Rechercher
Rechercher

Combien coûte un pentest ? Tarifs, méthodes & exemples (2025)

Vous cherchez le prix d’un pentest (test d’intrusion) et vous tombez sur des fourchettes vagues ? Ce guide explique ce qui fait varier le coût, donne des repères chiffrés réalistes et des exemples anonymisés. On y ajoute une check-list d’achat pour comparer des devis et des pistes pour optimiser votre budget.

  1. Définition & périmètres
  2. Facteurs qui font varier le prix
  3. Fourchettes de prix réalistes
  4. Livrables attendus & qualité
  5. Délais & planning type
  6. Comment comparer des devis
  7. 5 leviers pour optimiser le budget
  8. Exemples anonymisés
  9. Interventions locales & secteurs
  10. FAQ rapide

1) Définition & périmètres

Un pentest consiste à tester la sécurité d’un périmètre défini (externe, interne/AD, application web/API, Wi-Fi, Microsoft 365 / Entra ID, mobile…) via des attaques contrôlées. Le but : produire un rapport priorisé et un plan de remédiation. Si vous cherchez le déroulé précis, consultez notre page : Pentest & audit de sécurité.

À ne pas confondre avec le scan de vulnérabilités (automatique) ou l’audit de conformité. On peut combiner ces approches dans une trajectoire ISO 27001 & gouvernance.

2) Les 4 facteurs qui font varier le prix

  1. Périmètre & complexité : nb d’hôtes, multi-sites, logique métier d’une appli. Une API complexe coûte plus qu’un site vitrine.
  2. Profondeur & méthode : black/grey/white box, tests d’élévation/pivot, revue de code. Plus c’est profond, plus c’est long.
  3. Accès & fenêtres : boîtier/VPN, comptes de test, créneaux hors production. Une bonne préparation réduit le temps passé.
  4. Livrables & accompagnement : niveau de détail, atelier de remédiation, retest inclus, reporting “audit-ready”.

Si vous n’avez pas de ressources dédiées, un RSSI de transition peut piloter cadrage, priorisation et suivi des corrections.

3) Fourchettes de prix réalistes (repères)

PérimètreContenu typeJours-hommeOrdre de grandeur
Externe (petit)5–10 hôtes exposés Internet, OSINT, exploitation3–5 j-h2–5 k€
Interne / AD “light”1 site, tests d’accès/segmentation, élévations de base5–7 j-h4–8 k€
Web / API (simple)Auth, rôles, injections, logique de base5–8 j-h5–10 k€
Web / API (complexe)Multi-rôles, flux critiques, fraude/logique métier8–15 j-h8–18 k€
M365 / Entra IDDurcissement, MFA/CA, tokens, configurations3–6 j-h3–7 k€
Pack mixte PMEExterne + Web + M3658–12 j-h8–14 k€

NB : repères usuels du marché. Le chiffrage exact dépend de votre contexte, des accès et des livrables attendus.

4) Livrables attendus & qualité

  • Executive summary : risques majeurs + échéancier 30/60/90 jours (utile pour COMEX).
  • Tableau des failles : CVSS, preuves, impact métier, priorisation et correctifs.
  • Annexes techniques : traces, scripts/PoC, chemins d’attaque, recommandations.
  • Atelier de remédiation : passage en revue avec IT/métiers (option SOC 24/7 si besoin de run).
  • Retest sous 90 jours : validation des correctifs (inclus chez nous sur Pentest & audit de sécurité).

Pour “tenir” dans la durée, couplez le pentest avec des campagnes de phishing et de la sensibilisation.

5) Délais & planning type

  • Cadrage : 0,5–1 j (ROE, périmètre, accès, contacts)
  • Tests : 3–7 j (selon périmètre)
  • Analyse & rapport : 1–2 j
  • Restitution : 0,5 j (atelier)
  • Retest : ≤ 90 j

Capacité de démarrage : en général 5–10 jours ouvrés après cadrage. Demander un devis en 24 h.

6) Comment comparer des devis (check-list achat)

  • Méthode : référentiels (OWASP/MITRE), profondeur (black/grey/white), périmètres couverts.
  • Équipe : séniorité, assurance RC Pro, clauses de confidentialité.
  • Livrables : niveau de détail, atelier de remédiation, retest inclus ou non.
  • Planification : fenêtres hors prod, présence sur site ou à distance.
  • Après-vente : suivi des correctifs, possibilité de SOC externalisé.

7) 5 leviers pour optimiser le budget

  1. Cadrez finement (parcours critiques, APIs exposées) → évite du temps “hors sujet”.
  2. Préparez les accès (VPN/boîtier, comptes) → moins d’attente, moins de jours facturés.
  3. Pack mixte (externe + web + M365) → mutualise cadrage/analyse.
  4. Retest inclus → sécurise l’issue du projet et évite un avenant.
  5. Capitalisez : alimentez la gouvernance (ISO 27001) et le run (SOC 24/7).

8) Exemples anonymisés (repères)

  • PME services – Rouen : Web + M365 → 2 “High”, 6 “Medium”. MFA renforcé, règles M365/Entra. Retest OK. Budget ~7 j-h. Voir Cybersécurité à Rouen.
  • Appli e-commerce : Web/API complexe → 11 vulnérabilités (dont logique métier). Budget ~12 j-h. Accompagnement remédiation.
  • SI interne : Interne + AD “light” → segmentation, NTLM, comptes hérités. Budget ~6 j-h. Passage en run SOC 24/7.

9) Interventions locales & secteurs couverts

Nous intervenons en Normandie : Rouen, Le Havre, Caen, Évreux, Eure, Seine-Maritime, Le Vaudreuil. Secteurs : PME/ETI, collectivités, santé, enseignement supérieur.

Besoin d’un cadrage “achat” ? Notre RSSI de transition peut vous aider à rédiger un cahier des charges et à piloter la remédiation.

10) FAQ rapide

Pentest en production ?

Possible avec garde-fous (fenêtres d’intervention, supervision). Sinon environnement isolé.

Un pentest suffit-il à “être conforme” ?

Non. C’est une photographie utile. La conformité s’appuie sur des processus (ex. ISO 27001 & gouvernance et DPO externalisé).

Peut-on combiner plusieurs périmètres ?

Oui : par ex. externe + web + M365. Le pack pentest réduit le temps de cadrage et d’analyse.

Comment faire baisser le risque phishing ?

Simulations régulières + sensibilisation → baisse du taux de clic en 2–3 campagnes. Voir simulation de phishing.

Prochaine étape : décrivez votre contexte ; nous envoyons un devis sous 24 h et un planning. → Pentest & audit de sécuritéDemander un devis • ou appelez-nous : 06 63 58 83 24.

Tu pourrais aussi être intéressé par ces articles :

Laisse moi un commentaire !

Laisser un commentaire