Combien coûte un test d'intrusion web ? Prix et facteurs
en 2026

« Combien coûte un test d'intrusion ? » C'est sans doute la première question — souvent la seule, au début — d'un dirigeant ou d'un RSSI qui veut savoir si son application web tient la route. La réponse honnête tient en deux mots : ça dépend. Sauf que « ça dépend » ne paie pas vos factures et ne remplit pas une ligne budgétaire. Alors décortiquons le prix d'un pentest, avec des fourchettes réelles, sourcées, et la promesse de ne rien inventer pour vous faire rêver.

Le modèle dominant : le TJM

Quasiment tous les prestataires facturent un pentest au taux journalier moyen (TJM) multiplié par le nombre de jours de mission. Pas de « forfait magique » à 299 € : un test d'intrusion sérieux, c'est du temps humain de spécialiste, point. Le reste — les outils, le rapport, le café — gravite autour de cette équation toute simple :

  PRIX  =  TJM  x  NB_JOURS  ( + retest éventuel )

  exemple :  600 € / jour  x  10 jours  =  6 000 € HT

Côté marché 2026, les TJM observés varient fortement selon le profil du prestataire. D'après CodiTrust et Invictis, on retrouve grosso modo :

• Consultant indépendant : ~700 à 1 200 € HT/jour
• Cabinet mid-market : ~1 200 à 2 000 € HT/jour
• Grand cabinet / ESN : ~1 500 à 3 500 € HT/jour

Une mission web type dure 3 à 12 jours selon le périmètre. En dessous de 3 jours, méfiance : on est généralement plus proche du scan automatisé que du test manuel.

Les fourchettes de prix, en clair

Assez de théorie, voici des budgets indicatifs pour un pentest web, consolidés à partir de plusieurs grilles publiques 2026. Considérez-les comme des ordres de grandeur, pas comme des devis : le vrai chiffre dépend de votre application.

Globalement, la littérature s'accorde sur une fourchette de 3 000 € à 20 000 € HT pour la grande majorité des tests d'intrusion web en France, d'après Intuity. Une Single Page Application moderne coûte typiquement 15 à 25 % de plus qu'une appli classique — JavaScript partout, ça se teste à la main.

Les facteurs qui font varier le prix

Si deux devis pour « la même appli » affichent 4 000 € et 14 000 €, ce n'est pas forcément que l'un vous arnaque. Le prix bouge selon plusieurs leviers, et le premier d'entre eux écrase tous les autres.

1. Le périmètre — le facteur n°1

Nombre d'URLs, de rôles utilisateurs, d'APIs, d'environnements. Tester une landing page statique et tester une plateforme SaaS multi-tenant avec 6 niveaux de privilèges, ce n'est pas le même métier ni la même durée. Plus la surface est large, plus il faut de jours.

2. Blackbox ou whitebox

Le blackbox (zéro accès, on attaque comme un vrai pirate) est plus rapide à cadrer. Le whitebox (accès au code source et aux comptes) demande plus d'expertise et coûte davantage au TJM — mais sa couverture est nettement supérieure : on trouve des failles qu'un attaquant externe mettrait des mois à découvrir.

3. Les autres leviers

• Tests authentifiés multi-rôles — chaque niveau de privilège à tester démultiplie la surface (et les jours).
• Le retest — la revérification après correction est parfois incluse, parfois facturée en sus. À vérifier avant de signer.
• Les certifications du prestataire — OSWE, OSCP, PASSI (qualification ANSSI)… des gages de qualité qui se reflètent dans le TJM. C'est cher pour une raison.
• Les livrables additionnels — rapport bilingue, attestation, restitution orale, support à la remédiation.

Comment lire un devis sans se faire surprendre

Un bon devis de test d'intrusion est lisible et engageant. Avant de signer, passez-le au crible de ces quatre questions :

1. Le périmètre est-il écrit noir sur blanc ? URLs, rôles, APIs, environnement (prod vs preprod). Un périmètre flou, c'est un budget flou.
2. Le retest est-il inclus ? Un pentest sans retest laisse planer le doute : vos correctifs fonctionnent-ils vraiment ?
3. Quels livrables ? Rapport exécutif et technique, avec preuves d'exploitation (PoC) et priorisation par criticité.
4. Qui réalise la mission ? Un pentester nommé et certifié, pas un outil automatique repeint en « consultant ».

Réduire le coût intelligemment

Réduire la facture ne veut pas dire brader la qualité. Cela veut dire faire travailler le pentester là où il a le plus de valeur — sur la profondeur, pas sur le bruit. Deux leviers concrets :

• Cadrer finement le périmètre. Inutile de payer pour re-tester dix modules identiques : ciblez ce qui compte vraiment (paiement, authentification, données sensibles). Un EASM (cartographie de votre surface d'attaque externe) vous aide à savoir exactement quoi tester — et à ne pas découvrir un sous-domaine oublié le jour du devis.
• Nettoyer les évidences en amont. Faire corriger les failles triviales par un SAST piloté par l'IA avant la mission, c'est éviter de payer un consultant senior 600 € la journée pour vous signaler un header de sécurité manquant.

Et si vous hésitez encore entre pentest humain et automatisation ? On a écrit un article entier là-dessus : le pentest automatisé par l'IA — où il brille, et où l'humain reste irremplaçable.

Notre grille, sans langue de bois

À retenir

• Un pentest web se facture au TJM × jours. Comptez 3 000 à 20 000 € HT pour la majorité des missions web.
• Le périmètre est le facteur de prix n°1, loin devant le reste.
• Un tarif anormalement bas cache souvent un scan automatisé déguisé.
• Vérifiez toujours : périmètre écrit, retest inclus, livrables clairs, pentester certifié.
• On réduit le coût en cadrant le périmètre (EASM) et en nettoyant les évidences (SAST IA) avant la mission.

Bref : un test d'intrusion, ce n'est ni un luxe inaccessible ni un achat impulsif. C'est un investissement dont le prix se justifie ligne par ligne. Et si vous voulez un devis transparent, vous savez où nous trouver.