Service · Devis personnalisé sous 48 h

Maintenance & sécurité d'application web

Votre application .NET, Next.js ou WordPress n'est pas un meuble : elle vieillit, et une app non maintenue finit toujours par tomber ou se faire pirater. Forfaits TMA, audits sécurité OWASP, monitoring 24/7, backups testés, plans de reprise. Freelance à Strasbourg, 15 ans d'expérience.
Devis sous 48 hMonitoring 24/7Audit OWASP Top 10Backups testés mensuellement

Pourquoi la maintenance applicative n'est pas un luxe

Une application web en production, c'est comme une voiture : elle roule tant qu'on ne regarde pas le moteur, et un jour elle tombe en panne sur autoroute. Trois choses font tomber une app sans maintenance :

1 dépendance / 10
Les failles de sécurité
Une dépendance npm ou NuGet sur 10 a une CVE connue dans l'année. Un WordPress non mis à jour est piraté en moyenne 6 mois après la dernière update. Les bots scannent Internet en permanence.
Fin de support
Les incompatibilités
Node.js 20 passe en fin de support, .NET 6 aussi, votre OS aussi. Sans upgrade régulière, vous êtes coincé sur une version sans patches qui bloque toute évolution.
Effet boule de neige
Les petits bugs qui grossissent
Un bug qui gêne 1 utilisateur / semaine finit par bloquer un workflow métier critique. Détecté tôt, il coûte 30 min. Laissé 6 mois, 2 jours de dev et des clients partis.

Le budget de la maintenance

Le budget final dépend du périmètre exact — criticité de l'application, volume d'interventions garanti, SLA de réponse, astreinte — que je devise sur mesure, gratuitement, sous 48 h après notre échange. Voir ma grille tarifaire complète sur la page Tarifs.

L'audit de sécurité : ce que je regarde concrètement

Au-delà des forfaits TMA, j'interviens ponctuellement pour des audits de sécurité d'applications existantes. Voici ce que je passe au crible (checklist OWASP + ma liste personnelle) :

  • Injections (SQL, NoSQL, LDAP, OS): je tente manuellement et j'automatise avec sqlmap/OWASP ZAP sur tous les champs exposés
  • Authentification et gestion de session : force des mots de passe, timeout session, tokens JWT bien signés, reset password sécurisé, 2FA disponible
  • Contrôles d'accès (IDOR, privilege escalation): un utilisateur peut-il accéder à des données qu'il ne devrait pas en modifiant juste un ID dans l'URL ?
  • XSS, CSRF: toutes les entrées échappées, tokens CSRF sur toutes les actions d'écriture
  • Exposition de données sensibles : headers, logs, backups, erreurs verbeuses, fichiers .env/.git/.bak accessibles
  • Configuration serveur : headers sécurité (CSP, HSTS, X-Frame-Options), TLS 1.3, ports ouverts inutiles, bannières logicielles exposées
  • Dépendances vulnérables : npm audit, dotnet list package --vulnerable, retire.js, ggshield pour les secrets
  • Logging et monitoring: les tentatives d'attaque sont-elles tracées ? Y a-t-il une alerte si pattern suspect ?

Ce que je ne fais pas

Pour être clair sur mes limites :

  • Pentest avec exploitation : je détecte les failles, je ne les exploite pas à fond. Pour ça, passez par un cabinet spécialisé avec certification PASSI.
  • Certification ISO 27001 / SOC 2: je vous aide à mettre en place des bonnes pratiques qui vont dans le sens de ces normes, mais l'audit de certification se fait par un organisme agréé.
  • Gestion de crise cyber (ransomware en cours): appelez l'ANSSI (cybermalveillance.gouv.fr) ou un CERT spécialisé. Je peux aider à la remédiation après la stabilisation.
  • Tierce maintenance "au kilomètre" : je ne maintiens pas 50 apps en parallèle en mode low-cost. Je préfère maintenir 8-12 apps correctement.

Cas concret : reprise d'une app .NET abandonnée

Février 2026, un client appelle : son app métier .NET Framework 4.8, en production depuis 2016, a été développée par un dev parti à la retraite. Plus personne ne la touche depuis 2 ans. Les utilisateurs se plaignent de lenteurs, de bugs intermittents. L'app tombe 2-3 fois par mois.

Audit (3 jours, devisé sur mesure) : trois endpoints avec des string.Format dans des requêtes SQL (injection triviale en 3 min), certificat SSL self-signed accepté en prod depuis 2019, logs en clair avec mots de passe utilisateurs, aucun backup depuis 11 mois (le script cron était cassé et personne ne surveillait).

Plan de remédiation : 8 jours de dev pour corriger les failles critiques, 3 jours pour mettre en place monitoring + backups testés, réalisé en 3 semaines. Ensuite passage en TMA Standard (forfait mensuel devisé selon volume). Zéro incident depuis 2 mois, zéro ralentissement signalé. L'app est stable pour 3-5 ans supplémentaires avant sa refonte.

Pourquoi un freelance plutôt qu'une SSII ?

Vous parlez à celui qui intervient
Pas de ticket qui rebondit entre 4 personnes avant d'être traité. Pas de chef de projet intermédiaire.
Tarifs 30 à 50 % inférieurs
Pas de marge back-office, pas de commerciaux. Vous payez l'expertise, pas la structure.
Reporting honnête
Rapport mensuel avec ce qui a été fait, ce qui n'a pas été fait, et pourquoi. Pas d'enfumage.
Engagement réaliste
Je dis non aux clients quand je suis surbooké, plutôt que sous-traiter à des inconnus que je ne contrôle pas.

Questions fréquentes

C'est quoi concrètement une TMA ?

TMA = Tierce Maintenance Applicative. En clair : vous avez une application en production, je la maintiens en état de marche pour vous. Ça couvre quatre choses : corrections de bugs bloquants, mises à jour de sécurité (OS, frameworks, dépendances), petites évolutions fonctionnelles (au temps passé ou au forfait), monitoring et réactivité en cas d'incident. Je ne fais pas de 'maintenance fantôme' : je vous envoie un rapport mensuel avec tout ce qui a été fait, même quand il ne s'est 'rien passé'.

Combien coûte vraiment une maintenance ?

Le prix exact dépend du périmètre (criticité de l'app, volume d'interventions, SLA, astreinte) ; je devise sur mesure, devis gratuit sous 48 h après notre échange. Voir ma page Tarifs pour les ordres de grandeur.

Pourquoi pas juste attendre qu'il y ait un problème ?

Parce que les failles de sécurité et les pannes ne préviennent pas, et parce que la réparation d'urgence coûte 5 à 10 fois plus cher qu'une maintenance préventive. J'ai vu un client perdre 3 jours de CA parce que son certificat SSL avait expiré un samedi matin, personne ne surveillait. Coût de la crise : 14 000 € de CA perdu + l'intervention en urgence. Coût d'un forfait maintenance préventif : une fraction de ce qu'une crise unique vous coûte. Faites le calcul.

Vous maintenez aussi les sites WordPress ?

Oui, même si ce n'est pas ma stack préférée (on le dit clairement). Je maintiens les WordPress existants des clients : updates core et plugins sécurisées (jamais en 1 clic, toujours avec backup avant), nettoyage des plugins douteux, durcissement (2FA admin, firewall Wordfence/CleanTalk, blocage XML-RPC), monitoring uptime. Si votre site WordPress est régulièrement piraté, je vous propose une migration vers .NET ou Next.js : coût initial plus élevé, mais plus jamais de piratage à gérer.

Qu'est-ce qu'un audit de sécurité exactement ?

Audit basé sur l'OWASP Top 10 et sur ma liste de contrôle (250 points). Je vérifie : injections SQL/XSS, authentification et sessions, CSRF, exposition de données sensibles, logging, contrôles d'accès, configuration serveur, dépendances vulnérables, secrets hardcodés, erreurs verbeuses. Livrable : rapport détaillé avec chaque vulnérabilité notée par criticité (bloquante / majeure / mineure), et plan d'action chiffré. Le tarif dépend du périmètre ; je devise sur mesure, devis gratuit sous 48 h.

Mes backups sont sécurisés si vous intervenez ?

Je mets en place la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site (chez un autre hébergeur ou cloud). Backups automatisés quotidiens + hebdomadaires + mensuels. Rétention minimum 90 jours. Et surtout : je les teste. Un backup qui n'est jamais restauré est un backup mort. Je fais un test de restauration complet tous les mois sur environnement isolé, et je vous envoie le rapport. C'est le détail où 95 % des hébergeurs se plantent.

Plan de reprise d'activité (PRA), c'est compris ?

Sur le forfait Premium, oui. PRA = document technique précis qui décrit, scénario par scénario, comment remonter votre app en cas d'incident : serveur HS, datacenter coupé, ransomware, base de données corrompue, suppression malencontreuse. RTO (temps de reprise) et RPO (perte de données max acceptable) définis avec vous. Test annuel du PRA en conditions réelles sur un environnement cloné.

Je ne vous ai pas développé mon app, vous pouvez quand même la maintenir ?

Oui, à condition que le code soit accessible et dans un état raisonnable. Je démarre toujours par un audit technique qui vérifie : architecture, qualité du code, dépendances, sécurité, backups, documentation. Je vous dis honnêtement si la reprise est faisable, à quel coût, et s'il y a des risques. Parfois la meilleure décision c'est une refonte progressive plutôt qu'une maintenance de code spaghetti.

Et si j'ai un incident à 23h un samedi ? Vous êtes joignable ?

Forfait Essentiel : email / ticket, réponse en 4h ouvrées (lundi matin si incident le samedi). Forfait Standard : 2h ouvrées. Forfait Premium : astreinte téléphonique 24/7 incluse, SLA 1h en heures ouvrées, 2h hors. Je fixe les astreintes avec préavis et je communique clairement qui décroche le téléphone (moi, sauf 4 semaines de congés/an où c'est un confrère de confiance backup).

Votre app est en prod sans vrai filet de sécurité ?

Audit express 30 min offert. On regarde ensemble où sont les risques concrets sur votre application.

Demander un audit gratuit