Cabinet / Ressources / Pentest PME Suisse
Dossier 01 · Test d'intrusion

Pentest pour PME en Suisse : guide complet pour dirigeants.

Un test d'intrusion n'est ni un scan automatisé, ni une démonstration de force technique. C'est la simulation contrôlée d'une attaque réelle sur votre infrastructure — par des spécialistes mandatés par vous, avec un objectif unique : trouver vos failles avant qu'un criminel ne le fasse.

Gabriel Rossi 23 mai 2026 14 min de lecture Lausanne · Vaud

La cybersécurité fonctionne par paliers de confiance. Un antivirus rassure le management, un pare-feu rassure l'IT, une politique de mot de passe rassure les RH. Mais aucun de ces dispositifs ne vous dit ce qu'un attaquant réel obtiendrait s'il décidait de cibler votre entreprise un mardi matin à 9 h. C'est précisément ce que mesure un pentest — et c'est pourquoi, en 2026, une PME suisse qui n'en a jamais commandé navigue à l'aveugle.

01 — DéfinitionQu'est-ce qu'un pentest, vraiment ?

Un test d'intrusion — ou pentest, contraction de penetration test — est une mission offensive autorisée. Des spécialistes en sécurité, mandatés par votre entreprise et liés par un contrat strict, tentent de compromettre votre système d'information exactement comme le ferait un attaquant motivé. La différence : chaque action est documentée, réversible, et vous appartient.

Là où un audit regarde l'organisation de votre sécurité (politiques, processus, configuration), le pentest répond à une question plus concrète : jusqu'où peut-on aller ? Trouver une fuite de configuration dans Microsoft 365, voler les identifiants d'un comptable par phishing, pivoter vers un serveur de fichiers, exfiltrer la base clients. La preuve par l'exemple.

i
Audit ≠ pentest

L'audit constate. Le pentest démontre. Les deux sont complémentaires : un audit révèle les angles morts de votre organisation, un pentest prouve qu'ils sont exploitables. Pour une PME de Suisse romande, l'ordre logique est audit → remédiation → pentest de validation.

02 — CiblesPourquoi votre PME est déjà une cible.

Il existe une fiction tenace en Suisse romande : « nous sommes trop petits pour intéresser un attaquant ». Cette phrase, je l'entends chaque semaine dans des fiduciaires, des cabinets médicaux, des PME industrielles vaudoises. Elle reposait sur une idée juste il y a quinze ans — quand attaquer coûtait cher et nécessitait des compétences rares. Ce n'est plus le cas.

Les attaques de 2025 sont automatisées et opportunistes. Des botnets scannent en continu l'espace IP suisse à la recherche de serveurs Exchange non patchés, de VPN Fortinet vulnérables, de boîtes Microsoft 365 sans authentification multifacteur. Quand une cible est trouvée, elle est vendue sur un marché secondaire à un autre groupe qui exploitera la brèche. Votre PME de 25 personnes à Renens vaut sur ce marché : entre 200 et 2'000 dollars, selon l'accès obtenu.

60 % des cyberattaques en Suisse ciblent désormais les PME OFCS · 2024
11 jours délai moyen entre deux attaques visant une PME suisse NCSC / Confédération
CHF 50'000 coût direct moyen d'un incident pour une PME romande Étude sectorielle 2024

03 — TypologieLes trois types de pentest.

Avant de signer un mandat, vérifiez quel type de test on vous propose. Le vocabulaire est important — il conditionne le réalisme, la durée et le prix.

Type Information donnée au testeur Usage typique en PME Coût indicatif
Boîte noire Aucune. Le testeur part comme un attaquant externe. Site e-commerce, infrastructure exposée, validation post-incident CHF 4'000 – 9'000
Boîte grise Compte utilisateur standard, VPN, documentation publique Le plus fréquent pour les PME romandes. Meilleur rapport profondeur/coût. CHF 6'000 – 15'000
Boîte blanche Code source, architecture, accès admin, schémas réseau Application métier critique, audit fournisseur, validation avant mise en production CHF 12'000 – 25'000+

Pour 80 % des PME que nous accompagnons à Lausanne, Morges ou Nyon, la boîte grise est le bon choix initial. Elle modélise le scénario le plus probable : un employé compromis par phishing, ou un identifiant volé sur un autre service et rejoué sur le vôtre. C'est ainsi que 8 ransomwares sur 10 entrent réellement dans une PME suisse.

Pentest applicatif, infrastructure, ou les deux ?

Au-delà du type, il y a la cible. Un pentest peut viser :

  • Une application web — votre site WordPress, votre WooCommerce, votre application métier interne (référentiel OWASP)
  • Une infrastructure externe — ce qui est exposé sur Internet : VPN, serveurs mail, accès distants
  • Une infrastructure interne — ce qu'un attaquant peut faire une fois rentré, latéralisation, élévation de privilèges
  • Le cloud — Microsoft 365, Google Workspace, Azure, AWS : erreurs de configuration, partages publics, MFA absent
  • Le facteur humain — simulation de phishing ciblé, vishing, ingénierie sociale

Un pentest sans mandat écrit n'est pas un pentest, c'est une infraction pénale. L'article 143bis du Code pénal suisse punit l'accès indu à un système informatique d'une peine privative de liberté pouvant aller jusqu'à trois ans. Le cadre est strict, et c'est tant mieux : cela protège autant le testeur que le commanditaire.

!
Trois documents non négociables

Avant toute mission, exigez : 1) un mandat écrit définissant précisément le périmètre autorisé (IP, domaines, applications) ; 2) une clause de confidentialité (NDA) bilatérale ; 3) une preuve d'assurance responsabilité civile professionnelle du prestataire. Si l'un des trois manque, refusez la mission.

La nouvelle Loi sur la protection des données (nLPD), en vigueur depuis septembre 2023, ajoute une couche : tester un système qui traite des données personnelles implique des précautions sur l'accès à ces données pendant la mission. Un cabinet sérieux propose systématiquement un protocole de minimisation — accéder à la preuve d'exploitation sans extraire les données réelles.

Enfin, l'article 716a du Code des obligations impose au conseil d'administration suisse un devoir de diligence sur la gestion des risques. Pour une SA ou Sàrl vaudoise, l'absence totale de tests de sécurité est aujourd'hui difficile à défendre devant un juge en cas d'incident grave.

05 — BudgetCombien coûte un pentest en Suisse romande ?

Les tarifs varient selon trois facteurs : la taille du périmètre, la profondeur souhaitée et l'expérience du cabinet. Voici ce que nous observons en 2026 sur le marché vaudois et genevois :

  • Pentest d'un site WordPress / e-commerce — CHF 2'500 à 5'500, 3 à 5 jours de mission
  • Pentest d'une application métier (boîte grise) — CHF 6'000 à 12'000, 5 à 10 jours
  • Pentest d'infrastructure externe complète — CHF 5'000 à 9'000, 4 à 7 jours
  • Pentest interne avec scénario phishing — CHF 8'000 à 15'000, 7 à 12 jours
  • Mission combinée (web + infra + humain) — CHF 15'000 à 30'000, 3 à 6 semaines

Les grands cabinets internationaux installés à Genève et Zurich facturent entre CHF 1'500 et 2'500 par jour-homme. Les cabinets indépendants suisses spécialisés PME — comme le nôtre — facturent typiquement entre CHF 1'100 et 1'400, sans junior en exécution. À mission égale, l'écart de prix s'explique par la structure : vous payez moins de couches hiérarchiques, pas moins de compétence.

Un devis à CHF 1'800 pour un pentest « complet » d'une PME ? C'est un scan automatisé maquillé en rapport. Refusez. Gabriel Rossi · 5 ans en SOC, 60+ missions PME

06 — DérouléUne mission, étape par étape.

Un pentest bien conduit suit un protocole identifiable. Si votre prestataire ne peut pas vous décrire ces étapes, posez la question d'une autre façon : « à quoi ressemblera ma semaine ? ». La réponse doit être précise.

  1. Étape 01 · J-7

    Cadrage et périmètre

    Définition écrite des cibles autorisées, fenêtres de test, contacts d'urgence, profils de menace simulés. Le périmètre est gravé : rien hors-périmètre, jamais.

  2. Étape 02 · J+1 à J+2

    Reconnaissance

    Cartographie de votre surface d'attaque depuis l'extérieur : domaines, sous-domaines, technologies, fuites d'information publiques. Identification des points d'entrée probables.

  3. Étape 03 · J+3 à J+7

    Exploitation

    Tentatives d'intrusion contrôlées sur les failles découvertes. Chaque action est journalisée. Si une faille critique est trouvée, vous êtes informé par téléphone le jour même, pas dans le rapport final.

  4. Étape 04 · J+8 à J+9

    Post-exploitation

    Mesure de l'impact réel d'une faille exploitée : que peut-on voir, voler, modifier ? Pivotement éventuel vers d'autres systèmes pour comprendre la profondeur du compromis.

  5. Étape 05 · J+10

    Rapport et restitution

    Document écrit en français, classé par priorité business — pas par CVSS technique. Restitution orale avec votre direction et votre IT. Remédiation accompagnée pendant 30 jours.

07 — SélectionComment choisir un cabinet en Suisse romande.

C'est probablement la décision la plus importante de tout le processus. Un mauvais cabinet vous livrera un PDF de 80 pages que personne ne lira, un bon cabinet vous donnera trois décisions à prendre cette semaine. Voici les huit questions qui font la différence :

  1. Indépendance — Vendez-vous du matériel ou des licences ? (La bonne réponse est : non.)
  2. Sénior dédié — Qui mène concrètement la mission ? Le commercial ou l'expert ?
  3. Méthodologie — OWASP, PTES, OSSTMM — laquelle, sur quel périmètre ?
  4. Localisation des données — Où sont stockés les rapports et preuves d'exploitation ?
  5. Assurance RC professionnelle — Pouvez-vous fournir l'attestation ?
  6. Références sectorielles — Trois clients comparables au mien, en Suisse romande ?
  7. Suivi remédiation — Combien de jours après le rapport, à quel coût ?
  8. Re-test inclus — Quand je corrige une faille critique, le re-test est-il gratuit ?
×
Le piège du « tout-en-un »

Méfiez-vous du prestataire IT qui vous propose à la fois l'installation de votre infrastructure, sa maintenance, et son pentest annuel. C'est un conflit d'intérêt structurel : il auditera son propre travail. Un pentest doit toujours être commandé à un acteur sans aucun lien commercial avec votre infrastructure.

Cette règle de séparation — que nous appelons « le juge ne peut pas être l'avocat de l'autre partie » — est la seule garantie d'un test honnête. Un cabinet de cybersécurité indépendant, comme le nôtre à Lausanne, ne vend que du conseil : aucune marge fournisseur ne vient orienter les recommandations.

À retenir

Sept points pour commander un pentest sereinement

  1. 01Un pentest n'est pas un scan automatisé — c'est une mission humaine, datée, contractualisée, livrée en français.
  2. 02Pour 80 % des PME suisses, le pentest en boîte grise offre le meilleur rapport profondeur/coût : CHF 6'000–15'000.
  3. 03Le cadre légal repose sur l'art. 143bis CP et l'art. 716a CO. Mandat écrit, NDA, RC professionnelle : trois documents non négociables.
  4. 04Refusez un devis à moins de CHF 3'000 pour un périmètre PME complet — c'est techniquement impossible à tenir.
  5. 05Choisissez un cabinet indépendant, qui ne vend ni matériel ni licences. C'est la seule garantie d'objectivité.
  6. 06Le rapport doit être lu par votre direction. S'il est illisible pour vous, il l'est aussi pour vos équipes — donc inutile.
  7. 07Un re-test des failles critiques après remédiation doit être inclus dans le forfait initial. Sinon, c'est un travail à moitié fait.
Action concrète

Un pentest commence par 30 minutes au téléphone.

Décrivez-nous votre périmètre, vos données critiques, votre budget. Nous vous disons honnêtement si un pentest est la bonne réponse — ou si un audit organisationnel doit le précéder. Sans engagement, ni catalogue à vous vendre.

Réserver un échange offert Évaluer ma maturité en 5 min
Gabriel Rossi
Gabriel Rossi Fondateur · Leman Cyber Security

Cinq ans en SOC Tier 2/3 avant de fonder le cabinet en 2024. Brevet fédéral cybersécurité. Plus de 60 missions menées auprès de PME en Suisse romande, dont une majorité dans le canton de Vaud.

Sources et références

  1. OFCS — Office fédéral de la cybersécurité, rapport semestriel 2024
  2. NCSC.ch — Centre national pour la cybersécurité, statistiques d'incidents PME
  3. Code pénal suisse, art. 143bis (accès indu à un système informatique)
  4. Code des obligations, art. 716a (devoirs du conseil d'administration)
  5. OWASP Testing Guide v4.2 — référentiel international
  6. Verizon Data Breach Investigations Report 2024
À lire ensuite

Trois dossiers pour aller plus loin.

Dossier 02 · Audit

Audit de cybersécurité à Lausanne

Différence entre audit et pentest, périmètre type pour une PME vaudoise, livrables attendus.

Lire Dossier 03 · Conformité

Conformité nLPD pour PME vaudoises

Obligations concrètes, sanctions personnelles contre les dirigeants, plan d'action en 10 étapes.

Lire Dossier 04 · Incident

Ransomware : que faire en urgence

Les 60 premières minutes, signalement NCSC, payer ou non, redémarrage opérationnel.

Lire