Questions fréquentes — réponses fermes.

90 % de mes missions se font en télétravail. Je me déplace ponctuellement (kick-off, restitution, ateliers) à Rennes, Nantes, Paris, Bordeaux. Au-delà, c'est en visio.

Pour les missions de plus de 3 mois, je peux passer une journée par semaine sur site si vous êtes dans le Grand Ouest — sans surcoût.

Seul, par défaut. C'est volontaire : pas de sous-traitance cachée, pas de stagiaire qui apprend sur votre dos, pas de « collègue plus junior » qui aurait dû faire la moitié du job.

Pour les missions qui nécessitent une compétence que je n'ai pas (design produit pointu, mobile natif, data engineering lourd), je travaille avec un réseau de confrères que je connais. Toujours en accord avec vous, jamais sans transparence sur qui fait quoi.

Maximum 3 missions actives en même temps. Au-delà, la qualité chute — et je préfère perdre une mission que la bâcler. C'est aussi pour ça que mon agenda est parfois à 6 semaines : je préfère vous le dire honnêtement plutôt que vous mettre dans une queue de production.

Vous me le dites. Si le grief est légitime, je corrige sans facturer le rework. Si on est en désaccord de fond, on en parle ouvertement et je peux interrompre la mission à mes frais (vous payez ce qui a été livré, pas le reste).

Je n'ai jamais eu de litige formel avec un client en 12 ans. Je touche du bois.

La Content Security Policy est la seule défense à peu près efficace contre les attaques XSS, qui restent le vecteur #1 sur le web (OWASP Top 10 depuis 2010). Une CSP stricte avec nonce + strict-dynamic bloque 99 % des charges malveillantes injectées par un attaquant.

Le problème : la plupart des sites livrent une CSP soit absente, soit affichant 'unsafe-inline' partout — ce qui revient à mettre une serrure puis à coller la clé au-dessus du paillasson.

Oui, par défaut.WordPress lui-même n'est pas le problème — c'est l'écosystème de plugins qui l'est. La moitié des plugins non maintenus contiennent des vulnérabilités connues. Si vous n'avez pas une politique de mise à jour rigoureuse + sauvegarde immuable + WAF correct, vous êtes en attente d'incident. Voir le cas associatif sur le lab.

Pas en soi — un MVP doit être rapide. Le problème est qu'on le laisse en production sans le durcir. Les IA assistantes produisent du code qui fonctionne, mais qui ignore régulièrement : validation d'entrée, rate-limit, authentification correcte, secrets en env, headers de sécurité, conformité RGPD.

C'est typiquement une mission d'audit ou de refonte sécurisée. Voir l'article « Quand les produits vibe-codés s'effondrent ».

Non. Ces services protègent l'infrastructure (DDoS, certificats TLS, edge cache). Ils ne protègent pas votre application : ils ne valident pas vos inputs, ne filtrent pas vos uploads, ne hashent pas vos mots de passe, ne configurent pas votre CSP — tout ça est votre responsabilité.

C'est comme avoir un portier d'immeuble : il filtre les visiteurs, mais il ne fermera pas votre porte à votre place.

Parce que je trouve désagréable, en tant que client, de devoir « contacter pour un devis » sans avoir aucune idée des ordres de grandeur. Ça fait perdre du temps à tout le monde, et ça permet aux fournisseurs peu sérieux de pratiquer le yield management sur la tête du client. Voir ma grille.

Non.L'appel diagnostic (45 min) est offert. Les premiers échanges email aussi. Si vous me posez une question rapide sur LinkedIn, je vous réponds gratuitement.

Je commence à facturer dès qu'une mission est cadrée et signée — pas avant.

EURL (entreprise unipersonnelle à responsabilité limitée), TVA intracommunautaire, RC pro 2 M€ chez Hiscox. Contrats sous droit français, clause d'arbitrage Paris pour les missions > 50 k€. Tout est documenté, je vous transmets le KBIS sur simple demande.

Forfait : 30 % à la signature, 70 % à la livraison. TJM : facturation mensuelle, paiement à 30 jours fin de mois. Virement uniquement.

Pour les associations et TPE en difficulté, paiement échelonné possible sans intérêts — on en discute en amont.