Prix pentest PME 2026 : tarifs, coûts, devis et délais
Combien coûte un test d'intrusion pour une PME, une scale-up ou une ETI en 2026 ? Les fourchettes du marché français s'étendent de quelques milliers à plusieurs dizaines de milliers d'euros selon le périmètre (application web, API, infrastructure, cloud, IA / LLM). Peu de prestataires communiquent une grille, car chaque mission sérieuse est dimensionnée sur le scope réel. Cet article détaille les facteurs de prix, les livrables à exiger et comment cadrer un pentest exploitable.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Coût pentest web, API et réseau : fourchettes du marché 2026
La plupart des cabinets de cybersécurité ne publient pas leurs prix, car chaque mission est dimensionnée sur le périmètre réel. À titre pédagogique, voici les fourchettes observées sur le marché françaisd'après l'analyse de dizaines de devis publics et retours clients. Ces fourchettes ne constituent pas la grille tarifaire de Laucked — chez nous, chaque mission est chiffrée sur devis après un atelier de cadrage technique.
| Prestation | Fourchette de prix | Durée moyenne | Pour qui ? |
|---|---|---|---|
| Diagnostic de surface | 500 - 1 500 € | 1-2 jours | TPE, site vitrine |
| Pentest web (application + API) | 1 500 - 5 000 € | 3-5 jours | PME, app web + API |
| Pentest réseau / infrastructure | 5 000 - 15 000 € | 5-10 jours | PME/ETI, multi-apps, infra |
| Audit complet (web + réseau + cloud) | 10 000 - 30 000 € | 10-20 jours | ETI, réseau + cloud + apps |
Fourchettes HT indicatives, observées sur le marché français. Les écarts s'expliquent par le périmètre, la profondeur du test, la complexité technique, les exigences réglementaires (DORA, NIS2, HDS) et les certifications du prestataire. Chez Laucked, un devis est émis après atelier de cadrage — demander un devis.
Tarif test d'intrusion par type de périmètre
Coût pentest web
Pour un test d'intrusion sur application web PME (front-end, back-office, authentification, rôles), les fourchettes observées sur le marché français vont typiquement de 1 500 à 5 000 € HT. Le prix dépend du nombre de rôles utilisateurs, de la complexité des flux métier et de la profondeur du test (boîte noire, grise ou blanche). Chez Laucked, chaque mission web est chiffrée sur devis après atelier de cadrage.
Tarif pentest réseau
Un pentest réseau / infrastructure couvre les serveurs, le Wi-Fi, les VPN et les services exposés. Les fourchettes observées sur le marché français varient de 5 000 à 15 000 € HT selon le nombre de sous-réseaux, de VLAN et de services à auditer. Les tests internes (depuis le réseau local) sont plus coûteux que les tests externes. Chiffrage Laucked sur devis après cadrage du périmètre.
Tarif pentest API
Le coût d'un pentest API dépend du nombre d'endpoints, de la documentation disponible (Swagger/OpenAPI) et des mécanismes d'authentification. Pour une API REST/GraphQL avec 20 à 50 endpoints, les fourchettes observées sur le marché français se situent entre 2 000 et 6 000 € HT. Chiffrage Laucked sur devis après cadrage du périmètre API et des rôles.
Ce qui fait varier le tarif d'un test d'intrusion
Périmètre (scope)
Application web, API REST/GraphQL, infrastructure interne, réseau Wi-Fi, application mobile. Plus le périmètre est large, plus le coût augmente. Un pentest ciblé sur une seule application web coûte nettement moins qu’un audit qui couvre l’ensemble du système d’information.
Complexité technique
Une application SaaS multi-tenant avec authentification SSO, rôles granulaires et intégrations tierces demande plus de temps qu’un site vitrine WordPress. Le nombre de rôles utilisateurs, les flux de paiement et les API internes augmentent la surface d’attaque.
Profondeur du test
Boîte noire (aucun accès, comme un attaquant externe), boîte grise (accès authentifié, comptes de test) ou boîte blanche (accès au code source et à l’architecture). La boîte blanche est la plus complète mais la plus coûteuse.
Taille du périmètre
Nombre d’URLs, de sous-domaines, d’endpoints API, de serveurs. Un périmètre de 5 endpoints API n’a pas le même coût qu’un périmètre de 200 endpoints avec documentation Swagger.
D'autres facteurs entrent en jeu : les délais (un pentest en urgence coûte plus cher), les certifications du prestataire (PASSI, CREST), et les livrables demandés (rapport technique seul vs rapport exécutif + restitution orale).
Devis pentest : cadrer le périmètre avant de comparer
Pour obtenir un devis pentest fiable, il faut d'abord définir le périmètre testé et les livrables attendus. Ces pages aident à cadrer votre mission.
- Voir les livrables d'un pentest — rapport, preuves, remédiation, re-test.
- Offre pentest Laucked — périmètre, approche et cas d'usage.
- Laucked vs AlgoSecure — comparatif objectif sur méthodologie et critères de choix.
L'approche Laucked : pricing sur devis, méthodologie product-led
Chez Laucked, chaque mission est dimensionnée sur devis après un atelier de cadrage technique dédié avec un pentester senior. Nous ne pratiquons pas de grille forfaitaire : le périmètre réel (surface d'attaque, criticité, exigences réglementaires, stack cloud / IA) détermine l'effort, le planning et le prix.
Notre offre de test d'intrusion s'adresse aux éditeurs SaaS, scale-ups tech, fintech régulées, healthtech Ségur, ETI et grands comptes avec stack cloud-native ou IA en production.
Ce qui est systématiquement inclus :
- ✓Atelier de cadrage technique avec un pentester senior (périmètre, menaces, livrables)
- ✓Test d'intrusion selon la méthodologie OWASP / PTES / OWASP LLM Top 10
- ✓Rapport technique complet avec preuves d'exploitation + synthèse dirigeant 2 pages + synthèse pour questionnaire sécurité client
- ✓Plateforme de suivi des findings et du re-test en ligne — pas seulement un PDF
- ✓Re-test inclus sur les vulnérabilités critiques et élevées + attestation de re-test
- ✓Restitution dirigeant + DSI/RSSI en visio dédiée
Time-to-report maîtrisé
Sur un scope applicatif standard, nous livrons le rapport en 5 à 15 jours ouvrés après le kick-off. Sur des périmètres ETI / grands comptes multi-environnements, la mission peut s'étaler sur plusieurs semaines pour garantir la profondeur attendue. Pour une entreprise qui doit débloquer un deal, répondre à une due diligence ou traiter un incident, le planning est clarifié dès l'atelier de cadrage.
Pentest vs audit de vulnérabilité vs scan automatisé
Ces trois termes sont souvent confondus. Pourtant, ils ne couvrent pas le même périmètre et n'offrent pas le même niveau de profondeur. Voici comment les différencier :
| Critère | Scan automatisé | Audit de vulnérabilité | Test d'intrusion (pentest) |
|---|---|---|---|
| Approche | 100% automatisé (Nessus, Qualys) | Semi-automatisé + revue manuelle | Manuel + automatisé, simule un attaquant réel |
| Profondeur | Surface uniquement (CVE connues) | Moyenne (identification + classification) | Maximale (exploitation, chaînage, pivots) |
| Faux positifs | Élevés (30-50%) | Modérés (10-20%) | Très faibles (<5%) |
| Logique métier | Non testée | Partiellement testée | Testée en profondeur |
| Prix indicatif | 0 - 500 € | 500 - 3 000 € | 1 500 - 30 000 € |
| Livrable | Liste de CVE brute | Rapport avec recommandations | Rapport détaillé + preuves d'exploitation + remédiation |
Notre recommandation : un scan automatisé est un bon point de départ pour une TPE à budget limité. Mais pour une PME qui traite des données clients, qui expose une API ou qui répond à des exigences réglementaires (NIS2, RGPD), le pentest est le seul moyen d'obtenir une vision réaliste de votre exposition aux risques.
Le ROI d'un pentest : pourquoi c'est un investissement, pas une dépense
Coût moyen d'une cyberattaque pour une PME
Selon l'ANSSI, le coût moyen d'une cyberattaque pour une PME française est estimé à 130 000 €. Ce montant inclut l'interruption d'activité, la remédiation technique, les frais juridiques, la notification CNIL et la perte de chiffre d'affaires. Pour 60% des PME victimes d'une attaque majeure, l'entreprise dépose le bilan dans les 18 mois (Verizon DBIR).
Exigences des assureurs cyber
Les assureurs cyber exigent de plus en plus un audit de sécurité ou un pentest récent comme condition de souscription ou de renouvellement. Sans rapport de test, votre prime peut augmenter de 30 à 50%, voire la couverture peut être refusée. Le coût d'un pentest sérieux reste inférieur à la surprime annuelle évitée, sans compter la différence en cas de sinistre déclaré.
Conformité NIS2 et RGPD
La directive NIS2 (transposée en droit français en 2024) impose aux entités essentielles et importantes de mettre en place des mesures de gestion des risques cyber, incluant des tests de sécurité réguliers. Le RGPD (article 32) exige des mesures techniques appropriées pour protéger les données personnelles, avec des sanctions pouvant atteindre 4% du chiffre d'affaires mondial. Un pentest régulier démontre votre diligence en cas de contrôle CNIL.
Avantage commercial
De plus en plus d'appels d'offres, notamment dans le secteur public et chez les grands comptes, exigent un rapport de pentest récent. Disposer d'un rapport à jour vous donne un avantage concurrentiel immédiat face aux concurrents qui ne peuvent pas justifier de leur niveau de sécurité.
En résumé : le budget d'un pentest reste d'un ou deux ordres de grandeur inférieur au coût moyen d'une cyberattaque (estimé à 130 000 € pour une PME française par l'ANSSI). Sans compter les économies sur l'assurance cyber, la conformité réglementaire et l'avantage commercial.
Comment choisir son prestataire de pentest
Le marché du pentest est fragmenté : freelances, cabinets spécialisés, ESN généralistes, plateformes automatisées. Voici les critères à évaluer avant de signer un devis :
Certifications et qualifications
Vérifiez que le prestataire ou ses consultants disposent de certifications reconnues : PASSI (qualification ANSSI pour les prestataires d'audit de sécurité), OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester). La qualification PASSI est le standard de référence en France.
Méthodologie documentée
Un prestataire sérieux suit une méthodologie reconnue : OWASP Testing Guide pour les applications web, PTES (Penetration Testing Execution Standard) pour les tests d'intrusion, ou NIST SP 800-115 pour les audits techniques. Demandez la méthodologie avant de signer. Chez Laucked, notre méthodologie est publique.
Cadrage technique et pricing clair
Un bon prestataire cadre le périmètre en atelier technique (gratuit et sans engagement) avant de chiffrer, plutôt que d'appliquer une grille forfaitaire qui sous-estime ou surestime votre besoin réel. Méfiez-vous à la fois des forfaits trop bas (scope bâclé, livrable générique) et des « audits de cadrage » facturés plusieurs milliers d'euros avant même d'avoir vu votre stack. Le devis doit être détaillé : jours hommes, séniorité engagée, livrables, re-test, planning.
Rapport exploitable
Le rapport est le livrable principal. Il doit contenir : un résumé exécutif compréhensible par un dirigeant non technique, les vulnérabilités classées par criticité (CVSS), les preuves d'exploitation (screenshots, requêtes), et un plan de remédiation priorisé avec l'effort estimé. Un rapport de 200 pages généré automatiquement par un scanner n'a aucune valeur opérationnelle.
Quelles vulnérabilités sont testées lors d'un pentest ?
Un pentest web couvre systématiquement les vulnérabilités du référentiel OWASP Top 10 : injection SQL, XSS, contrôle d'accès défaillant, mauvaise configuration de sécurité, composants vulnérables, et bien d'autres. Au-delà de ce référentiel, un pentester expérimenté teste la logique métier spécifique à votre application : contournement de paiement, escalade de privilèges, IDOR (Insecure Direct Object Reference), et les failles liées à vos intégrations tierces.
Relier le budget au bon périmètre
Le prix dépend surtout de la surface réellement testée. Ces deux pages aident à cadrer un périmètre plus précis avant devis.
Questions fréquentes sur le prix d'un pentest
Combien coûte un pentest pour une PME en 2026 ?▼
Les fourchettes observées sur le marché français vont de quelques milliers à plusieurs dizaines de milliers d'euros selon le périmètre (application web, API, infrastructure, cloud), la complexité technique et la profondeur du test (boîte noire, grise ou blanche). Chez Laucked, chaque mission est dimensionnée sur devis après un atelier de cadrage technique dédié.
Comment obtenir un devis pentest rapidement ?▼
Chez Laucked, le cadrage commence par un échange technique avec un pentester senior pour décrire votre périmètre (applications, API, infrastructure, exigences réglementaires). Nous émettons ensuite un devis adapté, avec livrables et planning associés. Pas de grille forfaitaire : chaque mission est dimensionnée sur le périmètre réel.
Quel est le tarif d'un pentest web vs un pentest réseau vs un pentest cloud ?▼
Sur le marché français, un pentest applicatif web + API représente généralement un scope plus ciblé qu'un pentest infrastructure / Active Directory / cloud multi-compte. Les missions cloud-native (AWS / GCP / Azure, Kubernetes, serverless) et celles intégrant des composants IA / LLM demandent un effort et une expertise spécifiques. Chez Laucked, chaque scope est cadré puis chiffré sur devis.
Quelle est la différence entre un scan automatisé et un pentest ?▼
Un scan automatisé (Nessus, Qualys) détecte uniquement les vulnérabilités connues (CVE) avec 30-50% de faux positifs et ne teste pas la logique métier. Un pentest manuel simule un attaquant réel, exploite les vulnérabilités, chaîne les failles (ex. SSRF → RCE) et fournit des preuves d'exploitation avec moins de 5% de faux positifs. Les deux sont complémentaires : le scan pour la couverture continue, le pentest pour la profondeur.
Un pentest est-il obligatoire pour la conformité NIS2 et RGPD ?▼
La directive NIS2 impose des tests de sécurité réguliers aux entités essentielles et importantes. Le RGPD (article 32) exige des mesures techniques appropriées. Bien qu'un pentest ne soit pas explicitement obligatoire, il constitue la meilleure preuve de diligence en cas de contrôle CNIL ou d'incident.
Quels sont les délais pour un test d'intrusion PME ?▼
Le marché standard est de 4 à 8 semaines entre la signature et le rapport. Chez Laucked, le rapport complet est livré sous 48 à 72 heures après le lancement grâce à notre combinaison d'outils automatisés et d'expertise manuelle.
Aller plus loin
Cadrer votre pentest en atelier dédié
Décrivez votre périmètre (applications, API, infrastructure, cloud, IA) et nous cadrons la mission avec un pentester senior. Devis adapté, livrables définis, planning clair.
Sources et références
- Guide d'hygiène informatique — ANSSI (cyber.gouv.fr)
- Verizon Data Breach Investigations Report 2024 (DBIR)
- Règlement Général sur la Protection des Données — RGPD (EUR-Lex)
- Directive NIS2 — UE 2022/2555 (EUR-Lex)
- OWASP Web Security Testing Guide (owasp.org)
- OWASP Top 10 — 2021 (owasp.org)
- Prestataires qualifiés PASSI — ANSSI (cyber.gouv.fr)