Maintenance web : coût ou investissement ?

Mercredi 20 mai 2026, 17 h UTC. Drupal publie un correctif jugé « highly critical ». L'équipe de sécurité prévient : des exploits peuvent suivre dans les heures qui viennent. Pour des milliers de sites, la question devient soudain concrète. Qui presse le bouton ?

C'est exactement à ce moment-là que la question « pourquoi continuer à payer la maintenance ? » trouve sa vraie réponse. Pas dans un tableau Excel, mais dans un ticket à traiter avant la fin de journée. La mise en ligne n'est pas la fin d'un projet web, c'est le début d'une seconde phase. À partir de là, le site continue d'évoluer sans vous demander votre avis : son environnement bouge, ses dépendances vieillissent, les correctifs s'accumulent. Tant que personne ne traite cette file, le risque grossit en silence, et le jour où il se concrétise, la facture d'urgence est presque toujours plus lourde que les mois de maintenance qu'on aurait payés.

La maintenance d'un site n'est pas un coût. C'est une assurance technique qui protège l'investissement initial. Et comme toutes les assurances, on la trouve chère jusqu'au jour où on en a besoin.

Ce que « maintenance » veut dire concrètement

Avant de regarder un devis, il faut clarifier ce qui entre vraiment dans un contrat sérieux. Le mot est flou, et certains prestataires l'utilisent pour vendre des choses très différentes.

Le coeur du métier, ce sont les mises à jour de sécurité. WordPress, Drupal, leurs modules, le serveur, la base de données : tout cet écosystème publie régulièrement des correctifs qu'il faut appliquer rapidement. C'est ce qui protège le plus directement votre entreprise.

Autour, on trouve le monitoring (le site est-il en ligne, répond-il vite, des erreurs s'accumulent-elles dans les logs ?), les vérifications fonctionnelles (formulaires, paiement, CRM, intégrations métier), et la correction des petits bugs qui apparaissent au fil des mises à jour de Chrome ou Safari. Un bon contrat inclut aussi des optimisations de fond : retirer une dépendance devenue inutile, reconfigurer un cache, nettoyer une base qui a grossi. Rien de spectaculaire, mais qui fait la différence sur deux ou trois ans.

Ce que coûte vraiment le fait de ne pas maintenir

Une faille de sécurité non corrigée

L'exemple Drupal qui ouvre cet article n'est pas une exception. Une faille est trouvée, un correctif est publié, les attaques automatisées commencent dans les heures qui suivent. Le délai entre publication et exploitation se compte rarement en semaines.

Le précédent le plus connu remonte à octobre 2014, baptisé « Drupalgeddon » par la communauté. Sept heures après la publication d'un correctif pour une injection SQL critique sur Drupal 7, des attaques automatisées touchaient déjà tous les sites non patchés. Dans le PSA-2014-003 publié dans la foulée, la Drupal Security Team recommandait à toute personne n'ayant pas mis à jour dans cette fenêtre de présumer son site compromis.

Le même schéma touche aujourd'hui d'autres écosystèmes que les CMS. En septembre 2025, l'attaque « Shai-Hulud » a infecté plus de 180 paquets NPM en 72 heures, dont @ctrl/tinycolor (2,2 millions de téléchargements par semaine). Deux mois plus tard, une seconde vague compromettait 700 paquets et 25'000 dépôts GitHub en trois jours, avec Zapier, Postman et PostHog dans la liste. Un site moderne hérite de la sécurité de toute sa chaîne d'outils.

Sur WordPress, le sujet est plus connu. Patchstack a recensé près de 8'000 nouvelles vulnérabilités dans l'écosystème WordPress en 2024, dont 96 % dans des plugins tiers. Une vingtaine de failles publiques par jour, et il suffit qu'une seule concerne un plugin que vous avez installé. Sucuri a constaté dans son rapport 2023 sur les sites compromis que près de 40 % des CMS infectés tournaient sur une version obsolète au moment de l'incident.

Remettre un site d'aplomb après ce genre d'incident demande typiquement une enquête, un nettoyage complet du serveur, une restauration à partir d'une sauvegarde antérieure à l'attaque et une passe de vérification avant remise en ligne. Et tout ça sans parler des potentielles fuites de données (les vôtres et celles de vos clients). Depuis l'entrée en vigueur de la nLPD en septembre 2023, une fuite de données personnelles oblige à notifier le Préposé fédéral à la protection des données et les personnes concernées, ce qui transforme un incident technique en sujet juridique. Les coûts, autant pécuniaires que réputationnels, peuvent très rapidement grimper.

Bien entendu, il arrive qu'un site non mis à jour passe entre les gouttes. Que même sans maintenance, un site reste en ligne pendant des années sans problème. Mais un contrat de maintenance permet de baisser le risque sérieusement, et surtout il fait en sorte que quelqu'un soit là le jour où Drupal, NPM ou un plugin WordPress publie un correctif critique un mercredi à 17 h.

Une performance qui s'érode en silence

Au-delà de la sécurité, la performance d'un site non maintenu peut aussi se dégrader. Les caches se désynchronisent, la base de données accumule des entrées anciennes, des modules ajoutés au fil des années s'empilent sans qu'on en ait l'usage. Un site lancé avec un score Lighthouse de 85 peut tomber à 60 sans intervention.

C'est là que le monitoring entre en jeu : il faut non seulement surveiller si le site est accessible, mais aussi dans quelles conditions. Dans l'article sur les Core Web Vitals, j'expliquais que le suivi des performances réelles de votre site, d'un point de vue utilisateur, permet de suivre cette évolution et d'intervenir si les résultats partent à la baisse.

Les changements extérieurs qui cassent sans prévenir

Votre site n'est jamais seul. Il parle à une passerelle de paiement, à un fournisseur d'emails, à un CRM, à Google Maps, et autant d'autres services selon les cas. Chacun évolue de son côté : Stripe publie une nouvelle version d'API, un fournisseur d'emails change son système d'authentification, une librairie JavaScript devient incompatible avec les navigateurs récents.

Sans maintenance, ces changements vous tombent dessus le jour où quelque chose ne fonctionne plus (en général, un vendredi après-midi, juste avant un événement important). Avec un suivi régulier, ils sont anticipés et traités en amont, sans drame.

Maintenir, ou refondre plus tôt que prévu

L'écart entre un site maintenu et un site laissé tranquille ne se voit pas la première année. Il devient frappant à trois ou cinq ans.

Sans suivi, le CMS finit dans une version obsolète, plusieurs modules ne sont plus maintenus, la performance s'est dégradée, et ajouter la moindre nouveauté demande de replonger dans un code devenu hostile. À ce stade, la conclusion est presque toujours la même : il faut refondre plus tôt que prévu. J'ai détaillé les 5 signaux qui justifient une refonte, et l'absence de maintenance les active à peu près tous.

Avec un suivi régulier, le même site reste à jour, sécurisé et performant. Il peut continuer deux à trois ans de plus avant qu'une refonte devienne réellement nécessaire. Vous étalez une dépense modérée et prévisible sur cette période, au lieu de subir une refonte d'urgence dont vous n'aviez ni anticipé le moment ni budgété le coût.

C'est là toute la différence entre une dépense planifiée et une dépense subie. Sur la durée de vie utile d'un site, la première est presque toujours plus légère que la seconde.

À quoi ressemble une bonne maintenance (et une mauvaise)

Un contrat sérieux inclut des mises à jour régulières (en général mensuelles) du CMS et de ses modules, un monitoring continu du site, un point de contact clair en cas d'incident, et un audit de performance ou de sécurité une ou deux fois par an. Les détails varient d'un prestataire à l'autre, mais ces éléments-là sont le minimum syndical.

À l'inverse, méfiez-vous des formules qui promettent de « regarder quand quelque chose se casse », qui excluent explicitement les mises à jour, ou dont le tarif ne colle pas au périmètre annoncé. Quand un tarif semble trop bas pour couvrir tout ce qui est promis, c'est presque toujours qu'une partie sera laissée de côté. Ce n'est pas de la maintenance, c'est une astreinte de pompier facturée à l'heure le jour où ça prendra feu. Et il y a pire : un prestataire qui ne met pas votre site à jour mais qui vous facture pour « le surveiller » a tout intérêt à ne rien faire.

La vraie question n'est d'ailleurs pas « maintenance : oui ou non », c'est « maintenance proactive ou réactive ». La proactive, c'est tout ce qu'on vient de décrire : un budget mensuel, des interventions régulières, un prestataire qui connaît votre site. La réactive, c'est ne rien payer jusqu'au jour où ça casse, puis appeler un développeur en urgence qui facture à l'heure.

Sur le papier, la seconde option a l'air moins chère ; en pratique, elle l'est jusqu'au premier incident. Un développeur qui intervient en urgence sur un site qu'il ne connaît pas est plus lent qu'un prestataire qui le suit depuis des mois, et son tarif horaire est plus élevé. Le premier incident paie souvent plusieurs années de maintenance proactive en une seule facture.

La question à se poser avant de signer

Si vous recevez un devis de maintenance et que vous hésitez, la bonne question n'est pas « est-ce cher ? », c'est « si mon site tombe pendant une semaine, combien est-ce que ça me coûte ? ». Les grandes études sur le coût de l'indisponibilité, comme celle de l'ITIC en 2024, parlent de chiffres qui n'ont rien à voir avec votre réalité de PME (plus de USD 300'000 de l'heure pour une majorité de grandes entreprises).

L'ordre de grandeur chez vous reste intéressant à poser : combien de commandes, de devis, de demandes de rendez-vous perdez-vous par jour d'indisponibilité ? Si la réponse est « pas grand-chose », une maintenance légère suffit probablement. Si la réponse est « une partie significative de mon chiffre d'affaires », la question du prix devient secondaire. Le sujet, c'est la continuité.

À retenir

• Un contrat sérieux couvre les mises à jour de sécurité, le monitoring, les vérifications fonctionnelles et les optimisations continues. Pas juste « regarder si ça casse ».
• Une faille non corrigée se nettoie rarement vite et coûte rarement peu, sans parler de l'impact sur la confiance de vos clients.
• Sur la durée de vie utile d'un site, un suivi régulier revient presque toujours moins cher qu'une refonte anticipée par l'obsolescence.
• La vraie alternative n'est pas maintenance oui ou non. C'est maintenance proactive ou réactive. La réactive l'est jusqu'au premier incident.

Un site sans maintenance n'est pas un site stable. C'est un site qui ralentit, qui dérive, et qui finira par être refondu sous la contrainte. Avec un suivi régulier, le même site peut continuer à servir cinq ans de plus, à un coût total bien inférieur à celui d'une refonte forcée.

À chaque correctif critique, quelqu'un presse le bouton. La maintenance, c'est l'engagement que ce quelqu'un soit votre prestataire.

Si vous avez un devis sous les yeux et que vous voulez un second avis sur ce qu'il couvre vraiment, écrivez-moi. Je prends le temps de regarder, même quand le site n'est pas le mien.

Et si la phase d'amont vous intéresse aussi (savoir poser les bonnes questions à votre prestataire avant même de signer), comment briefer un développeur web prolonge logiquement le sujet.