Pourquoi votre développeur ne s'occupe pas de la sécurité (et c'est normal)

Cet article s'adresse aux dirigeants TPE qui ont un site fait par un dev freelance ou une petite agence, et qui se demandent "à qui je m'adresse pour la sécurité ?". Spoiler : probablement pas à votre dev de livraison.

Le métier de dev "construction" vs dev "maintenance"

Le métier d'un développeur web qui construit un site, c'est de livrer un projet fini, dans les délais, dans le budget. C'est de la production. Une fois le projet livré, le dev passe au projet suivant. C'est comme ça que sa marge fonctionne.

La sécurité récurrente, c'est un autre métier :

• Veille quotidienne sur les nouvelles failles publiques (CVE, alertes WPScan, etc.)
• Application des patches dans les 24-48h sur les sites surveillés
• Tests réguliers de configuration (SSL, headers HTTP, exposition publique)
• Audit RGPD en parallèle de la sécurité technique
• Disponibilité incident y compris hors heures ouvrées

Ce sont des compétences voisines mais ce n'est pas le même métier. Demander à un dev "construction" de faire de la sécurité récurrente, c'est demander à un architecte de venir balayer la maison tous les matins. Il peut le faire, mais ce n'est ni efficace ni sa motivation.

L'économie côté dev : pourquoi il dit non (poliment)

Mettons-nous 5 min dans la peau de votre dev. Il a un taux journalier de 500-800 € HT. Pour faire la maintenance sécurité de votre site, il faudrait :

• 2-3h/mois de veille + MAJ + monitoring = ~70 €/mois en coût
• Avoir un système d'alertes pour 1 site, ce qui n'a pas de sens
• Être disponible les week-ends si votre site tombe
• Engagement moral d'au moins 12 mois pour amortir la mise en place

Le tarif viable côté dev = 120-300 €/mois. Mais la plupart des TPE ne veulent pas payer ce prix pour un site qui marche bien. Donc le dev ne propose pas, ou propose à reculons. Vous percevez ça comme un manque d'intérêt — c'est juste de l'arithmétique.

Ce que votre dev fait bien (et ce qu'il ne fait pas)

Ce qu'il fait bien à la livraison

• HTTPS / certificat SSL configuré
• Mots de passe forts à la création des comptes admin
• Mises à jour CMS / plugins / thèmes à jour le jour J
• Sauvegardes initiales
• Code custom raisonnablement protégé contre les attaques courantes (XSS, SQL injection)

Ce qu'il ne fait pas (sans engagement spécifique)

• Mises à jour récurrentes après livraison
• Veille sur les failles publiées chaque semaine
• Vérification que les sauvegardes fonctionnent encore
• Audit RGPD régulier (cookies, formulaires, mentions légales)
• Surveillance des sous-domaines exposés (dev, staging, ancien blog)
• Alertes en cas d'anomalie comportementale
• Disponibilité en cas d'incident hors heures ouvrées

Les 3 options réalistes pour la suite

Option 1 — Vous le faites vous-même (DIY trimestriel)

Si votre site est simple et que vous êtes à l'aise techniquement, suivez notre checklist gratuite 30 min tous les trimestres. C'est gratuit, ça couvre 70 % des risques, ça fonctionne pour un flyer numérique.

Coût : 0 € + 4-6h/an de votre temps.

Limites : ne couvre pas les failles spécifiques aux plugins (pas de veille active), ne lit pas votre code custom, et tout repose sur votre rigueur.

Option 2 — Contrat de maintenance avec un dev WordPress spécialisé

Certains devs proposent explicitement des contrats de maintenance sécurité — on les trouve sur Malt, Comet, Codeable, ou des annuaires WordPress France. Vérifiez :

• Garantie de réponse en cas d'incident (sous 24h ouvrées minimum)
• Combien de sites ils gèrent en parallèle (sinon le coût est prohibitif)
• Inclusion du RGPD ou pas
• Si les outils utilisés sont en France (compliance)

Coût : 100-500 €/mois selon le scope. Bon choix si votre site est très custom et que le dev en question l'a construit.

Option 3 — Un service spécialisé sécurité (niveau 3 du marché)

C'est ce qu'on fait chez Kalisecu. Mais aussi HTTPCS, Sucuri Pro, et d'autres. Le principe : l'équivalent d'un dev senior dédié à votre sécurité, mais mutualisé sur 50-200 sites.

Ça donne :

• Veille active sur les failles plugins (vous êtes alerté dans la foulée d'une faille publique)
• Audit humain mensuel ou hebdomadaire selon votre forfait
• RGPD inclus dans la même offre (pas de double facturation avocat)
• Ligne directe en cas de question (email, téléphone, WhatsApp selon offre)

Coût : 49-150 €/mois pour 1 site, 390 €/mois pour 5 sites.

Que demander à votre dev (sans le mettre mal à l'aise)

Pour clore la relation proprement à la livraison, posez ces 3 questions :

1. "Tu nous laisses la documentation de l'admin ?" → liste des plugins, comptes utilisateurs, accès hébergement, accès domaine.
2. "Tu peux nous indiquer ce qui demande une attention récurrente ?" → il vous donnera la liste : MAJ mensuelles, sauvegardes, certificats. Précieux.
3. "Tu prends en charge la maintenance après livraison, ou tu nous orientes vers quelqu'un ?" → s'il dit non, demandez s'il connaît un confrère ou un service. La plupart en connaissent.

S'il vous propose son propre contrat de maintenance, posez les questions de l'option 2 ci-dessus. Si vous voulez du niveau 3, dites-le simplement : "On va prendre un service spécialisé sécurité en récurrent, est-ce que ça te dérange si on te recontacte uniquement pour des évolutions du site ?". Ça pose les choses, c'est sain.

Le bon dev fait le bon job

Un dev compétent qui livre votre site et passe à autre chose n'est pas un mauvais dev. C'est un dev qui fait son métier. La sécurité récurrente, c'est un autre métier — comme le SEO, comme la maintenance graphique, comme le support client. Un seul humain ne peut pas exceller dans tout.

Votre boulot de dirigeant, c'est de comprendre que la livraison ≠ la maintenance, et de trouver le bon prestataire pour chaque phase.

Questions fréquentes

Mon dev me dit qu'il a sécurisé le site à la livraison. Ça suffit ?

Pour le jour de la livraison, oui probablement. Mais la sécurité d'un site web se dégrade avec le temps : nouvelles failles plugins découvertes chaque semaine, certificats qui expirent, mises à jour qui s'accumulent. Sans suivi récurrent, un site sécurisé en janvier ne l'est plus en juillet.

Est-ce que je peux demander à mon dev un contrat de maintenance sécurité ?

Oui, c'est possible et certains devs le proposent. Comptez 100 à 500 €/mois selon le scope. Ce qui est rarement inclus dans un contrat dev individuel : la veille active sur les failles plugins, l'audit RGPD, la disponibilité en cas d'incident hors heures ouvrées.

Comment trouver un dev qui prend en charge la sécurité récurrente ?

Cherchez les profils "WordPress maintenance" ou "expert sécurité WordPress" sur Malt, Comet, Codeable. Vérifiez qu'ils ont une garantie de réponse en cas d'incident, et qu'ils maintiennent au moins 10-20 sites en parallèle (sinon le coût récurrent est trop élevé pour eux).

Pourquoi ne pas embaucher un dev en interne ?

Pour une TPE, embaucher un dev (40-60 k€/an chargé) pour superviser un seul site n'a aucun sens économique. Il s'ennuierait, partirait, et le ROI serait catastrophique. Un dev en interne se justifie à partir d'un parc de 5+ sites ou d'un produit SaaS.

Mon hébergeur fait-il la sécurité ?

Partiellement. OVH, o2switch, Infomaniak sécurisent l'infrastructure (serveur, réseau) et fournissent des sauvegardes automatiques sur les offres pro. Mais ils ne touchent pas à votre site applicatif : pas de mise à jour WordPress, pas de scan plugins, pas de RGPD. C'est de votre côté.

Peut-on utiliser ChatGPT pour auditer son code ?

Pour spotter des fautes évidentes (mots de passe en clair, requêtes SQL non préparées), oui ChatGPT peut aider en première passe. Mais il rate 40-60 % des failles réelles, hallucine parfois, et ne tient pas compte du contexte applicatif (vos données, vos workflows). À utiliser comme complément, jamais comme audit principal.

Une question ? Écrivez à bonjour@kalisecu.fr.