Comparaison des fournisseurs Suisse
Fournisseurs de tests de pénétration en Suisse : guide 2026
Les entreprises suisses font face à plus de 30 prestataires de tests de pénétration sur le marché, du consultant solo aux Big Four. La qualité varie largement, les prix vont de un à dix, et seule une fraction répond aux exigences des institutions régulées FINMA ou des tests TIBER-CH.
Comment choisir un prestataire de tests de pénétration en Suisse ?
Quatre critères déterminent si un prestataire suisse est qualifié. Premièrement, une accréditation CREST au niveau entreprise et des certifications CREST CRT ou CCT pour les testeurs effectivement engagés. Deuxièmement, une méthodologie communiquée ouvertement basée sur l'OWASP Testing Guide, OWASP ASVS, PTES et NIST SP 800-115. Troisièmement, une tarification transparente avec taux journaliers définis et forfaits par périmètre, plutôt que des devis flous sur demande. Quatrièmement, une expérience sectorielle dans votre environnement réglementaire, documentée par des références, l'expérience d'annexe d'audit et des mappings de conformité démontrables sur la Circulaire FINMA 2023/1, l'ISO 27001 ou TIBER-CH. Les prestataires manquant deux critères ou plus livrent typiquement des rapports superficiels sans traçabilité d'audit défendable.
Six critères pour choisir un prestataire
Certification entreprise
L'accréditation CREST au niveau entreprise est le standard international. Pour les tests conformes TIBER-CH, CREST est typiquement un prérequis. Une ISO 27001 du prestataire lui-même montre que la sécurité interne est prise au sérieux.
Certifications testeurs
Au niveau individuel : OSCP, OSCE, OSWE, CREST CRT, CREST CCT, GPEN. Confirmez que les testeurs travaillant sur votre projet détiennent ces certifications, et pas uniquement l'entreprise.
Méthodologie
Les prestataires sérieux publient leur méthodologie : OWASP Testing Guide, OWASP ASVS pour les applications web, OWASP API Security Top 10 pour les API, PTES pour l'infrastructure, NIST SP 800-115 comme cadre global.
Transparence tarifaire
Évitez les prestataires qui ne proposent que des devis sur demande. Les prestataires sérieux publient des fourchettes par type de test. Un pentest web app sous CHF 6'000 est suspect ; au-dessus de CHF 25'000 requiert une justification plausible.
Expérience sectorielle et conformité
Pour les institutions régulées FINMA, les prestataires santé et les infrastructures critiques, l'expérience sectorielle n'est pas optionnelle. Demandez des exemples d'annexes d'audit et de mappings de conformité.
Qualité du reporting
Demandez un rapport exemple. Un bon rapport contient un management summary, des findings notés CVSS, des preuves de concept, une analyse d'impact métier et une remédiation priorisée. Les rapports purement issus d'outils se reconnaissent à plus de 200 pages sans structure narrative.
Fourchettes de prix des tests de pénétration en Suisse 2026
| Type de test | Prix | Durée |
|---|---|---|
| Pentest Web Application | CHF 8'000 – 15'000 | 5 – 10 jours |
| Infrastructure externe | CHF 10'000 – 20'000 | 5 – 10 jours |
| Infrastructure interne | CHF 12'000 – 25'000 | 5 – 15 jours |
| Application mobile (iOS / Android) | CHF 10'000 – 18'000 | 5 – 10 jours |
| Évaluation de sécurité API | CHF 8'000 – 15'000 | 5 – 10 jours |
| Évaluation Wireless | CHF 8'000 – 14'000 | 5 jours |
| Red Teaming (complet) | CHF 40'000 – 150'000 | 4 – 8 semaines |
Trois drapeaux rouges qui révèlent des prestataires faibles
Taux journaliers sous CHF 1'500 sans explication. Les testeurs certifiés CREST expérimentés en Suisse facturent typiquement CHF 1'800 à CHF 2'500 par jour. Des taux significativement plus bas indiquent du personnel junior ou une livraison offshore.
Pas de rapports exemples disponibles. Les prestataires établis ont des exemples anonymisés ou au moins des aperçus de tables des matières. "Nous ne pouvons pas partager pour des raisons de confidentialité" est plausible uniquement si un modèle ou un schéma structurel peut être montré.
Outils plutôt que méthodologie. Quand un prestataire parle principalement d'outils (Burp, Nessus, Metasploit) plutôt que de méthodologie (OWASP, PTES, MITRE ATT&CK), l'engagement est probablement piloté par scans, sans profondeur manuelle.
Questions fréquentes sur la sélection des prestataires
Réponses aux questions que les responsables sécurité suisses posent le plus souvent lors de la sélection d'un prestataire.
Combien de prestataires accrédités CREST y a-t-il en Suisse ?
En 2026, seuls une poignée de prestataires suisses détiennent une accréditation CREST au niveau entreprise. RedTeam Partners fait partie des rares prestataires accrédités CREST en Suisse alémanique. CREST publie la liste actuelle sur crest-approved.org.
En quoi les prestataires suisses diffèrent-ils des étrangers ?
Les prestataires suisses offrent trois avantages : familiarité avec la nLPD, les circulaires FINMA et TIBER-CH ; disponibilité sur site pour les tests d'infrastructure interne ; et résidence des données en Suisse, souvent un prérequis réglementaire. Les prestataires étrangers sont typiquement moins chers mais échouent sur la résidence et la conformité.
Quelle différence entre CREST et ISO 27001 pour un prestataire pentest ?
CREST certifie le service de sécurité offensive lui-même (méthodologie, qualification des testeurs, standards de reporting). ISO 27001 certifie le système de management de la sécurité de l'information du prestataire (processus internes, protection des données). Un prestataire sérieux détient les deux.
Faut-il garder le même prestataire chaque année ?
Recommandation : rotation tous les 2 à 3 ans pour éviter les angles morts. Les tests récurrents peuvent rester chez le même prestataire pour la cohérence, mais au moins un audit majeur par cycle devrait être effectué par un second prestataire.
Les petits prestataires peuvent-ils faire un travail aussi bon que les grands ?
Oui, souvent meilleur. Les testeurs CREST CCT solo et les petits prestataires boutique ont fréquemment une expertise technique plus profonde que les Big Four, où le test réel est délégué à du personnel junior. La qualification individuelle du testeur compte plus que la taille de la firme.
Combien de prestataires faut-il comparer lors de la sélection ?
Trois est optimal : un comme ancre prix, un comme ancre qualité (prestataire CREST établi), un comme spécialiste sectoriel. Au-delà de cinq, la comparaison devient floue. Faites cadrer le même document par les trois pour garder les propositions comparables.
Du weisst nicht, was Angreifer in deinem Netzwerk sehen. Wir schon.
30 Minuten. Ein CREST-zertifizierter Offensive-Experte zeigt dir, wo dein grösstes Risiko liegt. Kostenlos. Ohne Verpflichtung. Nur Fakten.
Kein Verkaufsgespräch — nur Erkenntnisse, die du morgen umsetzen kannst
30-Minuten-Videocall mit einem CREST-zertifizierten Offensive-Experten
Analyse basierend auf deiner tatsächlichen Infrastruktur, kein generisches Template
Kostenlose Analyse buchen
Drei kurze Fragen. Dann zeigen wir dir, wo du verwundbar bist.
Erhalten.
Wir melden uns innerhalb von 24 Stunden.