Maintenance et support, sans contrat verrouillé

Mardi 8 octobre 2024. Mon téléphone sonne à 6h12. C'est UptimeRobot qui a vu passer du HTTP 500 sur la boutique d'un client bruxellois. Une dépendance s'est mise à jour toute seule pendant la nuit et a cassé le panier. Je me suis levé. Le rollback de la base depuis le snapshot de 2h prend trois minutes une fois la connexion SSH ouverte ; ensuite j'ai redéployé proprement et vérifié que le panier répondait. Le site est revenu à 6h31. Ouverture à 9h, le client a appris l'incident en lisant mon mail dans son métro. Voilà ce que je vends quand je dis que je m'occupe d'un site. Pas un forfait à la louche, pas un ticket Jira : juste quelqu'un qui regarde vraiment, à des heures pas commodes pour la plupart des gens.

Petite parenthèse sur ma façon de facturer — parce que c'est ce qui m'a fait perdre des contrats, puis en gagner. Je n'aime pas les fameuses « heures bloquées par mois » que les agences vendent en lots de cinq. Vous payez d'avance, vous ne consommez pas la moitié, vous l'oubliez au bout de six mois. Moi je préfère qu'on regarde la facture à la fin du mois et qu'elle reflète ce qui s'est vraiment passé sur votre site. Si rien n'a bougé, rien n'apparaît. Côté techno ? Je suis tombé dans le PHP moderne et je n'en suis jamais ressorti. Aujourd'hui c'est Symfony qui domine chez mes clients, avec un peu de Laravel et un soupçon de Node qui traîne sur les API plus jeunes.

Symfony Laravel PHP 8 Sentry & UptimeRobot Cloudflare
Console de monitoring de serveurs et alertes en temps réel
Voilà l'écran que je regarde le matin, avant même d'ouvrir mes mails.
75 €/h
tarif horaire facturé HT, sans surprise
30 jours
d'historique récupérable côté sauvegardes
0 €
d'engagement annuel exigé sur ma maintenance
15 min
offertes par mois en café-technique

Mises à jour, faites à la main

Je ne lance jamais un composer update en prod un vendredi soir. Mon rythme habituel tient en quelques étapes simples étalées sur deux jours du début du mois : lecture du changelog d'abord, test en local pour voir ce qui se met à râler, puis montée en pré-prod si tout tient debout. La prod attend toujours le lendemain matin.

Le cœur de l'application

Je suis chaque version LTS de PHP, Symfony et Laravel de près. La règle : migrer quand la version actuelle approche la fin de support officielle, pas quand elle est déjà morte depuis six mois et qu'un audit nous tombe dessus.

Les dépendances qu'on oublie

Je relis le composer.json et le package.json au moins deux fois par an. Une lib obscure abandonnée depuis trois ans ? On en discute et on la remplace avant que ça pose un vrai souci.

Le passage par la pré-prod

Aucune mise à jour ne va directement en production chez moi. La suite de tests doit passer, et je dois pouvoir cliquer partout sur le staging sans tomber sur une erreur, sinon ça reste en attente jusqu'à correction.

Mon mail du début de mois

Un email écrit à la main où je raconte ce qui a bougé sur votre site, ce que j'ai vu passer dans les logs, et le temps que ça m'a pris. Aucun rapport PDF auto-généré qui prend des kilo-pixels pour ne rien dire.

Sécurité

La plupart des sites piratés que j'ai récupérés l'avaient été par une faille publique depuis des mois, dont le correctif n'avait jamais été posé. Personne ne lisait les bulletins. Moi, je lis ces bulletins le matin avec le café, et quand un truc concerne un de mes clients, j'envoie un mail dans la foulée pour expliquer ce que je vais faire.

Un WAF Cloudflare devant la porte

Les bots qui martèlent votre /wp-login.php alors que vous ne tournez même pas sur WordPress, on les bloque au niveau réseau avant qu'ils ne touchent PHP. Économise du CPU et nettoie les logs.

L'audit nocturne des dépendances

Je fais tourner composer audit et npm audit chaque nuit sur tous les sites suivis. Si une CVE sort sur une bibliothèque que vous utilisez, je suis au courant avant vous, et vous recevez un message m'indiquant ma lecture du risque.

L'œil sur l'intégrité des fichiers

Les hashes du système de fichiers sont comparés chaque nuit à ceux du dépôt Git. Si un fichier .php bizarre apparaît dans /uploads entre minuit et le matin, je le sais quand je prends mon café.

Le HTTPS et la 2FA admin

Le certificat Let's Encrypt se renouvelle tout seul, sans intervention humaine, et la double authentification est posée sur tous les comptes administrateur — c'est cinq minutes de configuration qui font tomber l'écrasante majorité des tentatives de prise de contrôle.

Surveillance, vraie de vraie

UptimeRobot ping votre site chaque minute. Sentry remonte les erreurs PHP en direct. Quand ça part en sucette, mon téléphone vibre tout seul, peu importe l'heure. Pas demain au bureau : là, maintenant, dans le salon, ou dans la voiture.

1

Quand mon téléphone vibre la nuit

Trois HTTP 500 d'affilée ou trois minutes de silence : la notification Telegram me sort du lit avant que vos clients aient fini leur premier reload rageur.

2

Diagnostic — souvent rapide

J'ouvre les logs Nginx et la stack trace Sentry en parallèle. La cause saute aux yeux en quelques minutes, sauf cas particulier où il faut creuser côté base ou côté hébergeur.

3

Action ciblée

Coup de chaud disque ou service planté, je redémarre. Une régression code, c'est un rollback Git en deux commandes. Faille exploitée, on bascule en mode incident sécurité et là le mail que vous recevez n'a pas le même ton.

4

Le compte-rendu écrit à la main

Le lendemain, vous recevez un message en français lisible où je raconte ce qui s'est passé, ma réponse, et le temps facturé. Pas de jargon Cisco, pas de PDF auto-généré.

Sauvegardes

Une sauvegarde qu'on ne teste pas, ça reste un fichier qui prend de la place sur un disque quelque part. C'est tout. Une fois par trimestre, j'en pioche une au hasard et je la restaure pour de vrai sur un serveur jetable. Si ça foire à ce moment-là, c'est mon problème, pas le vôtre le jour où votre site sera en feu.

Le passage de minuit

À 3h du matin, le serveur dumpe la base SQL compressée, fige un snapshot du système de fichiers, et envoie le tout chiffré vers un stockage indépendant. L'opération entière dure moins de dix minutes sur un site de taille moyenne.

Un mois d'historique sous le coude

Vous gardez l'équivalent de trente versions consécutives du site. Si quelqu'un a supprimé un article par mégarde il y a trois semaines, on le récupère sans drame en un quart d'heure.

Loin du serveur de production

Les copies ne dorment jamais sur la même machine que votre site. Si l'hébergeur explose en plein milieu de la nuit, la copie de votre base est chez quelqu'un d'autre, dans un datacenter européen différent.

La restauration trimestrielle pour de vrai

Une sauvegarde qu'on n'a jamais restaurée n'existe pas vraiment. Tous les trois mois, j'en pioche une au hasard et je remonte le site complet sur un serveur jetable, juste pour valider que ça remonte.

Le support, c'est moi

Vous m'envoyez un mail ou vous m'appelez. Je décroche, ou je rappelle dans la journée. Pas de centre d'appel à Casablanca, pas de niveau 1 qui vous demande de redémarrer la box. La personne qui vous répond est celle qui a écrit le code, ou qui sait où il est rangé.

Le mail et le téléphone normalement

Vous m'écrivez sur [email protected] et je réponds dans la journée ouvrée. Si vous m'appelez et que je ne décroche pas, je rappelle entre deux tâches dans l'heure ou deux qui suivent.

Quand votre site est tombé pour de bon

Là, le mode change complètement. Vous m'appelez, je laisse tomber ce que j'étais en train de faire et je m'y mets. Tant que votre site n'est pas debout, je n'ouvre rien d'autre sur l'écran.

Le quart d'heure café-technique

Vous avez une idée qui démange, un doute sur un truc, un devis bizarre reçu ailleurs et vous voulez un avis. Vous m'appelez, on discute, et ce quart d'heure-là je ne le mets pas sur la facture.

Vous montrer comment faire vous-même

Pour certaines tâches répétitives, je préfère vous expliquer une fois en visio plutôt que de devenir un goulot d'étranglement à chaque fois. Une demi-heure d'écran partagé et vous gérez ça tout seul ensuite.

Outils de monitoring et maintenance

Stack utilisé pour surveiller et sécuriser vos applications

Cloudflare
Sentry
Uptimerobot
Plausible
Symfony
Laravel

Les marques mentionnées sont la propriété de leurs détenteurs respectifs et apparaissent ici à titre informatif des technologies et services utilisés.

Questions fréquentes sur la maintenance

Concrètement, qu'est-ce que vous faites sur mon site chaque mois ?

Tout dépend du site et de ce qui se passe. Sur un mois calme, je passe peut-être vingt minutes : lecture des bulletins de sécurité, contrôle des sauvegardes de la nuit, coup d'œil sur les graphes Sentry. Sur un mois où Symfony sort une version mineure, ça peut monter à deux heures parce que je teste vraiment avant de déployer. Sur un mois où il y a eu une panne, le temps de résolution s'ajoute. Vous payez ce qui s'est réellement passé, pas un forfait moyen calculé pour que je sois gagnant.

Combien ça coûte ?

Mon taux horaire : 75 €/h HT. Pas de minimum, pas d'heures bloquées d'avance. Sur les sites que je suis depuis longtemps, la moyenne tourne entre 30 € et 120 € par mois, panne grave incluse. Je n'ai pas de formule « Bronze, Silver, Gold » parce que je trouve que ça pousse à vendre des trucs dont vous n'avez pas besoin. Si un mois je n'ai rien fait sur votre site, vous ne recevez rien à payer.

Et si le site tombe à 22h un samedi ?

J'ai un téléphone, et il sonne. Je ne garantis pas une astreinte H24 contractuelle : je dors comme tout le monde. En revanche, sur les sites dont je m'occupe au long cours, j'interviens souvent le soir ou le week-end quand la situation le mérite. La dernière intervention nocturne, c'était en mars 2026 sur la base de données d'un client : panne détectée à 22h47, site reparti à 23h31. J'ai facturé 45 minutes au tarif normal.

Vous suivez les failles de sécurité publiées ?

Oui. Les advisories Symfony et Laravel arrivent dans ma boîte mail. Pour Composer et npm, j'ai des audits automatiques qui tournent toutes les nuits sur chaque site que je gère, avec un rapport quotidien dans Slack. Quand une CVE sort sur une dépendance que vous utilisez, je l'évalue : parfois c'est critique et je patche dans la journée, parfois c'est marginal et ça attend la mise à jour mensuelle. Je vous préviens dans tous les cas.

Si je veux arrêter, je fais comment ?

Vous m'envoyez un mail. C'est tout. Pas d'engagement annuel à finir, pas de pénalité de sortie, pas de clause de propriété intellectuelle qui vous empêche de partir avec votre code. Je vous remets la documentation à jour, les accès complets au serveur et à la base, et un export propre des dernières sauvegardes. N'importe quel autre dev peut reprendre. Toute mon activité tourne sur le bouche-à-oreille : garder un client de force, ça serait contre-productif pour moi à long terme.

On en parle ?

Envoyez-moi l'URL de votre site. Je regarde l'état réel des dépendances, des sauvegardes et de la sécurité, je vous dis ce qui mériterait d'être repris. Le diagnostic, je l'offre.

Me contacter