Paramètres d'affichage

Choisissez un thème pour personnaliser l'apparence du site.

Audit technique — Produit fictif pour l'audit

Startup : Startup fictive pour l'audit

Tapez le nom d'un outil non mutualisé et appuyez sur Entrée ou cliquez sur &quo;Ajouter&quo;

Produit : Produit fictif pour l'audit

Produit fictif pour jouer avec l'outil d'audit

Prod - Dev actif

Métier

Monolithe

Languages:

Typescript

Dépendances:

PostgreSQL

Redis

Hébergement:

Scalingo

Frontend:

NextJS

Backend:

NestJS

Authentification:

ProConnect

Aucune consommation enregistrée pour le dernier mois.

Aucune recommandation en cours.

ComitéPrioritéStatutRecommandation
S1-2025🟡FaitMoins important
S2-2024🟡FaitRecommandation en cours
S1-2025🔴FaitOulala très important
S2-2024🔴FaitRecommandation faite
S2-2024-FaitRecommandation en retard

Infra & Obs

L'application est-elle déployée en haute disponibilité ?Cela implique d'avoir plusieurs instances pouvant répondre aux requêtes avec un load balancer. Ainsi, en cas de crash d'une instance les requêtes peuvent toujours être servies par les autres instances.

Répondue

Pour le monitoring de votre application, utilisez-vous l'instance Sentry proposée par l'Incubateur des territoires ?Sur https://sentry.incubateur.anct.gouv.fr . Si c'est https://sentry.incubateur.net il s'agit du Sentry de la DINUM.

Répondue

Recevez-vous une alerte en cas de downtime sur le produit ?par ex: updown.io (proposé par l'Incubateur)

Répondue

Monitorez-vous les requetes lentes de votre base de données ?

Répondue

Publiez-vous un postmortem après un incident de production ? Quel public y a accès ?

Répondue

Vos assets et medias sont-ils servis de maniere securisee et performante ?Bucket S3, CDN, sous-domaine dedie HTTPS, liens signes pour les medias prives. N/A si votre produit ne gere pas de medias.

Répondue

Utilisez-vous un des puits de logs centralise mis à disposition ?Sentry capture les erreurs applicatives. Les logs applicatifs (requetes, evenements metier) peuvent être intégré dans Sentry ou dans la stack Grafana/Loki transverse.

Répondue

Votre infrastructure est-elle reproductible a partir d'une configuration versionnee ?Docker Compose, scripts Scalingo, Terraform, Pulumi. N/A si PaaS pur sans configuration infra.

Répondue

Avez-vous des SLOs definis et mesures ?Ex: "99.9% de disponibilite", "p95 latence < 500ms". Objectifs formalises, pas juste un ressenti.

Répondue

Base de données

Avez-vous testé dans les 6 derniers mois votre procédure de backup et restore de la base de donnée ?

Répondue

Votre base de données est-elle infogérée (managée) ?Managée complètement par Scalingo ou Scaleway

Répondue

Les données sont-elles chiffrées au repos (at rest) ?Cela a pour but d'empêcher l'utilisation des données dans le cas d'une intrusion par exemple.

Répondue

La base de données a-t-elle un schéma homogène (Casse, Langue, ...) ?https://fr.wikipedia.org/wiki/Sensibilit%C3%A9_%C3%A0_la_casse

Répondue

Votre base de données comporte-t-elle des contraintes d'intégrité ?Contraintes de clé primaire, clé étrangère, d'unicité, etc...

Répondue

Avez-vous un processus de migration de schéma automatisé ?Fourni par exemple par Prisma, Doctrine, ...

Répondue

Utilisez-vous une couche d'abstraction pour l'acces aux donnees ?ORM (Prisma, SQLAlchemy, Doctrine) ou query builder.

Répondue

Accessibilité

Un des développeurs a-t-il une connaissance importante des critères RGAA ?Des formations via Beta.gouv sont possibles

Répondue

Les tests automatiques (lighthouse) sont-ils à 100% sur toutes les pages ?

Répondue

Votre produit inclut-il une déclaration d'accessibilité ?si oui, donnez le lien en commentaire

Répondue

Le produit passe-t-il 100% des 10 easy checks sur toutes ses pages ?S'il y a des blocages, des experts sont dispo à l'incubateur

Répondue

Le produit a-t-il réalisé un pré-audit avec le pôle numérique inclusif (Anne-Sophie) ?

Répondue

Le produit a-t-il réalisé un audit RGAA via un prestataire externe ?

Répondue

L’équipe (au moins PM & un dev) est elle sensibilisée à l'accessibilité ?Beta propose des formations https://espace-membre.incubateur.net/login?next=/formations

Répondue

Intra

Existe t-il un document de traitement des données (politique de confidentialité) ?Si oui, mettre le lien en commentaire https://rdv.anct.gouv.fr/politique_de_confidentialite

Répondue

Publiez-vous le budget de votre startup ?
La fiche beta.gouv.fr de la startup est-elle à jour (membres, repo, stats, budget, ...) ?
Les indicateurs de votre produit dans Dashlord sont-ils au minimum à la note E et exempts de tout avertissement (warning) ?https://dashlord.incubateur.anct.gouv.fr/
Y a t-il dans votre équipe des notes de frais pour l'outillage ?précisez en commentaire les produits concernés
Avez-vous intégré une boucle de feedback à votre produit ? (Qualitatif)Si oui, précisez comment est collecté le feedback utilisateur. Par exemple https://jedonnemonavis.numerique.gouv.fr/
Evaluez-vous régulièrement l'utilité perçue de votre service ? (Quantitatif)Par exemple avec le Net Promoter Score (nécessite un minimum de ~100 / 200 réponses pour être statistiquement pertinent)
Disposez-vous d'une page stats et reevaluez-vous regulierement vos metriques d'impact ?

Archi & Doc

Existe t-il un DAT (Dossier d'Architecture Technique) ? Est-il à jour ?https://gitlab.com/groups/incubateur-territoires/startups/infrastructures-numeriques/-/wikis/Dossier-d'architecture-technique https://github.com/betagouv/rdv-service-public/blob/production/docs/architecture-technique.md
Un Single Sign-On (SSO) est-il implémenté pour vos utilisateurs ?ProConnect / AgentConnect / MonComptePro
Votre équipe adhère-t-elle à un pattern d'organisation de code prédéfini et documenté ?Proposé par votre framework ou MVC / DDD / Autre
Documentez-vous vos décisions d'architecture ? Si oui merci de mettre le lien en commentairehttps://blog.octo.com/architecture-decision-record https://github.com/joelparkerhenderson/architecture-decision-record https://en.wikipedia.org/wiki/Architectural_decision#cite_note-15 https://github.com/betagouv/rdv-service-public/tree/production/docs/decisions
ProConnect : Stockez vous le sub pro-connect pour réconcilier entre votre base et le retour Proconnect ?Permet de supporter les changements d'email, cf https://partenaires.proconnect.gouv.fr/docs/fournisseur-service/donnees_fournies
Vos fonctions et modules critiques sont-ils documentes ? JSDoc, docstrings, commentaires de contexte sur le code metier complexe.
Votre documentation technique est-elle a jour et complete ? README, DAT, schema DB, schema infra, procedure d'onboarding. Si des elements manquent, indiquez lesquels en commentaire.

Open Source

Le code est-il sur un repo public (GitHub/GitLab) ?
Avez-vous un fichier de licence dans le repository ?Aide au choix de la license : https://licence-libre.incubateur.anct.gouv.fr/
Existe t-il un fichier de contribution expliquant le workflow de contribution au projet ?https://contributing.md/ https://gitlab.com/incubateur-territoires/startups/espace-sur-demande/application/-/blob/develop/CONTRIBUTING.md
Les données du produit sont-elles disponibles sur data.gouv.fr ?
Un service externe peut-il s'interfacer avec votre produit en autonomie ?API Publique, documentée, self-service

Dev XP

Contrôlez-vous automatiquement que vos dépendances (librairies) sont à jour ?Par exemple avec Dependabot Secure > security configuration (GitLab)
Votre stack technique (langages, runtimes, bases de données, infrastructure) est-elle à jour ?Secure > security configuration (GitLab)
Avez-vous un outil d'analyse statique du code en place ?Complexité cyclomatique, ... Par exemple SonarQube, GitLab Code Quality, Github Code QL
Exécutez-vous systématiquement les tests automatisés pour chaque Pull Request ?
Le code est-il parcouru à 80% par les tests automatisés (code coverage) ?
Un pipeline d’intégration & déploiement continue est-il en place ?
Un standard de formatage de code et un linter sont-il en place ?
Peut-on faire tourner le produit en local en 15 minutes ?C'est vraiment important, on va tester !
Les PM / PO / Stakeholders testent-ils les développements sur un environnement de test similaire à la prod ?Ces environnements sont parfois appelés feature apps ou review apps.
La CI / CD tourne-t-elle sur les PRs en moins de 10 minutes ?
Appliquez-vous un standard de nommage de commits, type conventional commit ?https://www.conventionalcommits.org/fr/v1.0.0/
Les données utilisées sur les environnements de développement ou de test sont-elles anonymisées ?Faker, ETL d'anonymisation, pg_anon, ...
La dette technique est-elle identifiee, priorisee et traitee regulierement ?Le travail technique est-il correctement priorise face aux nouvelles fonctionnalites ?
Reduisez-vous activement votre dette technique ?Refactoring, mise a jour de dependances, migration, suppression de code mort. Indiquez les actions recentes en commentaire.
Quelles actions avez vous définies lors de votre dernière rétro ? Quel est votre feedback sur ces actions aujourd'hui ?

Produit

Disposez-vous d'un glossaire expliquant le vocabulaire métier ?
Pour l'analyse produit de votre application, utilisez-vous l'instance Matomo proposée par l'Incubateur des territoires ?https://matomo.incubateur.anct.gouv.fr/
Adoptez-vous une approche guidée par l'impact pour introduire vos nouvelles fonctionnalités ?Par exemple : Commencer avec la version la plus minimale de la fonctionnalité, mesurer son impact. Décider si il faut continuer ou pas à investir sur cette fonctionnalitée.
Utilisez-vous des frameworks pour la conception produit ?Par exemple Shape Up, dual-track agile, lean UX, etc...
Faites-vous de la recherche utilisateur ?https://designgouv.notion.site/La-recherche-utilisateur-27f77d6e829a4187817be6f91398a78e
Disposez-vous d'une cartographie des parcours utilisateurs (user journey) à jour ?Exemple A+ : https://www.notion.so/incubateurdesterritoires/Parcours-utilisateurs-principaux-1c7744bf03dd80c18685e982782950d6
Organisez-vous des rétrospectives au moins une fois tous les deux mois ?
Avez-vous realise un audit de securite de votre codebase dans les 6 derniers mois ?

Sécu & Supply chain

Chiffrez‑vous les données en transit ?HTTPS entre client et serveur, TLS entre serveur et base de données.
Disposez‑vous d’une détection de secrets dans le code exécuté par la CI ?Par exemple détection GitLab / GitHub / SonarQube https://docs.gitlab.com/ee/user/application_security/secret_detection/ https://gitleaks.io/
Utilisez-vous des MFAs (https://fr.wikipedia.org/wiki/Double_authentification) pour accéder aux interfaces d'administration de vos outils et infras ?Ex. : - dépôt de code (GitLab, GitHub...) - accès à l'interface d'administration de l'hébergeur - sentry - grafana - plus généralement, tous les outils qui concourent au bon fonctionnement du service...
Utilisez vous des commits signés ?https://docs.gitlab.com/ee/user/project/repository/signed_commits/ https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits
Disposez-vous d'une procédure de réponse aux incidents de sécurité ?Voici celle de l'incubateur : https://www.notion.so/incubateurdesterritoires/Proc-dure-de-R-ponse-et-Signalement-des-Incidents-de-S-curit-PRIS-184744bf03dd80deb69bc0916d6c1bbb#184744bf03dd80deb69bc0916d6c1bbb
Utilisez-vous le coffre (Vaultwarden) de l'incubateur pour la génération, le stockage et le partage de secrets au sein de la startup ?https://coffre.incubateur.anct.gouv.fr/
Tous les membres de l'équipe utilisent-ils un gestionnaire de mot de passe pour leurs accès nominatifs ?Par exemple le compte de l'hébergeur, le compte GitLab ou GitHub... https://www.notion.so/incubateurdesterritoires/La-boite-outils-tech-41e41e42094e4a85b876520a03cb044c?pvs=4#616778a9ecac45faa06373845ae2dbdb
Un fichier security.txt est-il mis en place sur votre service ?Permet à un reporter de vous prévenir d'une faille sur votre service https://securitytxt.org/
Appliquez-vous le principe de minimisation des données personnelles : collecte limitée au strict nécessaire, APIs n'exposant que les champs utiles, anonymisation en dev/test, et accès restreint pour les outils de visualisation connectés à la base de données ?Article 5.1.c du RGPD. Pour les outils de visualisation (Metabase, Superset…) : user DB dédié en lecture seule avec droits minimaux, connexion sur un replica, exposition via des vues filtrées — jamais le user applicatif ni un accès direct aux tables de prod
Avez-vous une politique de rétention des données définie et appliquée ?GDPR
Employez‑vous un pipeline CI avec GitLab, GitHub ou Forgejo ?
Vos dépendances sont‑elles figées à des versions précises avec des lock‑files commités ?Absence de ^ ou ~ dans package.json. Lock‑files commités et vérifiés en CI.
Le code généré automatiquement fait‑il l’objet d’une revue humaine systématique avant le merge ?Code provenant d’IA, de scaffolding ou de tout outil de génération ; la revue humaine demeure obligatoire.
Des garde‑fous empêchent‑ils l’envoi de données sensibles vers des services tiers ?Les secrets, données utilisateurs et clés API ne doivent pas fuir vers des services externes (IA, SaaS, etc.). Entre 2022 et 2023, plus de 100 000 comptes ChatGPT ont été compromis via des infostealers. En 2023, des employés de Samsung ont divulgué des données sensibles via ChatGPT (ANSSI CERTFR‑2026‑CTI‑001).
Vos agents et outils de développement IA s’exécutent‑ils dans un environnement isolé ?VM dédiée sandboxée. Faire tourner des agents IA (Claude Code, Codex, etc.) sur la machine du développeur expose secrets, clés SSH et tokens à du code tiers (dépendances, supply‑chain). Voir l’agent‑vm développé à l’incubateur : <https://github.com/sylvinus/agent-vm> — Ref ANSSI CERTFR‑2026‑CTI‑001 S2.2 sur le ciblage des agents MCP.
Les machines hôtes des développeurs sont‑elles dépourvues de gestionnaire de paquets (npm, pip, composer, ...) ?Attaques supply‑chain, reproductibilité de l’environnement de développement.
Avez-vous défini un âge minimum de vos dépendances avant installation ?Attaques supply‑chain. <https://docs.npmjs.com/cli/v11/using-npm/config#min-release-age>
Un scan de vulnérabilités des dépendances (SCA) est‑il intégré à votre CI/CD ?Snyk, OWASP Dependency‑Check, scan natif GitLab, Trivy, ...
Disposez‑vous d’un processus de correction des vulnérabilités critiques avec un délai cible défini ?Indiquez votre délai cible en commentaire. Recommandation : <48 h pour les critiques.
Les secrets et clés API sont‑ils distincts entre les environnements (dev/staging/prod) et entre les services en production ?Aucune clé de production ne doit être réutilisée en développement. Chaque service possède ses propres credentials avec les droits minimaux nécessaires. Les clés sont indépendantes de comptes personnels dans la mesure du possible.
Votre système d’authentification repose‑t‑il sur une bibliothèque ou un service standard ?Ref ANSSI : ne pas coder l’auth soi‑même. ProConnect, Devise, NextAuth, Passport, etc. N/A si pas d’authentification.
Votre équipe connaît‑elle les recommandations ANSSI concernant les assistants de développement ?Rapport conjoint ANSSI/BSI 2024 sur les assistants de code IA. Synthèse de la menace CERTFR‑2026‑CTI‑001 (février 2026). Guide « Recommandations de sécurité pour un système d’IA générative » sur [cyber.gouv.fr](http://cyber.gouv.fr)

Bizdev

Disposez-vous d'une stratégie de déploiement territorial documentée ?
Mesurez-vous le coût d'acquisition de nouveaux utilisateurs ou territoires ?
Avez-vous calculé le retour sur investissement (ROI) pour les collectivités qui adoptent votre solution ?
Avez-vous un plan de communication ou marketing pour promouvoir votre solution ?
Avez-vous un suivi des taux de conversion à chaque étape du parcours d'adoption (découverte, essai, adoption régulière) ?
Collaborez-vous ou avez-vous tenté de collaborer avec d'autres startups d'État ou services publics numériques pour créer des synergies ?
Avez-vous documenté votre proposition de valeur afin d'aligner l'équipe autour de celle-ci ?
Votre produit est-il référencé sur le comptoir du libre de l'addulact ?https://comptoir-du-libre.org/fr/softwares Process pour référencer votre produit : https://docs.numerique.gouv.fr/docs/a39920d1-ab80-4b94-b237-f066e35e251e/

Opérabilité

Vos utilisateurs ont-ils accès à la version et aux notes de version via le produit ?Dans le contexte d'une instanciation du produit par des tiers avec plusieurs versions du produit en production.
Un Dockerfile est-il présent dans le repository et l'image est-elle publiée dans un registry (GitLab, GitHub Packages, GHCR) via la CI ?
Vos releases suivent-elles un versionnage sémantique (semver) avec un CHANGELOG maintenu ?
Quand un standard ouvert existe pour un service tiers (SMTP, S3, OIDC…), votre produit l'utilise-t-il plutôt que l'API propriétaire d'un provider spécifique ?