LAUCKED
ConnexionDemander un diagnostic
← Blog/19 avril 20269 min de lecture

Prix pentest web 2026 : fourchettes par périmètre

Cet article se concentre sur le prix d'un pentest d'application web (site, portail, SaaS, e-commerce), hors API standalone et hors pentest réseau. Fourchettes de marché par taille d'application, jours-homme typiques par type d'actif, et critères de devis à vérifier avant signature. Chez Laucked, chaque mission est dimensionnée sur devis après atelier de cadrage — les fourchettes ci-dessous sont pédagogiques, pas une grille Laucked.

R
Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

19 avril 2026·9 min de lecture·Fondateurs·LinkedIn

Fourchettes de marché 2026 par type d'application web

Type d'applicationJours-hommeBudget HT
Vitrine statique, formulaire contact2-3 j1 200 – 2 500 €
CMS WordPress / Prestashop standard3-5 j1 500 – 3 500 €
Portail client avec login (SaaS simple)5-8 j2 500 – 6 500 €
SPA React/Vue + API REST8-12 j4 000 – 10 000 €
Plateforme multi-tenant, 4+ rôles12-20 j7 000 – 18 000 €
Marketplace, paiement, webhooks, OAuth15-25 j9 000 – 25 000 €

Fourchettes observées sur le marché français, hors missions régulées (DORA, HDS, PASSI) et hors périmètres cloud-native / IA qui se chiffrent au cas par cas. TJM de référence marché : 700 à 1 500 € HT selon séniorité et spécialisation. Les fourchettes incluent typiquement : préparation, test manuel OWASP WSTG, rapport technique, synthèse dirigeant, restitution et re-test.

Ce qui fait varier le prix d'un pentest web (au-delà de la taille)

  • Nombre de rôles utilisateurs — tester 2 rôles (user/admin) prend 2-3j de plus que tester 1 rôle. Tester 5 rôles avec permissions croisées (admin org, admin tenant, manager, contributeur, viewer) peut ajouter 5-8j de test de contrôle d'accès (IDOR, BOLA, privilege escalation).
  • Complexité des workflows métier — un workflow de signature électronique, d'approbation multi-niveaux, de paiement avec remboursement, ou de partage de documents est testé en profondeur avec ses conditions de rejet (pentest logique métier). +1-3j par workflow complexe.
  • Intégrations tierces — OAuth, Stripe, webhooks entrants/sortants, SSO SAML, CAPTCHA, CAPTCHA anti-bot, import CSV : chaque intégration est un vecteur d'attaque spécifique (SSRF, signature bypass, injection). +0.5-1.5j par intégration critique.
  • Exigences de rapport — rapport conforme à un cadre client (ISO 27001 A.8.29, SOC 2 CC7.1, PASSI ANSSI) ajoute 10-20%. Double livraison FR/EN : +15%. Rapport assurable par Stoïk/Hiscox : +5-10% (pas une vraie norme, juste une revue en interne).
  • Contraintes horaires — test possible uniquement nuit/week-end (production sensible) : +20-40%. Fenêtre de test compressée (7j calendaires au lieu de 3-4 semaines) : +15-30%.

Ce qui doit être inclus dans un devis sérieux

Avant de signer, vérifiez que le devis de pentest web inclut :

  • Scope précis — URL(s), sous-domaines, IP (si réseau), exclusions explicites (pas de DoS, pas de production payments réels, etc.).
  • Méthodologie — référentiels utilisés (OWASP WSTG, PTES, OSSTMM), types de tests effectués, outillage mentionné (Burp Pro, Nuclei, custom scripts).
  • Rapport type — structure, niveaux de sévérité (CVSS v3.1 ou v4.0), preuves de reproduction pour chaque finding, recommandations de correction.
  • Re-test inclus — oui/non, dans quelle fenêtre (typiquement 30-60j), sur quels findings (tous ou seulement High/Critical).
  • CV des pentesters — certifications (OSCP, OSWE, CEH), années d'expérience, références clients anonymisées.
  • Restitution — visio ou présentiel, durée (1-2h standard), audience technique et/ou dirigeante.
  • Clause RGPD — responsabilité des données, localisation du stockage, durée de conservation du rapport, NDA mutuel.

Un devis qui fait moins d'une page et ne détaille pas ces éléments est un signal rouge, même si le prix paraît attractif.

FAQ — Prix pentest web

Quel est le prix moyen d'un pentest web pour une PME ?

Le prix moyen d'un pentest web PME en France en 2026 se situe entre 2 500 et 6 500 € HT pour une application standard (10-30 écrans, 2-4 rôles utilisateurs, API REST associée). Cela correspond à 5 à 12 jours de test manuel par un pentester confirmé (700-900 €/jour) incluant rapport technique, synthèse dirigeant et re-test 30 jours.

Combien coûte un pentest web avec un SPA React/Vue/Angular ?

Un SPA (Single Page Application) moderne coûte 15-25% de plus qu'une application traditionnelle server-side, car l'essentiel de la logique métier est côté client et expose une API riche. Budget typique : 3 500 à 9 000 € HT. Le pentester doit tester le frontend JS (XSS DOM, postMessage), chaque endpoint API indépendamment, et les interactions client/serveur asynchrones.

Pentest web en boîte noire ou boîte grise : quel tarif ?

La boîte grise (pentester reçoit un compte utilisateur standard) est le standard marché : on y trouve 70% des vulnérabilités critiques et elle prend 20-30% moins de temps que la boîte noire. La boîte noire (aucune info) coûte 15-30% plus cher mais réplique mieux un attaquant externe. La boîte blanche (accès code + compte admin) coûte à peu près comme la grise mais trouve 40% plus de findings.

Le prix d'un pentest web inclut-il le re-test après correction ?

Chez les prestataires sérieux oui, avec une fenêtre de 30 à 60 jours après livraison du rapport. Chez Laucked, le re-test est inclus par défaut pour vérifier que vos correctifs ferment effectivement les vulnérabilités. Certains prestataires le facturent en sus (0.5 à 1 jour, soit 400-900 €) : à vérifier dans le devis.

Combien coûte un pentest WordPress / Prestashop / Magento ?

Pour un CMS standard (WordPress, Prestashop, Magento) en configuration classique : 1 500 à 3 500 € HT. Si le site a beaucoup de plugins custom, thèmes modifiés, passerelles de paiement intégrées ou une logique métier développée, compter 3 500 à 8 000 €. Les CMS ont une surface d'attaque spécifique : plugins obsolètes, wp-admin bruteforce, injections via modules tiers.

Pourquoi certains prestataires proposent des pentests web à 800 € ?

Un pentest web à moins de 1 200 € HT est typiquement un scan automatisé rebadgé. Un pentester manuel facture 600-1000 €/jour et un pentest minimal sérieux demande 3-5 jours. Ces offres low-cost génèrent des rapports peu exploitables (beaucoup de faux positifs, pas de chaîne d'exploitation, pas de test logique métier). Elles sont rarement acceptées par les assureurs cyber ou les clients exigeants.

Articles liés

  • → Prix pentest PME : grille générale tous périmètres
  • → Combien coûte un test d'intrusion ? Angle ROI CEO/CFO
  • → Pentest API : scope et méthodologie
  • → Pentest vs scan automatisé : différences
  • → Rapport de pentest : structure et exemple
  • → OWASP Top 10 : les risques testés en pentest web

Besoin d'un devis pentest web ?

Décrivez votre application en 5 minutes et recevez un devis chiffré avec méthodologie détaillée. Rapport sous 48-72h après démarrage, re-test inclus.

Demander un devis pentest web
LAUCKED

Diagnostic de surface, pentest expert et Guard pour les PME exposées au web, aux API et aux intégrations sensibles.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 7 43 58 07 38
6 certifications et qualifications →

Produit

  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse
  • Changelog
  • Statut

Entreprise

  • Pourquoi Laucked
  • Centre de confiance
  • Auteur
  • Contact
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données