Pentest au résultat : guide complet de la garantie de remboursement

TL;DR — Ce qu'il faut retenir :
🔹 Le pentest au résultat est un modèle où vous ne payez que si des vulnérabilités sont réellement découvertes.
🔹 SecuriTrust propose une garantie de remboursement intégrale si aucun résultat exploitable n'est livré.
🔹 Ce modèle élimine le risque d'audit "blanc" et aligne les intérêts du prestataire sur les vôtres.
🔹 Idéal pour les PME/ETI qui veulent un vrai rapport de sécurité sans payer pour du vide.

Qu'est-ce que le pentest au résultat ?

Le pentest au résultat (ou pentest à la performance) est un modèle de prestation de sécurité offensive dans lequel le client ne paie que si le test d'intrusion produit des résultats concrets et exploitables. Concrètement, si l'auditeur ne trouve aucune vulnérabilité exploitable sur le périmètre défini, la prestation est gratuite — ou intégralement remboursée.

Ce modèle est une rupture radicale avec le marché traditionnel du pentest, où le client paie un forfait quoi qu'il arrive, même si le rapport final ne contient que des constats anecdotiques ou des vulnérabilités déjà connues.

Chez SecuriTrust, nous avons fait le choix de porter l'entièreté du risque sur nos équipes. Si nos pentesters certifiés OSCP, CEH ou CRTE ne trouvent rien d'exploitable — ce qui arrive, mais reste exceptionnel sur des cibles non auditées — vous ne payez pas. Point barre.

Comment fonctionne la garantie de remboursement SecuriTrust ?

Notre garantie de remboursement repose sur trois piliers :

• Un périmètre clairement défini : avant toute prestation, nous cadrons ensemble les cibles (IP, domaines, applications, API) et le type de test (boîte noire, grise ou blanche).
• Un engagement de résultat : nos pentesters s'engagent à trouver au moins une vulnérabilité exploitable (CVSS ≥ 6.0) ou une faille de configuration critique dans le périmètre défini.
• Un remboursement sans condition : si aucun résultat exploitable n'est livré dans le rapport final, la prestation est remboursée à 100 %, sans frais ni question.

Cette garantie n'est pas un argument marketing : c'est un engagement contractuel inscrit dans nos conditions générales de vente. Elle repose sur un constat simple : après plus de 300 pentests réalisés, nous n'avons jamais eu à activer cette clause de remboursement une seule fois. Nos pentesters trouvent toujours quelque chose.

Pourquoi choisir un pentest au résultat plutôt qu'un audit classique ?

Le marché du pentest classique fonctionne sur un modèle forfaitaire horaire : vous achetez du temps d'expert, pas un résultat. Ce modèle présente plusieurs limites :

• Pas d'incitation à la performance : le prestataire est payé quoi qu'il trouve, ce qui ne l'encourage pas nécessairement à creuser profondément.
• Des rapports parfois incomplets : certains prestataires facturent un pentest mais livrent une simple analyse de surface, sans réelle exploitation.
• Un risque client non partagé : si le test ne donne rien, vous avez payé pour rien — et vous ne le saurez qu'à la fin.

Avec le pentest au résultat, les rôles s'inversent. C'est le prestataire qui porte le risque, et c'est son expertise qui est jugée sur pièce. Ce modèle garantit un alignement d'intérêts parfait entre le client et l'auditeur.

Critère	Pentest classique (forfait)	Pentest au résultat SecuriTrust
💰 Paiement	Forfait avant prestation, quoi qu'il arrive	Paiement uniquement si résultat concret
🎯 Incitation	Passer le temps imparti	Trouver des vulnérabilités réelles
📋 Risque client	Maximal (paiement sans garantie)	Nul (garantie de remboursement)
🔍 Profondeur	Dépend du sérieux de l'auditeur	Maximale (l'expert veut prouver sa valeur)
📊 Rapport	Souvent générique	Exploitations détaillées, preuves vidéo
🔄 Suivi	Facturé en supplément	Inclus (restitution CODIR + correctifs)

Comment se déroule un pentest au résultat SecuriTrust ?

Notre processus en 5 étapes :

1. Phase de cadrage (1 jour) : Définition du périmètre, collecte des informations, signature du contrat avec clause de remboursement.
2. Reconnaissance (2-5 jours) : Scanning, OSINT, analyse des surfaces d'attaque, identification des points d'entrée potentiels.
3. Exploitation (3-10 jours) : Tests d'intrusion manuels et automatisés, escalade de privilèges, mouvements latéraux, exploitation des failles.
4. Rapport d'exploitation (2-3 jours) : Rapport détaillé avec chaque vulnérabilité classée par criticité (CVSS), preuves d'exploitation (captures, vidéos), recommandations de correction.
5. Restitution CODIR (1 jour) : Présentation des résultats à votre direction, priorisation des correctifs, plan d'action.

Durée totale : 7 à 21 jours ouvrés selon la complexité du périmètre.

Type de pentest	Périmètre	Durée	Garantie
Externe (réseau + applicatif)	Jusqu'à 5 IP / 3 applications	7-10 jours	Remboursement si aucune CVE trouvée
Interne (poste + AD + SI)	Jusqu'à 50 postes / 1 domaine	10-14 jours	Remboursement si aucune escalade réussie
Application web / API	1 application (10 endpoints max)	7-10 jours	Remboursement si aucune faille OWASP Top 10
Mobile (iOS + Android)	1 application binaire + API	7-10 jours	Remboursement si aucune faille exploitable

Quel est le ROI d'un pentest au résultat ?

Le retour sur investissement d'un pentest au résultat se mesure de plusieurs manières :

• Coût évité d'une fuite de données : le coût moyen d'une fuite de données en France est de 4,45 M€ (IBM Cost of Data Breach 2024). Un pentest à 5 000-15 000 € vous évite un risque 100 à 1000 fois supérieur.
• Réduction des primes cyber-assurance : les assureurs exigent désormais des pentests réguliers. Un rapport de pentest solide peut réduire votre prime de 15 à 30 %.
• Avantage commercial : un rapport de pentest SecuriTrust est un argument de vente auprès de vos clients B2B qui exigent des garanties de sécurité.
• Zéro risque financier : avec la garantie de remboursement, vous ne prenez aucun risque. Soit vous obtenez un rapport de sécurité complet, soit vous ne payez rien.

Questions fréquentes sur le pentest au résultat

Est-ce que le prestataire va "tricher" pour trouver quelque chose ?

Non, et c'est tout l'intérêt du modèle. Nos pentesters sont des professionnels certifiés (OSCP, CEH, CRTE) dont la réputation est engagée. Une vulnérabilité inventée ou gonflée serait immédiatement démasquée par votre équipe technique et discréditerait le rapport. De plus, nos rapports sont systématiquement accompagnés de preuves d'exploitation (captures d'écran, vidéos, PoC).

Qui valide le "résultat" ?

C'est vous. Le rapport de pentest détaille chaque vulnérabilité trouvée avec des preuves d'exploitation. Si vous estimez que le résultat n'est pas à la hauteur de vos attentes, la garantie s'applique. Ce mécanisme de confiance est unique sur le marché.

La garantie s'applique-t-elle si le périmètre est trop petit ?

La garantie s'applique sur le périmètre que vous avez défini lors du cadrage. Si le périmètre est très réduit (ex : 1 seule IP sans service exposé), nous vous le dirons avant de commencer. Notre éthique professionnelle nous interdit de facturer une prestation sans valeur ajoutée.

Puis-je commander un pentest au résultat pour mon site e-commerce ?

Absolument. Les sites e-commerce et les applications SaaS sont parmi les cibles les plus courantes de nos pentests au résultat. Consultez notre page dédiée au pentest web et mobile pour plus de détails.

Pour qui est fait le pentest au résultat ?

Le pentest au résultat SecuriTrust est particulièrement adapté à :

• PME et ETI qui veulent un vrai audit de sécurité sans se ruiner ni prendre de risque financier.
• Startups et scale-ups qui doivent prouver leur sécurité à leurs premiers clients B2B sans budget illimité.
• DSI et RSSI qui doivent justifier un budget pentest auprès de leur direction et veulent un modèle sans risque.
• E-commerçants soumis à PCI DSS qui ont besoin d'un pentest annuel de leur environnement de paiement.

Article rédigé par l'équipe technique SecuriTrust — Pentesters certifiés OSCP, CEH, CRTE, CRTP — Mis à jour le 4 juin 2026.