Maintenance sereine, évolutions sans surprise.

Pourquoi un contrat de TMA plutôt qu'un dev à la demande

La différence entre un contrat de tma genève structuré et un développeur appelé à la demande est structurelle, pas cosmétique. En mode ad hoc, vous appelez un freelance ou une agence quand quelque chose casse. Le développeur est peut-être disponible dans 5 jours, peut-être pas — il a d'autres clients, d'autres priorités. Pendant ces 5 jours, le bug a déjà coûté plusieurs milliers de francs en revenu perdu, en utilisateurs frustrés, en abandons de panier, ou en tickets support qui s'empilent. Vous découvrez les problèmes au moment où ils explosent, pas avant.

Un contrat de maintenance applicative suisse change le modèle. Monitoring continu avec alertes proactives sur les erreurs et la performance, intervention rapide cadrée contractuellement (entre 1h et 24h selon la priorité), prédictibilité budgétaire mensuelle au lieu de pics imprévisibles, mises à jour de stack effectuées proactivement avant qu'une faille n'apparaisse, sécurité continue avec patch des CVE critiques sous 48h sur les dépendances exposées. Le travail invisible — celui qui empêche les incidents — devient explicite et facturé à un coût prévisible.

Pour un produit qui génère du chiffre d'affaires ou qui sert des utilisateurs payants en B2B SaaS, un contrat TMA est non négociable. Le coût d'un incident de production de plusieurs heures dépasse rapidement plusieurs mois de forfait. Pour un site marketing statique sans flux transactionnel, un dev à la demande peut suffire — la criticité n'est pas la même. Le critère de bascule est simple : si une heure d'indisponibilité coûte plus que 200 CHF en revenu ou en réputation, le TMA est rentable.

Périmètre typique d'un contrat TMA

Un forfait standard de support technique web suisse couvre un périmètre récurrent qui combine surveillance, correction et évolution maîtrisée. L'objectif n'est pas seulement de réagir aux incidents, mais d'éviter qu'ils surviennent en maintenant la stack à jour, en suivant les vulnérabilités connues, et en exploitant activement les outils de monitoring déjà payés.

Le contenu type d'un contrat TMA inclut les éléments suivants :

• Monitoring continu : uptime, performance, erreurs (Sentry, Better Stack, Datadog selon stack)
• Corrections de bugs avec priorisation P0 / P1 / P2 / P3 et SLA différenciés selon le plan
• Petites évolutions incluses dans le quota mensuel (jusqu'à 5 à 60 heures selon forfait)
• Mises à jour de stack mensuelles : Node, dépendances npm, Postgres minor versions
• Audit Dependabot et Snyk hebdomadaire pour détecter les CVE actives
• Review et rotation périodique des secrets et clés API
• Sauvegarde DB vérifiée et restauration testée trimestriellement
• Logs review mensuel : anomalies, tentatives d'intrusion, patterns suspects
• Status page publique optionnelle (Better Stack, Statuspage.io)
• Rapport mensuel : uptime, incidents, évolutions livrées, dépendances mises à jour

Outils utilisés : Sentry, Datadog, Grafana, status page

Le monitoring application suisse repose sur un socle d'outils éprouvés que nous configurons et exploitons en parallèle. Sentry capte les erreurs côté client et serveur avec stack traces complètes, breadcrumbs (séquence d'événements précédant l'erreur), et session replay quand le contexte le justifie (apps avec parcours UX complexes). Datadog ou Logtail centralisent les logs structurés et déclenchent des alertes routées vers Slack ou PagerDuty selon la criticité.

Better Stack (anciennement Logtail / Better Uptime) ou Statuspage.io exposent une status page publique pour communiquer aux utilisateurs en cas d'incident — élément structurant pour les apps B2B avec engagements SLA contractuels. Grafana couplé à Prometheus est privilégié quand l'infrastructure tourne sur Kubernetes ou en self-hosted, là où le flux de métriques justifie un stack open source dédié. UptimeRobot ou Better Uptime gèrent les checks externes basiques : disponibilité HTTPS, latence depuis plusieurs régions, vérification du contenu attendu (mot-clé sur la page, code HTTP 200).

Les coûts mensuels typiques de ces outils sont absorbés dans le forfait TMA : Sentry team plan environ 26 USD/mois pour un volume modéré d'erreurs, Better Stack 24 USD/mois, Datadog environ 15 USD/mois pour une app moyenne. Soit environ 70 à 100 CHF/mois d'infrastructure de monitoring que vous payez de toute façon — TMA ou pas. La différence n'est pas l'outil, elle est dans son exploitation effective.

Avoir Sentry activé sans personne pour traiter les alertes ne sert à rien : les erreurs s'empilent, les seuils dérivent, le bruit finit par étouffer les signaux importants. La valeur réelle du TMA est l'humain qui regarde les alertes chaque matin, qui distingue un faux positif d'un incident naissant, qui ajuste les seuils au fil de l'évolution du produit. Un monitoring activé sans exploitation est un monitoring théorique.

SLA et délais d'intervention

La grille SLA standard d'un contrat TMA fastdigital différencie les délais d'intervention selon la criticité réelle de l'incident. Le forfait choisi module les seuils, mais la logique de priorisation reste constante : un incident bloquant en production ne peut pas attendre, un bug cosmétique peut s'inscrire dans le sprint suivant.

Les quatre niveaux de priorité applicables sont les suivants :

• P0 critique (production complètement down, transactions impossibles, perte de données) : 1h ouvrée pour un debug initial, 4h ouvrées pour une correction déployée
• P1 majeur (fonctionnalité critique cassée, performance très dégradée) : 4h ouvrées pour debug, 24h ouvrées pour correction
• P2 mineur (bug visible, contournement existant, impact utilisateur limité) : 1 à 2 jours ouvrés
• P3 amélioration (cosmétique, suggestion, dette technique non bloquante) : selon planning, généralement sous 2 à 4 semaines

Mises à jour de stack proactives

La tma next.js suisse romande implique un calendrier de mises à jour proactives, pas réactives. Node LTS chaque année avec passage à la nouvelle LTS dans les 2 à 3 mois suivant sa release officielle, après un cycle de stabilisation court. Next.js majeur tous les 12 à 18 mois avec passage progressif après stabilisation, généralement 1 à 3 mois après la sortie publique — le temps que les patches initiaux corrigent les régressions courantes. Dépendances mineures chaque mois via Dependabot avec auto-PR et review humaine systématique avant merge. Dépendances majeures structurantes (Prisma 5 vers 6, React 18 vers 19, Tailwind 3 vers 4) planifiées trimestriellement avec testing complet.

Côté base de données, Postgres minor versions sont appliquées automatiquement via le provider managé (RDS, Supabase, Neon), majeures planifiées avec tests de migration sur environnement de staging avant bascule production. Les migrations de schéma sont versionnées via Prisma Migrate ou Drizzle Kit et testées contre une copie anonymisée de la prod.

Le bénéfice du modèle proactif est mesurable. Une application non maintenue pendant 18 mois accumule typiquement 3 à 6 versions de retard sur le framework principal, des CVE non patchés sur les dépendances critiques, et des breaking changes empilés. La migration redevient un chantier à 30 000 CHF ou plus, qui mobilise l'équipe pendant 4 à 8 semaines. Une application entretenue sous TMA paie 200 à 400 CHF de mises à jour par mois et reste à jour en permanence — sans pic budgétaire ni interruption de roadmap.

Sécurité continue

La sécurité d'une application en production se gère en continu, pas par audits annuels rétroactifs. Le monitoring CVE via Snyk ou Dependabot détecte les vulnérabilités dès leur publication. Les patches sont appliqués sous 48h pour les CVE critiques côté serveur (RCE, SQL injection, escalation de privilèges sur dépendances exposées), sous 7 jours pour les CVE moyens, et selon planning pour les CVE faibles ou non exploitables dans le contexte applicatif.

La rotation des secrets s'inscrit dans le rythme TMA : clés API tournées tous les 6 à 12 mois, ou immédiatement en cas de fuite suspectée (commit accidentel sur un repo public, départ d'un collaborateur avec accès privilégiés, alerte GitGuardian). La review d'accès — qui a accès à quoi sur le repo, l'infra, le CMS, les outils tiers — fait l'objet d'un audit annuel avec retrait des comptes inactifs et ajustement des permissions selon les rôles effectifs. Les audit logs sont passés en revue trimestriellement pour détecter anomalies, tentatives de login répétées, actions privilégiées non documentées. Les headers HTTP de sécurité (Content-Security-Policy, HSTS, X-Frame-Options, Permissions-Policy) sont maintenus à jour avec les évolutions OWASP.

Pour les apps B2B avec exigences compliance (RGPD européen, nLPD suisse depuis septembre 2023, ISO 27001 light pour les sous-traitants de grands comptes), le contrat TMA inclut un rapport de conformité annuel qui formalise les contrôles appliqués, les incidents traités, les évolutions sécurité livrées dans l'année. Document utilisable lors des audits clients ou des due diligences investisseurs.

Forfaits typiques selon scope

La grille tarifaire des forfaits TMA fastdigital se calibre sur trois tailles types qui couvrent la majorité des besoins, du MVP early-stage au produit en forte croissance. Le facteur déterminant n'est pas la taille de l'entreprise mais le volume d'évolutions souhaité et la criticité opérationnelle de l'application.

Les trois forfaits standards sont les suivants :

• Small — 800 CHF/mois : monitoring de base et bugfixes P0 / P1, environ 3 à 5 heures de dev par mois inclues. Convient à un site éditorial moyen ou un MVP early-stage à faible trafic, où les incidents sont rares et les évolutions modestes.
• Medium — 2 000 CHF/mois : monitoring complet, bugfixes toutes priorités, petites évolutions, environ 10 à 15 heures par mois inclues. Convient à un SaaS B2B en croissance ou une app mobile en production avec utilisateurs payants actifs.
• Large — 5 000 CHF/mois : équivalent demi-temps dev (environ 50 à 60 heures par mois) avec roadmap mensuelle d'évolutions structurées. Convient à un produit en forte croissance qui n'a pas encore d'équipe interne ou qui a besoin d'une capacité dev senior dédiée sans recrutement.

Quand choisir une agence vs un studio dev

Le marché de la TMA en Suisse romande propose plusieurs formats, chacun adapté à un type de besoin. Les grandes agences ont leurs forces : équipes nombreuses qui assurent la continuité, processus formels avec chargé de compte et chef de mission, capacité à absorber des pics de charge importants, expertise sur des stacks variées y compris legacy. Pour un produit critique d'une grande entreprise avec exigences SLA formelles 24/7 et gouvernance lourde, le format reste pertinent.

Le freelance ad hoc est une option plus économique mais structurellement moins fiable. La réactivité dépend de la disponibilité d'une seule personne, le monitoring proactif est rarement systématique, les mises à jour de stack se font quand le freelance y pense. Pour un produit qui supporte mal l'indisponibilité, ce format peut générer des angles morts.

Un studio dev comme fastdigital propose un format intermédiaire : 200 à 5 000 CHF/mois selon le périmètre, monitoring inclus et exploité quotidiennement, SLA clairs différenciés par priorité, contrat de 6 mois minimum renouvelable tacitement. L'engagement est explicite — nous sommes engagés pour que votre application reste fluide, pas pour facturer le maximum d'heures. Quand un mois est calme parce que le produit tourne, le forfait reste le même.

Format différent, coût plus accessible, qualité comparable. Pour un produit critique de grande entreprise avec contraintes lourdes, une agence reste pertinente. Pour la majorité des produits en prod — SaaS de PME, app mobile de startup, site éditorial de marque — le format studio est plus adapté.

FAQ technique