TMA Drupal : tout savoir sur la maintenance
Un site Drupal ne tient pas tout seul dans le temps. Privé de correctifs de sécurité réguliers, de surveillance et d'un suivi sérieux de sa dette technique, il se dégrade peu à peu. La maintenance applicative (TMA) n'a rien d'une dépense superflue : c'est ce qui garantit qu'un site reste sûr, rapide et capable d'évoluer année après année.
Depuis la fin de vie de Drupal 7, actée le 5 janvier 2025, le sujet est devenu encore plus critique : plus aucun support communautaire, et des centaines de milliers d'installations toujours en ligne, donc vulnérables. Dans cette page, je décortique ce que recouvre concrètement la maintenance Drupal, ses quatre grandes dimensions, les formules contractuelles possibles et les indices qui trahissent un suivi défaillant.
La TMA Drupal, en quoi ça consiste ?
On parle de tierce maintenance applicative pour désigner les interventions récurrentes qui maintiennent un site en bon état de marche une fois celui-ci en ligne. Appliquée à Drupal, elle englobe en général les points suivants :
- La correction des anomalies remontées pendant l'exploitation
- Le déploiement des correctifs de sécurité du cœur Drupal et des modules
- Le passage des versions mineures (10.2 → 10.3, 11.0 → 11.1)
- Les ajustements fonctionnels légers qui ne méritent pas un projet à part
- La surveillance applicative (disponibilité, erreurs, performance)
- Le contrôle régulier des sauvegardes et du dispositif de reprise
- L'accompagnement des contributeurs côté équipe interne du client
Trois prestations voisines ne doivent pas être confondues avec la TMA : l'hébergement, qui concerne l'infrastructure serveur ; l'évolutive majeure (TME), c'est-à-dire un chantier d'évolution fonctionnelle d'ampleur ; et le développement neuf, qui correspond à une création ou à une refonte complète.
Les quatre dimensions d'une maintenance Drupal bien menée
1. Corrective
Prise en charge des dysfonctionnements rencontrés en production : bogues, comportements anormaux, régressions survenues après une mise à jour. Le travail enchaîne diagnostic, reproduction du problème, correctif, tests de non-régression puis livraison. Sur ce volet, la réactivité est clé : un SLA courant va de 4 heures à un jour ouvré selon la gravité.
2. Sécurité
Déploiement des Security Advisories (SA-CORE pour le cœur, SA-CONTRIB pour les modules contribués) dans les fenêtres préconisées, parfois sous 24 heures lorsqu'une faille est critique. S'y ajoutent le durcissement de PHP et du serveur, la revue des droits, la détection des tentatives d'intrusion et l'encadrement des accès administrateurs.
3. Préventive
Surveillance applicative (disponibilité, erreurs PHP, temps de réponse, tâches cron), contrôle des sauvegardes et du plan de reprise d'activité, examen régulier de la dette technique, repérage des modules délaissés ou faiblement entretenus, et veille sur l'état de santé de la base de données.
4. Évolutive (TME)
Adaptations fonctionnelles de faible ampleur : ajout d'un champ, retouche d'un workflow, création d'un type de contenu, branchement d'un nouveau webservice. Dès que la charge dépasse quelques jours, l'évolution sort du cadre de la maintenance pour devenir un projet à part, avec son propre cadrage.
Ce qui rend la maintenance Drupal particulière
Drupal et WordPress ne jouent pas dans la même cour. Les problématiques de maintenance diffèrent, et savoir entretenir un WordPress au quotidien ne garantit en rien la qualité du travail sur un Drupal. Voici les particularités qui font vraiment la différence.
Pilotage de la configuration via Composer
À partir de la version 8, Drupal s'installe et se met à jour avec Composer. La configuration est, elle, exportée en YAML et suivie sous Git grâce au Configuration Management. Quiconque ne maîtrise ni Composer ni les mécanismes config-split et config-ignore ne peut pas prétendre intervenir sérieusement sur du Drupal. Les mises à jour se préparent en local, se valident par des tests, puis partent en production via une chaîne CI/CD.
Patches appliqués aux modules contribués
Lorsqu'un défaut affecte un module contribué, le remède prend souvent la forme d'un patch publié sur drupal.org en attente d'intégration. Le site l'intègre alors via la directive composer-patches. Un bon contrat de maintenance tient à jour l'inventaire des patches en place : dès qu'un patch est officiellement fusionné, il faut le retirer, faute de quoi la dette technique enfle sans qu'on s'en rende compte.
Security Advisories : une cadence intense
Le Drupal Security Team diffuse des alertes à un rythme soutenu : chaque semaine côté modules contribués, plusieurs fois par an pour le cœur. Un contrat de maintenance digne de ce nom assure une veille active sur ces advisories et la capacité de les appliquer en 24 à 48 heures lorsqu'une faille est critique. La majorité des sites Drupal compromis le sont d'ailleurs via un module contribué corrigé trop tard.
Accessibilité RGAA dans la durée
L'accessibilité RGAA ne se règle pas une bonne fois pour toutes. La moindre publication éditoriale peut réintroduire des écarts. Pour un site public, une maintenance rigoureuse prévoit des contrôles réguliers des pages nouvellement créées (contrastes, textes alternatifs, structure des titres) ainsi que l'actualisation du schéma pluriannuel et de la déclaration d'accessibilité au fil des évolutions.
Après la fin de Drupal 7 : le contexte 2026
Drupal 7 a cessé d'être maintenu le 5 janvier 2025. Tout site resté sur cette version laisse ses données à la merci de failles désormais non corrigées. En 2026, maintenir un Drupal 7 revient pour l'essentiel à organiser et conduire sa migration vers Drupal 10 ou 11 ; l'offre HeroDevs Extended Support peut servir de filet temporaire pour quelques milliers d'euros annuels.
Forfait, pack de jours ou régie : que choisir ?
Forfait mensuel
Un quota d'heures assuré chaque mois (souvent de 5 à 40 h), assorti d'un SLA et d'une disponibilité contractuelle. La dépense est prévisible et la relation s'inscrit dans la durée. C'est le format tout indiqué pour un site stable en production qu'il faut entretenir et sécuriser de façon continue.
Fourchette : 500 à 2 500 € HT/mois.
Crédit temps (pack jours)
Une réserve de jours à consommer sur 6 ou 12 mois (en général 5 à 30 jours). Réglée dès l'achat, elle s'utilise librement au gré des besoins. Une formule pertinente quand les sollicitations sont occasionnelles ou saisonnières, sans cadence mensuelle figée.
Fourchette : 650 à 850 € HT/jour senior selon le niveau d'engagement.
Régie au fil de l'eau
Une facturation au temps réellement consacré (à l'heure ou à la journée), sans volume contractualisé. Côté administratif c'est très simple, mais aucun SLA n'est garanti. À réserver aux sites peu critiques ou à des interventions exceptionnelles et isolées.
Attention : faute de forfait, aucun délai d'intervention n'est garanti.
Mon conseil : sur un site institutionnel, c'est la combinaison forfait + régie qui tient le mieux la route, avec un socle au forfait pour la sécurité et les mises à jour, et de la régie pour absorber les évolutions ponctuelles.
Maintenance défaillante : les signaux qui doivent alerter
Dès qu'un ou plusieurs de ces points vous concernent, votre contrat de maintenance ne joue plus vraiment son rôle de protection. C'est le moment de faire auditer la situation.
- Votre site fonctionne toujours sous Drupal 7, abandonné par la communauté depuis janvier 2025
- Le cœur de votre Drupal n'est pas à jour sur la dernière 10.x ou 11.x
- Plusieurs modules contribués n'ont reçu aucune mise à jour depuis plus de 6 mois
- Aucune restauration de sauvegarde n'a été testée au cours des douze derniers mois
- Il n'existe pas de plan de reprise d'activité formalisé (vos RPO et RTO sont-ils définis ?)
- Vous ne recevez aucun compte rendu mensuel des opérations menées sur le site
- Vous ne disposez d'aucun relevé à jour des patches posés sur les modules
- Aucun environnement de préproduction ne permet de tester avant la mise en ligne
- Aucun déploiement automatisé n'est en place (publiez-vous encore par FTP ?)
- Votre prestataire ne vous a soumis aucun audit d'accessibilité RGAA depuis 2024
Des plateformes en production, accompagnées sur le long terme
Rôle de référent technique Drupal sur un portail national d'information publique de l'État dépassant 2 millions de visites mensuelles : migrations majeures de la 9 à la 11, mise en conformité RGAA et refonte de la recherche ElasticSearch.
Maintenance et évolutions au fil de l'eau sur le site institutionnel multilingue Drupal d'une grande école de commerce, avec connexion au CRM et chaîne CI/CD.
Maintenance au long cours pour un média culturel de référence dont la plateforme Drupal héberge plus de 55 000 articles, avec gestion de la newsletter via le CRM et audits techniques périodiques.
Questions fréquentes sur la TMA Drupal
Quelques lectures pour approfondir
Fin de vie de Drupal 7 : quelles issues ?
Tant que votre site reste sous Drupal 7, c'est le préalable à trancher avant toute maintenance : faut-il migrer, faire évoluer la version ou tout reconstruire ?
Liste de contrôle accessibilité (RGAA + RAWeb)
Maintenir l'accessibilité dans la durée fait partie intégrante d'un bon suivi. Voici les éléments à inspecter régulièrement sur un Drupal en production.
Bien choisir son prestataire web
Les bonnes questions à poser avant de s'engager sur un contrat de maintenance Drupal : compétences, pérennité, comptes rendus, SLA.
Drupal 12 en 2026 : date, apports et migration
Drupal 12 visé pour août 2026, Drupal 10 en fin de vie en décembre 2026. Au programme : Symfony 8, Drupal CMS 2.0 et Experience Builder. Une grille de décision adaptée à votre version actuelle.
Un Drupal à entretenir ?
Discutons maintenance.
