Un regard technique indépendant sur votre site Drupal — pour décider en connaissance de cause.
Vous avez besoin d'un avis externe sur la santé technique de votre site Drupal. Peut-être parce que votre prestataire vous propose une refonte que vous trouvez ambitieuse, ou au contraire parce qu'il vous dit que tout va bien et que vous n'en êtes pas convaincu. Peut-être parce que vous reprenez un site existant et que vous voulez en mesurer la valeur réelle. Ou simplement parce qu'un audit indépendant fait partie de votre gouvernance.
C'est ce que je propose. Un audit honnête, documenté, sans conflit d'intérêt — je ne vends pas la refonte qui suivrait l'audit, je vends le diagnostic.
L'audit complet couvre cinq axes, plus ou moins approfondis selon votre demande et votre budget.
Structure du projet (modules core, contrib, custom), choix d'architecture (monolithique, headless, multisite), respect des bonnes pratiques Drupal, séparation configuration/contenu, qualité du dépôt Git, gestion des environnements. Je relève les choix structurels qui contraindront l'évolution future du site.
Mesures côté serveur (temps de génération des pages, requêtes SQL, cache hit ratio) et côté navigateur (Core Web Vitals, taille des assets, ressources bloquantes). Identification des points d'optimisation les plus rentables, par ordre de retour sur investissement.
Scan automatisé avec OWASP ZAP, audit manuel des modules custom (vulnérabilités d'injection, contrôle d'accès, gestion des sessions), vérification des correctifs de sécurité Drupal appliqués, configuration sécurité du serveur. Sortie classée par criticité avec délai de correction recommandé.
Analyse statique des modules custom (PHPStan, PHP_CodeSniffer adapté aux standards Drupal), couverture de tests, qualité de la documentation interne, présence de code mort, complexité cyclomatique. Estimation chiffrée de la dette technique en jours-homme.
Conformité RGPD (cookies, formulaires, mentions légales), accessibilité (WCAG niveau AA), balisage SEO technique (sitemap, hreflang, données structurées, canoniques), Core Web Vitals, indexation Google.
Format léger pour une décision rapide. Je passe en revue votre site sur les points critiques uniquement : sécurité, performance, dette technique majeure. Vous repartez avec une note de synthèse de 3-4 pages et un classement des actions prioritaires.
1 700 € HT. Idéal pour un go/no-go avant un investissement plus lourd, ou pour une seconde opinion.
Format complet sur les cinq axes décrits ci-dessus. Vous recevez un rapport détaillé d'une vingtaine de pages, structuré par axe, avec pour chaque point identifié : description, niveau de gravité, effort estimé de correction, recommandation. Présentation orale d'une heure incluse.
4 250 € HT. Le format recommandé pour la majorité des situations.
Format pour les sites complexes ou critiques : grand volume de modules custom, intégrations multiples, contraintes de conformité fortes (secteur public, santé, finance). Inclut tout le périmètre de l'audit standard plus une analyse approfondie des modules custom et des intégrations, et un plan de remédiation détaillé chiffré.
Sur devis, à partir de 4 250 € HT.
Quel que soit le format, le livrable principal est un rapport écrit qui vous appartient pleinement. Vous pouvez l'utiliser pour :
Le rapport est structuré pour être actionnable : chaque constat est associé à une recommandation, une estimation d'effort, et un niveau de priorité. Pas de jargon gratuit, pas de constats sans suite.
En complément, je propose systématiquement un rendez-vous de restitution d'une heure (en visio ou sur place pour Wallonie/Bruxelles), pour discuter du rapport et répondre aux questions.
Beaucoup d'audits techniques sont en réalité des prétextes commerciaux : l'agence qui audite est celle qui veut vendre la refonte qui suit. Mon positionnement est différent.
Je propose des audits sans engagement de suite commerciale. Si l'audit conclut qu'il faut refaire le site, je peux vous accompagner — ou pas, à votre choix. Si l'audit conclut que votre site est en bon état et qu'il faut juste deux ou trois ajustements, je vous le dis aussi. Mon intérêt est que vous reveniez vers moi pour les bons sujets.
Pour l'analyse de code et la sécurité statique, j'ai besoin d'un accès en lecture au dépôt Git et à une copie de la base de données (anonymisée si vos données sont sensibles). Pour les tests dynamiques (OWASP ZAP, performance), un accès à un environnement de staging représentatif suffit. Je n'ai pas besoin d'écriture sur votre production.
Mon expertise est Drupal et PHP. Je peux auditer un site WordPress ou Symfony, mais pour les CMS très différents (Joomla, TYPO3, Sitecore) ou les frameworks que je ne pratique pas (Laravel, Node.js), je préfère vous renvoyer vers des spécialistes.
Non, volontairement. Les scores agrégés cachent plus qu'ils ne révèlent : un site peut être à 85/100 et avoir une vulnérabilité critique de sécurité qui rend le score inutile. Je préfère un rapport qualitatif structuré, avec des constats explicites et leur criticité.
À partir de 6 mois en production, l'audit a généralement du sens : assez de recul pour voir comment le site se comporte sous charge réelle, assez de contenu pour évaluer les choix d'architecture. Pour un site plus jeune, un audit de pré-production (juste avant la mise en ligne) peut être plus pertinent.
Le format adapté dépend de votre contexte. Le mieux est d'en parler 15-20 minutes pour cadrer la demande.