Pentest PME, scale-up et ETI : périmètre, méthodologie, cadrage
Pour les PME, scale-up SaaS, ETI et grands comptes qui exigent un test d'intrusion conduit par des pentesters seniors, sur stack cloud-native, API, portails multi-tenant et composants IA. Méthodologie OWASP WSTG & PTES, plateforme de suivi des findings, cadrage sur devis après atelier technique dédié.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Pourquoi les PME sont ciblées par les cyberattaques
43 % des cyberattaques ciblent les PME selon les rapports internationaux. Les petites entreprises sont des cibles privilégiées car elles disposent rarement d'une équipe sécurité dédiée, tout en manipulant des données clients, financières et métier de grande valeur.
L'ANSSI rapporte que les PME et TPE représentent 40 % des rançongiciels traités en France. Le coût moyen d'une cyberattaque pour une PME dépasse 50 000 € — sans compter la perte de confiance des clients et les sanctions RGPD.
Les PME sont aussi vulnérables par effet de supply chain : un attaquant compromet un sous-traitant pour remonter vers son donneur d'ordre. C'est pourquoi la directive NIS2 impose désormais des obligations de cybersécurité à toute la chaîne d'approvisionnement, y compris les PME sous-traitantes.
Nos offres PME
Diagnostic gratuit
GratuitCartographie de votre surface d’attaque : domaines, sous-domaines, ports ouverts, technologies détectées. Vous recevez un rapport de surface sans engagement.
En savoir plus →Pentest expert
Sur devisTest d’intrusion complet selon les méthodologies OWASP WSTG et PTES, conduit par un pentester senior. Plateforme de suivi des findings, preuves d’exploitation, recommandations de remédiation et re-test inclus. Cadrage après atelier technique dédié.
En savoir plus →Guard — Monitoring continu
Sur devisSurveillance continue de votre périmètre : détection de nouvelles vulnérabilités, alertes en temps réel, rapports mensuels. Idéal pour maintenir votre posture après un pentest initial, notamment sur stack cloud-native ou IA en production.
En savoir plus →Ce qu'on teste
Notre pentest PME couvre l'ensemble de votre surface d'attaque, adapté à votre périmètre.
Applications web
Sites vitrine, portails clients, back-offices, CRM : test des vulnérabilités OWASP Top 10 (injections SQL, XSS, CSRF, failles d’authentification).
API REST & GraphQL
Vérification des autorisations (BOLA, BFLA), injection, exposition de données sensibles, rate limiting et gestion des tokens.
Infrastructure & réseau
Scan de ports, services exposés, configurations serveurs, escalade de privilèges, segmentation réseau.
Cloud (AWS, Azure, GCP)
Audit des configurations cloud : buckets publics, IAM permissifs, secrets exposés, fonctions serverless vulnérables.
Social engineering
Campagnes de phishing simulées, tests d’ingénierie sociale pour évaluer la résilience humaine de votre équipe.
Découvrez notre méthodologie de pentest et les vulnérabilités OWASP Top 10 pour les PME.
Quel périmètre pour un pentest PME ?
Le bon périmètre dépend de ce qui est exposé : application web, API, portail client, SaaS B2B, cloud ou authentification sensible. Voici les typologies les plus courantes.
| Typologie | Périmètre type | Durée indicative |
|---|---|---|
| Application web | Front + back-office, auth, paiement | 3–5 jours |
| API REST / GraphQL | Endpoints, auth tokens, BOLA, rate-limiting | 2–4 jours |
| Portail client / SaaS B2B | Multi-tenant, rôles, isolation des données | 3–5 jours |
| Cloud / Infra | Conf. cloud, accès, secrets, conteneurs | 2–3 jours |
Le diagnostic de surface gratuit permet de qualifier votre exposition avant de définir le périmètre de mission.
Cas d’usage business
Toutes les pages de ce cluster ne répondent pas au même besoin. Certaines servent à vendre un pentest, d’autres à répondre à une due diligence, à documenter une API exposée ou à relier vos preuves à un contexte de conformité.
Questionnaire sécurité client
Quand un grand compte ou un donneur d'ordre vous demande des preuves avant signature.
Ouvrir cette page →Audit API
Quand votre risque principal passe par une API exposée, des rôles, des tenants ou des intégrations sensibles.
Ouvrir cette page →Conformité NIS2
Quand la pression vient de la supply chain, de la conformité ou des exigences clients.
Ouvrir cette page →Assurance cyber
Quand un assureur ou un courtier demande des preuves techniques avant souscription ou renouvellement.
Ouvrir cette page →Audit SaaS
Quand le risque principal porte sur votre portail client, votre back-office et vos workflows multi-rôle.
Ouvrir cette page →Expertise publique
Fondateurs Laucked
Les contenus clés sont reliés aux fondateurs, à des références anonymisées et à des surfaces de preuve consultables sans prise de contact.
Choisir la bonne page selon votre contexte
Si votre besoin est déjà qualifié, allez directement sur la page la plus proche du contexte achat ou technique. Le hub reste la porte d’entrée, mais le cluster doit aussi réduire le bruit pour les dirigeants, CTO et acheteurs.
Vous devez rassurer un client avant signature
Voir la page due diligence →Votre exposition principale est une API ou un portail
Voir l'audit API →Vous devez documenter votre posture et vos preuves
Voir le centre de confiance →Votre produit est un SaaS B2B avec portail client et back-office
Voir l'audit SaaS →Vous préparez une souscription ou un renouvellement assurance cyber
Voir la page assurance cyber →Conformité et obligations réglementaires
Au-delà de la sécurité technique, un pentest répond à des obligations légales de plus en plus strictes pour les PME :
Directive NIS2
Exige des « tests de pénétration et audits de sécurité » pour les entités essentielles et importantes, y compris les PME sous-traitantes de secteurs critiques.
Guide NIS2 PME →RGPD (Article 32)
Impose de « tester et évaluer régulièrement l'efficacité des mesures techniques ». Le pentest est la méthode la plus directe pour satisfaire cette exigence.
Guide RGPD →Assurance cyber
De plus en plus d'assureurs exigent un rapport de pentest récent pour souscrire ou renouveler une police cyberassurance. C'est aussi un levier pour négocier vos primes.
Ce que disent nos clients
« L’équipe Laucked a cadré le scope en un atelier technique avec notre CTO, puis challengé notre portail multi-tenant sur les vrais cas d’usage. 3 failles critiques levées avant notre due diligence grand compte. »
— Scale-up SaaS B2B, série B
« Nos donneurs d’ordre exigeaient un pentest récent dans le cadre de NIS2. Le rapport Laucked et la plateforme de suivi des findings nous ont permis de répondre à leurs questionnaires fournisseurs sans friction. »
— ETI industrielle, sous-traitant de rang 1
« On cherchait un cabinet capable de tester une stack cloud-native avec des composants IA en production. Laucked a été le seul à nous proposer un scope qui combine OWASP WSTG et OWASP LLM Top 10. »
— Fintech DSP2, 200 collaborateurs
Fourchettes de marché, livrables et cadrage du périmètre
- Prix pentest PME 2026 — fourchettes observées sur le marché français et facteurs de cadrage.
- Livrables d'un pentest — rapport, preuves, remédiation et re-test.
- Demander un devis — atelier technique dédié puis cadrage chiffré.
Questions fréquentes — Pentest PME
Combien coûte un pentest pour une PME ?
Chez Laucked, le diagnostic de surface est entièrement gratuit — 0 €. C’est le point de départ pour évaluer votre exposition. Le pentest expert est ensuite cadré sur devis après un atelier technique dédié : le prix dépend du périmètre (web, API, cloud, IA), des rôles et tenants à couvrir, du contexte réglementaire (NIS2, DORA, HDS) et de la complexité applicative. Les fourchettes observées sur le marché français vont d’environ 4 500 € HT pour un scope ciblé à 30 000 € + pour une mission régulée ETI / grand compte.
Combien de temps dure un pentest ?
Un pentest applicatif sur scope ciblé dure généralement 5 à 15 jours ouvrés, plusieurs semaines sur un périmètre ETI ou grand compte avec exigences réglementaires (DORA, HDS, NIS2). Le rapport consolidé est livré sous 48-72 h après la fin des tests, mais les findings critiques sont remontés en temps réel via notre plateforme de suivi.
Quelle différence entre un scan de vulnérabilités et un pentest ?
Un scan automatisé détecte les vulnérabilités connues (CVE) sans les exploiter. Un pentest va plus loin : un expert tente activement d’exploiter les failles, teste les vulnérabilités logiques (IDOR, escalade de privilèges) et chaîne les vulnérabilités entre elles.
Ma PME est-elle concernée par la directive NIS2 ?
Si votre PME fait partie de la chaîne d’approvisionnement d’un secteur critique (industrie, santé, énergie, transports, numérique), NIS2 s’applique à vous — même en tant que sous-traitant. La directive impose des tests de sécurité réguliers.
Que se passe-t-il après le pentest ?
Vous recevez un rapport détaillé avec chaque vulnérabilité classée par criticité (CVSS), des preuves d’exploitation et des recommandations concrètes. Nous restons disponibles pour accompagner votre équipe dans la remédiation. Un re-test peut être planifié pour vérifier les corrections.
Consultez aussi : Prix pentest PME 2026 · Méthodologie et livrables · Demander un devis · Pentest à Toulouse
Cadrer votre pentest en atelier dédié
Qu'il s'agisse d'une PME qui doit répondre à un questionnaire fournisseur, d'une scale-up SaaS en due diligence, ou d'une ETI / grand compte avec obligations NIS2, DORA ou HDS : on cadre le scope ensemble puis on chiffre sur devis. Un diagnostic de surface gratuit est disponible pour qualifier votre exposition avant l'atelier.