La ligne du devis qu'on raye en premier
Le site est livré, il est beau, il fonctionne. Vient la question de la maintenance mensuelle, et la réponse fuse : « on verra plus tard, il est neuf ». C'est une logique de voiture neuve appliquée à un objet qui vit dans un environnement hostile et mouvant : un site web n'est pas garé dans un garage, il est exposé en permanence à des dizaines de milliers de robots qui testent ses serrures, pendant que le sol technique bouge sous lui, navigateurs, PHP, extensions, exigences Google. Voici, très concrètement, la chronique de ce qui se passe quand personne ne s'en occupe.
Mois 1 à 6 : la dégradation invisible
Rien ne se voit. Pourtant : les mises à jour de sécurité s'empilent (une extension WordPress moyenne publie plusieurs correctifs par an, dont certains bouchent des failles activement exploitées), les sauvegardes automatiques, si elles existent, tournent sans que personne ne vérifie qu'elles sont restaurables, et les premiers frottements apparaissent dans les journaux : tentatives de connexion en rafale, scans de vulnérabilités, spam de formulaires qui commence à polluer la boîte contact. Le site fonctionne ; sa marge de sécurité fond.
Mois 6 à 18 : les symptômes
Les incompatibilités arrivent : une extension abandonnée par son auteur casse silencieusement le formulaire de contact (nous avons vu des entreprises perdre trois mois de demandes sans s'en apercevoir, le formulaire affichait « merci », l'email ne partait plus), les performances glissent (base de données qui gonfle, scripts qui s'accumulent, et les Core Web Vitals qui passent à l'orange), et le SEO s'effrite en même temps que la vitesse. Si le pire n'est pas encore arrivé, c'est une question de statistiques, pas de mérite.
Le jour J : l'incident
Un matin, ça arrive. Les variantes classiques : le site affiche une erreur depuis une mise à jour serveur automatique de l'hébergeur (PHP monté de version, thème incompatible), ou pire, il est compromis, redirections vers des sites douteux, pages de spam indexées en pharmacie en ligne, alerte rouge de Google, emails de l'entreprise qui partent en spam parce que le domaine est grillé. Le déroulé qui suit est toujours le même : urgence, recherche d'un prestataire disponible au tarif d'urgence, découverte que la dernière sauvegarde exploitable date de huit mois (quand elle existe), et arbitrage douloureux entre perdre huit mois de contenus ou payer un nettoyage en profondeur.
L'addition typique que nous constatons sur ces interventions : 1 500 à 5 000 euros de remise en état, une à trois semaines de dégradation commerciale (site down ou blacklisté, réputation email abîmée, positions Google à reconquérir), et des dégâts diffus impossibles à chiffrer, le prospect qui a vu la page de phishing, le client qui a reçu le spam. Rapporté au coût d'une maintenance annuelle, l'incident vaut trois à cinq ans de contrat. Et il ne solde rien : sans changement de pratique, le compteur repart.
Ce qu'une maintenance sérieuse contient (et ce qu'elle n'est pas)
Un contrat digne de ce nom couvre quatre blocs. La sécurité : mises à jour hebdomadaires du cœur, du thème et des extensions, avec test sur environnement de préproduction pour les mises à jour majeures, surveillance des vulnérabilités annoncées, durcissement des accès. Les sauvegardes : quotidiennes, externalisées hors du serveur du site, conservées sur plusieurs semaines, et testées par une restauration réelle à intervalle régulier, la sauvegarde non testée est une superstition, pas une assurance. La surveillance : disponibilité (alerte en minutes, pas découverte par un client), intégrité des fichiers, certificat SSL, échéances du domaine, erreurs qui apparaissent dans la Search Console. Et le support : un canal clair et un délai d'intervention connu pour les urgences, plus un volant d'heures pour les petites évolutions qui, sinon, ne se font jamais.
Ce que la maintenance n'est pas : un abonnement passif à un plugin de mise à jour automatique. Les mises à jour aveugles cassent des sites toutes les semaines ; la valeur est dans le test, la surveillance et la capacité d'intervention, c'est-à-dire dans les humains derrière le contrat.
Le cas des sites « simples » et des sites sur mesure
Deux nuances honnêtes. Un site vitrine statique sans CMS a une surface d'attaque minime et des besoins de maintenance réduits, c'est un argument que nous mettons dans la balance lors des choix de socle, notre comparatif WordPress / sur mesure détaille ce point. Mais réduit ne veut pas dire nul : sauvegardes, domaine, certificat, monitoring et petites évolutions restent nécessaires. Quant aux sites à fort enjeu (e-commerce, plateformes), leur maintenance monte d'un cran : environnements de test systématiques, supervision applicative, astreinte. Le budget suit l'enjeu : ce qui coûte, ce n'est pas la maintenance, c'est l'heure d'indisponibilité.
Les questions à poser à votre prestataire actuel
Pour situer votre exposition en cinq minutes : à quand remonte la dernière mise à jour appliquée, et qui la décide ? Où sont stockées les sauvegardes, et quand une restauration a-t-elle été testée pour la dernière fois ? Qui est alerté si le site tombe un samedi, et en combien de temps ? Que couvre exactement le contrat en cas de piratage ? Si les réponses sont floues, vous connaissez maintenant la suite du film. Notre offre de maintenance répond à ces questions par écrit, avec des engagements chiffrés ; c'est le minimum que vous devriez exiger, de nous comme de n'importe qui. Faites le point avant que le point ne se fasse tout seul, un matin, au pire moment.
Deux histoires vraies, deux additions
Cas numéro un : un cabinet de services B2B, site WordPress de 2021, aucune maintenance. Le formulaire de contact a cessé d'envoyer les emails après une mise à jour serveur de l'hébergeur, en silence, page de remerciement comprise. Découverte trois mois et demi plus tard, par un prospect insistant qui a fini par appeler. Au rythme des demandes historiques, l'estimation basse des contacts perdus : une quinzaine, sur une activité où le client moyen vaut plusieurs milliers d'euros. Coût de la maintenance qui aurait détecté la panne le jour même : 80 euros par mois.
Cas numéro deux : un e-commerce compromis via une extension de galerie abandonnée. Pages de spam indexées, avertissement « site piraté » dans Google, ventes à zéro pendant douze jours, nettoyage professionnel, demande de réexamen, et six semaines pour retrouver les positions. Addition directe : environ 4 000 euros de prestation d'urgence et de manque à gagner mesurable, hors dégâts d'image. L'extension fautive était signalée vulnérable depuis quatre mois ; la mise à jour qui fermait la faille attendait dans le back-office.
La maintenance comme actif, pas comme assurance
On présente toujours la maintenance comme une dépense défensive. Les bons contrats la transforment en investissement actif : le volant d'heures mensuel sert aussi à améliorer, corriger ce petit défaut d'affichage mobile signalé par un client, ajouter le champ qui manquait au formulaire, mettre à jour les photos de l'équipe, optimiser la page qui convertit mal. Ces micro-améliorations continues, impossibles à déclencher quand chaque intervention exige un devis, font qu'un site maintenu activement vieillit bien là où les autres se dégradent. Au renouvellement de la troisième année, la différence est spectaculaire : d'un côté un site à refondre, de l'autre un site à jour qui a évolué avec l'entreprise. La maintenance bien conçue repousse la prochaine refonte de deux à trois ans, c'est, de loin, sa ligne de retour sur investissement la plus rentable, et la moins mise en avant.


