Le mythe du pentest 'low cost' à 1 500 € : ce qu'on ne vous dit pas

#L'annonce qui devrait alerter

Une plateforme de mise en relation, un cabinet à trois lettres, un prestataire qui pousse une promotion LinkedIn : « pentest applicatif à partir de 1 500 € HT ». Le devis tient en une page, le rapport est promis sous quinze jours, le logo "OWASP" trône dans le PDF commercial. Le client achète, coche sa case ISO ou cyber-assurance, et passe à autre chose.

Sauf qu'il n'a pas acheté un pentest. Il a acheté un scan automatisé recyclé, parfois enrobé d'une demi-journée de relecture humaine. Ce qui est livré ne couvre pas ce que le mot "pentest" sous-entend dans une démarche sérieuse de sécurité offensive — et surtout, ne tient pas devant un auditeur qui sait lire un rapport.

Cet article démonte l'arithmétique de cette offre, pose la grille des quatre niveaux de tests d'intrusion, rappelle les méthodologies industrielles que tout prestataire devrait suivre, et explique pourquoi un pentest applicatif réel se paye entre 6 000 et 14 000 € HT — et pas en dessous, sauf à mentir sur la nature du livrable.

#Démontage arithmétique de l'offre 1 500 €

Le marché français de la prestation cyber a un TJM consultant qui se situe, en 2026, dans cette fourchette :

• Pentester junior (1 à 3 ans, OSCP fraîche) : 600 à 800 €/jour
• Pentester confirmé (3 à 7 ans, OSCP + spécialisation web/AD/cloud) : 900 à 1 300 €/jour
• Pentester senior / red teamer (7 ans+, CRTO, GPEN, références publiques) : 1 200 à 1 800 €/jour

À ces TJM, ajoutez la marge structurelle d'un cabinet : 30 à 45 % pour couvrir avant-vente, qualité, infrastructure de test, assurance RC pro, formation continue, certifications ISO 17025 ou équivalentes pour les structures qui s'en réclament.

Faisons l'arithmétique d'une offre à 1 500 € HT, marge cabinet incluse. Sur une marge moyenne de 35 %, le coût-revient terrain disponible pour la prestation est de 975 €. À 700 €/jour de junior, cela représente 1,4 jour-homme. Sur cette enveloppe, il faut caser :

• Le cadrage (récupération du périmètre, scoping technique, sign-off légal)
• L'exécution des tests
• La rédaction du rapport
• La passe de relecture qualité
• Éventuellement la restitution

Réalité du terrain : il reste une demi-journée de tests effectifs, et c'est généreux. Une demi-journée pour un pentester junior, sur une application web qui peut compter 30 endpoints, deux rôles utilisateurs, un module d'upload, une API REST et un workflow métier — c'est structurellement impossible de couvrir l'OWASP Top 10 manuellement, encore moins l'API Top 10 ou la logique applicative.

Conclusion : ce qui est vendu 1 500 € est, dans 95 % des cas, un export Nessus ou Nuclei légèrement retraité, avec un PDF de mise en page maison.

#La grille des quatre niveaux

Pour parler clairement à un acheteur cyber, il faut poser une nomenclature stable. Voici la grille que nous utilisons en cadrage chez M-KIS, alignée avec ce qui se pratique dans les RFP enterprise sérieux.

#Niveau 0 — Scan de vulnérabilités automatisé

Outils : Nessus, OpenVAS, Nuclei, Burp Suite Pro en mode passif, Acunetix, Qualys WAS.

Prix marché : 500 à 1 500 € HT par périmètre, parfois inclus dans des abonnements SaaS.

Ce que ça produit : une liste de CVE détectées sur les composants exposés, des erreurs de configuration TLS, des headers manquants, parfois des vulnérabilités web "signature-based" (XSS reflétés triviaux, injections SQL détectables sans contexte).

Ce que ça ne produit pas : aucune validation manuelle, aucune chaîne d'exploitation, aucun test de logique métier, aucun bypass d'authentification, aucun test d'autorisation cross-tenant, aucune analyse des appels API non documentés.

Utilité réelle : élevée, en hygiène continue. Un scan Nuclei hebdomadaire sur un périmètre exposé est indispensable. Mais ce n'est pas un pentest. Le confondre avec un pentest, c'est confondre une prise de tension automatique avec un bilan cardiologique.

#Niveau 1 — Pentest "boîte noire" superficiel

Effort : 3 à 5 jours-homme, 1 à 2 pentesters.

Prix marché : 4 000 à 7 000 € HT.

Ce qui est testé : l'application vue de l'extérieur, sans credentials. Énumération des endpoints, fuzzing des paramètres, tests d'injection classiques, vérification des headers, tests de session, scan API public.

Limites : sans credentials, on ne voit pas la logique métier, on ne teste pas les contrôles d'autorisation, on ne fouille pas les fonctionnalités authentifiées qui représentent souvent 80 % de la surface d'attaque réelle d'une application SaaS.

C'est le minimum vital pour valider qu'un site exposé n'est pas trivialement défonçable. Ce n'est pas suffisant pour une certification ISO 27001 sérieuse, ni pour répondre à une due diligence sécurité d'un grand compte.

#Niveau 2 — Pentest grey-box avec credentials et tests métier

Effort : 8 à 12 jours-homme, 1 à 2 pentesters dont au moins un confirmé.

Prix marché : 8 000 à 14 000 € HT.

C'est ce que demandent les clients enterprise sérieux, les auditeurs ISO 27001 qui regardent réellement le rapport, les questionnaires de due diligence des fonds d'investissement et des assureurs cyber. La méthodologie inclut :

• Cadrage technique détaillé, threat model rapide, identification des assets critiques
• Comptes fournis par le client, sur au moins deux niveaux de privilèges
• Tests de l'OWASP Top 10 et de l'OWASP API Security Top 10 manuellement validés
• Tests d'autorisation horizontale (BOLA / IDOR) et verticale
• Tests de logique métier : workflows de paiement, escalation de devis, manipulation des montants, race conditions sur des actions critiques
• Tests de session : fixation, prédictibilité des tokens, expiration
• Revue des appels API non documentés (parsing du JS frontend, swagger leaké, endpoints cachés)
• Tentatives de lateral movement vers les services adjacents (S3, Redis, base de données)
• Rapport structuré avec executive summary, findings par criticité (CVSS 3.1), preuves d'exploitation, recommandations actionnables, retest inclus

C'est ce qu'on appelle un pentest dans le sens industriel du terme.

#Niveau 3 — Red team continue

Effort : engagement mensuel, équipe dédiée, 25 000 € HT/mois et au-delà.

Simulation d'attaquant avancé, avec phishing, infrastructure C2, contournement EDR, persistance, exfiltration. Hors scope pour 95 % des PME et ETI françaises — c'est un produit pour banques, télécoms, OIV, opérateurs essentiels NIS2 avec maturité cyber élevée.

#Les méthodologies que tout prestataire devrait citer

Un pentester sérieux ne dit pas "on regarde si c'est piratable". Il s'appuie sur des référentiels publics, traçables, audités. Quand un cabinet ne cite aucun de ces standards dans sa proposition, c'est un signal.

• OWASP Web Security Testing Guide (WSTG) : la référence pour les tests applicatifs web, structurée en 12 catégories (information gathering, configuration, authentification, autorisation, gestion de session, validation d'entrée, gestion d'erreurs, cryptographie, logique métier, côté client, API, identité). Version v4.2, en cours de migration vers v5.
• OWASP API Security Top 10 (2023) : le pendant API, avec les fameuses BOLA, BFLA, mass assignment, broken authentication, et les nouveautés 2023 sur SSRF et unsafe consumption of APIs.
• PTES (Penetration Testing Execution Standard) : framework méthodologique qui couvre les sept phases canoniques (pre-engagement, intelligence gathering, threat modeling, vulnerability analysis, exploitation, post-exploitation, reporting).
• OSSTMM (Open Source Security Testing Methodology Manual) : méthodologie plus formelle, orientée mesure de la sécurité opérationnelle, utilisée surtout en infrastructure et physique.
• NIST SP 800-115 : "Technical Guide to Information Security Testing and Assessment", la référence côté gouvernement US, souvent citée dans les contrats régaliens.
• MITRE ATT&CK : pour la cartographie des TTPs, indispensable pour les missions à composante red team.

Un rapport qui ne référence aucun de ces standards est un rapport non auditable. Un auditeur ISO 27001 ou un acheteur cyber expérimenté le repère en quinze secondes.

#Les phases d'un pentest sérieux

Pour fixer les idées sur ce qui se passe pendant 8 à 12 jours-homme, voici le déroulé type d'un pentest applicatif grey-box.

Phase 1 — Cadrage et reconnaissance (0,5 à 1 jour). Récupération du périmètre, des comptes de test, du threat model, des règles d'engagement (heures de tests, IP source, exclusions, contact d'urgence). Reconnaissance passive : OSINT sur les sous-domaines, fuites de credentials, archives publiques, dépôts Git oubliés.

Phase 2 — Énumération (1 à 2 jours). Cartographie active des endpoints, des paramètres, des cookies, des headers, des appels API. Récupération du JavaScript frontend, parsing des routes, détection des appels backend non documentés. Identification des technologies (Wappalyzer-like, headers, comportements). Énumération des rôles et des privilèges via les comptes fournis.

Phase 3 — Vulnerability analysis et exploitation (3 à 6 jours). Tests manuels guidés par le WSTG et l'API Top 10. Validation manuelle de chaque finding remonté par les outils automatisés (la plupart sont des faux positifs). Construction de chaînes d'exploitation : un IDOR + un upload mal contrôlé + une fonction d'export = exfiltration de données. Tests de logique métier : on vérifie qu'on ne peut pas créer un devis à -1 000 €, qu'on ne peut pas valider une commande sans payer, qu'un utilisateur basique ne peut pas accéder aux exports de son entreprise voisine.

Phase 4 — Post-exploitation et lateral movement (1 à 2 jours). Une fois un accès obtenu, on cartographie ce qui devient accessible. Stockage S3, instances de base de données, métadonnées du cloud provider (IMDSv1 vs v2), services internes accessibles depuis le contexte de l'application. C'est ici qu'on évalue l'impact réel d'une vulnérabilité, et pas juste sa CVSS théorique.

Phase 5 — Rapport (1,5 à 2 jours). Un livrable structuré comporte :

1. Un executive summary lisible par un comité de direction (1 à 2 pages).
2. Un récapitulatif méthodologique avec le périmètre, les comptes utilisés, les outils, les standards référencés.
3. Les findings classés par criticité, avec score CVSS 3.1, vecteur d'attaque, preuves (captures, requêtes HTTP, payloads), impact métier, recommandation de remédiation, références CWE/OWASP.
4. Une matrice de remédiation priorisée par effort vs impact.
5. Une annexe avec les éléments hors scope, les pistes non explorées, les recommandations à plus long terme.

Phase 6 — Restitution et retest (0,5 à 1 jour). Réunion de restitution avec les équipes techniques. Retest inclus dans le forfait, à effectuer dans les 60 à 90 jours après livraison du rapport, pour valider les corrections sur les findings critiques et hauts. Un cabinet qui facture le retest en supplément n'est pas dans les pratiques de marché 2026.

#Comment choisir un pentester : la grille de qualification

Voici les questions qu'un acheteur cyber doit poser en avant-vente. Si le prestataire bafouille sur trois ou plus, le devis n'est pas sérieux.

1. Quels standards méthodologiques utilisez-vous ? La réponse doit citer au minimum OWASP WSTG, OWASP API Top 10, et PTES.
2. Combien de jours-homme d'effort terrain pour mon périmètre ? La réponse doit être un chiffre cohérent avec le niveau (8 à 12 j pour un grey-box applicatif).
3. Quelle est la séniorité du pentester affecté ? Un livrable confirmé suppose au moins un pentester avec 3+ ans d'expérience et une certification reconnue.
4. Quelles certifications l'équipe détient-elle ? Les références marché : OSCP (Offensive Security Certified Professional, le standard de fait), CRTO (Certified Red Team Operator), GPEN (GIAC Penetration Tester), GWAPT (GIAC Web Application Penetration Tester), PNPT (Practical Network Penetration Tester) pour les approches plus récentes. Les certifications éditeur (CEH, eJPT seul) ne suffisent pas pour un grey-box sérieux.
5. Pouvez-vous me montrer un rapport anonymisé ? Un cabinet qui refuse n'a pas confiance dans son livrable. Un rapport qui tient en cinq pages avec des screenshots Nessus est rouge.
6. Le retest est-il inclus, et sous quel délai ? La réponse attendue : oui, 60 à 90 jours.
7. Quelle assurance RC pro et quel cadre juridique ? Mandat de test signé, périmètre IP listé, NDA, RC pro à hauteur du risque (1 à 2 M€ minimum pour une cible enterprise).

#Le piège ISO 27001 : cocher la case ne sert à rien

L'Annexe A.8.8 de l'ISO 27001:2022 — "Management of technical vulnerabilities" — exige que l'organisation identifie, évalue et traite ses vulnérabilités techniques. Le pentest est l'un des leviers principaux pour démontrer cette maîtrise.

Sur le papier, un PDF intitulé "Rapport de pentest" suffit à passer la première barrière documentaire. Un auditeur peu expérimenté coche, on continue.

Mais un auditeur qui sait lire un rapport — et ils sont de plus en plus nombreux depuis la généralisation des audits de surveillance NIS2 et la montée en compétence des cabinets d'audit — fait trois choses :

1. Il vérifie que la méthodologie est citée et alignée avec un standard public.
2. Il regarde l'effort terrain (en jours-homme), la séniorité de l'équipe, le périmètre testé.
3. Il croise avec le cycle de vie : un pentest annuel sur un périmètre figé est insuffisant si l'application livre toutes les semaines. La cadence attendue est désormais annuelle minimum, plus un pentest dédié à chaque évolution majeure d'architecture.

Acheter un pentest 1 500 € pour cocher la case ISO, c'est multiplier le risque : risque de non-conformité réelle au prochain audit de surveillance, risque de découverte de vulnérabilité critique en production six mois plus tard, risque réputationnel et juridique si une faille exploitée correspond à un finding qui aurait dû être détecté avec une méthodologie sérieuse. Le rapport de 1 500 € devient alors une pièce à charge.

Voir aussi notre approche ISO 27001, qui couvre l'ensemble des contrôles de l'Annexe A et inclut le cadrage des pentests dans le cycle de management des vulnérabilités.

#Combien coûte vraiment un pentest applicatif sérieux

Pour synthétiser :

Un pentest applicatif sérieux pour une PME ou ETI SaaS française se situe entre 6 000 et 14 000 € HT, en fonction de la taille du périmètre, du nombre de rôles, de la complexité de la logique métier, et de la criticité des données traitées. En dessous de 6 000 €, on est sur du superficiel ou de l'automatisé. Au-dessus de 14 000 €, on est sur du périmètre grand compte ou de la mission étendue (mobile + API + infra).

C'est le prix d'une vraie image de la posture de sécurité applicative, pas d'un PDF de couverture. C'est aussi le prix qui tient devant un auditeur, un fonds d'investissement en due diligence, ou un grand compte en réponse à un questionnaire sécurité enterprise.

Notre offre pentest applicatif est au tarif public 6 000 - 14 000 € HT. Méthodologie OWASP/PTES, rapport actionnable, retest inclus. Cadrer un pentest →