Prix d'un audit de smart contract : guide tarifaire 2026

La question la plus fréquente sur un premier appel, c'est une variante de « combien coûte un audit de smart contract ? ». La réponse honnête : à partir de 5 000 $ pour une mission cadrée et limitée, jusqu'à 80 000 $ ou plus pour des protocoles plus larges ou plus novateurs, et la variance dans cette plage s'explique. Cet article détaille comment les firmes d'audit sérieuses cadrent leur prix, pourquoi un devis low-cost est rarement bon marché, et comment cadrer votre besoin pour que le chiffre que vous recevez soit le chiffre que vous payez.

Les axes de prix qui comptent

Un auditeur senior qui vous donne un prix en cinq minutes fonctionne soit à l'intuition, soit avec un chiffre templaté. Le vrai cadrage regarde cinq axes :

1. Lignes de Solidity / Vyper / Cairo dans le périmètre. Pas le total : le périmètre. Un repo de 4 000 LOC dont vous ne livrez que 800 lignes nouvelles se re-cadre en conséquence.
2. Nouveauté du design. Un coffre qui wrap une stratégie de yield connue s'audite plus vite qu'un AMM custom avec une courbe nouvelle. La nouveauté empêche l'auditeur de s'appuyer sur du pattern-matching antérieur.
3. Nombre d'intégrations externes. Chaque contrat externe que votre code appelle est une nouvelle surface d'attaque. Oracles, bridges, marchés de prêt, gouvernance : chacun ajoute du temps de revue.
4. Complexité d'upgrade et d'access control. Proxies, timelocks, modules de gouvernance, rôles privilégiés : l'effort de revue se cumule. Une seule fonction owner-only est triviale ; un protocole permissionné à 12 rôles avec accès conditionnel ne l'est pas.
5. Scope du re-audit. La plupart des audits incluent un re-audit après corrections. Plusieurs tours, ou des correctifs qui touchent une large surface, peuvent étendre la mission.

Quand on envoie une proposition à prix fixe, ces cinq inputs sont visibles dans le calcul. Pas de surprise au taux horaire ensuite.

Où vit le prix

Plages indicatives 2026 que l'on observe sur le marché chez les firmes crédibles :

• 5 k$–15 k$ : Bas du marché. Quasi toujours un petit périmètre (un seul contrat, pattern bien compris) ou une revue junior pilotée par les outils, marketée comme un audit. Utile comme sanity check, pas comme l'audit qui sécurise un mainnet.
• 15 k$–40 k$ : La plage mid-market typique. Senior-led, 2 à 3 semaines, rapport complet, re-audit. La plupart des coffres DeFi, mints NFT et petits protocoles tombent ici.
• 40 k$–80 k$ : Protocoles plus larges ou plus novateurs. Plusieurs auditeurs, mission plus longue, threat modeling plus profond.
• 80 k$+ : Marchés de prêt, perpetuals, gros systèmes de gouvernance, cryptographie nouvelle. Multi-semaines, multi-auditeurs, souvent couplé à une compétition publique (Code4rena, Sherlock) et un bug bounty.

Les chiffres en dessous du plancher de ces plages doivent vous faire réfléchir. Le coût d'une reentrancy, oracle manipulation ou access control ratée, c'est le TVL du protocole, pas l'écart de prix entre deux auditeurs.

Pourquoi le devis low-cost est rarement bon marché

Trois patterns que l'on voit dans les devis cassés :

1. « Audits » pilotés par les outils. Un run Slither + Mythril est un point de départ, pas un livrable. Les auditeurs seniors utilisent les mêmes outils, mais la valeur qu'ils ajoutent c'est de lire chaque ligne du périmètre manuellement avec la logique économique du protocole en tête. Si le rapport ressemble à un dump d'outil, vous avez payé pour un dump d'outil.
2. Staffing 100 % junior. Les rapports d'audit ont des lignes d'auteurs. Si les noms listés sont tous juniors, la firme a tarifé pour du débit junior. Les yeux seniors attrapent les patterns que le pattern-matching ne voit pas.
3. Pas de re-audit. L'audit que vous publiez est l'audit post-correctif, pas l'audit des findings initiaux. Si la mission ne ré-audite pas le code modifié, vous publiez des findings sur un état qui n'existe plus, et vous livrez un delta que personne n'a relu.

Le checklist d'audit de smart contract qu'on a écrit détaille à quoi ressemble un scope statement crédible, utile pour comparer toute proposition entrante.

Trois questions à poser avant de signer

Trois questions concrètes à mettre sur la table de toute firme d'audit :

1. Montrez-moi un rapport récent sur un protocole similaire. Le rapport est le livrable. Lisez la qualité d'écriture, la profondeur des descriptions de findings, et la section re-audit post-correctif.
2. Qui travaillera concrètement sur cette mission ? Les auditeurs seniors sont la valeur. Du junior plus de l'outillage, ce n'est pas ce que vous payez.
3. Qu'est-ce qui est inclus au-delà de la revue initiale ? Périmètre du re-audit, résumé public publiable, communication pendant la mission, support post-mission : confirmez par écrit.

Le pentest de conformité se tarifie différemment

Si vous avez besoin d'un pentest Web3 pour la conformité MiCA, DORA ou PSAN, la logique de prix change. Le livrable n'est pas seulement les findings : c'est une méthodologie documentée, une lettre d'attestation que votre superviseur (AMF, ACPR, ou autorité nationale) peut exploiter, et une cadence de re-test défendable. Cela ajoute 20 à 40 % au scope d'un pentest standard sur la même surface, mais cela remplace un workstream conformité séparé qui vous coûterait des semaines d'effort interne.

Cadrer votre besoin

Quand vous nous écrivez, les informations qui nous permettent d'envoyer une proposition à prix fixe en 24-48 h sont :

• Un commit hash et la liste des contrats dans le périmètre.
• La (les) chaîne(s) et un brief design ou whitepaper.
• La liste des dépendances externes (oracles, bridges, autres protocoles).
• Votre date de mise en production cible et toute échéance réglementaire.

Avec ça, réservez un appel de cadrage et vous avez un chiffre, par écrit, dans la semaine.

Ce que cet article n'est pas

C'est un guide, pas une grille tarifaire. Chaque protocole est différent, et l'audit le moins cher crédible pour votre protocole peut être en haut ou en bas de la plage typique selon les cinq axes ci-dessus. L'objectif de ce papier, c'est de montrer que le chiffre n'est pas arbitraire, et que tout auditeur qui refuse de dérouler le calcul avec vous ne devrait pas faire de la revue adversariale sur votre code.