Tarifs Pentest
Des tarifs transparents pour vos tests d'intrusion. Packs évolutifs ou audits sur-mesure selon vos objectifs, votre périmètre et l'approche souhaitée (Black Box, Grey Box, White Box).
Aucune surprise. Devis détaillé avant engagement.
Flexibilité : packages standards ou entièrement personnalisés.
Comment fonctionnent nos tarifs ? 💰
Le tarif d'un pentest dépend du temps à passer sur le projet. Cette durée varie en fonction de vos objectifs et de l'étendue de l'audit.
Nous vous proposons deux approches :
1. Packs Évolutifs — Pour débuter ou progresser en matière de sécurité. Packages standardisés, scope défini, prix fixe.
2. Audit Sur-Mesure — Pour les pentests personnalisés. Adaptation du périmètre, des objectifs, de l'approche (Black/Grey/White Box) et de la durée estimée.
Packs Évolutifs 📦
Pack Startup
800€ HT
Une journée de pentest à prix réduit (startups seulement).
- 1 jour d'audit (8h)
- Reporting offert
- Recommandations
Pack Intro
1 200-2 000€ HT
Découvrir le pentest. Périmètre limité, scope défini.
- 1 à 2 jours d'audit
- Reporting standard
- Recommandations priorisées
Pack Small
2 000-3 500€ HT
Pour les PME/PMI. Couverture modérée, approche Grey Box.
- 2 à 3 jours d'audit
- Reporting détaillé
- 1 re-test inclus
Pack Regular
3 500-6 500€ HT
Couverture complète. PME/ETI, approche personnalisée.
- 3 à 5 jours d'audit
- Reporting exhaustif
- 2 re-tests inclus
Pack Advanced
6 500-10 000€ HT
Pour ETI et grands comptes. Audit approfondi, approche White Box possible.
- 5 à 7 jours d'audit
- Rapport exécutif + technique
- 3 re-tests + support
Options
À ajouter
Adapter le niveau de reporting et étendre le périmètre.
- Rapport exécutive +300€
- Ingénierie sociale +1 500€
- Re-test additionnel +800€
Tarifs par Type de Pentest 🎯
| Type de pentest | Approche | Durée estimée | Tarif |
|---|---|---|---|
| Pentest Web | Black/Grey/White Box | 2 à 5 jours | 3 000-7 000€ HT |
| Pentest Mobile | Grey/White Box | 2 à 4 jours | 2 500-6 000€ HT |
| Pentest Infrastructure | Black/Grey Box | 3 à 7 jours | 4 000-10 000€ HT |
| Pentest IoT | Spécialisé | 5 à 10 jours | 6 000-15 000€ HT |
| Ingénierie Sociale | Contrôlée | 2 à 3 jours | 2 500-5 000€ HT |
| Reconnaissance + Dark Web | Externe | 1 à 2 jours | 1 500-3 500€ HT |
| Pentest Global du SI | Externe + Interne | 7 à 15 jours | 8 000-20 000€ HT |
| Tests Spécialisés | Cloud, API, DevOps, etc. | 3 à 8 jours | 4 000-12 000€ HT |
Audit Sur-Mesure 🎨
Pour un pentest Black Box, Grey Box ou White Box sur une cible définie, nous vous proposons un chiffrage sur-mesure en fonction de vos objectifs et de l'étendue de l'audit.
Paramètres ajustés :
• Périmètre fonctionnel et technique précis (infrastructure, applications, APIs, etc.)
• Type de tests (reconnaissance, exploitation, lateral movement, etc.)
• Approche choisie (Black Box externe réaliste, Grey Box équilibré, White Box exhaustif)
• Conditions techniques (accès VPN, heures de test, règles d'engagement)
• Degré d'exhaustivité (couverture 100 % ou focus sur les risques prioritaires)
• Niveau de reporting (synthèse exécutive ou technique approfondie)
• Validation des corrections (re-tests inclus ou à la carte)
• Certificat d'audit de sécurité (si requis)
Tarif Audit Sur-Mesure : 2 000€ à 30 000€ HT
Ajusté selon la taille, la complexité, la durée estimée et les ressources déployées.
Options & Réductions 🎁
Re-tests après remédiation
1 re-test initial inclus (packs standards). Tests supplémentaires : 800 à 1 500€ HT chacun.
Pentests Réguliers (Annuels, Semestriels)
Réduction de 15 % sur le 2e audit, 20 % à partir du 3e. Tarif annuel négociable.
Redondance Géographique (Multi-Cloud, Multi-Région)
Audit infrastructure AWS/Azure/OVH distribué : +20 à 30 % selon la répartition.
Ingénierie Sociale + Pentest IT
Bundle phishing + tests IT : 10 % de réduction sur le prix total.
Certificat Audit de Sécurité
Rapport signé, valide pour conformité (ISO 27001, SOC 2, RGPD, HDS) : +500€ HT.
Tarif Fixe vs. Tarif au Succès ⚖️
Tarif Fixe — Un montant fixe en fonction de la durée prévue pour le pentest et des options choisies. Approche standard pour audit de sécurité. Le risque de ne pas trouver de failles nous incombe.
Tarif au Succès — Un montant calculé selon le nombre de failles de sécurité que nous identifions. Offre conçue pour les organisations ayant déjà atteint un bon niveau de maturité en sécurité. Le risque que peu de failles soient trouvées vous incombe.
Obtenez votre devis transparent 🚀
Aucune surprise. Nous évaluons vos objectifs, le périmètre exact, l'approche souhaitée, puis nous vous envoyon un devis détaillé sans engagement.
Questions Fréquentes (FAQ) 🤔
À quelle fréquence conduire un test d'intrusion ?
La réponse dépend de votre secteur d'activité et de votre attractivité pour les attaquants. Pour les activités sensibles (données financières, santé, données personnelles), nous recommandons les pentests réguliers (2 à 4 fois par an). Pour les activités moins sensibles, un pentest à chaque nouvelle version ou ajout fonctionnel majeur suffit. Notre recommandation BCIT : un cycle annuel minimum avec re-tests trimestriels ou semestriels pour la conformité (ISO 27001, SOC 2, RGPD).
Je n'ai pas de données sensibles, pourquoi être une cible ?
Tous les systèmes connectés sont des cibles potentielles. Les motivations des attaquants sont variées : s'entraîner, prendre le contrôle de votre serveur (héberger un site malveillant, créer un botnet, faire du minage de crypto), revendre l'accès compromis, ou simplement tester leurs compétences. Les sites WordPress, Drupal, etc., subissent des attaques automatisées massives. L'absence de données sensibles ne signifie pas l'absence de risque.
Scan de vulnérabilité vs. Pentest : quelle différence ?
Scans automatisés = détection de vulnérabilités répertoriées, couverture basique, rapides et peu coûteux. Pentest (tests manuels) = approche sur-mesure à votre architecture, détection de failles de logique invisibles aux outils, exploitation et mesure d'impact réel, couverture exhaustive. Les pentests offrent un niveau de sécurité supérieur, recommandés pour les données sensibles.
Pentest vs. Bug Bounty : lequel choisir ?
Pentest = approche structurée, méthodologie établie, couverture complète du périmètre, dates planifiées, interlocuteur dédié, rapports détaillés. Idéal pour une première approche, la conformité et l'audit continu. Bug Bounty = tests continus via crowdsourcing, plateforme bien sécurisée, regards variés, modèle continu. Notre recommandation BCIT : commencer par un pentest initial, puis envisager un bug bounty complémentaire après stabilisation.
Quelles technologies testez-vous ?
Notre équipe BCIT maîtrise les langages et frameworks courants : PHP, Python, Java, Node.js, .NET, Go, Rust. De nombreuses vulnérabilités transcendent les technologies (injection SQL, XSS, authentification faible, etc.). L'équipe dispose d'une spécialisation en cloud (AWS, Azure, OVH), conteneurs et DevOps, ainsi qu'en IoT. Pour les technologies spécifiques non listées, contactez-nous pour évaluation de faisabilité.
Faut-il faire une démonstration de la solution avant le pentest ?
Avec démonstration = meilleure compréhension fonctionnelle, tests approfondis de la logique métier, rentabilité améliorée de l'audit. Sans démonstration = conditions réalistes d'attaque externe, nos testeurs découvrent les priorités réelles. Notre conseil BCIT : pour les PME/PMI, une démonstration rapide est conseillée. Pour tester le réalisme d'une attaque externe, pas de démonstration. Nous en discuterons lors de la planification.
Production ou Pré-production pour le pentest ?
Pré-production = semblable à la production, ne touche pas les utilisateurs, tests moins risqués, état stable testable. Production = conditions réelles d'utilisation, dernières mises à jour déployées, évalue l'impact réel. Notre conseil BCIT : testez idéalement la pré-production pour le développement, puis la production pour valider avant et après déploiement. Nous en discuterons avec votre équipe risque.
Testez-vous les attaques par déni de service (DoS/DDoS) ?
Oui, les tests DoS/DDoS sont possibles. Ils révèlent les vulnérabilités au niveau configuration applicative indépendantes de l'hébergeur. Les impacts réels sont mesurables. BCIT recommande de tester si vos données ou services sont critiques. Les tests sont coordonnés avec votre infrastructure et votre hébergeur. Un coût additionnel s'applique selon l'approche (tests contrôlés, mesure de résilience).
Comment sont présentées les failles trouvées ?
Notre rapport complet BCIT inclut : le périmètre testé, la méthodologie, les failles trouvées détaillées, l'exploitation étape par étape, les preuves (captures d'écran, données compromises), les scores CVSS de sévérité et les recommandations de remédiation par faille. Nous fournissons deux versions : exécutive (direction) et technique détaillée (développeurs). Le rapport est directement exploitable.
Qui corrige les failles trouvées ?
C'est à vos équipes techniques d'appliquer les corrections. BCIT ne corrige pas, afin que vous vous appropriiez mieux les remédiation. Le rapport contient des suggestions techniques prêtes à l'implémentation. BCIT propose des re-tests après remédiation pour valider la fermeture des vulnérabilités et l'absence de régression sur d'autres éléments (1 à 2 re-tests inclus, tests additionnels à coût réduit).
Que faites-vous des informations confidentielles trouvées ?
BCIT ne collecte ni ne conserve les données confidentielles découvertes. Les éléments dans le rapport sont anonymisés autant que possible. Un NDA strict est signé (confidentialité bilatérale). Les rapports sont conservés pour une durée limitée. Les données ne sont exploitées que pour démontrer la vulnérabilité.
Comment faire confiance à des pentesteurs éthiques ?
BCIT opère dans un cadre légal strict : intervention sur demande écrite, contrat signé, autorisation explicite des tests, NDA, heures convenues, adresse IP dédiée identifiable. L'équipe est certifiée (auditeurs ISO 27001, pentesteurs certifiés). BCIT possède un track record de 8+ ans avec nos clients. Des recommandations d'auditeurs et d'assureurs sont disponibles.
Combien coûte un pentest ?
Le tarif dépend du périmètre et de la profondeur des tests souhaitée. Consultez la section « Tarifs » pour les packs standards (800€ à 10 000€ HT). Les audits sur-mesure coûtent entre 2 000€ et 30 000€ HT. Des réductions s'appliquent pour les pentests réguliers. Contactez BCIT pour un devis personnalisé sans engagement.
Vous avez d'autres questions ? N'hésitez pas à nous contacter.
Vous avez une question sur nos tarifs ou un pentest spécifique ?
💬 Écrivez-nous sur WhatsAppP.S. Tous les tarifs sont HT. La facturation s'effectue à la fin de l'audit. Le devis inclut une estimation du nombre de journées et les options. Les pentests s'accompagnent toujours d'un NDA strict et d'une confidentialité absolue. Les rapports sont fournis en deux versions : « exécutive » (direction) et « technique détaillée » (équipes IT) séparément. Aucun engagement avant la signature du contrat. Des questions avant devis ? Nous vous contactons sans obligation.
Tarifs Pentest
Des tarifs transparents pour vos tests d'intrusion. Packs évolutifs ou audits sur-mesure selon vos objectifs, votre périmètre et l'approche souhaitée (Black Box, Grey Box, White Box).
Aucune surprise. Devis détaillé avant engagement.
Flexibilité : packages standards ou entièrement personnalisés.
Comment fonctionnent nos tarifs ? 💰
Le tarif d'un pentest dépend du temps à passer sur le projet. Cette durée varie en fonction de vos objectifs et de l'étendue de l'audit.
Nous vous proposons deux approches :
1. Packs Évolutifs — Pour débuter ou progresser en matière de sécurité. Packages standardisés, scope défini, prix fixe.
2. Audit Sur-Mesure — Pour les pentests personnalisés. Adaptation du périmètre, des objectifs, de l'approche (Black/Grey/White Box) et de la durée estimée.
Packs Évolutifs 📦
Pack Startup
800€ HT
Une journée de pentest à prix réduit (startups seulement).
- 1 jour d'audit (8h)
- Reporting offert
- Recommandations
Pack Intro
1 200-2 000€ HT
Découvrir le pentest. Périmètre limité, scope défini.
- 1 à 2 jours d'audit
- Reporting standard
- Recommandations priorisées
Pack Small
2 000-3 500€ HT
Pour les PME/PMI. Couverture modérée, approche Grey Box.
- 2 à 3 jours d'audit
- Reporting détaillé
- 1 re-test inclus
Pack Regular
3 500-6 500€ HT
Couverture complète. PME/ETI, approche personnalisée.
- 3 à 5 jours d'audit
- Reporting exhaustif
- 2 re-tests inclus
Pack Advanced
6 500-10 000€ HT
Pour ETI et grands comptes. Audit approfondi, approche White Box possible.
- 5 à 7 jours d'audit
- Rapport exécutif + technique
- 3 re-tests + support
Options
À ajouter
Adapter le niveau de reporting et étendre le périmètre.
- Rapport exécutive +300€
- Ingénierie sociale +1 500€
- Re-test additionnel +800€
Tarifs par Type de Pentest 🎯
| Type de pentest | Approche | Durée estimée | Tarif |
|---|---|---|---|
| Pentest Web | Black/Grey/White Box | 2 à 5 jours | 3 000-7 000€ HT |
| Pentest Mobile | Grey/White Box | 2 à 4 jours | 2 500-6 000€ HT |
| Pentest Infrastructure | Black/Grey Box | 3 à 7 jours | 4 000-10 000€ HT |
| Pentest IoT | Spécialisé | 5 à 10 jours | 6 000-15 000€ HT |
| Ingénierie Sociale | Contrôlée | 2 à 3 jours | 2 500-5 000€ HT |
| Reconnaissance + Dark Web | Externe | 1 à 2 jours | 1 500-3 500€ HT |
| Pentest Global du SI | Externe + Interne | 7 à 15 jours | 8 000-20 000€ HT |
| Tests Spécialisés | Cloud, API, DevOps, etc. | 3 à 8 jours | 4 000-12 000€ HT |
Audit Sur-Mesure 🎨
Pour un pentest Black Box, Grey Box ou White Box sur une cible définie, nous vous proposons un chiffrage sur-mesure en fonction de vos objectifs et de l'étendue de l'audit.
Paramètres ajustés :
• Périmètre fonctionnel et technique précis (infrastructure, applications, APIs, etc.)
• Type de tests (reconnaissance, exploitation, lateral movement, etc.)
• Approche choisie (Black Box externe réaliste, Grey Box équilibré, White Box exhaustif)
• Conditions techniques (accès VPN, heures de test, règles d'engagement)
• Degré d'exhaustivité (couverture 100 % ou focus sur les risques prioritaires)
• Niveau de reporting (synthèse exécutive ou technique approfondie)
• Validation des corrections (re-tests inclus ou à la carte)
• Certificat d'audit de sécurité (si requis)
Tarif Audit Sur-Mesure : 2 000€ à 30 000€ HT
Ajusté selon la taille, la complexité, la durée estimée et les ressources déployées.
Options & Réductions 🎁
Re-tests après remédiation
1 re-test initial inclus (packs standards). Tests supplémentaires : 800 à 1 500€ HT chacun.
Pentests Réguliers (Annuels, Semestriels)
Réduction de 15 % sur le 2e audit, 20 % à partir du 3e. Tarif annuel négociable.
Redondance Géographique (Multi-Cloud, Multi-Région)
Audit infrastructure AWS/Azure/OVH distribué : +20 à 30 % selon la répartition.
Ingénierie Sociale + Pentest IT
Bundle phishing + tests IT : 10 % de réduction sur le prix total.
Certificat Audit de Sécurité
Rapport signé, valide pour conformité (ISO 27001, SOC 2, RGPD, HDS) : +500€ HT.
Tarif Fixe vs. Tarif au Succès ⚖️
Tarif Fixe — Un montant fixe en fonction de la durée prévue pour le pentest et des options choisies. Approche standard pour audit de sécurité. Le risque de ne pas trouver de failles nous incombe.
Tarif au Succès — Un montant calculé selon le nombre de failles de sécurité que nous identifions. Offre conçue pour les organisations ayant déjà atteint un bon niveau de maturité en sécurité. Le risque que peu de failles soient trouvées vous incombe.
Obtenez votre devis transparent 🚀
Aucune surprise. Nous évaluons vos objectifs, le périmètre exact, l'approche souhaitée, puis nous vous envoyon un devis détaillé sans engagement.
Questions Fréquentes (FAQ) 🤔
À quelle fréquence conduire un test d'intrusion ?
La réponse dépend de votre secteur d'activité et de votre attractivité pour les attaquants. Pour les activités sensibles (données financières, santé, données personnelles), nous recommandons les pentests réguliers (2 à 4 fois par an). Pour les activités moins sensibles, un pentest à chaque nouvelle version ou ajout fonctionnel majeur suffit. Notre recommandation BCIT : un cycle annuel minimum avec re-tests trimestriels ou semestriels pour la conformité (ISO 27001, SOC 2, RGPD).
Je n'ai pas de données sensibles, pourquoi être une cible ?
Tous les systèmes connectés sont des cibles potentielles. Les motivations des attaquants sont variées : s'entraîner, prendre le contrôle de votre serveur (héberger un site malveillant, créer un botnet, faire du minage de crypto), revendre l'accès compromis, ou simplement tester leurs compétences. Les sites WordPress, Drupal, etc., subissent des attaques automatisées massives. L'absence de données sensibles ne signifie pas l'absence de risque.
Scan de vulnérabilité vs. Pentest : quelle différence ?
Scans automatisés = détection de vulnérabilités répertoriées, couverture basique, rapides et peu coûteux. Pentest (tests manuels) = approche sur-mesure à votre architecture, détection de failles de logique invisibles aux outils, exploitation et mesure d'impact réel, couverture exhaustive. Les pentests offrent un niveau de sécurité supérieur, recommandés pour les données sensibles.
Pentest vs. Bug Bounty : lequel choisir ?
Pentest = approche structurée, méthodologie établie, couverture complète du périmètre, dates planifiées, interlocuteur dédié, rapports détaillés. Idéal pour une première approche, la conformité et l'audit continu. Bug Bounty = tests continus via crowdsourcing, plateforme bien sécurisée, regards variés, modèle continu. Notre recommandation BCIT : commencer par un pentest initial, puis envisager un bug bounty complémentaire après stabilisation.
Quelles technologies testez-vous ?
Notre équipe BCIT maîtrise les langages et frameworks courants : PHP, Python, Java, Node.js, .NET, Go, Rust. De nombreuses vulnérabilités transcendent les technologies (injection SQL, XSS, authentification faible, etc.). L'équipe dispose d'une spécialisation en cloud (AWS, Azure, OVH), conteneurs et DevOps, ainsi qu'en IoT. Pour les technologies spécifiques non listées, contactez-nous pour évaluation de faisabilité.
Faut-il faire une démonstration de la solution avant le pentest ?
Avec démonstration = meilleure compréhension fonctionnelle, tests approfondis de la logique métier, rentabilité améliorée de l'audit. Sans démonstration = conditions réalistes d'attaque externe, nos testeurs découvrent les priorités réelles. Notre conseil BCIT : pour les PME/PMI, une démonstration rapide est conseillée. Pour tester le réalisme d'une attaque externe, pas de démonstration. Nous en discuterons lors de la planification.
Production ou Pré-production pour le pentest ?
Pré-production = semblable à la production, ne touche pas les utilisateurs, tests moins risqués, état stable testable. Production = conditions réelles d'utilisation, dernières mises à jour déployées, évalue l'impact réel. Notre conseil BCIT : testez idéalement la pré-production pour le développement, puis la production pour valider avant et après déploiement. Nous en discuterons avec votre équipe risque.
Testez-vous les attaques par déni de service (DoS/DDoS) ?
Oui, les tests DoS/DDoS sont possibles. Ils révèlent les vulnérabilités au niveau configuration applicative indépendantes de l'hébergeur. Les impacts réels sont mesurables. BCIT recommande de tester si vos données ou services sont critiques. Les tests sont coordonnés avec votre infrastructure et votre hébergeur. Un coût additionnel s'applique selon l'approche (tests contrôlés, mesure de résilience).
Comment sont présentées les failles trouvées ?
Notre rapport complet BCIT inclut : le périmètre testé, la méthodologie, les failles trouvées détaillées, l'exploitation étape par étape, les preuves (captures d'écran, données compromises), les scores CVSS de sévérité et les recommandations de remédiation par faille. Nous fournissons deux versions : exécutive (direction) et technique détaillée (développeurs). Le rapport est directement exploitable.
Qui corrige les failles trouvées ?
C'est à vos équipes techniques d'appliquer les corrections. BCIT ne corrige pas, afin que vous vous appropriiez mieux les remédiation. Le rapport contient des suggestions techniques prêtes à l'implémentation. BCIT propose des re-tests après remédiation pour valider la fermeture des vulnérabilités et l'absence de régression sur d'autres éléments (1 à 2 re-tests inclus, tests additionnels à coût réduit).
Que faites-vous des informations confidentielles trouvées ?
BCIT ne collecte ni ne conserve les données confidentielles découvertes. Les éléments dans le rapport sont anonymisés autant que possible. Un NDA strict est signé (confidentialité bilatérale). Les rapports sont conservés pour une durée limitée. Les données ne sont exploitées que pour démontrer la vulnérabilité.
Comment faire confiance à des pentesteurs éthiques ?
BCIT opère dans un cadre légal strict : intervention sur demande écrite, contrat signé, autorisation explicite des tests, NDA, heures convenues, adresse IP dédiée identifiable. L'équipe est certifiée (auditeurs ISO 27001, pentesteurs certifiés). BCIT possède un track record de 8+ ans avec nos clients. Des recommandations d'auditeurs et d'assureurs sont disponibles.
Combien coûte un pentest ?
Le tarif dépend du périmètre et de la profondeur des tests souhaitée. Consultez la section « Tarifs » pour les packs standards (800€ à 10 000€ HT). Les audits sur-mesure coûtent entre 2 000€ et 30 000€ HT. Des réductions s'appliquent pour les pentests réguliers. Contactez BCIT pour un devis personnalisé sans engagement.
Vous avez d'autres questions ? N'hésitez pas à nous contacter.
Vous avez une question sur nos tarifs ou un pentest spécifique ?
💬 Écrivez-nous sur WhatsAppP.S. Tous les tarifs sont HT. La facturation s'effectue à la fin de l'audit. Le devis inclut une estimation du nombre de journées et les options. Les pentests s'accompagnent toujours d'un NDA strict et d'une confidentialité absolue. Les rapports sont fournis en deux versions : « exécutive » (direction) et « technique détaillée » (équipes IT) séparément. Aucun engagement avant la signature du contrat. Des questions avant devis ? Nous vous contactons sans obligation.