Audit technique site web 2026 : 8 dimensions auditées, prix réels

La réponse directe en 30 secondes

Un audit technique de site web sérieux en 2026 couvre 8 dimensions : performance réelle, SEO technique, sécurité, accessibilité, dette de code, architecture, hébergement, RGPD. Coût selon profondeur :

Le livrable : synthèse exécutive 2 pages + constats détaillés 15-30 pages + plan d’action priorisé + restitution visio 1 h. Pas un PDF de 100 pages illisible.

Vous voulez les détails de chaque dimension, des exemples concrets de constats, et savoir quand commander un audit ? On déroule tout ci-dessous.

Pourquoi tant d’« audits » sont vides

Beaucoup de prestataires vendent des « audits » qui ne sont qu’un rapport PageSpeed Insights commenté + 5 captures Screaming Frog. Ce livrable dit ce que vous saviez déjà. Ça ne vaut pas plus de 200 € et ça ne change rien.

Un vrai audit technique débouche sur des décisions chiffrées. Voici ce qu’on y trouve avec exemples concrets de constats faits sur des audits récents.

Dimension 1 : Performance réelle (pas la note PageSpeed)

PageSpeed Insights donne une note synthétique. Un vrai audit mesure la performance perçue par les utilisateurs réels :

• Core Web Vitals sur les 28 derniers jours via Chrome UX Report (données Google réelles, pas un test ponctuel).
• Time to First Byte par localisation géographique.
• Render-blocking resources identifiées une à une avec leur coût réel.
• Vitesse mobile en 4G simulée sur la home + 3 pages clés.
• Vitesse au scroll (smoothness, fps).

Constat type : un e-commerce premium avec note PageSpeed 78/100 (« correct »), mais LCP réel 4,2 s sur mobile. Cause : 2 polices custom chargées en bloquant + image hero à 1,8 Mo. Correction : 4 jours de dev. Gain attendu : LCP à 1,8 s.

Dimension 2 : SEO technique (pas le contenu)

Vérification des fondations techniques qui rendent le SEO possible :

• Structure d’URL et hiérarchie.
• Balises essentielles (title, meta description, h1) — présence et unicité.
• Schema.org : présence, validité, exhaustivité par type de page.
• Sitemap.xml : présence, exhaustivité, fréquence de mise à jour.
• Robots.txt : présence, règles, cohérence avec sitemap.
• Indexation : pages bloquées involontairement, pages indexées qui ne devraient pas l’être.
• Redirections : 301 vs 302, chaînes de redirections, boucles.
• Canonical : présence, cohérence.

Constat type : site B2B avec 1 200 pages indexées dont 800 étaient des pages de filtres faceted-search inutiles. Cause : pas de canonical et pas de noindex sur ces variantes. Conséquence : Google diluait le crawl budget. Correction : 1 jour de dev. Gain attendu : +15-30 % de visites organiques sur 3 mois.

Dimension 3 : Sécurité (pas juste HTTPS)

• HTTPS et configuration TLS (versions, ciphers).
• En-têtes de sécurité (CSP, HSTS, X-Frame-Options, X-Content-Type-Options).
• Configuration CORS.
• Vulnérabilités des dépendances (audit npm, snyk).
• Authentification : robustesse mots de passe, MFA, gestion de session.
• Stockage des données sensibles : hash mots de passe, chiffrement au repos, clés API.
• Endpoints exposés : ressources publiques par erreur, fichiers de config accessibles.

Constat type : plateforme SaaS exposait son fichier .env en production via mauvaise config Nginx. Toutes les clés API (Stripe, AWS, SendGrid) lisibles en clair. Gravité : critique. Correction : 2 heures + rotation immédiate des clés.

Dimension 4 : Accessibilité (RGAA, WCAG 2.2)

• Contrastes de couleurs (texte vs fond, états hover/focus).
• Navigation au clavier.
• Lecteur d’écran (étiquettes ARIA, alt sur images, structure sémantique).
• Formulaires (labels, messages d’erreur, indications).
• Vidéos (sous-titres, transcriptions).

En France, l’accessibilité est obligatoire pour services publics et entreprises >250 M€ CA. Au-delà du légal, c’est aussi un signal Google.

Constat type : site institutionnel public avec contrastes 2,8:1 (norme : 4,5:1) sur boutons principaux. Utilisateurs malvoyants ne pouvaient pas distinguer les actions cliquables. Correction : changement de couleur (1 heure). Mise en conformité légale immédiate.

Dimension 5 : Dette de code (pour projets sur-mesure)

• Qualité du code (linter, complexité cyclomatique, fonctions trop longues).
• Couverture de tests (unitaires, intégration, E2E).
• Dépendances obsolètes (versions majeures de retard).
• Anti-patterns identifiés (couplages forts, duplications).
• Documentation (présence, à jour).

Constat type : SaaS B2B avec 0 % couverture de tests, React 16 (4 versions de retard), 73 dépendances obsolètes dont 12 avec vulnérabilités. Coût estimé refactoring : 3-4 mois. Risque sans action : impossibilité de recruter (aucun dev junior n’acceptera de travailler là-dessus en 2026).

Dimension 6 : Architecture et scalabilité

Pour sites/apps avec composante back-end :

• Architecture (monolithe, modulaire, microservices) — adaptée ou non.
• Base de données : schémas, indexes, requêtes lentes, N+1.
• Caching : présence, stratégie, cohérence.
• Files d’attente (jobs, workers).
• Scalabilité horizontale ou verticale.

Constat type : plateforme avec 3 secondes de latence sur dashboard. Cause : requête N+1 chargeant 50 utilisateurs avec leurs 200 commandes individuellement. Correction : ajout d’une jointure + pagination. 1 jour. Latence post-correction : 180 ms.

Dimension 7 : Hébergement et coûts récurrents

• Configuration serveur (CPU, RAM, instance type adaptée ou sur-dimensionnée).
• Coût mensuel vs trafic et besoins réels.
• Présence de gaspillages (services inactifs facturés, backups jamais testés).
• Plan de continuité (backups, restauration testée).
• Monitoring et alerting.

Constat type : client payait 480 €/mois d’AWS pour un trafic qui aurait tourné parfaitement sur Vercel à 30 €/mois. Migration : 1 semaine. Économie annuelle : 5 400 €.

Dimension 8 : RGPD et collecte de données

• Bannière cookies conforme (refus aussi facile que l’acceptation).
• Mentions légales et politique de confidentialité à jour.
• Registre des traitements documenté.
• Sous-traitants déclarés.
• Procédures de portabilité et suppression effectives.

Constat type : e-commerce envoyait emails clients à 4 outils (Google Analytics, Hotjar, Klaviyo, Facebook Pixel) sans consentement explicite. Risque CNIL : amende potentielle. Mise en conformité : 2 jours.

Le livrable d’un vrai audit

Pas un PDF illisible. Un document structuré :

• Synthèse exécutive (2 pages) : note globale, top 5 risques, recommandation principale. Lisible par un dirigeant en 5 minutes.
• Constats détaillés par dimension (15-30 pages) : chaque constat avec preuve (capture, mesure, code), niveau de gravité, recommandation précise.
• Plan d’action priorisé : tableau action × effort × impact × coût indicatif.
• Restitution en visio (1 h) avec votre équipe.

Quand commander un audit

• Avant une refonte : pour savoir ce qu’on garde et ce qu’on jette.
• Avant une acquisition / cession : pour évaluer la valeur réelle de l’actif.
• Quand le trafic ou la conversion baisse sans explication.
• Quand vous changez de prestataire : pour vérifier l’état réel de ce qu’on vous transmet.
• Tous les 18-24 mois sur un actif important : maintenance préventive.

Pour discuter de votre situation et savoir si un audit est pertinent pour vous, on prend 30 minutes au téléphone — sans facturer.