Service · À partir de 290 € HT / mois

Maintenance & sécurité d'application web

Votre application .NET, Next.js ou WordPress n'est pas un meuble : elle vieillit, et une app non maintenue finit toujours par tomber ou se faire pirater. Forfaits TMA à partir de 290 €/mois, audits sécurité OWASP, monitoring 24/7, backups testés, plans de reprise. Freelance à Strasbourg, 15 ans d'expérience.
Dès 290 € HT / moisMonitoring 24/7Audit OWASP Top 10Backups testés mensuellement

Pourquoi la maintenance applicative n'est pas un luxe

Une application web en production, c'est comme une voiture : elle roule tant qu'on ne regarde pas le moteur, et un jour elle tombe en panne sur autoroute. Trois choses font tomber une app sans maintenance :

  • Les failles de sécurité: une dépendance npm ou NuGet sur 10 a une CVE connue dans l'année. Un WordPress non mis à jour est piraté en moyenne 6 mois après la dernière update. Les bots scannent Internet en permanence.
  • Les incompatibilités: Node.js 20 passe en fin de support, .NET 6 aussi, votre OS aussi. Sans upgrade régulière, un jour vous êtes coincé sur une version qui n'a plus de patches de sécurité et qui bloque toute évolution.
  • Les petits bugs qui deviennent gros : un bug qui commence par gêner 1 utilisateur par semaine finit par bloquer un workflow métier critique. Détecté tôt, il coûte 30 min. Laissé 6 mois, il coûte 2 jours de dev et des clients partis.

Les 3 formules de maintenance que je propose

Essentiel · 290 € HT / mois

  • Monitoring uptime 24/7 + alertes automatiques si incident
  • Mises à jour sécurité OS et dépendances (mensuelles)
  • Backups automatiques quotidiens, rétention 90 jours
  • 1 heure d'interventions incluses par mois
  • SLA réponse : 4h ouvrées (9h-18h du lundi au vendredi)
  • Rapport mensuel : ce qui a été fait, vulnérabilités détectées

Pour qui : site vitrine, petit SaaS, app interne peu critique. Environ 80 % de mes clients PME sont sur ce forfait.

Standard · 590 € HT / mois

  • Tout Essentiel +
  • 3 heures d'interventions incluses par mois
  • SLA réponse : 2h ouvrées
  • Audit trimestriel léger (sécurité, performance, SEO)
  • Test de restauration backup trimestriel
  • Code review et refactor opportuniste

Pour qui : application métier en prod, e-commerce, SaaS B2B avec clients réguliers.

Premium · 1 190 € HT / mois

  • Tout Standard +
  • 8 heures d'interventions incluses par mois
  • SLA réponse : 1h ouvrées, 2h hors ouvrées
  • Astreinte téléphonique 24/7 incluse
  • Audit sécurité mensuel approfondi
  • Plan de reprise d'activité (PRA) documenté et testé annuellement
  • Test de restauration mensuel
  • Gestion des accréditations et rotation des secrets

Pour qui :app critique à fort CA, e-commerce 1M€+, application métier qui bloque l'activité si elle tombe.

L'audit de sécurité : ce que je regarde concrètement

Au-delà des forfaits TMA, j'interviens ponctuellement pour des audits de sécurité d'applications existantes. Durée 3 à 10 jours selon périmètre, 2 500 à 7 500 € HT. Voici ce que je passe au crible (checklist OWASP + ma liste personnelle) :

  • Injections (SQL, NoSQL, LDAP, OS): je tente manuellement et j'automatise avec sqlmap/OWASP ZAP sur tous les champs exposés
  • Authentification et gestion de session : force des mots de passe, timeout session, tokens JWT bien signés, reset password sécurisé, 2FA disponible
  • Contrôles d'accès (IDOR, privilege escalation): un utilisateur peut-il accéder à des données qu'il ne devrait pas en modifiant juste un ID dans l'URL ?
  • XSS, CSRF: toutes les entrées échappées, tokens CSRF sur toutes les actions d'écriture
  • Exposition de données sensibles : headers, logs, backups, erreurs verbeuses, fichiers .env/.git/.bak accessibles
  • Configuration serveur : headers sécurité (CSP, HSTS, X-Frame-Options), TLS 1.3, ports ouverts inutiles, bannières logicielles exposées
  • Dépendances vulnérables : npm audit, dotnet list package --vulnerable, retire.js, ggshield pour les secrets
  • Logging et monitoring: les tentatives d'attaque sont-elles tracées ? Y a-t-il une alerte si pattern suspect ?

Ce que je ne fais pas

Pour être clair sur mes limites :

  • Pentest avec exploitation : je détecte les failles, je ne les exploite pas à fond. Pour ça, passez par un cabinet spécialisé avec certification PASSI.
  • Certification ISO 27001 / SOC 2: je vous aide à mettre en place des bonnes pratiques qui vont dans le sens de ces normes, mais l'audit de certification se fait par un organisme agréé.
  • Gestion de crise cyber (ransomware en cours): appelez l'ANSSI (cybermalveillance.gouv.fr) ou un CERT spécialisé. Je peux aider à la remédiation après la stabilisation.
  • Tierce maintenance "au kilomètre" : je ne maintiens pas 50 apps en parallèle en mode low-cost. Je préfère maintenir 8-12 apps correctement.

Cas concret : reprise d'une app .NET abandonnée

Février 2026, un client appelle : son app métier .NET Framework 4.8, en production depuis 2016, a été développée par un dev parti à la retraite. Plus personne ne la touche depuis 2 ans. Les utilisateurs se plaignent de lenteurs, de bugs intermittents. L'app tombe 2-3 fois par mois.

Audit (3 jours, 2 100 €) : trois endpoints avec des string.Format dans des requêtes SQL (injection triviale en 3 min), certificat SSL self-signed accepté en prod depuis 2019, logs en clair avec mots de passe utilisateurs, aucun backup depuis 11 mois (le script cron était cassé et personne ne surveillait).

Plan de remédiation : 8 jours de dev pour corriger les failles critiques, 3 jours pour mettre en place monitoring + backups testés. Total 7 700 € HT, réalisé en 3 semaines. Ensuite passage en TMA Standard à 590 €/mois. Zéro incident depuis 2 mois, zéro ralentissement signalé. L'app est stable pour 3-5 ans supplémentaires avant sa refonte.

Pourquoi un freelance plutôt qu'une SSII ?

  • Vous parlez à celui qui intervient. Pas de ticket qui rebondit entre 4 personnes avant d'être traité.
  • Tarifs 30 à 50 % inférieurs à une SSII équivalente (pas de marge back-office, pas de commerciaux).
  • Reporting honnête: rapport mensuel avec ce qui a été fait, ce qui n'a pas été fait, et pourquoi. Pas d'enfumage.
  • Engagement réaliste : je dis non aux clients quand je suis déjà surbooké, plutôt que de sous-traiter à des gens que je ne contrôle pas.

Questions fréquentes

C'est quoi concrètement une TMA ?

TMA = Tierce Maintenance Applicative. En clair : vous avez une application en production, je la maintiens en état de marche pour vous. Ça couvre quatre choses : corrections de bugs bloquants, mises à jour de sécurité (OS, frameworks, dépendances), petites évolutions fonctionnelles (au temps passé ou au forfait), monitoring et réactivité en cas d'incident. Je ne fais pas de 'maintenance fantôme' : je vous envoie un rapport mensuel avec tout ce qui a été fait, même quand il ne s'est 'rien passé'.

Combien coûte vraiment une maintenance ?

Forfait Essentiel (290 € HT/mois) : monitoring 24/7, mises à jour sécurité OS/deps, backups automatiques, 1h d'interventions garanties par mois, SLA réponse 4h ouvrées. Forfait Standard (590 €/mois) : tout ça + 3h garanties + SLA 2h + audit trimestriel. Forfait Premium (1 190 €/mois) : 8h garanties + SLA 1h + astreinte hors ouvrables + audit mensuel + plan de reprise testé annuellement. Au-delà, on passe sur du forfait sur mesure ou du TJM.

Pourquoi pas juste attendre qu'il y ait un problème ?

Parce que les failles de sécurité et les pannes ne préviennent pas, et parce que la réparation d'urgence coûte 5 à 10 fois plus cher qu'une maintenance préventive. J'ai vu un client perdre 3 jours de CA parce que son certificat SSL avait expiré un samedi matin, personne ne surveillait. Coût de la crise : 14 000 € de CA perdu + 2 100 € de mon intervention en urgence. Coût d'un forfait maintenance à 290 €/mois : 3 480 €/an. Faites le calcul.

Vous maintenez aussi les sites WordPress ?

Oui, même si ce n'est pas ma stack préférée (on le dit clairement). Je maintiens les WordPress existants des clients : updates core et plugins sécurisées (jamais en 1 clic, toujours avec backup avant), nettoyage des plugins douteux, durcissement (2FA admin, firewall Wordfence/CleanTalk, blocage XML-RPC), monitoring uptime. Si votre site WordPress est régulièrement piraté, je vous propose une migration vers .NET ou Next.js : coût initial plus élevé, mais plus jamais de piratage à gérer.

Qu'est-ce qu'un audit de sécurité exactement ?

Audit basé sur l'OWASP Top 10 et sur ma liste de contrôle (250 points). Je vérifie : injections SQL/XSS, authentification et sessions, CSRF, exposition de données sensibles, logging, contrôles d'accès, configuration serveur, dépendances vulnérables, secrets hardcodés, erreurs verbeuses. Livrable : rapport détaillé avec chaque vulnérabilité notée par criticité (bloquante / majeure / mineure), et plan d'action chiffré. Durée 3 à 10 jours selon périmètre, 2 500 à 7 500 € HT.

Mes backups sont sécurisés si vous intervenez ?

Je mets en place la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site (chez un autre hébergeur ou cloud). Backups automatisés quotidiens + hebdomadaires + mensuels. Rétention minimum 90 jours. Et surtout : je les teste. Un backup qui n'est jamais restauré est un backup mort. Je fais un test de restauration complet tous les mois sur environnement isolé, et je vous envoie le rapport. C'est le détail où 95 % des hébergeurs se plantent.

Plan de reprise d'activité (PRA), c'est compris ?

Sur le forfait Premium, oui. PRA = document technique précis qui décrit, scénario par scénario, comment remonter votre app en cas d'incident : serveur HS, datacenter coupé, ransomware, base de données corrompue, suppression malencontreuse. RTO (temps de reprise) et RPO (perte de données max acceptable) définis avec vous. Test annuel du PRA en conditions réelles sur un environnement cloné.

Je ne vous ai pas développé mon app, vous pouvez quand même la maintenir ?

Oui, à condition que le code soit accessible et dans un état raisonnable. Je démarre toujours par un audit technique (1-3 jours, 700 à 2 100 €) qui vérifie : architecture, qualité du code, dépendances, sécurité, backups, documentation. Je vous dis honnêtement si la reprise est faisable, à quel coût, et s'il y a des risques. Parfois la meilleure décision c'est une refonte progressive plutôt qu'une maintenance de code spaghetti.

Et si j'ai un incident à 23h un samedi ? Vous êtes joignable ?

Forfait Essentiel : email / ticket, réponse en 4h ouvrées (lundi matin si incident le samedi). Forfait Standard : 2h ouvrées. Forfait Premium : astreinte téléphonique 24/7 incluse, SLA 1h en heures ouvrées, 2h hors. Je fixe les astreintes avec préavis et je communique clairement qui décroche le téléphone (moi, sauf 4 semaines de congés/an où c'est un confrère de confiance backup).

Votre app est en prod sans vrai filet de sécurité ?

Audit express 30 min offert. On regarde ensemble où sont les risques concrets sur votre application.

Demander un audit gratuit