnaire sécurité avant signature. Sans pentest récent, le deal stagne en pré-contractuel. Le ROI commercial dépend du nombre de deals exposés à cette friction.

3. Impact assurance et conformité. Un pentest récent peut peser favorablement dans la négociation de la prime cyber (effet variable selon l'assureur et le profil). Côté conformité, NIS2 prévoit des amendes jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles ou importantes : la couverture est binaire, pas un pourcentage.

Exemple concret : PME SaaS B2B, 25 salariés, CA 3 M€

  • Pentest : 5 500 € HT
  • Risque évité : ~22 k€/an (25% × 90 k€ incident médian × 40% réduction)
  • Déblocage commercial : 1 deal de 80 k€ signé plus vite = attribution partielle 8 k€
  • Économie assurance : 1 200 €/an
  • ROI estimé année 1 : 5.7x

Ce que cache un devis pentest « anormalement bas »

Méfiez-vous d'un devis pentest anormalement bas ou d'une offre « pentest illimité 500 €/mois ». Voici ce qui se cache typiquement :

  • Scan automatisé rebadgé en pentest :OpenVAS/Nessus/Acunetix lancés sans analyse humaine. Livrables : 200 pages de faux positifs. Détection logique métier : zéro. Valeur face à un assureur ou un auditeur : faible à nulle.
  • Outsourcing lointain non contrôlé :pentest sous-traité à un prestataire off-shore sans vérification. Enjeu critique : vos données d'application web transitent chez un tiers non audité. Risque RGPD si la PME ne l'a pas validé en amont.
  • Livrable non exploitable :rapport sans preuves d'exploitation, sans reproduction, sans sévérité CVSS. Inutilisable pour prioriser les corrections. Inutilisable pour un questionnaire client ou un renouvellement d'assurance.
  • Pas de ré-test après correction :vous découvrez 3 mois plus tard que votre correctif n'a pas fermé la vuln. Le re-test est une étape standard qui doit être incluse ou optionnelle clairement chiffrée.

Un pentest sérieux, même sur un scope très ciblé, mobilise un pentester senior plusieurs jours, une méthodologie documentée et un livrable exploitable. Ces coûts ne se compressent pas sans sacrifier la qualité. Si un devis vous paraît anormalement bas, demandez la méthodologie écrite, les CV et certifications des pentesters engagés, un exemple de rapport anonymisé et la clause de re-test.

FAQ : budget, ROI, décision

Quel budget prévoir pour un premier test d'intrusion PME ?

Pour une PME de 20 à 200 salariés qui réalise son premier pentest, un budget de 3 000 à 8 000 € HT couvre typiquement une application web métier + une API + un sous-domaine critique. Ajoutez 2 000 à 5 000 € si vous voulez inclure le back-office et les comptes administrateurs. Une ligne budgétaire annuelle cybersécurité de 0.5 à 1% du CA est la référence courante pour une PME qui manipule des données clients sensibles.

Un test d'intrusion est-il rentable pour une PME ?

Au-delà du risque direct lié à un incident, un pentest accélère les cycles de vente B2B (réponse aux questionnaires sécurité clients), peut peser favorablement sur la prime d'assurance cyber (effet variable selon l'assureur et le profil) et constitue une pièce du dossier de conformité NIS2 pour les entités concernées. Les ordres de grandeur du coût d'un incident sont publiés par l'ANSSI et plusieurs assureurs ; nous renvoyons vers ces sources pour les chiffres précis.

Mon assurance cyber rembourse-t-elle un pentest ?

Rarement en direct, mais de plus en plus d'assureurs (Stoïk, Beazley Hiscox, Axa) offrent des diagnostics sécurité gratuits à la souscription puis exigent un pentest tous les 12-24 mois comme condition de renouvellement. Certaines polices incluent une enveloppe prévention de 2 000 à 5 000 € réutilisable pour un pentest. Vérifiez les clauses de votre police, notamment 'prévention' et 'tests de sécurité'.

Quand faire un pentest dans le cycle de vie produit ?

Trois moments-clés : (1) avant une levée de fonds ou audit de due diligence, (2) avant un gros déploiement ou une migration cloud (4-8 semaines avant la mise en production), (3) en récurrence annuelle si vous avez des données sensibles ou des exigences clients/assurance. Évitez le pentest 'pompier' juste après un incident : il vaut mieux tester sur la base corrigée que sur du code en panique.

Internaliser vs externaliser : quel coût réel ?

Internaliser un pentester senior coûte 70-110 k€/an chargés (salaire + certifs + outils Burp Pro 700€/user/an, Nessus, etc.). Pour une PME qui fait 1-2 pentests par an, l'externalisation à 3-15 k€/mission est 5-10x moins chère et apporte un regard externe que l'équipe interne ne peut pas fournir (biais de conception). L'internalisation devient rentable au-delà de 6-8 missions par an.

Comment justifier le coût d'un pentest au CODIR ?

Trois angles : (1) risque évité, la combinaison probabilité × impact d'une attaque varie selon votre exposition ; les rapports ANSSI et France Assureurs donnent les ordres de grandeur, (2) déblocage commercial, un questionnaire sécurité client non renseigné peut retarder ou bloquer une signature B2B, (3) conformité, NIS2 prévoit des sanctions jusqu'à 10 M€ ou 2 % du CA mondial pour entités essentielles ou importantes. Le ROI dépend donc de votre cycle commercial, de votre profil d'assurance et de votre statut NIS2.

Articles liés

  • → Prix pentest PME 2026 : grille tarifaire détaillée
  • → Tarif pentest web 2026 : coût d'un test d'intrusion d'application
  • → Coût réel d'une cyberattaque PME en France
  • → Pentest obligatoire pour l'assurance cyber ?
  • → Pentest automatisé vs manuel : que choisir ?
  • → Rapport de pentest : exemple et structure
  • → NIS2 PME : checklist complète

Obtenez un devis en 5 minutes

Chez Laucked, le diagnostic initial est gratuit et le devis est envoyé en 5 minutes après un échange rapide sur votre périmètre. Rapport complet sous 48-72h, re-test inclus.

Demander un devis gratuit
LauckedLAUCKED

Diagnostic de surface, pentest expert (web, API, IA) et Guard pour les PME françaises exposées.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 6 95 27 70 36
6 certifications et qualifications →
Ils nous font confiance
Occi ServicesStorees+ missions sous NDA →

« Rapport opposable, clair pour la direction et actionnable côté tech. »CEO · retail PME · pentest web 2026

200+
pentests réalisés
40+
vulns critiques
10+
PME accompagnées

Produit

  • Diagnostic gratuit
  • Guard, suivi post-pentest
  • Exemple de rapport pentest
  • Comparatifs neutres
  • Cas d'usage PME
  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse

Entreprise

  • À propos
  • Centre de confiance
  • Auteur
  • Contact
Laucked SAS · SIREN 907 522 304 · Tournefeuille
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données
Demander un devis