SaaSFort Un B2B SaaS en phase d’achat avancée lit le questionnaire de sécurité ligne par ligne. Question 47 : « Fournissez un audit de sécurité tiers récent de vos applications et infrastructures. » Le vendeur répond avec une formulation sur son système de scan en continu. L’acheteur rejette : « Nous exigeons un rapport de test d’intrusion, pas un scan. » Deux semaines d’échanges s’ensuivent. La transaction ne capotera pas, mais elle glisse d’un trimestre.
Cet article existe parce que « audit de sécurité tiers » est l’une des demandes d’achat les plus systématiquement ambiguës. Elle signifie généralement l’une de trois choses : un test d’intrusion, un scan de vulnérabilités ou une évaluation de surface d’attaque externe. Ces trois approches ne sont pas interchangeables, leurs coûts diffèrent, elles répondent à des questions différentes, et l’acheteur qui a rédigé le questionnaire ne précise souvent pas laquelle il veut. Voici la matrice de décision.
Ce que chacun est vraiment
Test d’intrusion (pentest)
Un exercice conduit par des humains, à périmètre limité et durée définie, où des testeurs qualifiés tentent de compromettre des systèmes ciblés en utilisant les mêmes techniques qu’un attaquant. Le livrable est un rapport narratif : périmètre, méthodologie, résultats (en général 5 à 30), niveaux de sévérité, démonstration d’exploitation et recommandations de remédiation. Coût en 2026 : EUR 8 000 à EUR 25 000 pour un périmètre B2B SaaS (1 à 2 semaines de tests, application web, API et rôles utilisateurs authentifiés). Cadence : annuelle pour les baselines SOC 2 et ISO 27001 ; trimestrielle pour les clients très réglementés.
Scan de vulnérabilités
Un exercice automatisé à large couverture où un scanner recense les faiblesses connues (composants avec CVE, correctifs manquants, configurations par défaut) sur une liste de cibles définie. Le livrable est une liste de résultats (souvent plusieurs centaines), dont la plupart sont marqués faibles ou informatifs, avec des scores CVSS et des références de correctifs. Coût en 2026 : EUR 50 à EUR 500 par mois pour les outils en libre-service (Tenable Nessus, Qualys, Rapid7) ; EUR 2 000 à EUR 8 000 pour des scans trimestriels gérés. Cadence : continu à mensuel.
External attack surface management (EASM)
Un exercice automatisé vue de l’extérieur où un scanner recense les actifs publiquement découvrables d’une organisation (domaines, sous-domaines, IP, certificats, services exposés) et contrôle chacun selon un référentiel de posture déterministe (configuration TLS, headers de sécurité, hygiène DNS, panneaux d’administration exposés, bibliothèques vulnérables détectables de l’extérieur). Le livrable est un rapport de posture noté et associé à des référentiels de conformité. Coût en 2026 : EUR 9 à EUR 200 par mois au niveau PME (SaaSFort démarre à EUR 9 par mois pour 1 domaine ; tarifs SaaSFort ici) ; les outils EASM enterprise comme SecurityScorecard ou Bitsight à partir de EUR 30 000 par an. Cadence : continu.
Les trois répondent à des questions différentes : le pentest répond à « quelqu’un peut-il me compromettre », le scan de vulnérabilités à « ai-je des faiblesses connues », l’EASM à « que voient les attaquants et les auditeurs depuis l’extérieur ».
Ce que veulent vraiment les acheteurs enterprise (et comment le savoir)
L’acheteur qui demande un audit de sécurité tiers a généralement l’une de ces trois intentions :
Intention A : réglementaire ou pilotée par l’audit (conformité SOC 2, ISO 27001 ou chaîne d’approvisionnement NIS2). Il veut une preuve dans son dossier d’achat que vous avez subi un test tiers. Souvent, les trois formats conviennent du moment qu’il vient d’un tiers (pas de votre équipe interne). Réponse la moins coûteuse : le rapport EASM.
Intention B : pilotée par le risque (son équipe InfoSec est techniquement pointue et examine les résultats). Elle veut voir de vraies vulnérabilités et la façon dont vous les corrigez. Un scan de vulnérabilités avec des milliers de résultats de faible sévérité n’impressionne pas ; un rapport de pentest avec 5 résultats critiques corrigés, si. Elle veut le pentest ou un scan de vulnérabilités authentifié en profondeur, pas simplement de l’EASM.
Intention C : vérification bilatérale (elle scannera elle-même votre domaine). De plus en plus, les grands acheteurs réalisent leur propre scan externe de votre domaine (avec Bitsight, SecurityScorecard ou des outils propriétaires) et comparent aux contrôles déclarés. La réponse est alors « oui, voici mon rapport EASM en continu, vous pouvez vérifier ». Le rapport EASM gagne car il démontre un monitoring continu, pas une photo à un instant T.
Le réflexe de clarification : demandez à l’acheteur « demandez-vous spécifiquement un test d’intrusion ou tout audit de sécurité tiers ». La moitié du temps, la réponse est « tout audit tiers » et la réponse EASM moins coûteuse est acceptée. L’autre moitié précise « pentest » et vous produisez le rapport le plus récent.
La matrice de décision
| Signal de l’acheteur | Intention probable | Meilleure réponse |
|---|---|---|
| « Fournissez un rapport de pentest récent » | Intention B (pilotée risque, évaluateur technique) | Rapport de pentest annuel, anonymisé si nécessaire |
| « Fournissez un audit de sécurité tiers » | Intention A (pilotée audit) | Rapport EASM (moins coûteux) ; pentest si disponible |
| « Fournissez la preuve d’un monitoring de sécurité externe continu » | Intention C (pilotée vérification) | Rapport EASM avec cadence mensuelle ; abandonnez les réponses annuelles uniquement |
| « Fournissez votre rapport SOC 2 ou ISO 27001 » | Pilotée audit, référentiel spécifique | SOC 2 ou ISO 27001 (hors périmètre de cet article) ; le rapport EASM le complète |
| « Listez votre SLA de remédiation CVE et votre dernier scan de vulnérabilités » | Intention B (évaluateur DevSecOps) | Résultat de scan de vulnérabilités interne et preuve de cadence mensuelle |
| « Exécutez un rating Bitsight ou SecurityScorecard » | Intention C (EASM côté acheteur) | Rapport EASM sur votre domaine ; corrigez les écarts avant que l’acheteur ne vous scanne |
Réalité des coûts et cadences
Pour un B2B SaaS de 20 à 200 salariés avec un mix d’acheteurs varié :
- Pentest : EUR 8 000 à EUR 25 000, annuel. Certains acheteurs demandent une cadence trimestrielle pour les clients très réglementés, ce qui donne EUR 32 000 à EUR 100 000 par an si vous acceptez la fréquence sans négocier.
- Scan de vulnérabilités : EUR 50 à EUR 500 par mois pour les outils en libre-service. La plupart des B2B SaaS exécutent cela en interne et produisent le résultat à la demande.
- EASM : EUR 9 à EUR 200 par mois au niveau PME ; EASM enterprise à partir de EUR 30 000 par an.
La stack efficace en coûts pour un B2B SaaS au niveau PME :
- EASM en continu (SaaSFort ou équivalent), base de référence mensuelle
- Scan de vulnérabilités interne trimestriel avec remédiation documentée
- Pentest annuel (un engagement par an, périmètre limité aux surfaces les plus exposées)
Total : EUR 12 000 à EUR 28 000 par an pour une posture crédible à trois couches, suffisante pour répondre à presque toute demande d’acheteur.
La place de SaaSFort
SaaSFort est la couche EASM de la stack à trois couches. Le scan exécute 66 contrôles externes sur 25 catégories en 60 secondes, produit une note de A à F, et associe chaque résultat à NIS2 Article 21, ISO 27001 Annexe A et aux Trust Services Criteria de SOC 2.
Ce que SaaSFort n’est PAS : un substitut au pentest (nous ne pouvons pas modéliser un adversaire authentifié tentant une élévation de privilèges dans la logique applicative) et pas un substitut à un scan de vulnérabilités authentifié contre des systèmes internes (nous scannons uniquement ce qui est visible de l’extérieur).
Ce que SaaSFort EST : la réponse la moins coûteuse crédible pour les acheteurs à Intention A, la preuve de monitoring continu pour les acheteurs à Intention C, et la base de référence qui rend votre pentest annuel plus ciblé (le testeur ne perd pas de temps sur les faiblesses TLS ou DMARC que vous avez déjà corrigées). Lancez un scan gratuit pour établir la baseline de votre domaine en 60 secondes.
Questions fréquentes
Un scan SaaSFort peut-il remplacer un rapport SOC 2 Type II ?
Non. SOC 2 Type II est une attestation de référentiel de contrôles couvrant des processus internes sur une période d’observation de 6 à 12 mois. SaaSFort est une preuve de posture externe. Les acheteurs qui demandent SOC 2 demandent SOC 2, pas un scan.
Mon testeur d’intrusion a manqué quelque chose qu’un scan de vulnérabilités aurait détecté. Pourquoi ?
Les testeurs d’intrusion priorisent les chemins d’exploitation à fort impact dans le temps imparti. Ils n’exécuteront pas une énumération CVE exhaustive si leur périmètre est « tester l’API pour détecter des contournements d’autorisation ». Un scan de vulnérabilités complète le pentest en couvrant l’étendue là où le pentest va en profondeur. Exécutez les deux.
Ai-je besoin d’EASM si j’ai un pentest annuel ?
Si votre mix d’acheteurs est à Intention A ou C (ce qui correspond à la plupart des B2B SaaS en 2026), oui. Le pentest annuel répond aux questions à Intention B mais constitue une preuve à un instant T ; les acheteurs veulent de plus en plus une preuve de monitoring continu. L’EASM fournit la couche continue à faible coût.
Qu’en est-il des exercices red team ou purple team ?
Hors périmètre de cet article. Ce sont des exercices avancés au-delà d’un pentest standard, généralement demandés uniquement par des acheteurs enterprise Tier 1 dans des secteurs très réglementés. Si on vous le demande, traitez-le comme un projet distinct piloté par l’achat, pas comme faisant partie de la stack à trois couches standard.
Mon acheteur a réalisé un scan Bitsight sur nous et la note est plus basse que ma note SaaSFort. Laquelle est juste ?
Les deux sont justes ; elles mesurent des choses différentes. Les ratings Bitsight sont pondérés par comparaison sectorielle et une formule de scoring propriétaire ; les notes SaaSFort sont déterministes de A à F basées sur une liste de contrôles transparente. Traitez les résultats sous-jacents plutôt que la différence de scoring : la plupart des écarts qui affectent le rating Bitsight affectent également la note SaaSFort, et les corriger améliore les deux.
À quelle fréquence dois-je relancer un scan EASM ?
En continu si votre stack évolue souvent (déploiements hebdomadaires, sous-domaines fréquents). Mensuelle pour une infrastructure stable. Annuelle est trop peu fréquente en 2026, car le scanning côté acheteur tourne en mensuel à hebdomadaire et tout écart ouvre une conversation sur les incohérences.
En résumé
Les acheteurs enterprise demandent un « audit de sécurité tiers » et veulent dire trois choses différentes. La stratégie efficace en B2B SaaS est une stack à trois couches : EASM en continu comme base de référence (coût le plus faible, cadence la plus haute, couverture des référentiels la plus large), scans de vulnérabilités internes trimestriels, et pentest annuel pour la couche d’exploitation en profondeur. Omettre la couche EASM est l’erreur la plus fréquente en 2026 car son coût est quasi nul par rapport aux transactions qu’elle débloque.
Lancez un scan SaaSFort gratuit sur votre domaine pour voir la couche EASM en 60 secondes. Le PDF est l’artefact que vous joignez au questionnaire acheteur quand « audit de sécurité tiers » signifie Intention A. Tarifs à partir de EUR 9 par mois pour un scanning mensuel continu à un coût où le calcul build-vs-buy ne s’impose pas.
Dalla lettura all'azione
Scansionate il vostro dominio gratuitamente. Primi risultati in meno di 10 secondi — senza registrazione.