← Blog/19 avril 20269 min de lecture

Prix d'un pentest web applicatif en 2026 : combien ça coûte selon le périmètre ?

Cet article est la page de référence Laucked sur le tarif d'un pentest web (site, portail, SaaS, e-commerce), hors API standalone (voir guide pentest API) et hors pentest réseau. Fourchettes 2026 par taille d'application, jours-homme typiques, drivers de coût et exemples de devis. Les fourchettes ci-dessous donnent l'ordre de grandeur observé sur le marché français et ne constituent pas une grille Laucked. Chez Laucked, chaque mission est chiffrée sur devis après atelier de cadrage technique.

Lancer le diagnostic gratuit Voir le tarif pentest PME Exemple de rapport

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

19 avril 2026·9 min de lecture·Fondateurs·LinkedIn

OSCP · OSEP · OSWE

NDA avant échange

Méthodologie OWASP / PTES

Rapport exécutif + technique

Re-test inclus

Basé en France

Vous voulez voir comment Laucked cadre une mission web ? Offre Pentest PME : périmètre, méthodologie, livrables →

Estimer la fourchette de mon pentest

Trois questions pour situer l'ordre de grandeur. C'est une estimation marché, pas un devis : chaque mission Laucked est chiffrée après un diagnostic gratuit.

1. Quelle surface tester ?

2. Quel périmètre ?

3. Une conformité visée ?

Ordre de grandeur estimé

4 500 – 9 000 € HT

soit environ 6–10 jours-homme de test manuel, rapport et re-test inclus.

Obtenir mon chiffrage exact (diagnostic gratuit)Voir la méthodologie

Fourchettes indicatives basées sur les TJM et jours-homme observés sur le marché français en 2026 (≈ 800–900 € HT/jour). Elles ne constituent pas une grille tarifaire Laucked. Le prix réel dépend du périmètre exact, défini lors du cadrage technique qui suit le diagnostic.

Fourchettes de marché 2026 par type d'application web

Type d'application	Jours-homme	Budget HT
Vitrine statique, formulaire contact	2-3 j	1 200 – 2 500 €
CMS WordPress / Prestashop standard	3-5 j	1 500 – 3 500 €
Portail client avec login (SaaS simple)	5-8 j	2 500 – 6 500 €
SPA React/Vue + API REST	8-12 j	4 000 – 10 000 €
Plateforme multi-tenant, 4+ rôles	12-20 j	7 000 – 18 000 €
Marketplace, paiement, webhooks, OAuth	15-25 j	9 000 – 25 000 €

Fourchettes observées sur le marché français, hors missions régulées (DORA, HDS, PASSI) et hors périmètres cloud-native / IA qui se chiffrent au cas par cas. TJM de référence marché : 700 à 1 500 € HT selon séniorité et spécialisation. Les fourchettes incluent typiquement : préparation, test manuel OWASP WSTG, rapport technique, synthèse dirigeant, restitution et re-test.

Ce qui fait varier le prix d'un pentest web (au-delà de la taille)

Nombre de rôles utilisateurs — tester 2 rôles (user/admin) prend 2-3j de plus que tester 1 rôle. Tester 5 rôles avec permissions croisées (admin org, admin tenant, manager, contributeur, viewer) peut ajouter 5-8j de test de contrôle d'accès (IDOR, BOLA, privilege escalation).
Complexité des workflows métier — un workflow de signature électronique, d'approbation multi-niveaux, de paiement avec remboursement, ou de partage de documents est testé en profondeur avec ses conditions de rejet (pentest logique métier). +1-3j par workflow complexe.
Intégrations tierces — OAuth, Stripe, webhooks entrants/sortants, SSO SAML, CAPTCHA, CAPTCHA anti-bot, import CSV : chaque intégration est un vecteur d'attaque spécifique (SSRF, signature bypass, injection). +0.5-1.5j par intégration critique.
Exigences de rapport — rapport conforme à un cadre client (ISO 27001 A.8.29, SOC 2 CC7.1, PASSI ANSSI) ajoute 10-20%. Double livraison FR/EN : +15%. Rapport assurable par Stoïk/Hiscox : +5-10% (pas une vraie norme, juste une revue en interne).
Contraintes horaires — test possible uniquement nuit/week-end (production sensible) : +20-40%. Fenêtre de test compressée (7j calendaires au lieu de 3-4 semaines) : +15-30%.

Ce qui doit être inclus dans un devis sérieux

Avant de signer, vérifiez que le devis de pentest web inclut :

Scope précis — URL(s), sous-domaines, IP (si réseau), exclusions explicites (pas de DoS, pas de production payments réels, etc.).
Méthodologie — référentiels utilisés (OWASP WSTG, PTES, OSSTMM), types de tests effectués, outillage mentionné (Burp Pro, Nuclei, custom scripts).
Rapport type — structure, niveaux de sévérité (CVSS v3.1 ou v4.0), preuves de reproduction pour chaque finding, recommandations de correction.
Re-test inclus — oui/non, dans quelle fenêtre (typiquement 30-60j), sur quels findings (tous ou seulement High/Critical).
CV des pentesters — certifications (OSCP, OSWE, CEH), années d'expérience, références clients anonymisées.
Restitution — visio ou présentiel, durée (1-2h standard), audience technique et/ou dirigeante.
Clause RGPD — responsabilité des données, localisation du stockage, durée de conservation du rapport, NDA mutuel.

Un devis qui fait moins d'une page et ne détaille pas ces éléments est un signal rouge, même si le prix paraît attractif.

FAQ — Prix pentest web

Quel est le prix moyen d'un pentest web pour une PME ?

Le prix moyen d'un pentest web PME en France en 2026 se situe entre 2 500 et 6 500 € HT pour une application standard (10-30 écrans, 2-4 rôles utilisateurs, API REST associée). Cela correspond à 5 à 12 jours de test manuel par un pentester confirmé (700-900 €/jour) incluant rapport technique, synthèse dirigeant et re-test 30 jours.

Combien coûte un pentest web avec un SPA React/Vue/Angular ?

Un SPA (Single Page Application) moderne coûte 15-25% de plus qu'une application traditionnelle server-side, car l'essentiel de la logique métier est côté client et expose une API riche. Budget typique : 4 500 à 12 000 € HT. Le pentester doit tester le frontend JS (XSS DOM, postMessage), chaque endpoint API indépendamment, et les interactions client/serveur asynchrones.

Pentest web en boîte noire ou boîte grise : quel tarif ?

La boîte grise (pentester reçoit un compte utilisateur standard) est le standard marché : on y trouve 70% des vulnérabilités critiques et elle prend 20-30% moins de temps que la boîte noire. La boîte noire (aucune info) coûte 15-30% plus cher mais réplique mieux un attaquant externe. La boîte blanche (accès code + compte admin) coûte à peu près comme la grise mais trouve 40% plus de findings.

Le prix d'un pentest web inclut-il le re-test après correction ?

Chez les prestataires sérieux oui, avec une fenêtre de 30 à 60 jours après livraison du rapport. Chez Laucked, le re-test est inclus par défaut pour vérifier que vos correctifs ferment effectivement les vulnérabilités. Certains prestataires le facturent en sus (0.5 à 1 jour, soit 400-900 €) : à vérifier dans le devis.

Combien coûte un pentest WordPress / Prestashop / Magento ?

Pour un CMS standard (WordPress, Prestashop, Magento) en configuration classique : 1 500 à 3 500 € HT. Si le site a beaucoup de plugins custom, thèmes modifiés, passerelles de paiement intégrées ou une logique métier développée, compter 4 500 à 8 000 €. Les CMS ont une surface d'attaque spécifique : plugins obsolètes, wp-admin bruteforce, injections via modules tiers.

Pourquoi certains prestataires proposent des pentests web à 800 € ?

Un pentest web à moins de 1 200 € HT est typiquement un scan automatisé rebadgé. Un pentester manuel facture 600-1000 €/jour et un pentest minimal sérieux demande 3-5 jours. Ces offres low-cost génèrent des rapports peu exploitables (beaucoup de faux positifs, pas de chaîne d'exploitation, pas de test logique métier). Elles sont rarement acceptées par les assureurs cyber ou les clients exigeants.

Besoin d'un devis pentest web ?

Décrivez votre application en 5 minutes et recevez un devis chiffré avec méthodologie détaillée. Rapport sous 48-72h après démarrage, re-test inclus.