Estimer la fourchette de mon pentest
Trois questions pour situer l'ordre de grandeur. C'est une estimation marché, pas un devis : chaque mission Laucked est chiffrée après un diagnostic gratuit.
Ordre de grandeur estimé
4 500 – 9 000 € HT
soit environ 6–10 jours-homme de test manuel, rapport et re-test inclus.
Fourchettes indicatives basées sur les TJM et jours-homme observés sur le marché français en 2026 (≈ 800–900 € HT/jour). Elles ne constituent pas une grille tarifaire Laucked. Le prix réel dépend du périmètre exact, défini lors du cadrage technique qui suit le diagnostic.
Coût pentest web, API et réseau : fourchettes du marché 2026
La plupart des cabinets de cybersécurité ne publient pas leurs prix, car chaque mission est dimensionnée sur le périmètre réel. À titre pédagogique, voici les fourchettes observées sur le marché français d'après l'analyse de dizaines de devis publics et retours clients. Ces fourchettes ne constituent pas la grille tarifaire de Laucked. Chez nous, chaque mission est chiffrée sur devis après un atelier de cadrage technique.
| Prestation | Fourchette de prix | Durée moyenne | Pour qui ? |
|---|---|---|---|
| Diagnostic de surface | 500 – 1 500 € | 1-2 jours | TPE, site vitrine |
| Pentest web (application + API) | 1 500 – 5 000 € | 3-5 jours | PME, app web + API |
| Pentest réseau / infrastructure | 5 000 – 15 000 € | 5-10 jours | PME/ETI, multi-apps, infra |
| Audit complet (web + réseau + cloud) | 10 000 – 30 000 € | 10-20 jours | ETI, réseau + cloud + apps |
Fourchettes HT indicatives, observées sur le marché français. Les écarts s'expliquent par le périmètre, la profondeur du test, la complexité technique, les exigences réglementaires (DORA, NIS2, HDS) et les certifications du prestataire. Chez Laucked, un devis est émis après atelier de cadrage : demander un devis.
Tarif test d'intrusion par type de périmètre
Coût pentest web
Pour un test d'intrusion sur application web PME (front-end, back-office, authentification, rôles), les fourchettes observées sur le marché français vont typiquement de 1 500 à 5 000 € HT. Le prix dépend du nombre de rôles utilisateurs, de la complexité des flux métier et de la profondeur du test (boîte noire, grise ou blanche). Chez Laucked, chaque mission web est chiffrée sur devis après atelier de cadrage.
Tarif pentest réseau
Un pentest réseau / infrastructure couvre les serveurs, le Wi-Fi, les VPN et les services exposés. Les fourchettes observées sur le marché français varient de 5 000 à 15 000 € HT selon le nombre de sous-réseaux, de VLAN et de services à auditer. Les tests internes (depuis le réseau local) sont plus coûteux que les tests externes. Chiffrage Laucked sur devis après cadrage du périmètre.
Tarif pentest API
Le coût d'un pentest API dépend du nombre d'endpoints, de la documentation disponible (Swagger/OpenAPI) et des mécanismes d'authentification. Pour une API REST/GraphQL avec 20 à 50 endpoints, les fourchettes observées sur le marché français se situent entre 2 000 et 6 000 € HT. Chiffrage Laucked sur devis après cadrage du périmètre API et des rôles.
Ce qui fait varier le tarif d'un test d'intrusion
Périmètre (scope)
Application web, API REST/GraphQL, infrastructure interne, réseau Wi-Fi, application mobile. Plus le périmètre est large, plus le coût augmente. Un pentest ciblé sur une seule application web coûte nettement moins qu'un audit qui couvre l'ensemble du système d'information.
Complexité technique
Une application SaaS multi-tenant avec authentification SSO, rôles granulaires et intégrations tierces demande plus de temps qu'un site vitrine WordPress. Le nombre de rôles utilisateurs, les flux de paiement et les API internes augmentent la surface d'attaque.
Profondeur du test
Boîte noire (aucun accès, comme un attaquant externe), boîte grise (accès authentifié, comptes de test) ou boîte blanche (accès au code source et à l'architecture). La boîte blanche est la plus complète mais la plus coûteuse.
Taille du périmètre
Nombre d'URLs, de sous-domaines, d'endpoints API, de serveurs. Un périmètre de 5 endpoints API n'a pas le même coût qu'un périmètre de 200 endpoints avec documentation Swagger.
D'autres facteurs entrent en jeu : les délais (un pentest en urgence coûte plus cher), les certifications du prestataire (PASSI, CREST), et les livrables demandés (rapport technique seul vs rapport exécutif + restitution orale).
L'approche Laucked : pricing sur devis, méthodologie product-led
Chez Laucked, aucune grille publique attribuée à notre cabinet. Chaque mission est chiffrée sur devis après un atelier de cadrage technique. Le diagnostic de surface est gratuit en amont pour cartographier la surface exposée (web, API, cloud, mobile, audit IA, conformité régulée) avant tout chiffrage. Le devis ferme arrive sous 48 h après le diagnostic, avec périmètre, livrables et calendrier engagés.
Notre offre de test d'intrusion s'adresse aux éditeurs SaaS, scale-ups tech, fintech régulées, healthtech Ségur, ETI et grands comptes avec stack cloud-native ou IA en production.
Ce qui est systématiquement inclus
- Atelier de cadrage technique avec un pentester senior (périmètre, menaces, livrables)
- Test d’intrusion selon la méthodologie OWASP / PTES / OWASP LLM Top 10
- Rapport technique complet avec preuves d’exploitation + synthèse dirigeant 2 pages + synthèse pour questionnaire sécurité client
- Suivi des findings et du re-test partagé en ligne, pas seulement un PDF
- Re-test inclus sur les vulnérabilités critiques et élevées + attestation de re-test
- Restitution dirigeant + DSI/RSSI en visio dédiée
Time-to-report maîtrisé
Sur un scope applicatif standard, nous livrons le rapport en 5 à 15 jours ouvrés après le kick-off. Sur des périmètres ETI / grands comptes multi-environnements, la mission peut s'étaler sur plusieurs semaines pour garantir la profondeur attendue. Pour une entreprise qui doit débloquer un deal, répondre à une due diligence ou traiter un incident, le planning est clarifié dès l'atelier de cadrage.
Pentest vs audit de vulnérabilité vs scan automatisé
Ces trois termes sont souvent confondus. Pourtant, ils ne couvrent pas le même périmètre et n'offrent pas le même niveau de profondeur.
| Critère | Scan automatisé | Audit de vulnérabilité | Test d'intrusion |
|---|---|---|---|
| Approche | 100% automatisé (Nessus, Qualys) | Semi-automatisé + revue manuelle | Manuel + automatisé, simule un attaquant réel |
| Profondeur | Surface uniquement (CVE connues) | Moyenne (identification + classification) | Maximale (exploitation, chaînage, pivots) |
| Faux positifs | Élevés (30-50 %) | Modérés (10-20 %) | Très faibles (<5 %) |
| Logique métier | Non testée | Partiellement testée | Testée en profondeur |
| Prix indicatif | 0 – 500 € | 500 – 3 000 € | 1 500 – 30 000 € |
| Livrable | Liste de CVE brute | Rapport avec recommandations | Rapport détaillé + preuves d'exploitation + remédiation |
Notre recommandation : un scan automatisé est un bon point de départ pour une TPE à budget limité. Mais pour une PME qui traite des données clients, qui expose une API ou qui répond à des exigences réglementaires (NIS2, RGPD), le pentest est le seul moyen d'obtenir une vision réaliste de votre exposition aux risques.
Le ROI d'un pentest : pourquoi c'est un investissement, pas une dépense
Coût moyen d'une cyberattaque pour une PME
Selon l'ANSSI, le coût moyen d'une cyberattaque pour une PME française est estimé à 130 000 €. Ce montant inclut l'interruption d'activité, la remédiation technique, les frais juridiques, la notification CNIL et la perte de chiffre d'affaires. Pour 60 % des PME victimes d'une attaque majeure, l'entreprise dépose le bilan dans les 18 mois (Verizon DBIR).
Exigences des assureurs cyber
Les assureurs cyber exigent de plus en plus un audit de sécurité ou un pentest récent comme condition de souscription ou de renouvellement. Sans rapport de test, votre prime peut augmenter de 30 à 50 %, voire la couverture peut être refusée. Le coût d'un pentest sérieux reste inférieur à la surprime annuelle évitée, sans compter la différence en cas de sinistre déclaré.
Conformité NIS2 et RGPD
La directive NIS2 (adoptée en 2022, transposition française en cours via le projet de loi REN) imposera aux entités essentielles et importantes des mesures de gestion des risques cyber, incluant des tests de sécurité réguliers. Le RGPD (article 32) exige des mesures techniques appropriées pour protéger les données personnelles, avec des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial. Un pentest régulier démontre votre diligence en cas de contrôle CNIL.
Avantage commercial
De plus en plus d'appels d'offres, notamment dans le secteur public et chez les grands comptes, exigent un rapport de pentest récent. Disposer d'un rapport à jour vous donne un avantage concurrentiel immédiat face aux concurrents qui ne peuvent pas justifier de leur niveau de sécurité.
Comment choisir son prestataire de pentest
Le marché du pentest est fragmenté : freelances, cabinets spécialisés, ESN généralistes, plateformes automatisées. Voici les critères à évaluer avant de signer un devis :
Certifications et qualifications
Vérifiez que le prestataire ou ses consultants disposent de certifications reconnues : PASSI (qualification ANSSI pour les prestataires d'audit de sécurité), OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester). La qualification PASSI est le standard de référence en France.
Méthodologie documentée
Un prestataire sérieux suit une méthodologie reconnue : OWASP Testing Guide pour les applications web, PTES (Penetration Testing Execution Standard) pour les tests d'intrusion, ou NIST SP 800-115 pour les audits techniques. Demandez la méthodologie avant de signer. Chez Laucked, notre méthodologie est publique.
Cadrage technique et pricing clair
Un bon prestataire cadre le périmètre en atelier technique (gratuit et sans engagement) avant de chiffrer, plutôt que d'appliquer une grille forfaitaire qui sous-estime ou surestime votre besoin réel. Méfiez-vous à la fois des forfaits trop bas (scope bâclé, livrable générique) et des « audits de cadrage » facturés plusieurs milliers d'euros avant même d'avoir vu votre stack. Le devis doit être détaillé : jours hommes, séniorité engagée, livrables, re-test, planning.
Rapport exploitable
Le rapport est le livrable principal. Il doit contenir : un résumé exécutif compréhensible par un dirigeant non technique, les vulnérabilités classées par criticité (CVSS), les preuves d'exploitation (screenshots, requêtes), et un plan de remédiation priorisé avec l'effort estimé. Un rapport de 200 pages généré automatiquement par un scanner n'a aucune valeur opérationnelle.
Quelles vulnérabilités sont testées lors d'un pentest ?
Un pentest web couvre systématiquement les vulnérabilités du référentiel OWASP Top 10 : injection SQL, XSS, contrôle d'accès défaillant, mauvaise configuration de sécurité, composants vulnérables, et bien d'autres. Au-delà de ce référentiel, un pentester expérimenté teste la logique métier spécifique à votre application : contournement de paiement, escalade de privilèges, IDOR (Insecure Direct Object Reference), et les failles liées à vos intégrations tierces.
cadrer le périmètre avant de comparer
Devis pentest : étapes suivantes
Pour obtenir un devis pentest fiable, il faut d'abord définir le périmètre testé et les livrables attendus. Ces pages aident à cadrer votre mission.
- → Voir les livrables d'un pentest : rapport, preuves, remédiation, re-test.
- → Hub pentest PME : périmètre, approche et cas d'usage.
- → Demander un devis cadré : atelier technique dédié avec un pentester senior.
Questions fréquentes sur le prix d'un pentest
Combien coûte un pentest pour une PME en 2026 ?
Les fourchettes observées sur le marché français vont de quelques milliers à plusieurs dizaines de milliers d'euros selon le périmètre (application web, API, infrastructure, cloud), la complexité technique et la profondeur du test (boîte noire, grise ou blanche). Chez Laucked, chaque mission est dimensionnée sur devis après un atelier de cadrage technique dédié.
Comment obtenir un devis pentest rapidement ?
Chez Laucked, chaque mission est chiffrée sur devis après un atelier de cadrage technique. Le diagnostic de surface est gratuit en amont pour cartographier le périmètre exact (web, API, cloud, mobile, audit IA, conformité régulée). Devis ferme remis sous 48 h après le diagnostic, avec périmètre, livrables et calendrier engagés.
Quel est le tarif d'un pentest web vs un pentest réseau vs un pentest cloud ?
Sur le marché français, un pentest applicatif web + API représente généralement un scope plus ciblé qu'un pentest infrastructure / Active Directory / cloud multi-compte. Les missions cloud-native (AWS / GCP / Azure, Kubernetes, serverless) et celles intégrant des composants IA / LLM demandent un effort et une expertise spécifiques. Chez Laucked, chaque scope est cadré puis chiffré sur devis.
Quelle est la différence entre un scan automatisé et un pentest ?
Un scan automatisé (Nessus, Qualys) détecte uniquement les vulnérabilités connues (CVE) avec 30-50% de faux positifs et ne teste pas la logique métier. Un pentest manuel simule un attaquant réel, exploite les vulnérabilités, chaîne les failles (ex. SSRF → RCE) et fournit des preuves d'exploitation avec moins de 5% de faux positifs. Les deux sont complémentaires : le scan pour la couverture continue, le pentest pour la profondeur.
Un pentest est-il obligatoire pour la conformité NIS2 et RGPD ?
La directive NIS2 impose des tests de sécurité réguliers aux entités essentielles et importantes. Le RGPD (article 32) exige des mesures techniques appropriées. Bien qu'un pentest ne soit pas explicitement obligatoire, il constitue la meilleure preuve de diligence en cas de contrôle CNIL ou d'incident.
Quels sont les délais pour un test d'intrusion PME ?
Le marché standard est de 4 à 8 semaines entre la signature et le rapport. Chez Laucked, le rapport complet est livré sous 48 à 72 heures après le lancement grâce à notre combinaison d'outils automatisés et d'expertise manuelle.
Sources et références
- Guide d'hygiène informatique · ANSSI (cyber.gouv.fr)
- Verizon Data Breach Investigations Report 2024 (DBIR)
- Règlement Général sur la Protection des Données · RGPD (EUR-Lex)
- Directive NIS2 · UE 2022/2555 (EUR-Lex)
- OWASP Web Security Testing Guide (owasp.org)
- OWASP Top 10 · 2021 (owasp.org)
- Prestataires qualifiés PASSI · ANSSI (cyber.gouv.fr)