Maintenance d'un site web : ce qu'on ne vous explique jamais avant de signer

Il y a un mot que je vois dans presque tous les contrats web que des dirigeants me font relire avant de signer : maintenance. Et dans neuf cas sur dix, ce mot ne veut rien dire. Il sert d'etiquette commode pour facturer un forfait mensuel, sans que personne ne sache reellement ce qui est inclus, ce qui ne l'est pas, et ce qui sera factures en plus quand un probleme arrivera.

Cet article n'est pas neutre. C'est un parti pris assume : un contrat de maintenance doit etre lisible par son signataire. S'il ne l'est pas, c'est qu'il a ete redige pour servir le prestataire, pas le client. Voici ce qu'on ne vous explique jamais avant de signer, et ce que vous devriez exiger.

Pourquoi "maintenance" peut tout vouloir dire (et rien vouloir dire)

Le probleme commence des le devis. La ligne s'appelle souvent "maintenance" ou "TMA" (tierce maintenance applicative) et porte un montant mensuel. A cote, parfois, deux mots : "suivi", "assistance". C'est tout. Aucun perimetre, aucun engagement de delai, aucun indicateur, aucune liste de ce qui declenche une intervention gratuite ou facturee.

Resultat : le jour ou le site tombe, ou ou Google envoie une alerte de securite, ou ou le formulaire de contact ne marche plus depuis trois semaines, vous appelez le prestataire et vous decouvrez que cette tache n'etait pas dans le forfait. Devis. Delai. Et entre-temps, votre site reste casse.

Ce flou n'est pas une fatalite. Il est cultive parce qu'il est rentable. Un forfait sans perimetre permet de facturer tout ce qui depasse, et tout depasse toujours. C'est exactement ce qu'un contrat clair empeche.

Les 4 niveaux qu'on confond toujours

Il y a en realite quatre choses tres differentes qu'on appelle indistinctement "maintenance". Tant qu'on ne les distingue pas, on ne peut pas savoir ce qu'on paie.

• La maintenance corrective. Reparer ce qui ne marche plus : un bug, un formulaire qui ne part plus, une page qui s'affiche mal apres une mise a jour serveur. C'est le minimum syndical.
• La maintenance evolutive. Ajouter, modifier, ameliorer : une nouvelle section, un champ de plus dans un formulaire, un module a brancher. Ce n'est pas la meme chose que corriger : c'est faire grandir le site.
• La maintenance de securite. Appliquer les correctifs de securite (CVE) sur le CMS, les modules, le serveur, les certificats SSL, les bibliotheques. C'est ce qui evite qu'un site se fasse pirater du jour au lendemain.
• La supervision. Surveiller que le site est en ligne, que la base de donnees repond, que les sauvegardes tournent, que les performances tiennent, que les certificats ne vont pas expirer. C'est le radar.

Quatre niveaux, quatre logiques. Un contrat serieux nomme les quatre et dit clairement, pour chacun, ce qui est inclus et ce qui ne l'est pas. Un contrat opaque parle de "maintenance" en bloc et vous laisse decouvrir le reste sur facture.

Ce qui devrait etre obligatoirement inclus en 2026

Le web a evolue. Ce qui pouvait passer pour un service premium il y a cinq ans est devenu le minimum vital. Voici la liste de ce que je considere comme non negociable dans un contrat de maintenance en 2026.

• L'application des correctifs CVE critiques dans des delais courts. Une faille critique publiee sur un CMS ou un module doit etre traitee en quelques jours, pas en quelques mois. Le contrat doit nommer un delai.
• Des sauvegardes automatisees, testees et restaurables. Une sauvegarde qu'on n'a jamais essaye de restaurer n'est pas une sauvegarde, c'est une croyance. Le contrat doit preciser la frequence, la duree de retention et l'engagement de test de restauration periodique.
• Un engagement d'uptime mesurable. Le site doit etre en ligne, et cette disponibilite doit etre suivie par un outil de monitoring qui produit un rapport. Sans mesure, l'engagement n'existe pas.
• Le renouvellement des certificats SSL et la veille sur leur expiration. Un certificat qui expire un dimanche soir, c'est une page d'erreur rouge sur tous les navigateurs lundi matin.
• Les mises a jour de securite du CMS, des plugins, du serveur et des dependances applicatives, avec un journal trace.
• Un canal d'urgence identifie avec un delai de prise en charge contractuel pour les incidents bloquants.

Si ces six points ne sont pas explicitement dans le contrat, vous ne signez pas un contrat de maintenance. Vous signez une promesse d'aider en cas de probleme. Ce n'est pas la meme chose.

Les pieges classiques

Apres avoir audite des dizaines de contrats web, j'ai vu revenir les memes mecaniques. Les nommer, c'est deja s'en proteger.

• Le forfait "a la carte" qui ne couvre rien. Un montant mensuel pour "etre joignable" et "garder la main sur le site". Concretement, aucune intervention n'est incluse : tout est facture en supplement. C'est de l'abonnement passif, pas de la maintenance.
• Les interventions facturees a la moindre demande. Modifier un horaire d'ouverture sur la page contact, changer un numero de telephone, mettre a jour une photo : chaque action declenche un devis. Au bout d'un an, vous avez paye un forfait et autant en interventions. C'est la double peine.
• Le sequestre de donnees. Le pire de tous. Le prestataire detient les acces a l'hebergement, au nom de domaine, a l'admin, et vous ne les avez jamais recus. Le jour ou vous voulez partir, on vous explique que la "recuperation" coute. Vos donnees vous appartiennent. Toujours. Sans exception. Si on vous le refuse a l'oral, faites-le ecrire dans le contrat.
• L'engagement automatique reconductible. Un contrat d'un an reconduit tacitement, avec un preavis de plusieurs mois. Lisez les clauses de sortie avant les clauses d'entree.
• L'absence totale de reporting. Pas de rapport mensuel, pas de log d'interventions, pas de tableau de bord. Vous ne saurez jamais si quelque chose a ete fait. Un contrat sans reporting ne se controle pas.

Les 7 questions a poser AVANT de signer

Si vous etes en train de discuter un contrat de maintenance, posez ces sept questions et exigez les reponses par ecrit. Si une seule reponse est floue, c'est un signal.

1. Quelles taches concretes sont incluses dans le forfait mensuel ? Une liste, pas une formule.
2. Quel est le delai de prise en charge en cas d'incident bloquant ? Et quel est le canal pour le declencher (telephone, ticket, astreinte) ?
3. Comment sont gerees les sauvegardes ? Frequence, retention, test de restauration, qui peut les declencher ?
4. Quel est l'engagement de disponibilite ? Et comment est-il mesure ?
5. Que se passe-t-il en cas de faille de securite critique sur le CMS ou un module ? En combien de temps est-elle corrigee ?
6. Que recevrai-je chaque mois comme rapport ? Et qu'est-ce qu'il contiendra ?
7. Comment je sors du contrat ? Quel preavis, quelles conditions de restitution des acces et des donnees ?

Aucune de ces questions n'est piege. Toutes ont des reponses claires chez un prestataire serieux. Si votre interlocuteur botte en touche, ce n'est pas un detail : c'est l'information principale.

Quand internaliser, quand sous-traiter

Il n'y a pas de bonne reponse universelle. Il y a un seuil de complexite et de risque a partir duquel sous-traiter devient rentable, et un autre en dessous duquel internaliser est plus sain.

Sous-traiter a du sens quand votre site joue un role critique dans votre activite (prise de rendez-vous, e-commerce, generation de leads), quand il repose sur une stack technique que personne en interne ne maitrise, ou quand vous n'avez ni le temps ni l'envie d'etre l'astreinte du dimanche soir. La maintenance externalisee est moins chere qu'un incident non traite.

Internaliser certaines taches devient pertinent quand votre site est simple, quand vous avez un profil technique en interne, et quand vous voulez garder la main au quotidien (modifications de contenu, ajout de pages, photos). C'est typiquement le cas des modifications editoriales : un site bien concu doit vous laisser autonome sur le contenu sans rappeler un prestataire pour changer une virgule. C'est ce que nous mettons en place sur nos prestations : autonomie maximale du client sur ce qui change souvent, intervention experte sur ce qui touche au socle.

Trois exemples concrets (sans nom, mais reels)

Trois situations que j'ai vues, recemment, chez des entreprises qui m'ont sollicite apres avoir signe un contrat de maintenance avec un autre prestataire.

Cas 1 — Le forfait fantome. Une PME paie un forfait mensuel de maintenance depuis deux ans. Aucun rapport recu, aucune intervention visible. Quand le site tombe un matin, le prestataire annonce que "remettre en route" est une intervention separee, devisable. La PME demande la liste des actions realisees pendant deux ans dans le cadre du forfait. Reponse : aucune liste disponible. Le forfait servait juste a "garantir la disponibilite du prestataire". La sortie a pris trois mois et un recommande.

Cas 2 — Les acces verrouilles. Une entreprise veut changer de prestataire apres cinq ans. Demande les acces a son hebergement, son nom de domaine et son admin. Le prestataire sortant facture "une prestation de transfert" significative. Le dirigeant cede pour aller vite. Lecon : ces acces auraient du etre dans son coffre des le jour 1 de la relation. Ils lui appartiennent, point.

Cas 3 — La faille non corrigee. Site WordPress, plugins non mis a jour pendant des mois, faille critique exploitee, defacement du site avec contenu malveillant. Le contrat parlait de "maintenance". Pas une seule mise a jour de securite n'avait ete appliquee. La remise en route a coute plus cher qu'une annee de vraie maintenance correctement executee.

Les trois cas ont un point commun : le contrat etait flou des le depart. Et un contrat flou favorise toujours celui qui l'a redige.

Questions frequentes

Quel est un bon tarif de maintenance pour un site web ?

Il n'y en a pas un. Le bon tarif est celui qui correspond a un perimetre clair et a un niveau de risque assume. Un site critique pour le chiffre d'affaires merite un contrat plus etoffe qu'un site vitrine peu sollicite. La vraie question n'est pas "combien" mais "qu'est-ce que j'obtiens pour ce montant". Comparez deux contrats au meme prix : celui qui detaille ses six obligations gagne, meme s'il est legerement plus cher.

Que comprend une vraie maintenance site web ?

Au minimum : correctifs de bugs, mises a jour de securite (CVE, CMS, modules, serveur), sauvegardes testees, renouvellement SSL, supervision avec engagement d'uptime mesurable, canal d'incident avec delai de prise en charge, et un reporting mensuel trace. Tout le reste est de l'evolutif et peut etre facture en sus, a condition que ce soit ecrit.

Est-ce que je peux m'occuper moi-meme de la maintenance ?

Vous pouvez vous occuper du contenu, des photos, des textes, des pages : c'est meme souhaitable. La maintenance technique (CVE, sauvegardes, supervision, restauration) demande un suivi serieux et une astreinte. Pour la plupart des dirigeants, sous-traiter cette partie est rentable des qu'on calcule le cout d'un incident non traite. Voir nos cas concrets pour des exemples de sites maintenus dans la duree.

Faut-il un contrat ecrit pour la maintenance ?

Oui, sans exception. Pas un devis annuel reconduit, pas un accord verbal : un contrat ecrit qui nomme le perimetre, les delais, les engagements, les modalites de sortie et la propriete des acces. C'est la difference entre une relation professionnelle et une dependance.

- Dylan Saint-Jalmes, fondateur Codemaster.

Si vous voulez en discuter franchement, sans engagement, le formulaire de contact est ouvert. Nous prenons le temps de relire votre contrat actuel avant de proposer quoi que ce soit.

Vous payez une maintenance et vous ne savez pas a quoi elle sert ? Chez Agence Codemaster, on commence toujours par comprendre votre activite avant de parler technique. Voir notre offre maintenance ou reservez un audit visio offert : on regarde votre situation ensemble et vous repartez avec des pistes concretes, sans engagement.