Démo
,

Quel est le bon tarif pour un pentest en 2025 ?

Photo de profil de l'auteur clement
28/11/2025
10 min de lecture
Cybersécurité

Sommaire

Besoin d’un audit de cybersécurité ?

Vous voulez savoir où en est vraiment la sécurité de votre système d’information ?

Planifier un Pentest
Un tarif de pentest sérieux repose presque toujours sur un nombre de jours d’intervention multiplié par un taux journalier. En France et en Europe, un pentest manuel mené par des profils confirmés se facture généralement autour de 800 à 1 800 € par jour selon l’expérience et la spécialisation.

Concrètement, un test d’intrusion simple (petite application web ou périmètre restreint) démarre autour de 3 000 à 8 000 €, quand un périmètre critique ou complexe (API métier, environnements multi rôles, flux sensibles) se situe plutôt entre 8 000 et 18 000 €. Pour les scénarios avancés de type red team ou pour de grands groupes, la facture dépasse facilement 20 000 €, parfois bien plus.

Le tarif d’un pentest dépend surtout de cinq facteurs :

  • Le périmètre (nombre d’URL, d’IP, de rôles, d’environnements).
  • La profondeur et le type de test (web, réseau, mobile, cloud, red team…).
  • Le niveau d’expertise et les certifications du prestataire (PASSI, OSCP, etc.).
  • Les livrables fournis (rapport détaillé, PoC, ateliers, re-test inclus ou non).
  • Le modèle de prestation (one shot, programme annuel, Pentest as a Service).

Un devis vraiment utile détaille donc objectifs, périmètre, nombre de jours, TJM, profil des pentesters, livrables, re-test et accompagnement. Méfiez-vous des “pentests” à 1 500 € réalisés en 1 ou 2 jours sans échange ni rapport travaillé : ce sont souvent de simples scans automatisés déguisés.

Résumé rapide du tarif d’un pentest

  • Modèle classique : nombre de jours d’intervention × tarif journalier.
  • TJM réalistes : environ 800 à 1 800 € par jour pour un pentest manuel de qualité.
  • Pentest simple : petite appli ou périmètre limité, souvent entre 3 000 et 8 000 €.
  • Pentest avancé : périmètre critique ou complexe, plutôt entre 8 000 et 18 000 €.
  • Red team et grands comptes : budget qui dépasse fréquemment 20 000 €.
  • Attention : un “tarif pentest” trop bas cache souvent un simple scan automatisé.

Qu’est-ce qu’un pentest et pourquoi son tarif varie autant ?

Définition rapide du pentest

Un pentest (test d’intrusion) consiste à simuler une attaque réelle contre vos systèmes, applications ou réseaux afin d’identifier, exploiter et documenter les vulnérabilités. Contrairement à un simple scan de vulnérabilités, le pentest :

  • analyse le contexte métier,
  • enchaîne les failles pour mesurer l’impact réel,
  • produit un rapport détaillé avec PoC et plan d’actions,
  • peut inclure un re-test pour vérifier les corrections.

C’est ce niveau d’analyse humaine, combiné à l’expertise du pentester, qui explique une grande partie du tarif d’un pentest.

Les principaux types de pentest

  • Pentest web / API : applications web, API REST / GraphQL, portails clients, back-offices.
  • Pentest réseau externe : services exposés sur Internet (VPN, mail, firewalls, bastions…).
  • Pentest réseau interne : réseau d’entreprise, AD, postes internes, VLAN, Wi-Fi, etc.
  • Pentest mobile : applications iOS / Android, API associées, back-end.
  • Pentest cloud : AWS, Azure, GCP, IAM, configurations, services managés.
  • Red team : campagne offensive réaliste mêlant technique, social engineering et physique.

Plus le scénario est complexe (multi-applis, multi-rôles, contraintes réglementaires), plus le tarif du pentest augmente.

Les modèles de tarification d’un pentest

Tarif pentest à la journée (TJM)

Le modèle le plus courant reste le tarif journalier : le prestataire estime un nombre de jours en fonction du périmètre et multiplie par son TJM. En fonction du type d’acteur et du pays, le TJM varie :

  • freelance junior ou généraliste : bas de fourchette, souvent quelques centaines d’euros par jour ;
  • consultant confirmé ou cabinet spécialisé : TJM plus élevé, mais expertise et méthodologie éprouvées ;
  • prestataire très spécialisé (SCADA, bancaire, défense, etc.) : TJM les plus hauts.

C’est la méthode la plus transparente pour comprendre d’où vient le tarif pentest indiqué sur un devis.

Forfait par périmètre

Certains acteurs proposent un forfait pentest pour un périmètre donné (par exemple « une application web jusqu’à X pages / X rôles »). En coulisse, ce forfait reste calculé à partir d’un nombre de jours moyen :

  • vous gagnez en lisibilité (prix fixe, périmètre clair),
  • le prestataire prend le risque si le périmètre est plus complexe que prévu,
  • mais un dépassement de périmètre peut entraîner un avenant de facturation.

Pentest as a Service et bug bounty

De plus en plus de plateformes proposent du Pentest as a Service (PtaaS) ou des programmes de bug bounty. Le modèle économique change :

  • plateforme avec abonnement et crédits de tests récurrents,
  • rémunération des chercheurs à la vulnérabilité trouvée,
  • plus grande flexibilité, mais besoin de gouvernance interne solide.

Ce modèle peut réduire le coût unitaire d’un pentest sur le long terme, mais il demande une maturité de gestion des vulnérabilités.

Fourchettes de prix : combien coûte un pentest ?

Tarif pentest en France et en Europe

Plutôt que de chercher un « prix catalogué », mieux vaut penser en fourchettes. Pour un prestataire sérieux et un pentest manuel :

  • Tarif journalier typique : autour de 800 à 1 800 € HT par jour selon l’expérience et le domaine.
  • Durée minimale crédible : rarement moins de 3 jours pour un test sérieux.

En dessous de ces seuils, il est probable que le prestataire se contente d’un scan automatisé pour tenir le prix annoncé, ce qui n’a rien à voir avec un vrai pentest.

Exemples de budgets par cas d’usage

  • Petite application web “vitrine” : périmètre limité, peu de fonctionnalités critiques, 3 à 5 jours de tests + 1 jour de rapport.
    Fourchette indicative : 3 000 à 8 000 € HT.
  • Application métier ou API critiques : plusieurs rôles, workflows complexes, enjeux financiers ou réglementaires forts, environ 8 à 15 jours homme.
    Fourchette indicative : 8 000 à 18 000 € HT.
  • Pentest réseau externe ou interne d’une PME : plusieurs sous-réseaux, AD, serveurs exposés, 6 à 10 jours incluant tests et rapport.
    Fourchette indicative : 6 000 à 15 000 € HT.
  • Campagne red team ou grand groupe : scénarios réalistes sur plusieurs semaines, tests multi-vecteurs (technique, social engineering, parfois physique).
    Fourchette indicative : au-delà de 20 000 € HT, avec des cas dépassant largement ce montant.

Ces tarifs pentest sont des ordres de grandeur. Le devis réel dépendra toujours du niveau d’exigence, de la surface à couvrir et des contraintes (certifications, conformité, délais, disponibilité des équipes, etc.).

Les facteurs qui font varier le tarif d’un pentest

  • Périmètre fonctionnel : nombre d’applications, d’URL, de rôles, de formulaires, de workflows, d’environnements (préprod, prod, multi-régions…).
  • Technologies utilisées : frameworks web, SSO, SAML, OAuth, micro-services, cloud managed services, etc.
  • Type de test : web, réseau, mobile, cloud, IoT, red team, social engineering, phishing…
  • Niveau d’expertise : profils juniors, confirmés, experts, présence de certifications (OSCP, OSWE, eWPTX, PASSI, etc.).
  • Profondeur des livrables : rapport synthétique vs rapport très détaillé, PoC techniques, captures d’écran, scripts d’exploitation, etc.
  • Accompagnement : ateliers de restitution, sessions de questions/réponses, aide à la priorisation des corrections, re-test inclus ou non.
  • Contexte réglementaire : exigences PCI DSS, ISO 27001, NIS2, secteur santé, finance, défense.

Plus ces facteurs sont exigeants, plus le tarif du pentest est élevé, mais plus la valeur produite est importante pour la sécurité globale de l’organisation.

Comment préparer un cahier des charges pour obtenir un bon tarif pentest

Les informations à fournir au prestataire

Pour éviter des devis trop vagues ou des surprises sur la facture, préparez un minimum de cahier des charges :

  • description métier de l’application ou du système testé ;
  • type de données manipulées (personnelles, financières, sensibles, santé…) ;
  • diagrammes simples d’architecture (front, back, bases de données, API, SSO) ;
  • liste des environnements testables (préprod, prod, sandbox) ;
  • contraintes et objectifs (compliance, go-live, audit d’homologation, due diligence…) ;
  • période idéale pour le test, contraintes de disponibilité des équipes techniques ;
  • préférences : boîte noire, boîte grise, boîte blanche.

Plus ce cadrage est clair, plus le devis de pentest sera précis et plus vous pourrez comparer les prestataires sur des bases équitables.

Questions à poser pour challenger un devis

  • Quel est le nombre exact de jours prévus sur site et pour le rapport ?
  • Qui sont les profils intervenants (expérience, certifications, rôle) ?
  • Quelle méthodologie est utilisée (OWASP, OSSTMM, référentiels internes) ?
  • Un re-test est-il prévu dans le tarif, et dans quelles conditions ?
  • Quels sont les livrables fournis (rapport synthèse, rapport détaillé, supports de présentation) ?
  • Comment sont gérées la confidentialité et la protection des données ?

Ces questions vous aident à comparer autre chose que le prix du pentest affiché en bas de devis.

Signaux d’alerte sur les tarifs pentest trop bas

Un tarif pentest très bas est séduisant sur le papier, mais il cache souvent des compromis dangereux :

  • durée de test annoncée en 1 ou 2 jours pour un périmètre conséquent ;
  • aucune mention claire de la méthodologie ou des référentiels suivis ;
  • rapport généré automatiquement après un scan, sans analyse ni mise en contexte ;
  • absence de PoC, captures, ou scénarios d’attaque détaillés ;
  • pas de réunion de restitution ni de re-test prévu ;
  • aucune information sur les profils des pentesters.

Dans ces cas, vous payez en réalité pour un scan de vulnérabilités habillé en pentest, qui ne fournit ni la même profondeur, ni le même niveau de confiance.

FAQ rapide sur le prix d’un pentest

Quel est le tarif journalier d’un pentester ?

Pour un pentester confirmé en France ou en Europe, le tarif journalier se situe généralement dans une fourchette de 800 à 1 800 € HT. Un TJM anormalement bas doit vous alerter sur la nature réelle des travaux fournis.

Pourquoi deux devis de pentest peuvent-ils varier du simple au triple ?

Parce que les hypothèses de périmètre, de profondeur de test, de profils, de livrables et d’accompagnement ne sont pas les mêmes. Lisez toujours attentivement :

  • le nombre de jours,
  • le type de tests prévus (manuel vs automatisé),
  • la couverture du périmètre,
  • ce qui est inclus ou non dans les livrables.

Un devis plus cher peut être en réalité plus rentable si sa couverture et son accompagnement sont nettement plus solides.

À quelle fréquence prévoir un budget pour un pentest ?

La fréquence dépend de votre exposition et de vos contraintes :

  • au minimum après chaque évolution majeure d’une application critique ;
  • au moins une fois par an pour les périmètres les plus sensibles ;
  • plus souvent encore pour les plateformes très exposées ou réglementées.

L’idéal est d’intégrer un budget pentest récurrent dans votre stratégie de cybersécurité, complété par des scans de vulnérabilités réguliers et un suivi des correctifs.

Comment négocier intelligemment un tarif pentest ?

Plutôt que de chercher le pentest le moins cher, cherchez le meilleur rapport valeur / prix : un périmètre bien priorisé, des experts reconnus, des livrables exploitables et un accompagnement réel. Un bon tarif pentest est celui qui réduit concrètement votre risque, pas simplement votre budget à court terme.

Partager cet article

Pour aller plus loin

Parcourez nos autres articles pour mieux comprendre les enjeux, méthodes et bonnes pratiques de tests d’intrusion.

Conformité NI2S
Photo de profil de l'auteur clement
05/12/2025
10 min

Qui est concerné par la directive NI2S , comment le savoir et quand lancer un audit de conformité ?

En 2025, la NIS2 s’applique surtout aux entités essentielles et importantes : entreprises moyennes et grandes ainsi que administrations opérant dans 18 secteurs critiques (énergie, santé, transport, finance, infrastructures numériques, etc.), mais aussi certains prestataires et fournisseurs clés de ces acteurs, lorsqu’ils sont indispensables à la continuité de leurs services.
Démo