TMA Drupal : le guide complet
Un site Drupal se maintient. Pas de magie : sans mises à jour régulières de sécurité, sans monitoring, sans gestion de la dette technique, votre site s'érode. La TMA (Tierce Maintenance Applicative) n'est pas un luxe, c'est la condition pour que votre site reste sécurisé, performant et évolutif dans la durée.
Depuis l'EOL de Drupal 7 (5 janvier 2025), la question est d'autant plus sensible : plus aucune maintenance communautaire, des centaines de milliers de sites encore en production exposés. Ce guide détaille ce qu'est la TMA Drupal, les quatre volets à couvrir, les modèles de contrat et les signaux d'alerte d'une maintenance défaillante.
Qu'est-ce que la TMA Drupal ?
La Tierce Maintenance Applicative désigne l'ensemble des prestations récurrentes pour maintenir un site en condition opérationnelle après sa mise en production. Pour un site Drupal, elle couvre typiquement :
- Les correctifs de bugs signalés en exploitation
- L'application des mises à jour de sécurité Drupal core et modules
- Les montées de version mineures (10.2 → 10.3, 11.0 → 11.1)
- Les petites évolutions fonctionnelles ne justifiant pas un projet
- Le monitoring applicatif (uptime, erreurs, performance)
- La vérification périodique des sauvegardes et du plan de reprise
- Le support aux contributeurs internes
La TMA se distingue de trois prestations proches mais différentes : l'hébergement (infrastructure serveur), la TME / évolutive majeure (projet d'évolution fonctionnelle significative) et le développement neuf (création ou refonte complète).
Ce que doit couvrir une TMA Drupal sérieuse
1. Corrective
Traitement des anomalies en exploitation : bugs, comportements inattendus, régressions après mise à jour. Investigation, reproduction, correction, tests de non-régression, déploiement. Le prestataire TMA doit être capable d'intervenir rapidement (SLA typique : 4h à 1 jour ouvré selon criticité).
2. Sécurité
Application des Security Advisories (SA-CORE pour Drupal core, SA-CONTRIB pour les modules contribués) dans les délais recommandés : parfois 24h pour une faille critique. Hardening PHP et serveur, audit des permissions, monitoring des tentatives d'intrusion, gestion des accès admin.
3. Préventive
Monitoring applicatif (uptime, erreurs PHP, temps de réponse, jobs cron), vérification des sauvegardes et du plan de reprise d'activité, revue périodique de la dette technique, audit des modules abandonnés ou peu maintenus, surveillance de la santé de la base de données.
4. Évolutive (TME)
Petites évolutions fonctionnelles : ajout d'un champ, modification d'un workflow, création d'un type de contenu, intégration d'un nouveau webservice. Au-delà d'un certain volume (plus de quelques jours), l'évolution bascule en projet distinct avec son propre cadrage.
Pourquoi la TMA Drupal est spécifique
Drupal n'est pas WordPress. Les enjeux de maintenance sont différents, et un prestataire qui fait de la TMA WordPress au quotidien ne fait pas automatiquement du bon Drupal. Voici les spécificités qui comptent.
Gestion de la configuration avec Composer
Drupal 8+ s'installe et s'update via Composer. La configuration est exportée en YAML et versionnée dans Git (Configuration Management). Un prestataire qui ne maîtrise pas Composer ni le workflow config-split / config-ignore n'est pas un prestataire Drupal sérieux. Les mises à jour se font en local, se testent, puis se déploient en production par pipeline CI/CD.
Patches sur modules contribués
Quand un bug est trouvé dans un module contribué, la solution est souvent un patch proposé sur drupal.org, en attente de merge. Le site doit consommer ce patch via la directive composer-patches. Les bons contrats TMA incluent le suivi des patches appliqués : quand le patch est mergé, il faut nettoyer. Sinon, la dette technique grandit invisiblement.
Security Advisories : rythme soutenu
L'équipe sécurité Drupal publie régulièrement des avis (toutes les semaines pour les modules contribués, plusieurs fois par an pour le core). Un bon contrat TMA inclut une veille active sur ces advisories et une capacité d'application sous 24 à 48h pour les failles critiques. Beaucoup de sites Drupal compromis le sont via un module contribué non patché à temps.
Accessibilité RGAA en continu
L'accessibilité RGAA n'est pas un one-shot. Chaque évolution éditoriale peut introduire des régressions. Un contrat TMA sérieux pour un site public inclut des audits réguliers des nouvelles pages (contrastes, alternatives textuelles, hiérarchie), et la mise à jour du schéma pluriannuel et de la déclaration d'accessibilité selon les évolutions.
Post-EOL Drupal 7 : contexte 2026
Drupal 7 n'est plus maintenu depuis le 5 janvier 2025. Les sites encore en production sur cette version exposent leurs données à des failles non corrigées. La TMA d'un Drupal 7 en 2026 consiste essentiellement à préparer et piloter la migration vers Drupal 10 ou 11, avec l'option HeroDevs Extended Support comme solution temporaire pour quelques milliers d'euros par an.
Forfait, régie ou mix ?
Forfait mensuel
Un volume d'heures garanties par mois (typiquement 5 à 40h) avec SLA et disponibilité engagée. Budget prévisible, relation long terme. Idéal pour les sites en production stable qui nécessitent de la maintenance régulière et de la sécurité.
Fourchette : 500 à 2 500€ HT/mois.
Crédit temps (pack jours)
Un pack de jours consommable sur 6 ou 12 mois (typiquement 5 à 30 jours). Paiement à l'achat, flexibilité d'usage. Idéal pour les sites avec des besoins ponctuels ou saisonniers, sans rythme mensuel régulier.
Fourchette : 650 à 850€ HT/jour senior selon l'engagement.
Régie au fil de l'eau
Facturation au temps passé (heure ou journée), sans engagement de volume. Simplicité administrative, mais pas de SLA. Pertinent uniquement pour des sites à très faible criticité ou des missions exceptionnelles ponctuelles.
Attention : sans forfait, pas d'engagement sur les délais d'intervention.
Notre recommandation : pour les sites institutionnels, le mix forfait + régie (forfait de base pour la sécurité et les mises à jour, régie pour les évolutions ponctuelles) est le modèle le plus équilibré.
Signaux d'alerte : votre TMA est-elle défaillante ?
Si vous cochez un ou plusieurs de ces points, votre contrat de maintenance actuel ne vous protège plus vraiment. Il est temps d'auditer.
- Votre site tourne encore sur Drupal 7 (plus de support communautaire depuis janvier 2025)
- Votre Drupal core n'est pas sur la dernière 10.x ou 11.x
- Plusieurs modules contribués n'ont pas été mis à jour depuis plus de 6 mois
- Aucune sauvegarde testée en restauration dans l'année écoulée
- Pas de plan de reprise d'activité documenté (RPO / RTO définis ?)
- Pas de reporting mensuel de ce qui a été fait sur le site
- Vous n'avez pas de liste à jour des patches appliqués aux modules
- Pas d'environnement de préproduction pour tester avant mise en prod
- Pas de déploiement automatisé (vous déployez encore en FTP ?)
- Votre prestataire ne vous a pas proposé d'audit d'accessibilité RGAA depuis 2024
Des projets en production, suivis dans la durée
Lead technique Drupal, migrations majeures 9 → 11, accessibilité RGAA, refonte ElasticSearch sur un site de +2M visites/mois.
Maintenance et évolutions continues sur un site institutionnel multilingue Drupal avec intégration CRM et CI/CD.
TMA long terme sur une plateforme de +55 000 articles Drupal, newsletter CRM et audits techniques réguliers.
Questions fréquentes sur la TMA Drupal
Pour aller plus loin
Drupal 7 en fin de vie : quelles options ?
Si votre site est encore en Drupal 7, c'est la première question à se poser avant la TMA : migrer, upgrade ou rebuild ?
Checklist accessibilité (RGAA + RAWeb)
L'accessibilité en continu fait partie d'une bonne TMA. Les points à vérifier régulièrement sur un Drupal en production.
Comment choisir son prestataire web
Questions à poser avant de signer un contrat TMA Drupal : expertise, continuité, reporting, SLA.
Drupal 12 en 2026 : sortie, nouveautés, migration
Drupal 12 cible août 2026, Drupal 10 EOL décembre 2026. Symfony 8, Drupal CMS 2.0, Experience Builder. Matrice de décision selon votre version actuelle.
Un site Drupal à maintenir ?
Parlons TMA.
