Un pentest peut coûter 2 500 € ou 40 000 € pour un périmètre « similaire » en apparence. Ce n'est ni du hasard ni du marketing : le prix d'un test d'intrusion reflète des paramètres concrets que tout acheteur peut apprendre à lire. Voici les chiffres réels du marché français en 2026, sans langue de bois.

Fourchettes de prix par type de mission

Ces tarifs sont ceux pratiqués en France en 2026 par des consultants indépendants spécialisés. Les cabinets de conseil facturent en règle générale 40 à 100 % au-dessus pour un périmètre équivalent (voir la section dédiée).

Type de mission Durée typique Fourchette HT (indépendant)
Pentest web ciblé (app ou API, périmètre restreint) 2 - 3 jours 2 000 - 4 500 €
Pentest web standard (application complète + API) 4 - 5 jours 4 000 - 8 000 €
Pentest web étendu (multi-rôles, flux complexes) 6 - 8 jours 7 000 - 12 000 €
Audit IAM AWS (identités, rôles, politiques) 3 - 5 jours 3 500 - 7 000 €
Pentest SaaS complet (web + infrastructure AWS) 8 - 12 jours 9 000 - 18 000 €
Programme récurrent (4 campagnes/an) variable 15 000 - 35 000 € /an

À retenir : le coût journalier d'un consultant indépendant spécialisé se situe entre 700 et 1 200 € HT/jour. Demander le détail du nombre de jours dans un devis est le moyen le plus direct de comparer deux offres à périmètre équivalent.

Les 5 facteurs qui font varier le tarif

1. Le périmètre technique

C'est le facteur dominant. Un pentest sur une application de facturation avec 15 endpoints authentifiés n'est pas la même mission qu'un SaaS multi-tenant avec 80 routes API, un back-office admin, une app mobile et une infrastructure AWS sous-jacente. Plus le périmètre est large, plus la durée augmente - et avec elle, le prix.

Éléments qui élargissent mécaniquement le périmètre et le budget :

  • présence d'une API REST ou GraphQL en plus de l'interface web ;
  • plusieurs niveaux de rôles utilisateurs (admin, manager, utilisateur standard, invité) ;
  • logique multi-tenant - l'isolation des données entre clients est un vecteur d'attaque spécifique ;
  • infrastructure cloud associée (AWS, GCP, Azure) à inclure dans le scope ;
  • application mobile (iOS ou Android) en complément du web.

2. Le type de test (boîte noire, grise, blanche)

Un test en boîte noire - sans accès préalable, simulation d'un attaquant externe - est souvent plus long car le pentester doit reconstruire lui-même la surface d'attaque. Comptez 20 à 30 % de temps supplémentaire par rapport à une boîte grise à périmètre équivalent.

La boîte grise (compte utilisateur fourni, documentation partielle) est le format le plus courant : elle donne un point de départ réaliste et permet de couvrir plus efficacement les logiques d'autorisation et les flux sensibles. C'est généralement le meilleur ratio couverture/coût.

La boîte blanche (code source, accès admin, architecture complète) est plus longue car elle demande une revue approfondie du code en plus des tests dynamiques - mais elle détecte des classes de vulnérabilités invisibles en dynamique seul.

3. La durée effective de test

C'est le facteur le plus direct sur le prix. Un consultant qui passe 3 jours à tester n'a pas la même couverture qu'un consultant qui en passe 8. Un devis qui ne précise pas le nombre de jours de test effectifs (hors rédaction du rapport) est un signal d'alerte : certains prestataires comptent la rédaction du rapport dans le nombre de jours annoncés, ce qui réduit d'autant le temps passé à chercher des failles.

4. Le profil du prestataire

Voir la section suivante pour le détail. En résumé : un consultant indépendant facture moins parce qu'il n'a pas de coûts commerciaux, de frais généraux ni de marge de structure à amortir - pas parce qu'il est moins compétent.

5. Les livrables et options associées

Un rapport standard inclut les findings, les preuves d'exploitation et les recommandations. Plusieurs options peuvent s'ajouter :

  • Retest complet (au-delà des critiques) : 0,5 à 1 jour supplémentaire ;
  • Atelier de restitution supplémentaire avec les équipes dev : 0,5 jour ;
  • Rapport en anglais (utile pour les SaaS avec investisseurs étrangers ou certifications SOC 2) ;
  • Lettre d'attestation pour un appel d'offres ou une due diligence.

Indépendant vs cabinet de conseil

C'est souvent la question qui génère le plus d'hésitation. Voici une comparaison honnête :

Consultant indépendant Cabinet de conseil (mid-market) Grand cabinet / ESN
TJM indicatif 700 - 1 200 € HT/j 1 200 - 2 000 € HT/j 1 500 - 3 500 € HT/j
Interlocuteur Le consultant qui teste Souvent un chef de projet + consultant Commercial + chef de projet + consultant junior/senior
Réactivité Élevée (pas de processus commercial long) Moyenne Faible à moyenne (cycles de vente longs)
Assurance RC Pro À vérifier (doit être présente) Incluse Incluse
Contrat cadre Sur demande Standard Processus juridique complet
Idéal pour PME, ETI, SaaS, startups en croissance ETI, structures avec processus d'achat formalisé Grands comptes, appels d'offres, conformité auditable

Le vrai risque avec un cabinet n'est pas la qualité du rapport - c'est la délégation à un consultant junior non visible lors du cycle de vente. Demander systématiquement le CV ou le profil LinkedIn du consultant qui effectuera les tests (pas du commercial, pas du responsable de l'offre) est une pratique normale et attendue par tout prestataire sérieux.

Ce qui est inclus - et ce qui ne l'est pas

Généralement inclus

  • Réunion de cadrage technique (définition du scope, lettre d'autorisation) ;
  • Phase de tests sur la durée convenue ;
  • Rapport complet : executive summary, findings classés par criticité, preuves d'exploitation, recommandations ;
  • Retest ciblé sur les vulnérabilités critiques après correction (vérifier au contrat) ;
  • Atelier de restitution avec les équipes techniques.

Parfois facturé en option

  • Retest complet (toutes sévérités, pas seulement critiques) ;
  • Deuxième atelier de restitution (direction, COMEX) ;
  • Rapport en anglais ;
  • Lettre d'attestation ou certificat pour tiers ;
  • Déplacement sur site hors région (la plupart des missions se font à distance, avec des sessions de restitution en présentiel sur demande).

Jamais inclus - et c'est normal

  • La correction des vulnérabilités : ce n'est pas le rôle du pentester, mais de vos équipes ;
  • Le monitoring de sécurité continu ;
  • La mise en conformité réglementaire (le pentest est une pièce du dossier, pas le dossier entier).

Comment lire un devis : les signaux de qualité

Un devis de pentest de qualité précise :

  • Le nombre de jours de test effectifs, distinct du temps de rédaction du rapport ;
  • Le périmètre exact : URL, plages IP, applications, rôles couverts ;
  • La méthodologie : OWASP Testing Guide, PTES, ou équivalent ;
  • Les conditions du retest : inclus sur quelles sévérités, dans quel délai après livraison ;
  • Les livrables détaillés : rapport technique + executive summary, format, langue ;
  • La RC Pro du prestataire : couverte, montant, assureur.

Signaux d'alerte dans un devis :

  • Prix anormalement bas (< 2 000 € pour un pentest web « complet ») sans justification du périmètre restreint - souvent synonyme de scan automatisé vendu comme pentest ;
  • Absence de mention du nombre de jours ou de la méthodologie ;
  • Rapport livré en 24 h sur un périmètre de 5 jours : mathématiquement impossible ;
  • Prestataire qui ne demande pas de lettre d'autorisation avant de commencer.

Attention aux scans déguisés en pentest. Un scan automatisé (Nessus, Burp Suite passif, OWASP ZAP en mode automatique) coûte quelques centaines d'euros à faire tourner. Certains prestataires le font passer pour un « pentest » en y ajoutant un rapport formaté. Le signe distinctif d'un vrai pentest : les findings incluent des preuves d'exploitation manuelles - captures d'écran, requêtes complètes, payloads - pas seulement des listes de CVE génériques.

Comment obtenir un devis réaliste

La qualité du brief que vous envoyez détermine directement la précision du devis. Un prestataire sérieux ne peut pas chiffrer correctement sans les éléments suivants :

Pour un pentest web

  • URL de l'application (ou liste des applications si plusieurs) ;
  • Nombre d'utilisateurs et rôles distincts (admin, manager, utilisateur, etc.) ;
  • Présence d'une API : REST, GraphQL, documentation disponible (Swagger, Postman) ;
  • Type d'authentification : formulaire classique, SSO, OAuth 2.0, MFA ;
  • Environnement de test disponible (staging, ou directement la production avec précautions) ;
  • Contraintes de calendrier (fenêtres exclues, déploiements en cours).

Pour un audit IAM AWS

  • Nombre de comptes AWS (mono-compte ou AWS Organizations multi-comptes) ;
  • Nombre d'utilisateurs IAM, rôles et politiques (ordre de grandeur) ;
  • Services principaux utilisés (EC2, Lambda, S3, RDS, EKS…) ;
  • Présence de pipelines CI/CD déployant sur AWS.

Basé à Toulouse, j'interviens sur site ou à distance sur toute la France. Les restitutions en présentiel sont possibles en Occitanie ; les missions complètes se déroulent en grande majorité à distance, sans impact sur la qualité des tests. Un échange de 30 minutes suffit pour cadrer le périmètre et fournir un devis précis sous 48 h - prendre contact.

Questions fréquentes

Pour un pentest web standard (4 à 5 jours, application avec authentification et API REST), le tarif se situe entre 4 000 et 8 000 € HT chez un consultant indépendant spécialisé. Un cabinet de conseil facturera généralement entre 8 000 et 15 000 € HT pour un périmètre équivalent.

Cinq facteurs expliquent l'essentiel de la variation : le périmètre technique, la durée effective de test, le type de test (boîte noire / grise / blanche), le profil du prestataire (indépendant vs cabinet) et les livrables attendus. Un écart de prix de 1 à 3 pour un « pentest web » peut refléter des missions réellement très différentes en termes de couverture.

Pas nécessairement. Un consultant indépendant expérimenté facture moins qu'un cabinet parce qu'il n'a pas de frais de structure - pas parce qu'il est moins compétent. L'indicateur pertinent est le tarif journalier et la qualité des livrables, pas le prix total. Un pentest à 3 000 € sur 3 jours peut être plus rigoureux qu'un pentest à 12 000 € où 8 jours sont comptés mais 4 sont de la rédaction et de la gestion de projet.

Cela dépend du contrat. Chez CodiTrust, un retest ciblé sur les vulnérabilités critiques après correction est inclus dans chaque mission. Certains prestataires le facturent séparément (0,5 à 1 jour supplémentaire). À vérifier impérativement avant signature - c'est l'un des postes les plus souvent oubliés dans les comparaisons de devis.

Préparez un brief technique précis : URL ou IP cibles, nombre d'applications, type d'authentification, présence et documentation d'une API, infrastructure cloud associée, et contraintes de calendrier. Plus le périmètre est défini, plus le devis est juste - et plus les tests seront efficaces. Contactez CodiTrust pour un échange de cadrage sous 48 h.