Audit technique web : 8 alertes qui coûtent cher en silence
Réponse rapide. Un audit technique web en 2026 doit surveiller 8 alertes critiques : formulaires qui perdent les leads en silence, Core Web Vitals dégradés, schema.org absent, redirections 301 oubliées, secrets exposés dans le code, pas de monitoring uptime, sauvegardes non testées, et dépendances avec failles CVE. Chacune peut coûter de quelques centaines à plusieurs dizaines de milliers d'euros par an, sans signal visible.
Pourquoi un Lighthouse vert n'est pas un site en bonne santé
Lighthouse mesure 4 catégories : performance, accessibilité, bonnes pratiques, SEO. C'est utile, mais c'est une photo à un instant, sur un parcours simulé, depuis une machine Google.
Un site peut afficher 95/100 sur Lighthouse et :
- Perdre 30% de ses leads de formulaire sans que personne ne s'en rende compte
- Être inaccessible 6h par mois sans alerte
- Voir ses pages clés disparaître progressivement de Google après une refonte
- Stocker les mots de passe utilisateurs en clair en base
L'audit technique sérieux dépasse Lighthouse. Voici les 8 alertes qu'on remonte le plus souvent chez FreshMarkom, classées par fréquence sur les 50 derniers audits réalisés en 2025 et 2026.
Alerte 1 : le formulaire de contact perd des leads en silence
Fréquence observée : 1 audit sur 3.
Le scénario type : un visiteur remplit ton formulaire, clique sur "Envoyer", voit un message de confirmation. Mais l'email ne part jamais. Côté toi, le silence. Côté lui, il pense que tu l'ignores.
Causes courantes :
- API d'envoi (SendGrid, Mailgun, Resend) en quota dépassé sans alerte
- Domaine d'envoi non vérifié SPF/DKIM, les emails partent en spam
- Migration de plateforme qui a cassé le webhook
- Plugin de capture qui n'a jamais été reconnecté à Mailchimp/HubSpot
Coût caché. Pour une PME qui reçoit 30 leads/mois avec un panier moyen de 5 000€ et un taux de conversion de 20%, perdre la moitié des leads pendant 3 mois représente 45 000€ de chiffre d'affaires perdu.
Détection en 2 min. Soumets ton propre formulaire avec une adresse de test. Si l'email n'arrive pas, ou s'il arrive dans "Promotions" Gmail, t'as un problème.
Alerte 2 : Core Web Vitals dégradés sans que personne ne voie
Fréquence observée : 1 audit sur 2.
Tes Core Web Vitals (LCP, INP, CLS) influencent ton classement Google. Or, la majorité des sites mesurent ces métriques en lab (Lighthouse), pas en field (vrais utilisateurs).
Un site peut avoir un LCP de 1,2s sur Lighthouse et un LCP de 3,8s pour 75% des vrais utilisateurs mobiles, à cause de la 4G, du contenu réel, des publicités tierces.
Coût caché. Une étude Google de 2024 montre qu'une dégradation de LCP de 1s à 2,5s entraîne une baisse de conversion de 7 à 15% selon le secteur. Pour un e-commerce qui fait 100 000€/mois, ça représente 7 000€ à 15 000€ de manque à gagner mensuel.
Détection en 5 min. Va sur PageSpeed Insights, entre ton URL, et regarde la section "Données du rapport d'expérience utilisateur Chrome". C'est la mesure field, pas le lab.
Alerte 3 : schema.org absent ou cassé, ton site invisible aux IA
Fréquence observée : 4 audits sur 5.
Les données structurées schema.org permettent à Google d'afficher tes rich snippets (étoiles, prix, FAQ déroulantes) et permettent surtout aux IA conversationnelles (ChatGPT, Claude, Perplexity, Gemini) de te citer comme source.
En 2026, le GEO (Generative Engine Optimization) prend autant de poids que le SEO classique. Un site sans Article schema, sans BreadcrumbList, sans FAQPage, sans Organization, est tout simplement moins cité par les IA.
Coût caché. Difficile à chiffrer directement, mais le trafic provenant des IA conversationnelles a crû de 280% entre 2024 et 2026 (source : Similarweb Q1 2026). Manquer cette source de trafic aujourd'hui, c'est se priver de la croissance organique des 5 prochaines années.
Détection en 2 min. Va sur Schema Markup Validator, entre ton URL, et regarde si tu as au minimum : Organization, WebSite, BreadcrumbList sur toutes les pages, et Article sur tes articles de blog.
Alerte 4 : les redirections 301 oubliées après refonte
Fréquence observée : 9 refontes sur 10.
Quand tu refonds ton site, tes URL changent souvent (nouvelle structure, nouveaux slugs). Sans redirections 301 de l'ancienne URL vers la nouvelle, Google considère les anciennes pages comme supprimées (404) et tu perds tout ton historique SEO.
Le cas classique : un site qui faisait 50 000 visites/mois en SEO refond, oublie les 301, et tombe à 18 000 visites/mois 3 mois après. La perte met 6 à 12 mois à se rattraper.
Coût caché. Pour un site dont 30% du trafic vient du SEO, perdre 60% de ce trafic pendant 6 mois représente l'équivalent de 6 mois de campagnes Google Ads à mettre en place pour compenser. Pour une PME, c'est facilement 15 000€ à 50 000€ en dépenses d'urgence.
Détection en 10 min. Récupère ton ancien sitemap.xml (Wayback Machine ou Google Search Console historique), vérifie chaque URL : doit retourner 200 (page existante) ou 301 (redirection). Aucune 404 acceptable sur tes pages classantes.
Alerte 5 : des secrets dans le code source
Fréquence observée : 1 audit sur 4.
Clés API Stripe, tokens Resend, identifiants Supabase, mot de passe DB. Tout ça doit être dans des variables d'environnement côté serveur, jamais commité dans Git, jamais exposé côté client.
Les fuites typiques :
- Une clé API dans un fichier
.envpoussé sur GitHub public - Une clé Stripe secret_key utilisée côté React (au lieu de la publishable_key)
- Un service role Supabase exposé dans le bundle JavaScript
Coût caché. Variable mais peut être catastrophique. Une clé Stripe secrète exposée peut être utilisée pour des transactions frauduleuses (perte directe + frais Stripe + chargebacks). Une clé Supabase service role exposée donne accès complet à ta base.
Détection en 5 min. Ouvre les DevTools Chrome sur ton site, onglet Sources, cherche dans le bundle JS les chaînes : sk_, service_role, secret, api_key. Si tu en trouves côté client, alerte rouge.
Alerte 6 : aucun monitoring uptime
Fréquence observée : 2 audits sur 3.
Ton hébergeur tombe. Ton SSL expire. Ton DB plante. Pendant 4 heures, ton site est inaccessible. Tu le découvres parce qu'un client t'appelle.
Sans monitoring uptime (UptimeRobot, BetterStack, Pingdom), tu vis dans l'ignorance.
Coût caché. Pour un e-commerce qui fait 1 000€/jour de chiffre d'affaires, 4h de downtime non détecté = 165€ perdus. Sur l'année, à 1 downtime non détecté par mois, ça fait 2 000€ minimum. Plus la dégradation de réputation.
Détection en 30 sec. Pose-toi la question : "Si mon site tombe maintenant, comment je le sais ?" Si la réponse est "un client va m'envoyer un email", t'as pas de monitoring.
Alerte 7 : les sauvegardes que personne n'a jamais testées
Fréquence observée : 4 audits sur 5.
Tu as des sauvegardes automatiques. Tu les paies 15€/mois à ton hébergeur. Mais tu n'as jamais testé une restauration. Le jour où ton site est piraté ou ta base corrompue, tu découvres que les sauvegardes sont incomplètes, illisibles, ou stockées sur le même serveur que la prod.
Coût caché. Une perte de données client (commandes, historique, contenu) peut représenter des semaines de récupération manuelle, voire l'impossibilité de poursuivre l'activité. Pour un SaaS B2B, c'est généralement la fin.
Détection en 1h. Fais une restauration test : prends la dernière sauvegarde, déploie-la sur un environnement de staging, vérifie que tout fonctionne. Si tu ne peux pas, tes sauvegardes ne valent rien.
Alerte 8 : les dépendances avec failles CVE non patchées
Fréquence observée : 1 audit sur 2.
Ton site repose sur des dépendances tierces : librairies Node, plugins WordPress, packages PHP. Certaines ont des failles connues répertoriées dans la base CVE. Sans veille active, tu accumules de la dette de sécurité.
Exemples récents :
- WordPress avec plugin Elementor non mis à jour (CVE-2024-32115, RCE)
- Next.js < 14.2.10 (CVE-2024-46982, Cache poisoning)
- Lodash < 4.17.21 (CVE-2021-23337, Command injection)
Coût caché. Une faille exploitée peut conduire à du défaçage, de l'injection de spam SEO (Japanese Keyword Hack), du vol de données, ou à l'utilisation de ton serveur pour héberger du contenu illégal. La récupération coûte généralement 5 000€ à 20 000€ et plusieurs semaines.
Détection en 2 min. Lance npm audit sur ton projet Next.js/Node, ou utilise un service comme Snyk pour scanner. Pour WordPress, le plugin Wordfence scanne automatiquement.
Comment auditer ton site en moins de 2 heures
Voici la check-list condensée :
- Soumets ton formulaire de contact avec une adresse test, vérifier l'email reçu
- PageSpeed Insights field data, LCP, INP, CLS sur mobile
- Schema Markup Validator, schemas présents et valides
- Crawl avec Screaming Frog ou Sitebulb, repérer les 404 et redirections cassées
- DevTools, chercher les secrets dans le bundle JS
- Configurer UptimeRobot gratuit en 10 min
- Tester une restauration de sauvegarde sur staging
- npm audit ou Wordfence scan
Si tu coches les 8 sans alerte, ton site est dans le top 5% des sites en bonne santé technique.
FAQ
Un audit technique web est une analyse structurée d'un site internet pour détecter les défauts cachés en termes de performance, SEO, sécurité, accessibilité et conversion. Il dépasse les outils automatisés comme Lighthouse et combine analyses outils et expertise humaine.
Un audit complet en agence coûte entre 800€ pour un site vitrine simple et 4 500€ pour un site e-commerce ou SaaS complexe. Compter 1 500€ à 2 500€ pour un audit standard sur un site PME.
Une fois par an pour un site stable, une fois par trimestre pour un site en évolution active, après chaque refonte majeure, et après tout incident de sécurité ou de performance.
Non. Lighthouse mesure des aspects techniques en lab, sur un parcours simulé. Il ne détecte pas les fuites de leads, les problèmes de monitoring, les failles de sécurité de plugins, ni la qualité des schemas pour le GEO.
Les deux. Avant la refonte pour cartographier l'existant (URL, schemas, données). Après pour vérifier la migration, les redirections, et les nouveaux Core Web Vitals.
Pour un premier diagnostic rapide, oui. Pour une décision business sérieuse, non. Les audits gratuits ratent 60% des alertes critiques qu'un audit humain remonte.
En résumé
Un site avec un Lighthouse vert peut quand même perdre des dizaines de milliers d'euros par an à cause de défauts invisibles : formulaires cassés, monitoring absent, schemas manquants, sauvegardes non testées, dépendances vulnérables.
Les 8 alertes listées sont celles qu'on remonte le plus fréquemment lors de nos audits. Tu peux les checker toi-même en 2 heures avec la méthode ci-dessus. Ou nous demander un audit complet, livré sous 5 jours ouvrés avec rapport actionnable.
Le coût d'un audit reste toujours inférieur au coût des problèmes qu'il prévient.