L'appel du dimanche soir
Un dimanche d'octobre 2025, le CTO d'une fintech dakaroise nous appelle paniqué. "Mohamed, lundi matin Mastercard nous envoie leurs auditeurs sécurité. On a un POC qui tourne, 12 000 utilisateurs en pilote, et personne n'a jamais regardé le code avec un œil rouge." 48 heures plus tard, notre équipe identifie un IDOR (Insecure Direct Object Reference) qui permettait à n'importe quel utilisateur authentifié de lire les KYC de n'importe quel autre, juste en incrémentant un ID dans l'URL.
C'est exactement le type de bug qui tue une startup avant qu'elle ait commencé. Pas parce qu'il est technique — il est trivial à corriger — mais parce qu'il signale aux auditeurs que personne n'a sérieusement audité le code. Et un seul de ces signaux suffit à faire reculer un partenaire bancaire.
Ce qu'est vraiment un pentest SaaS
Un pentest (test d'intrusion) n'est pas un scan automatisé Acunetix ou Burp lancé sur l'URL de production. C'est une mission humaine, généralement 5 à 15 jours, où un ou deux pentesters expérimentés rejouent les techniques d'attaquants réels sur votre application web, votre API, vos intégrations OAuth et parfois votre infrastructure cloud.
Pour un SaaS B2B fullstack typique (frontend Next.js, API Node, base PostgreSQL, intégrations Stripe/Wave, espace admin), le scope standard couvre l'authentification, la gestion des sessions, l'autorisation horizontale et verticale, les injections (SQL, NoSQL, command, template), les SSRF, les déserialisations, les défauts logiques métier (qui sont souvent les plus graves), et la chaîne CI/CD si elle est exposée.
Les prix réels en 2026
Voici ce que paient nos clients SaaS africains aujourd'hui, vérifié sur les 18 derniers mois de devis.
| Type de prestation | Durée | Prix USD | Prix FCFA |
|---|---|---|---|
| Pentest boutique africaine (Dakar, Lagos) | 5-7 jours | 5 000 - 9 000 USD | 3 - 5,5 M FCFA |
| Pentest agence FR/UK reconnue | 8-12 jours | 12 000 - 18 000 USD | 7,3 - 11 M FCFA |
| Pentest tier-1 (NCC, Cure53, Trail of Bits) | 10-15 jours | 18 000 - 25 000 USD | 11 - 15,3 M FCFA |
| Retest correctif | 2-3 jours | 1 500 - 3 000 USD | 0,9 - 1,8 M FCFA |
Pour une startup en pre-seed ou seed, partir sur la fourchette 8-12k USD avec une boutique africaine ou un freelance reconnu sur HackerOne est le bon compromis. À partir du moment où vous touchez des paiements, des données de santé ou des KYC, montez à 15-20k USD avec une agence ayant un nom reconnaissable dans un rapport partagé à un investisseur ou un client entreprise.
Quand pentester, à quelle fréquence
La règle que nous donnons à nos clients : un pentest complet avant la première signature entreprise sérieuse, puis un retest annuel + un retest à chaque release majeure qui touche l'authentification, les rôles, ou un nouveau module métier critique. Entre deux pentests, branchez un programme de bug bounty privé sur HackerOne ou Bugcrowd (5-15 chercheurs sur invitation) pour couvrir les régressions du quotidien.
Une fintech ivoirienne que nous accompagnons fait deux pentests par an plus bug bounty privé, budget annuel ~22 000 USD (13,5 M FCFA). C'est le ratio qui rassure leurs auditeurs CIMA.
Les pièges à éviter
Trois écueils que nous voyons systématiquement.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
D'abord, accepter un devis sans connaître le CV des pentesters affectés. Une agence vend de la marque, mais si le pentester est un junior 6 mois d'expérience, vous payez 15k USD pour un rapport médiocre. Exigez les profils nominatifs avant signature.
Ensuite, oublier le retest. Un pentest sans retest, c'est 70% de la valeur perdue. Les corrections faites à chaud par votre équipe contiennent presque toujours des régressions. Le retest les attrape.
Enfin, croire qu'un pentest remplace un programme sécurité continu. Un pentest est une photo à un instant T. Sans secrets management propre, revue de code, monitoring, et formation équipe, le pentest suivant remontera les mêmes familles de bugs.
FAQ
Combien de temps pour planifier un pentest depuis Dakar ?
Comptez 4 à 8 semaines entre la demande et le démarrage chez une boutique africaine, 8 à 12 semaines chez une agence internationale. Réservez tôt si vous avez une deadline audit.
Faut-il une assurance cyber avant un pentest ?
Non, mais le pentest sera demandé par votre assureur cyber dès que vous voudrez souscrire. C'est l'ordre logique : pentest, correctifs, puis souscription assurance.
Un freelance HackerOne suffit-il vs une agence ?
Pour un MVP en pre-seed, oui. Choisissez quelqu'un top 100 mondial sur le programme correspondant à votre stack. Au-delà du seed, un nom d'agence facilite les discussions avec les clients entreprise.
Que livre concrètement un pentest ?
Un rapport PDF (15-40 pages) avec exécutif, méthodologie, findings classés CVSS, preuves d'exploitation, recommandations, et idéalement une session de restitution avec votre tech. Plus un retest signé.
Discutons de votre pentest
Vous préparez un audit Mastercard, CIMA, BCEAO, ou une levée Série A où la due diligence sécurité va piquer ? On vous met en relation avec les bons pentesters et on cadre le scope avec vous. WhatsApp +221 77 596 93 33 ou /fr/devis-gratuit.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
