north_east Deux univers, une même exigence : sur-mesure premium pour projets ambitieux, offre simplifiée pour artisans, TPE et PME.
terminal MA-Digital
arrow_back Blog
Architecture

Audit technique de site web : ce qu'on y trouve vraiment en 2026

19 avril 2026 · 6 min de lecture
Audit technique de site web : ce qu'on y trouve vraiment en 2026

Pourquoi tant d’« audits » sont vides

Beaucoup de prestataires vendent des « audits » qui ne sont qu’un rapport PageSpeed Insights commenté + 5 captures Screaming Frog. Ce livrable dit ce que vous saviez déjà : votre site est lent, des balises sont manquantes. Ça ne vaut pas plus de 200 € et ça ne change rien.

Un vrai audit technique couvre 8 dimensions et débouche sur des décisions chiffrées. Voici ce qu’on y trouve, avec exemples concrets de constats faits sur des audits récents.

Dimension 1 : Performance réelle (pas la note PageSpeed)

PageSpeed Insights donne une note synthétique. Un vrai audit mesure la performance perçue par les utilisateurs réels :

  • Core Web Vitals sur les 28 derniers jours via Chrome UX Report (données Google réelles, pas un test ponctuel).
  • Time to First Byte par localisation géographique.
  • Render-blocking resources identifiées une à une avec leur coût réel.
  • Vitesse mobile en 4G simulée sur la home + 3 pages clés.
  • Vitesse au scroll (smoothness, fps).

Constat type rencontré : un e-commerce premium avec une note PageSpeed de 78/100 (« correct »), mais un LCP réel de 4,2 s sur mobile. Cause : 2 polices custom chargées en bloquant + une image hero à 1,8 Mo. Correction estimée : 4 jours de dev. Gain attendu : LCP à 1,8 s.

Dimension 2 : SEO technique (pas le contenu)

Pas une analyse de mots-clés ou de la stratégie de contenu, mais une vérification des fondations techniques qui rendent le SEO possible :

  • Structure d’URL et hiérarchie.
  • Balises essentielles (title, meta description, h1) — présence et unicité.
  • Schema.org : présence, validité, exhaustivité par type de page.
  • Sitemap.xml : présence, exhaustivité, fréquence de mise à jour.
  • Robots.txt : présence, règles, cohérence avec sitemap.
  • Indexation : pages bloquées involontairement, pages indexées qui ne devraient pas l’être.
  • Redirections : 301 vs 302, chaînes de redirections, boucles.
  • Hreflang si multilingue.
  • Canonical : présence, cohérence.

Constat type rencontré : un site B2B avec 1 200 pages indexées dont 800 étaient des pages de filtres faceted-search inutiles. Cause : pas de canonical et pas de noindex sur ces variantes. Conséquence : Google diluait le crawl budget. Correction : 1 jour de dev. Gain attendu : indexation prioritaire des pages utiles, +15-30 % de visites organiques sur 3 mois.

Dimension 3 : Sécurité (pas juste HTTPS)

  • HTTPS et configuration TLS (versions, ciphers).
  • En-têtes de sécurité (CSP, HSTS, X-Frame-Options, X-Content-Type-Options).
  • Configuration CORS.
  • Vulnérabilités des dépendances (audit npm, snyk, ou équivalent).
  • Authentification : robustesse des règles de mot de passe, MFA, gestion de session.
  • Stockage des données sensibles : hash des mots de passe, chiffrement au repos, clés API.
  • Endpoints exposés : ressources publiques par erreur, fichiers de config accessibles.

Constat type rencontré : une plateforme SaaS exposait son fichier .env en production via une mauvaise config Nginx. Toutes les clés API (Stripe, AWS, SendGrid) étaient lisibles en clair. Niveau de gravité : critique. Correction : 2 heures + rotation immédiate des clés.

Dimension 4 : Accessibilité (RGAA, WCAG 2.2)

  • Contrastes de couleurs (texte vs fond, états hover/focus).
  • Navigation au clavier.
  • Lecteur d’écran (étiquettes ARIA, alt sur images, structure sémantique).
  • Formulaires (labels, messages d’erreur, indications).
  • Vidéos (sous-titres, transcriptions).

En France, l’accessibilité est obligatoire pour les services publics et certaines entreprises (chiffre d’affaires > 250 M€). Au-delà du légal, c’est aussi un signal Google et un public élargi.

Constat type rencontré : un site institutionnel public avec des contrastes de 2,8:1 (norme : 4,5:1) sur les boutons principaux. Conséquence : utilisateurs malvoyants ne pouvaient pas distinguer les actions cliquables. Correction : changement de couleur (1 heure). Mise en conformité légale immédiate.

Dimension 5 : Dette de code (pour les projets sur-mesure)

  • Qualité du code (linter, complexité cyclomatique, fonctions trop longues).
  • Couverture de tests (unitaires, intégration, E2E).
  • Dépendances obsolètes (versions majeures de retard).
  • Anti-patterns identifiés (couplages forts, duplications, absence d’abstraction).
  • Documentation (présence, à jour ou non).

Constat type rencontré : un SaaS B2B avec 0 % de couverture de tests, React 16 (4 versions de retard), 73 dépendances obsolètes dont 12 avec vulnérabilités connues. Coût estimé du refactoring : 3-4 mois de dev. Risque sans action : impossibilité de recruter (aucun dev junior n’acceptera de travailler là-dessus en 2026).

Dimension 6 : Architecture et scalabilité

Pour les sites/apps avec composante back-end :

  • Architecture (monolithe, modulaire, microservices) — adaptée ou non au besoin.
  • Base de données : schémas, indexes, requêtes lentes, N+1.
  • Caching : présence, stratégie, cohérence.
  • Files d’attente (jobs, workers).
  • Scalabilité horizontale ou verticale.

Constat type rencontré : une plateforme avec 3 secondes de latence sur le tableau de bord. Cause : requête N+1 chargeant 50 utilisateurs avec leurs 200 commandes individuellement. Correction : ajout d’une jointure + pagination. 1 jour de dev. Latence post-correction : 180 ms.

Dimension 7 : Hébergement et coûts récurrents

  • Configuration serveur (CPU, RAM, instance type adaptée ou sur-dimensionnée).
  • Coût mensuel vs trafic et besoins réels.
  • Présence de gaspillages (services inactifs facturés, backups jamais testés).
  • Plan de continuité (backups, restauration testée).
  • Monitoring et alerting.

Constat type rencontré : un client payait 480 €/mois d’AWS pour un trafic qui aurait tourné parfaitement sur Vercel à 30 €/mois. Migration : 1 semaine. Économie annuelle : 5 400 €.

Dimension 8 : RGPD et collecte de données

  • Bannière cookies conforme (refus aussi facile que l’acceptation).
  • Mentions légales et politique de confidentialité à jour.
  • Registre des traitements documenté.
  • Sous-traitants déclarés (hébergement, analytics, paiement).
  • Procédures de portabilité et suppression effectives.

Constat type rencontré : un e-commerce envoyait les emails clients à 4 outils (Google Analytics, Hotjar, Klaviyo, Facebook Pixel) sans consentement explicite. Risque CNIL : amende potentielle. Mise en conformité : 2 jours.

Le livrable d’un vrai audit

Pas un PDF de 100 pages illisible. Un document structuré :

  • Synthèse exécutive (2 pages) : note globale, top 5 risques, recommandation principale. Lisible par un dirigeant en 5 minutes.
  • Constats détaillés par dimension (15-30 pages) : chaque constat avec preuve (capture, mesure, code), niveau de gravité, recommandation précise.
  • Plan d’action priorisé : tableau action × effort × impact × coût indicatif.
  • Restitution en visio (1 h) avec votre équipe.

Combien ça coûte

  • Audit Express (site vitrine, e-commerce simple) : 1 800 — 3 000 € HT, 5 jours.
  • Audit Standard (e-commerce avancé, app moyenne) : 3 500 — 6 000 € HT, 8-12 jours.
  • Audit Approfondi (SaaS, marketplace) : 6 000 — 15 000 € HT, 3-4 semaines.

Le ROI est presque toujours positif si l’audit débouche sur une décision (refonte, optimisation ciblée, changement de prestataire). Souvent le coût de l’audit est récupéré en quelques mois par les économies ou les gains de conversion identifiés.

Quand commander un audit

  • Avant une refonte : pour savoir ce qu’on garde et ce qu’on jette.
  • Avant une acquisition / cession : pour évaluer la valeur réelle de l’actif.
  • Quand le trafic ou la conversion baisse sans explication.
  • Quand vous changez de prestataire : pour vérifier l’état réel de ce qu’on vous transmet.
  • Tous les 18-24 mois sur un actif important : maintenance préventive.

Pour discuter de votre situation et savoir si un audit est pertinent pour vous, on prend 30 minutes au téléphone — sans facturer.

À lire aussi

site-artisan

Site internet ou Facebook pour un artisan : le vrai arbitrage en 2026

Lire arrow_forward

site-artisan

Site internet pour TPE : par où commencer concrètement en 2026

Lire arrow_forward

site-artisan

RGPD pour artisan : le minimum vital pour ne pas risquer 4 % de CA

Lire arrow_forward

Demander un audit

Demander un audit