Perspectives · Test d’intrusion

Combien coûte un test d’intrusion au Québec? (2026)

Les fourchettes réelles en dollars canadiens, ce qui fait varier le prix — et comment repérer une soumission qui n’achète qu’un balayage automatisé.

La réponse courte

Au Canada, les fourchettes publiées situent la plupart des tests d’intrusion pour PME entre 5 000 $ et 25 000 $, en dollars canadiens. Un test externe ciblé du périmètre coûte généralement de 5 000 $ à 12 000 $; un test d’application web, de 8 000 $ à 20 000 $; une analyse de vulnérabilités — un exercice plus léger, qui n’est pas un test d’intrusion — se situe autour de 2 500 $ à 5 000 $. Le reste de cet article explique d’où viennent ces écarts et comment comparer des soumissions qui, sur papier, ne se ressemblent jamais.

  • La portée et la profondeur du test pèsent plus que tout le reste sur le prix.
  • Une soumission bien sous les fourchettes publiées correspond généralement à un balayage automatisé, pas à un test d’intrusion.
  • La revérification des correctifs n’est pas incluse partout — vérifiez avant de signer.
  • Un prix honnête se fixe après cadrage, jamais avant.

Test d’intrusion ou test de pénétration : même service, deux noms

Avant de parler chiffres, un mot sur le vocabulaire, parce qu’il embrouille les recherches et les appels d’offres. « Test d’intrusion », « test de pénétration » et « pentest » désignent exactement le même service : une attaque simulée et autorisée contre vos systèmes, menée par un spécialiste qui exploite les failles à la main pour démontrer ce qu’un vrai attaquant pourrait atteindre. Ce qui distingue un vrai test d’un balayage, ce n’est pas le nom — c’est l’exploitation manuelle, le rapport priorisé en langage clair et la revérification des correctifs une fois le travail de votre équipe terminé.

Les fourchettes par type de test

Type de mandatFourchette publiée (CAD)
Test externe du périmètre5 000 $ – 12 000 $
Test d’application web8 000 $ – 20 000 $
Mandat élargi (interne, infonuagique, applicatif)haut de la fourchette de 5 000 $ – 25 000 $
Analyse de vulnérabilités (n’est pas un test d’intrusion)2 500 $ – 5 000 $

Ces fourchettes recoupent ce que les fournisseurs canadiens qui affichent leurs prix publient pour des mandats de taille PME. Elles excluent les grands environnements d’entreprise, où la portée — et la facture — change d’ordre de grandeur.

Ce qui fait varier le prix

Quatre facteurs expliquent l’essentiel des écarts. La portée, d’abord : le nombre d’adresses IP, d’applications, de réseaux et d’environnements infonuagiques visés. La profondeur, ensuite : un test en boîte noire (sans information préalable), en boîte grise (avec des comptes de test) ou une revue en boîte blanche avec accès au code ne demandent pas le même effort. Troisième facteur : les exigences de conformité ou d’assurance — un rapport destiné à un audit SOC 2, à un assureur ou à un questionnaire client peut imposer une méthodologie et un format précis. Enfin, l’échéancier : un test requis d’urgence avant un renouvellement d’assurance comprime le même travail dans moins de temps.

Un cinquième élément mérite une ligne à part : la revérification. Une fois vos correctifs appliqués, quelqu’un doit confirmer qu’ils tiennent. Certaines firmes l’incluent, d’autres la facturent en supplément — d’où des soumissions qui semblent comparables mais ne couvrent pas la même chose. La nôtre est comprise dans chaque mandat.

Le piège des soumissions trop basses

Si une offre arrive bien en dessous de ces fourchettes, posez une question simple : qui, concrètement, va tenter d’exploiter les failles à la main? Dans l’industrie, un prix plancher signale généralement un balayage automatisé habillé d’un gabarit de rapport. L’exercice a une valeur — c’est une analyse de vulnérabilités, et nous en vendons aussi — mais il ne démontre pas l’impact réel d’une faille, et il passe mal auprès d’un assureur ou d’un client qui a demandé un test d’intrusion. Payer 2 000 $ pour un document qui ne sera pas accepté coûte plus cher qu’il n’y paraît.

Comparer des soumissions, concrètement

Ramenez chaque offre aux mêmes questions. Quelle est la portée exacte — adresses, applications, environnements? Le test est-il mené manuellement, selon quelles méthodologies (OWASP, NIST, PTES)? Qui fait le travail : la personne rencontrée en vente, ou une équipe jamais présentée? Le rapport est-il lisible par votre direction et votre assureur, pas seulement par vos techniciens? La revérification est-elle comprise? Et où vos données de test résident-elles — un détail qui compte quand la Loi 25 s’applique. Deux soumissions au même prix peuvent répondre très différemment à ces six questions.

Pour la portée détaillée de nos mandats — ce que nous testons, la méthodologie et la revérification comprise — voyez notre service de test d’intrusion. Et si vous êtes de la région, notre page sur le test d’intrusion en Outaouais couvre le volet local, des deux côtés de la rivière.

FAQ

Questions fréquentes

Combien coûte un test d’intrusion pour une PME?

Au Canada, les fourchettes publiées situent la plupart des mandats pour PME entre 5 000 $ et 25 000 $, en dollars canadiens. Un test externe ciblé du périmètre se situe généralement entre 5 000 $ et 12 000 $; un test d’application web, entre 8 000 $ et 20 000 $; un mandat plus large — réseau interne, infonuagique et applicatif — occupe le haut de la fourchette. Le chiffre exact dépend de la portée, et un fournisseur sérieux le fixe après une conversation de cadrage, pas avant.

Test d’intrusion et test de pénétration, est-ce la même chose?

Oui. « Test d’intrusion », « test de pénétration » et « pentest » désignent le même service : une attaque simulée et autorisée, menée manuellement par un spécialiste pour démontrer ce qu’un vrai attaquant pourrait accomplir. Au Québec, « test d’intrusion » est le terme le plus courant; « test de pénétration » est un calque de l’anglais qu’on voit encore souvent dans les appels d’offres. Peu importe le nom sur la soumission, ce qui compte est la méthode : exploitation manuelle, rapport priorisé et revérification des correctifs.

Pourquoi certaines soumissions sont-elles à moins de 3 000 $?

Dans l’industrie, un prix bien en dessous des fourchettes publiées signale généralement un balayage automatisé accompagné d’un gabarit de rapport, pas de véritables tests manuels. Le balayage a sa place — c’est une analyse de vulnérabilités, un exercice utile autour de 2 500 $ à 5 000 $ — mais il ne démontre pas ce qu’un attaquant peut réellement atteindre, et bien des assureurs et des clients ne l’acceptent pas comme équivalent d’un test d’intrusion.

La Loi 25 ou mon assureur exigent-ils un test d’intrusion?

La Loi 25 ne nomme pas le test d’intrusion comme tel, mais elle exige des mesures de sécurité raisonnables pour protéger les renseignements personnels — et un test documenté est l’une des façons les plus claires de démontrer cette diligence. Du côté de l’assurance cyber, de plus en plus d’assureurs exigent des contrôles précis, parfois un test, avant d’émettre ou de renouveler une police. Le rapport devient alors une preuve à présenter à l’assureur, à un auditeur ou à un client.

La revérification des correctifs est-elle comprise dans le prix?

Pas partout, et c’est un vrai critère de comparaison : certaines firmes l’incluent, d’autres la facturent en supplément. Chez nous, la revérification fait partie de chaque mandat — une fois vos correctifs appliqués, nous confirmons qu’ils tiennent et vous remettons la preuve documentée. Avant de signer où que ce soit, demandez si la revérification est comprise, sur quels éléments elle porte et dans quel délai.

À lire ensuite

Envie d’un chiffre pour votre environnement?

On définit la portée avec vous, puis on remet un prix forfaitaire clair — revérification comprise.