Reprendre la maintenance d'un SaaS existant

Votre ancien prestataire n'est plus là et votre application SaaS doit continuer à tourner. Nous reprenons proprement la maintenance de votre SaaS Symfony grâce à un audit en 5 jours et un plan de stabilisation actionnable, sans réécriture inutile.

Reprendre la maintenance d'un SaaS existant : pourquoi c'est sensible

Vous êtes dirigeant de TPE, DAF, ou responsable technique. Votre application SaaS tourne, vos clients l'utilisent, mais le prestataire qui l'a développée n'est plus joignable : l'agence a fermé, le freelance s'est reconverti, le développeur interne est en arrêt longue durée. Vous cherchez quelqu'un pour reprendre la maintenance d'un SaaS existant, sans tout réécrire et sans interruption de service.

Cette situation est plus fréquente qu'on ne le pense. D'expérience, la difficulté n'est jamais purement technique. Elle tient à un faisceau de zones d'ombre : code peu documenté, mots de passe perdus, hébergement opaque, dépendances obsolètes, conformité RGPD non auditée depuis des années. La reprise demande une méthode rigoureuse pour cartographier l'existant avant toute action.

Avant d'engager une refonte ou un changement d'hébergement, le bon réflexe est un audit court et structuré. C'est ce que je propose, en m'appuyant sur la méthodologie de développement SaaS sur-mesure que j'applique sur mes propres projets, déclinée en mode "reprise".

Les situations typiques de reprise que je rencontre

Quatre profils reviennent dans la majorité des demandes de reprise. Vous vous reconnaîtrez probablement dans l'un d'eux.

Prestataire parti sans transmission

Votre ancien freelance ne répond plus aux mails. Vous n'avez ni les accès Git, ni la documentation technique, ni les credentials de l'hébergeur. L'application tourne encore mais personne ne sait comment.

Agence fermée ou rachetée

L'agence qui a conçu votre SaaS a déposé le bilan ou a été absorbée. L'équipe d'origine est dispersée, le contrat de maintenance a sauté, et personne ne reprend les tickets.

Dev interne en burn-out ou départ

Votre développeur unique est en arrêt longue durée, ou a démissionné. Vous découvrez qu'il portait toute la connaissance du projet : pas de tests, pas de procédures, pas de doc d'exploitation.

RGPD à risque, dette technique opaque

Vous savez que le SaaS n'a pas été audité depuis trois ou quatre ans. Composer affiche des dizaines de vulnérabilités, la conformité RGPD est floue, et vous craignez un incident chez un de vos clients B2B.

Hébergement non souverain ou opaque

L'application est hébergée chez un cloud américain, ou sur un serveur dont vous ignorez la localisation exacte. Vos clients vous demandent des garanties RGPD que vous ne pouvez pas fournir.

Performance qui se dégrade silencieusement

Les utilisateurs se plaignent de lenteurs. Personne ne supervise vraiment l'infrastructure, ni les requêtes lentes, ni les pics de charge. Le risque d'incident grave augmente chaque mois.

Notre méthode d'audit en 5 jours avant reprise

Avant de signer un contrat de maintenance applicative (TMA) ou d'engager des travaux, je réalise un audit de reprise calibré sur 5 jours ouvrés. L'objectif est simple : vous remettre, sous deux semaines, une cartographie claire et un plan d'action priorisé.

Jour Périmètre audité Livrable
Jour 1 Cartographie fonctionnelle et technique : modules, comptes, accès, hébergeur, dépôts Git, CI/CD. Schéma d'architecture commenté
Jour 2 Sécurité applicative : authentification, gestion des secrets, exposition d'API, vulnérabilités selon la checklist cybersécurité TPE. Liste priorisée des failles
Jour 3 Dépendances : Composer, npm/yarn, version OS, version de Symfony, base MariaDB. Audit des CVE ouvertes via le SensioLabs Security Checker. Matrice de mises à jour
Jour 4 Conformité RGPD : registre de traitement, durées de conservation, sous-traitants, chiffrement, droits utilisateurs selon la checklist RGPD SaaS 2026. Rapport d'écart RGPD
Jour 5 Dette technique : qualité du code, couverture de tests, documentation, journalisation, plan de reprise d'activité existant. Plan de stabilisation 90 jours

Le rapport final tient en une vingtaine de pages, lisible par un dirigeant non technique. Il distingue clairement ce qui est critique (à corriger sous 7 jours), ce qui est important (à planifier sous 90 jours) et ce qui est cosmétique (à intégrer à la roadmap de maintenance).

D'après les recommandations de la CNIL sur la sauvegarde et la résilience, la phase RGPD inclut systématiquement la vérification de l'existence et de la testabilité du plan de reprise d'activité du SaaS.

Cas concret : reprise d'un SaaS B2B après départ d'agence

Un éditeur de SaaS B2B (gestion de notes de frais pour quelques dizaines de cabinets comptables) m'a contacté après la liquidation judiciaire de l'agence qui avait conçu son application. Pendant trois mois, plus aucune mise à jour de sécurité n'avait été passée. L'hébergement était toujours en service, mais payé par carte bleue personnelle d'un associé.

Premier constat à l'audit : application en Symfony LTS, mais bloquée sur une version intermédiaire avec dix CVE ouvertes côté Composer. Base MariaDB exposée sans whitelist d'IP. Aucun monitoring, aucune sauvegarde testée depuis l'origine. RGPD : pas de registre de traitement, pas de DPA signé avec l'hébergeur, et un export CSV non chiffré envoyé chaque nuit par e-mail.

En 5 jours, j'ai produit le rapport. En 10 jours supplémentaires : migration de l'hébergement vers un hébergement souverain auto-hébergé sur Proxmox, mise à jour Symfony et dépendances, rotation complète des secrets, mise en place d'un monitoring Grafana, Prometheus et Loki, et premier exercice de restauration de sauvegarde. Zéro coupure côté utilisateurs finaux.

Le client est aujourd'hui en TMA mensuelle avec engagement de remise à niveau trimestrielle. Sans réécriture du code métier : il n'y en avait pas besoin.

Engagement post-audit : que se passe-t-il ensuite ?

L'audit ne vous engage pas à poursuivre avec moi. Vous repartez avec un rapport actionnable, exploitable par n'importe quel prestataire. Si vous souhaitez continuer ensemble, trois formules sont possibles, chiffrées sur devis personnalisé.

Tierce maintenance applicative (TMA) au forfait

Engagement mensuel ou annuel couvrant les mises à jour de sécurité (Composer, npm, OS), le monitoring, les sauvegardes testées, le support utilisateur niveau 2 et un quota d'évolutions mineures. C'est la formule la plus courante après une reprise propre.

Plan de stabilisation 90 jours

Si l'audit révèle un retard important (RGPD non conforme, dépendances très anciennes, absence de tests), un plan dédié de 90 jours permet de remettre le SaaS au niveau attendu avant de basculer en TMA classique. Vous gardez une visibilité totale sur les livrables et le calendrier.

Refonte ciblée, jamais systématique

Je ne propose une refonte que lorsqu'elle est techniquement justifiée : framework hors support définitif, architecture incompatible avec la roadmap métier, dette structurelle. Dans la majorité des cas, un SaaS Symfony bien conçu se reprend, se met à niveau, et continue à servir pendant des années. Si vous démarrez un nouveau projet, le cahier des charges SaaS sur-mesure est un bon point de départ pour cadrer la cible.

Comme tous mes accompagnements, le périmètre de reprise est défini sur devis personnalisé après un échange initial gratuit de 30 minutes.

Notre approche

Analyse de vos besoins

Nous prenons le temps de vous connaître et de comprendre vos besoins pour vous offrir la meilleure solution à votre projet

Développement

Nous travaillons en étroite collaboration avec vous pour concevoir et développer votre projet en respectant les normes et les meilleurs standards de qualité

Livraison et suivi

Nous assurons la livraison et le suivi de votre projet pour garantir votre satisfaction et votre réussite sur le long terme

Nos engagements

Développer du logiciel sur-mesure, c'est bien. Le faire avec un impact positif sur la planète et une relation équitable avec nos clients, c'est notre raison d'être.

Hébergement écoresponsable, tarification transparente co-construite avec vous, code optimisé pour durer : nous refusons de choisir entre performance technique et responsabilité. Chez ARDNTECH, les deux vont de pair.

Une démarche écoresponsable
Une tarification équitable et flexible

Nos autres services

Votre projet mérite un hébergement à la hauteur : serveurs éco-énergétiques, monitoring continu et maintenance proactive.

Découvrez notre service de développement

Votre projet SaaS mérite un hébergement à la hauteur : serveurs éco-énergétiques, monitoring continu et maintenance proactive.

Découvrez notre service d'hébergement

Nos témoignages

 Incroyable entreprise, service optimale. je recommande fortement. 

Mathis • Developer Full Stack Voir le projet

 Adrien a permis à TeleSoft de faire face à des situations parmi les plus extrêmes, telles que l'incendie dans le datacenter d'OVH. 

Benoît • Account Manager Voir le projet

 Faire appel à Adrien, c'est synonyme d'une garantie de résultat, d'un travail sérieux, d'une bonne organisation et d'un accompagnement personnalisé. 

David • Account Manager Voir le projet

FAQ Reprise de maintenance SaaS

Vos questions sur la reprise de maintenance d'un SaaS existant, l'audit en 5 jours et l'engagement post-audit.

Qu'est-ce qu'une reprise de maintenance SaaS ?

Une reprise de maintenance SaaS consiste à prendre le relais d'un ancien prestataire (agence, freelance, dev interne) pour assurer la continuité d'exploitation d'une application SaaS existante. Elle commence toujours par un audit de l'existant : cartographie technique, sécurité, dépendances, conformité RGPD et dette technique. L'objectif n'est pas de réécrire l'application, mais de la stabiliser, la sécuriser et la maintenir dans la durée, sans interruption de service pour vos utilisateurs.

Mon ancien prestataire est parti sans transmission, est-ce que c'est récupérable ?

Dans la très grande majorité des cas, oui. Même sans accès Git ni documentation, on peut généralement récupérer les sources depuis le serveur de production, reconstituer les credentials manquants via les fournisseurs (hébergeur, registrar, e-mail, APIs tierces) et restaurer la chaîne d'exploitation. Les cas vraiment bloquants sont rares : ils concernent surtout des SaaS hébergés sur des comptes personnels du prestataire disparu, sans procédure de récupération possible. Un échange initial gratuit de 30 minutes permet de qualifier rapidement votre situation.

En combien de temps reprenez-vous la main sur un SaaS existant ?

La méthodologie standard prévoit un audit de 5 jours ouvrés, suivi d'une bascule opérationnelle sous 10 à 15 jours selon l'urgence. En pratique, après le premier échange, je peux mettre en place une supervision et un canal de support sous 48 à 72 heures, même avant la fin de l'audit. La reprise complète (accès, monitoring, sauvegardes testées, mises à jour critiques) tient généralement dans une fenêtre de 3 à 4 semaines.

Que comprend l'audit initial de reprise ?

L'audit couvre cinq périmètres sur 5 jours ouvrés :

  • Cartographie : architecture, modules, accès, hébergeur, dépôts, CI/CD.
  • Sécurité : authentification, secrets, exposition d'API, vulnérabilités OWASP.
  • Dépendances : Composer, npm, OS, version de Symfony LTS, base MariaDB.
  • RGPD : registre, durées de conservation, sous-traitants, chiffrement, droits utilisateurs.
  • Dette technique : qualité du code, tests, documentation, journalisation, plan de reprise d'activité.

Le livrable est un rapport priorisé (critique, important, cosmétique) et un plan de stabilisation à 90 jours.

Comment garantissez-vous la continuité de service pendant l'audit ?

L'audit est non intrusif sur l'environnement de production : aucune modification de code, aucun redémarrage de service, aucun changement de configuration. Tout se fait en lecture, sur une copie des sources et une restitution des journaux. La mise en place du monitoring se fait en parallèle et sans coupure. Les actions correctives (mises à jour, rotation de secrets, migrations) sont planifiées après le rapport, en fenêtre concertée avec vous, et toujours précédées d'une sauvegarde restaurable.

Que se passe-t-il si l'audit révèle des vulnérabilités RGPD ?

Les écarts RGPD constatés sont consignés dans un rapport d'écart distinct, avec un niveau de criticité et une recommandation pour chaque point. Les vulnérabilités les plus graves (par exemple un export de données non chiffré, un sous-traitant hors UE sans encadrement contractuel) font l'objet d'un plan d'action immédiat. Selon la gravité, une notification à la CNIL au titre de l'article 33 du RGPD peut être recommandée. Vous restez décisionnaire, je vous fournis l'analyse technique nécessaire.

Reprenez-vous tous les SaaS, ou uniquement ceux développés en Symfony ?

Mon cœur d'expertise est Symfony en version LTS, sur base MariaDB ou PostgreSQL, avec hébergement souverain. C'est sur cette stack que je peux garantir la qualité et la durabilité du suivi. Je reprends aussi des SaaS écrits en PHP plus ancien (Symfony 4 ou 5, voire applications non frameworkées) avec un volet de remise à niveau intégré. En revanche, je ne reprends pas de stack hors PHP (Node, Python, .NET) : pour ces cas, je vous oriente vers des confrères de confiance.

Quel est le coût d'une reprise de maintenance SaaS ?

Le coût dépend de la taille du SaaS, de l'état de la documentation, du niveau de dette technique et du périmètre de maintenance choisi (TMA simple, plan de stabilisation 90 jours, ou combinaison). Le périmètre est défini sur devis personnalisé après un échange initial gratuit de 30 minutes. L'audit de 5 jours est lui-même chiffré séparément et sans engagement de poursuite : vous repartez avec un rapport exploitable même si vous décidez de ne pas continuer avec moi.

Votre SaaS mérite une reprise propre et structurée

Parlons de votre situation

Demander un devis personnalisé
Solutions performantes Conçues pour durer et évoluer
Hébergé en France Conforme RGPD, souverain
Suivi transparent Aucun coût caché, devis détaillé
Tarification équitable Vous choisissez votre budget
Éco-responsable Code sobre, hébergement vert