01
offre · 1-2 jours
Diagnostic gratuit
Gratuit
Cartographie de votre surface d'attaque : domaines, sous-domaines, ports ouverts, technologies détectées. Vous recevez un rapport de surface sans engagement.
Demander un diagnostic →Page service · pentest PME · ETIcadrage 15 min · devis ≤ 48 h · re-test inclussigné · pentester senior dédié
Pentest · PME · scale-up · ETI · grands comptes
Pentest PME, scale-up et ETI : périmètre, méthodologie, cadrage.
Pour les PME, scale-up SaaS, ETI et grands comptes qui exigent un test d'intrusion conduit par des pentesters seniors, sur stack cloud-native, API, portails multi-tenant et composants IA. Méthodologie OWASP WSTG & PTES, plateforme de suivi des findings, cadrage sur devis après atelier technique dédié.
Repères de budget : fourchettes marché, ROI et devis →
R
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Expertise publique
Fondateurs Laucked
Les contenus clés sont reliés aux fondateurs, à des références anonymisées et à des surfaces de preuve consultables sans prise de contact.
Pourquoi les PME sont ciblées
43 %
Cyberattaques ciblent les PME
source · rapports internationaux
40 %
PME / TPE parmi les rançongiciels traités
source · ANSSI
> 50 000 €
Coût moyen par incident pour une PME
source · CPME
Les PME sont aussi vulnérables par effet de supply chain : un attaquant compromet un sous-traitant pour remonter vers son donneur d'ordre. C'est pourquoi la directive NIS2 impose désormais des obligations à toute la chaîne d'approvisionnement, y compris les PME sous-traitantes.
Catalogue · trois portes d'entrée
Diagnostic gratuit · pentest expert · monitoring continu
02
offre · 5-15 jours
Pentest expert
Sur devis
Test d'intrusion complet selon les méthodologies OWASP WSTG et PTES, conduit par un pentester senior. Suivi des findings partagé en ligne, preuves d'exploitation, recommandations de remédiation et re-test inclus. Cadrage après atelier technique dédié.
Demander un devis →03
offre · Hebdomadaire
Guard · Suivi hebdomadaire
99 € HT/mois
Scan hebdomadaire automatisé du périmètre : détection des nouvelles vulnérabilités au scan suivant, alertes email sous 24 h après détection, dashboard mensuel. Fenêtre de détection ≤ 7 jours. Idéal pour maintenir votre posture après un pentest initial.
En savoir plus →Couverture · cinq surfaces auditées
Ce qu'on teste sur un pentest PME
Notre pentest couvre l'ensemble de votre surface d'attaque, adapté à votre périmètre. Découvrez aussi notre méthodologie complète et les vulnérabilités OWASP Top 10 pour les PME.
WEB
Applications web
Sites vitrine, portails clients, back-offices, CRM : test des vulnérabilités OWASP Top 10 (injections SQL, XSS, CSRF, failles d'authentification).
API
API REST & GraphQL
Vérification des autorisations (BOLA, BFLA), injection, exposition de données sensibles, rate limiting et gestion des tokens.
NET
Infrastructure & réseau
Scan de ports, services exposés, configurations serveurs, escalade de privilèges, segmentation réseau.
CLD
Cloud (AWS, Azure, GCP)
Audit des configurations cloud : buckets publics, IAM permissifs, secrets exposés, fonctions serverless vulnérables.
SE
Social engineering
Campagnes de phishing simulées, tests d'ingénierie sociale pour évaluer la résilience humaine de votre équipe.
Périmètre · durées indicatives
Quel périmètre pour un pentest PME ?
Le bon périmètre dépend de ce qui est exposé : application web, API, portail client, SaaS B2B, cloud ou authentification sensible. Voici les typologies les plus courantes.
| Typologie | Périmètre type | Durée indicative |
|---|---|---|
| Application web | Front + back-office, auth, paiement | 3-5 jours |
| API REST / GraphQL | Endpoints, auth tokens, BOLA, rate-limiting | 2-4 jours |
| Portail client / SaaS B2B | Multi-tenant, rôles, isolation des données | 3-5 jours |
| Cloud / Infra | Conf. cloud, accès, secrets, conteneurs | 2-3 jours |
Le diagnostic de surface gratuit permet de qualifier votre exposition avant de définir le périmètre de mission.
Cas d’usage business · choisir la bonne page
Choisir la bonne page selon votre contexte
- 01
si
Vous devez rassurer un client avant signature
→ aller voir
Questionnaire sécurité client
- 02
si
Votre exposition principale est une API ou un portail
→ aller voir
L'audit API
- 03
si
Votre produit est un SaaS B2B avec portail et back-office
→ aller voir
L'audit SaaS
- 04
si
Vous préparez une souscription ou un renouvellement assurance cyber
→ aller voir
Page assurance cyber
- 05
si
Vous devez documenter votre posture et vos preuves
→ aller voir
Centre de confiance
- 06
si
La pression vient d'une obligation NIS2 / DORA / HDS
→ aller voir
Hub conformité NIS2
Conformité · obligations réglementaires
Le pentest, levier de conformité
Au-delà de la sécurité technique, un pentest répond à des obligations légales de plus en plus strictes pour les PME.
NIS2
Directive NIS2
Exige des « tests de pénétration et audits de sécurité » pour les entités essentielles et importantes, y compris les PME sous-traitantes de secteurs critiques.
Guide NIS2 PME →RGPD
RGPD Article 32
Impose de « tester et évaluer régulièrement l'efficacité des mesures techniques ». Le pentest est la méthode la plus directe pour satisfaire cette exigence.
Guide RGPD →CYBER
Assurance cyber
De plus en plus d'assureurs exigent un rapport de pentest récent pour souscrire ou renouveler une police. C'est aussi un levier pour négocier vos primes.
Page assurance cyber →Verbatim clients · anonymisés
Ce que disent nos clients
L'équipe Laucked a cadré le scope en un atelier technique avec notre CTO, puis challengé notre portail multi-tenant sur les vrais cas d'usage. 3 failles critiques levées avant notre due diligence grand compte.
Nos donneurs d'ordre exigeaient un pentest récent dans le cadre de NIS2. Le rapport Laucked et la plateforme de suivi des findings nous ont permis de répondre à leurs questionnaires fournisseurs sans friction.
On cherchait un cabinet capable de tester une stack cloud-native avec des composants IA en production. Laucked a été le seul à nous proposer un scope qui combine OWASP WSTG et OWASP LLM Top 10.
Fourchettes de marché, livrables et cadrage du périmètre
Étapes suivantes
- → Prix pentest PME 2026 : fourchettes observées sur le marché français et facteurs de cadrage.
- → Choisir un cabinet pentest PME : 8 critères, signaux d'alerte et modèle de devis défendable.
- → Livrables d'un pentest : rapport, preuves, remédiation et re-test.
- → Demander un devis : atelier technique dédié puis cadrage chiffré.
FAQ · pentest PME
Questions fréquentes
Q · 01Combien coûte un pentest pour une PME ?
Chez Laucked, le diagnostic de surface est entièrement gratuit (0 €). C'est le point de départ pour évaluer votre exposition. Le pentest expert est ensuite cadré sur devis après un atelier technique dédié : le prix dépend du périmètre (web, API, cloud, IA), des rôles et tenants à couvrir, du contexte réglementaire (NIS2, DORA, HDS) et de la complexité applicative. Les fourchettes observées sur le marché français vont d'environ 4 500 € HT pour un scope ciblé à 30 000 € + pour une mission régulée ETI / grand compte.
Q · 02Combien de temps dure un pentest ?
Un pentest applicatif sur scope ciblé dure généralement 5 à 15 jours ouvrés, plusieurs semaines sur un périmètre ETI ou grand compte avec exigences réglementaires (DORA, HDS, NIS2). Le rapport consolidé est livré sous 48-72 h après la fin des tests, mais les findings critiques sont remontés en temps réel via notre plateforme de suivi.
Q · 03Quelle différence entre un scan de vulnérabilités et un pentest ?
Un scan automatisé détecte les vulnérabilités connues (CVE) sans les exploiter. Un pentest va plus loin : un expert tente activement d'exploiter les failles, teste les vulnérabilités logiques (IDOR, escalade de privilèges) et chaîne les vulnérabilités entre elles.
Q · 04Ma PME est-elle concernée par la directive NIS2 ?
Si votre PME fait partie de la chaîne d'approvisionnement d'un secteur critique (industrie, santé, énergie, transports, numérique), NIS2 s'applique à vous, même en tant que sous-traitant. La directive impose des tests de sécurité réguliers.
Q · 05Que se passe-t-il après le pentest ?
Vous recevez un rapport détaillé avec chaque vulnérabilité classée par criticité (CVSS), des preuves d'exploitation et des recommandations concrètes. Nous restons disponibles pour accompagner votre équipe dans la remédiation. Un re-test peut être planifié pour vérifier les corrections.
à lire aussi : prix pentest PME 2026 · méthodologie et livrables · pentest à Toulouse
Étape suivante
Cadrer votre pentest en atelier dédié
Qu'il s'agisse d'une PME qui doit répondre à un questionnaire fournisseur, d'une scale-up SaaS en due diligence, ou d'une ETI / grand compte avec obligations NIS2, DORA ou HDS : on cadre le scope ensemble puis on chiffre sur devis. Un diagnostic de surface gratuit est disponible pour qualifier votre exposition avant l'atelier.
sources : ANSSI · OWASP WSTG · NIS2 · RGPD