Aller au contenu principal

Publié le 7 juillet 2026 · Pentest cloud

Combien coûte un pentest cloud en 2026 ?

Sur le marché français en 2026, un pentest d’infrastructure cloud se situe généralement entre 5 000 et 15 000 € HT, un pentest d’application cloud-native entre 8 000 et 20 000 € HT selon le périmètre, et un audit de configuration cloud entre 3 000 et 8 000 € HT. Ces montants reposent sur un taux journalier généralement constaté de 800 à 1 500 € HT par jour pour un pentester en France.

Précision importante : il s’agit de fourchettes généralement constatées sur le marché français, pas d’une grille tarifaire Cyvex. Chaque mission se chiffre après cadrage, car deux environnements cloud « comparables » sur le papier peuvent demander du simple au triple en jours de test.

Ces montants couvrent en principe l’ensemble de la prestation : la réunion de cadrage, les jours de test effectifs, la rédaction du rapport (synthèse pour la direction, détail technique et plan de remédiation) et une restitution orale. Vérifiez toutefois ce que chaque devis inclut réellement : certains prestataires facturent la rédaction du rapport ou la restitution en sus, ce qui fausse la comparaison entre offres.

Type de prestationDurée typiqueFourchette constatée (France, 2026)
Audit de configuration cloud3 à 6 jours3 000 – 8 000 € HT
Pentest infrastructure cloud5 à 10 jours5 000 – 15 000 € HT
Pentest application cloud-native8 à 15 jours8 000 – 20 000 € HT
Taux journalier pentester (TJM)800 – 1 500 € HT / jour

Ce qui fait varier le prix

Le périmètre, d’abord. Le nombre de comptes AWS, de subscriptions Azure ou de projets GCP est le premier facteur de coût, suivi du nombre de VPC/VNet et de la présence ou non de clusters Kubernetes. Un environnement mono-compte avec quelques VM n’a rien à voir avec une organisation de vingt comptes, plusieurs régions et deux clusters EKS : chaque compte ajoute des rôles IAM, des politiques et des interconnexions à analyser.

Le mode de test. En boîte noire, le pentester part sans aucune information : plus réaliste, mais plus long et souvent moins exhaustif. En boîte grise (le standard sur le cloud), il dispose d’un compte à privilèges limités. En boîte blanche, il a accès à la configuration complète, ce qui maximise la couverture par jour facturé.

Les options et exigences. Un re-test des vulnérabilités corrigées, des exigences de conformité (NIS2, DORA, ISO 27001) qui imposent une méthodologie et des livrables spécifiques, un rapport bilingue français/anglais pour un groupe international, ou des créneaux de test contraints (nuits, week-ends) font mécaniquement monter la facture.

Le profil du prestataire, enfin. Le TJM varie selon la séniorité des consultants, leurs certifications (OSCP et équivalents cloud), la structure (cabinet établi ou indépendant) et les éventuelles qualifications réglementaires exigées par votre secteur. Un tarif très bas doit interroger : sur le cloud, un pentester junior sans expérience IAM passera à côté de l’essentiel de la surface d’attaque.

Pentest cloud vs pentest classique : pourquoi les prix diffèrent

Un pentest cloud ne se contente pas de scanner des adresses IP. La surface d’attaque principale n’est plus le réseau, mais le plan de contrôle : les API du fournisseur cloud, les rôles et politiques IAM, les services managés (S3, Lambda, Azure Functions, Cloud SQL...). Une grande partie des compromissions cloud passe par des identités trop permissives ou des configurations de services managés, pas par l’exploitation d’un serveur.

Cela exige des compétences spécifiques — escalade de privilèges IAM, abus de métadonnées d’instance, mouvement latéral entre comptes, attaques propres à Kubernetes — encore relativement rares sur le marché. C’est ce qui explique que le TJM d’un pentester cloud se situe plutôt en haut de la fourchette, et que la méthodologie d’un pentest d’infrastructure cloud diffère profondément de celle d’un test d’intrusion réseau on-premise.

Autre différence : le cadre d’exécution. Les principaux fournisseurs (AWS, Azure, GCP) autorisent aujourd’hui les tests d’intrusion sur votre propre environnement sans accord préalable pour la plupart des services, mais chacun publie une politique précisant les techniques interdites (déni de service, tests visant l’infrastructure du fournisseur lui-même). Le prestataire doit connaître ces politiques et adapter ses scénarios, là où un pentest interne classique ne pose pas ce type de contrainte contractuelle.

Comment réduire la facture sans sacrifier la valeur

Cadrez précisément. Un périmètre flou se paie en jours de découverte facturés. Listez en amont les comptes, les applications critiques et les scénarios qui vous inquiètent réellement (exfiltration de données clients, compromission du compte de production...).

Fournissez un rôle d’audit en lecture seule. Un accès type SecurityAudit (AWS) ou Reader (Azure) permet au pentester de cartographier l’environnement en quelques heures au lieu de plusieurs jours de reconnaissance, sans rien retirer à la valeur des tests d’exploitation.

Ciblez la production. Tester dix comptes de sandbox n’apporte presque rien ; concentrez le budget sur les comptes qui hébergent vos données et vos applications exposées.

Préparez la documentation. Un schéma d’architecture à jour, la liste des comptes et de leurs rôles, les flux entre environnements : chaque information fournie en amont est du temps de test gagné sur des travaux à plus forte valeur.

Combinez audit de configuration et pentest ciblé. Un audit de sécurité cloud couvre large à moindre coût, puis un pentest court exploite les faiblesses les plus prometteuses pour en démontrer l’impact. Ce combiné offre souvent le meilleur rapport couverture/prix, notamment pour une première évaluation ou pour une application cloud-native dont l’infrastructure vient d’évoluer.

Questions fréquentes

Un pentest cloud est-il obligatoire pour NIS2 ou DORA ?

Ni NIS2 ni DORA n’imposent explicitement « un pentest cloud » en tant que tel. NIS2 exige des mesures de gestion des risques et l’évaluation de leur efficacité, ce que la plupart des organisations traduisent en pratique par des tests d’intrusion réguliers. DORA va plus loin pour le secteur financier : tests de résilience opérationnelle numérique pour tous, et tests de pénétration fondés sur la menace (TLPT) pour certaines entités désignées. Si votre production tourne dans le cloud, ces tests doivent logiquement couvrir ce périmètre.

Quelle différence entre un audit de configuration et un pentest ?

L’audit de configuration passe en revue les réglages de vos comptes (IAM, réseau, chiffrement, journalisation) par rapport aux bonnes pratiques, via un accès en lecture seule. Le pentest adopte la posture d’un attaquant et tente réellement d’exploiter les faiblesses pour démontrer un impact concret. L’audit est plus large et moins cher ; le pentest est plus profond et apporte la preuve d’exploitabilité.

Combien de temps ça dure ?

Le plus souvent entre 5 et 15 jours ouvrés de test effectif selon le périmètre. En ajoutant le cadrage en amont et la restitution, il faut généralement compter trois à cinq semaines calendaires entre le premier échange et la remise du rapport final.

Le re-test est-il inclus ?

Cela dépend des prestataires : certains incluent un re-test des vulnérabilités critiques, d’autres le facturent en option (souvent un à deux jours). Clarifiez ce point avant de signer, ainsi que la fenêtre de re-test — généralement de un à trois mois après la remise du rapport — car un pentest sans vérification des corrections perd une grande partie de sa valeur.

Dernier conseil au moment de comparer les devis : ne raisonnez pas uniquement au prix total. Comparez le nombre de jours de test effectifs, la couverture du périmètre, la méthodologie annoncée et les livrables inclus. Un devis 20 % moins cher qui teste deux fois moins de surface est, en réalité, le plus coûteux des deux.

Vous voulez un chiffrage réel plutôt qu’une fourchette ? Décrivez-nous votre environnement — comptes, workloads, échéances de conformité — et recevez un devis personnalisé rapide, adapté à votre périmètre exact.

Demander un devis personnalisé →