Pourquoi les e-commerces sont des cibles de choix
Une boutique en ligne expose en permanence une surface d'attaque large : un front (CMS + thème + extensions), un back-office d'administration, une base de données clients, une intégration de paiement, souvent une API mobile, et une myriade de modules tiers rarement à jour. Chaque module est une porte d'entrée potentielle.
Les motivations des attaquants sont directes : revente de bases clients, fraude au paiement, détournement de commandes, ransomware paralysant les ventes, ou skimming (injection de code qui vole les numéros de carte à la saisie, façon Magecart). Une journée de boutique à l'arrêt, c'est du chiffre d'affaires perdu et une fuite de données, c'est une sanction RGPD plus une crise de réputation.

Ce qu'on trouve concrètement en pentest e-commerce
Sur des missions réelles, voici les vulnérabilités qui reviennent le plus souvent :
- IDOR sur les commandes et comptes clients : en changeant un identifiant dans l'URL ou une requête, on accède aux factures, adresses et historiques d'autres clients. Fuite massive de données personnelles en quelques minutes.
- Manipulation de prix et de panier : prix négatifs, codes promo cumulables non prévus, quantités négatives qui créditent le compte, contournement des règles de remise côté client.
- Failles d'authentification : énumération de comptes, absence de limitation des tentatives (credential stuffing), réinitialisation de mot de passe cassée, sessions mal invalidées.
- Injections (SQL, XSS stockée dans les avis ou le back-office) qui mènent au vol de données ou à la compromission d'un administrateur.
- Tunnel de paiement : validation de commande côté serveur insuffisante, montant modifiable entre le panier et le PSP, webhooks de paiement non signés/vérifiables.
- Modules et CMS obsolètes : une extension Prestashop/Magento/WooCommerce vulnérable, et c'est tout le site qui tombe.

RGPD et paiement : ce n'est pas qu'une question technique
Dès que vous traitez des données clients, le RGPD vous impose des mesures de sécurité « appropriées » et une fuite non maîtrisée peut coûter très cher en sanction et en notification CNIL. Côté paiement, si vous manipulez des données de carte, la norme PCI-DSS entre en jeu (même partiellement quand vous déléguez à un PSP). Un pentest est la façon la plus concrète de démontrer que vous avez testé votre sécurité, et de négocier de meilleures conditions sur votre assurance cyber.
Comment se déroule un pentest e-commerce
La mission suit une démarche cadrée : cadrage du périmètre (front, back-office, API, paiement), reconnaissance de la surface exposée, exploitation contrôlée des vecteurs identifiés avec chaînage pour démontrer l'impact réel, puis rapport priorisé (résumé pour la direction + détail technique pour vos développeurs, avec preuves de concept et CVSS), et enfin restitution orale et accompagnement à la correction.
L'objectif n'est pas de vous noyer sous 200 alertes automatiques, mais de vous dire ce qui est réellement exploitable, quel impact business ça représente, et par quoi commencer.

Combien coûte un pentest e-commerce ?
Pour une boutique de PME, comptez en général entre 3 000 € et 8 000 € pour un test applicatif complet, selon la taille du périmètre (nombre de fonctionnalités, présence d'une API, complexité du tunnel de paiement). Un périmètre plus large ou une marque à fort trafic se situe au-dessus. Le devis est défini ensemble, sans surprise. Voir le détail des prix et variables →
Conclusion votre boutique mérite mieux qu'un scan automatique
Un scanner automatique trouve les vulnérabilités évidentes, c'est utile mais largement insuffisant pour un site e-commerce. Les failles qui coûtent vraiment cher IDOR sur les commandes, manipulation du tunnel de paiement, chaînage de vulnérabilités modules, exigent une analyse manuelle par un pentester qui comprend la logique métier de votre boutique. C'est exactement ce que fait HackHeart : un pentest manuel, ciblé sur ce qui rapporte vraiment du risque.
Pour aller plus loin, voir nos services sécurité offensive, audit de cybersécurité, et nos articles sur le coût d'un pentest, le pentest dans ISO 27001/NIS2/RGPD et ce que coûte vraiment une cyberattaque quand on a refusé l'audit.
Pentest applicatif sur Prestashop, Magento, WooCommerce, Shopify ou solution maison. Front + back-office + API + tunnel paiement. À partir de 3 000 € HT.