Startup : Startup fictive pour l'audit Outils mutualisés de l'incubateurSélectionnez les outils de l'incubateur utilisés dans le contexte de ce produit Sélectionner... Chargement...
Outils non mutualisésSélectionnez les autres outils utilisés dans le contexte de ce produit Sélectionner... Chargement...
Produit : Produit fictif pour l'audit Produit fictif pour jouer avec l'outil d'audit
Prod - Dev actif
Métier
Monolithe
Dépendances: PostgreSQL
Redis
Authentification: ProConnect
Consommations d'infrastructure du dernier mois Chargement des consommations...
Recommandations Chargement des recommandations...
Si vous constatez des erreurs dans ces informations, merci de nous les remonter.
Audit technique du produit Produit fictif pour l'audit Comité d'investissement prévu pour le 14/09/2024
Ce questionnaire vise à recueillir des informations techniques sur le produit. Une réponse positive (Oui) est généralement attendue, mais une réponse négative (Non) peut être tout à fait appropriée en fonction du contexte. Dans ce cas, merci de préciser les raisons dans les commentaires.
Important : Le formulaire ne prend pas encore en charge l'édition simultanée. Si plusieurs personnes travaillent dessus en même temps, cela risque d'écraser les réponses des autres.
Merci pour votre contribution.
Infra & Obs DB A11y Archi Intra OSS Dev XP Produit Sécu & Supply chain Bizdev L'application est-elle déployée en haute disponibilité ?Cela implique d'avoir plusieurs instances pouvant répondre aux requêtes avec un load balancer. Ainsi, en cas de crash d'une instance les requêtes peuvent toujours être servies par les autres instances.
Votre infrastructure est-elle gérée "As Code" ?L'Infrastructure as Code (IaC) vous permet de documenter les changements d'infra et de remonter vos applications suite à un désastre. Par exemple Terraform ou son équivalent open source "OpenTOFU"
Votre application a-t-elle un nom de domaine en .anct.gouv.fr ?
Pour le monitoring de votre application, utilisez-vous l'instance Sentry proposée par l'Incubateur des territoires ?Sur https://sentry.incubateur.anct.gouv.fr . Si c'est https://sentry.incubateur.net il s'agit du Sentry de la DINUM.
Recevez-vous une alerte en cas de downtime sur le produit ?par ex: updown.io (proposé par l'Incubateur)
Monitorez-vous les requetes lentes de votre base de données ?
Publiez-vous un postmortem après un incident de production ? Quel public y a accès ?
Vos assets et medias sont-ils servis de maniere securisee et performante ?Bucket S3, CDN, sous-domaine dedie HTTPS, liens signes pour les medias prives. N/A si votre produit ne gere pas de medias.
Utilisez-vous un des puits de logs centralise mis à disposition ?Sentry capture les erreurs applicatives. Les logs applicatifs (requetes, evenements metier) peuvent être intégré dans Sentry ou dans la stack Grafana/Loki transverse.
Votre infrastructure est-elle reproductible a partir d'une configuration versionnee ?Docker Compose, scripts Scalingo, Terraform, Pulumi. N/A si PaaS pur sans configuration infra.
Avez-vous des SLOs definis et mesures ?Ex: "99.9% de disponibilite", "p95 latence < 500ms". Objectifs formalises, pas juste un ressenti.
Avez-vous testé dans les 6 derniers mois votre procédure de backup et restore de la base de donnée ?
Votre base de données est-elle infogérée (managée) ?Managée complètement par Scalingo ou Scaleway
Les données sont-elles chiffrées au repos (at rest) ?Cela a pour but d'empêcher l'utilisation des données dans le cas d'une intrusion par exemple.
La base de données a-t-elle un schéma homogène (Casse, Langue, ...) ?https://fr.wikipedia.org/wiki/Sensibilit%C3%A9_%C3%A0_la_casse
Votre base de données comporte-t-elle des contraintes d'intégrité ?Contraintes de clé primaire, clé étrangère, d'unicité, etc...
Avez-vous un processus de migration de schéma automatisé ?Fourni par exemple par Prisma, Doctrine, ...
Utilisez-vous une couche d'abstraction pour l'acces aux donnees ?ORM (Prisma, SQLAlchemy, Doctrine) ou query builder.
Un des développeurs a-t-il une connaissance importante des critères RGAA ?Des formations via Beta.gouv sont possibles
Les tests automatiques (lighthouse) sont-ils à 100% sur toutes les pages ?
Votre produit inclut-il une déclaration d'accessibilité ?si oui, donnez le lien en commentaire
L’équipe réalise-t-elle les 10 easy checks régulièrement ?Par exemple avec l'outil Grist de Manon https://grist.incubateur.anct.gouv.fr/o/docs/3TT8oYijFBwn/Suivi-des-10-easy-Checks/p/14
Le produit passe-t-il 100% des 10 easy checks sur toutes ses pages ?S'il y a des blocages, des experts sont dispo à l'incubateur
Le produit a-t-il réalisé un pré-audit avec le pôle numérique inclusif (Anne-Sophie) ?
Le produit a-t-il réalisé un audit RGAA via un prestataire externe ?
L’équipe (au moins PM & un dev) est elle sensibilisée à l'accessibilité ?Beta propose des formations https://espace-membre.incubateur.net/login?next=/formations
Y-a-t-il un readme permettant de contribuer au projet de manière autonome ?Faire tourner le projet en local, pratiques de contribution, ...
Existe t-il un DAT (Dossier d'Architecture Technique) ? (si oui, merci de mettre le lien en commentaire)https://gitlab.com/groups/incubateur-territoires/startups/infrastructures-numeriques/-/wikis/Dossier-d'architecture-technique
https://github.com/betagouv/rdv-service-public/blob/production/docs/architecture-technique.md
Un Single Sign-On (SSO) est-il implémenté pour vos utilisateurs ?ProConnect / AgentConnect / MonComptePro
Votre équipe adhère-t-elle à un pattern d'organisation de code prédéfini et documenté ?Proposé par votre framework ou MVC / DDD / Autre
Documentez-vous vos décisions d'architecture ?
Si oui merci de mettre le lien en commentairehttps://blog.octo.com/architecture-decision-record
https://github.com/joelparkerhenderson/architecture-decision-record
https://en.wikipedia.org/wiki/Architectural_decision#cite_note-15
https://github.com/betagouv/rdv-service-public/tree/production/docs/decisions
Existe t-il un document de traitement des données (politique de confidentialité) ?Si oui, mettre le lien en commentaire
https://rdv.anct.gouv.fr/politique_de_confidentialite
Les indicateurs de votre produit dans Dashlord sont-ils au minimum à la note E et exempts de tout avertissement (warning) ?https://dashlord.incubateur.anct.gouv.fr/
Y a t-il dans votre équipe des notes de frais pour l'outillage ?précisez en commentaire les produits concernés
Une page stats est-elle en place pour visualiser vos métriques d'impact ?
Prenez-vous le temps de remettre en question régulièrement vos métriques d'impact ?
Avez-vous intégré une boucle de feedback à votre produit ? (Qualitatif)Si oui, précisez comment est collecté le feedback utilisateur.
Par exemple https://jedonnemonavis.numerique.gouv.fr/
Evaluez-vous régulièrement l'utilité perçue de votre service ? (Quantitatif)Par exemple avec le Net Promoter Score (nécessite un minimum de ~100 / 200 réponses pour être statistiquement pertinent)
Le code est-il sur un repo public (GitHub/GitLab) ?
Avez-vous un fichier de licence dans le repository ?Aide au choix de la license : https://licence-libre.incubateur.anct.gouv.fr/
Existe t-il un fichier de contribution expliquant le workflow de contribution au projet ?https://contributing.md/
https://gitlab.com/incubateur-territoires/startups/espace-sur-demande/application/-/blob/develop/CONTRIBUTING.md
Les données du produit sont-elles disponibles sur data.gouv.fr ?
Un service externe peut-il s'interfacer avec votre produit en autonomie ?API Publique, documentée, self-service
Contrôlez-vous automatiquement que vos dépendances (librairies) sont à jour ?Par exemple avec Dependabot
Secure > security configuration (GitLab)
Votre stack technique (langages, runtimes, bases de données, infrastructure) est-elle à jour ?Secure > security configuration (GitLab)
Avez-vous un outil d'analyse statique du code en place ?Complexité cyclomatique, ...
Par exemple SonarQube, GitLab Code Quality, Github Code QL
Exécutez-vous systématiquement les tests automatisés pour chaque Pull Request ?
Le code est-il parcouru à 80% par les tests automatisés (code coverage) ?
L'acceptation de nouveau code dans la branche principale passe-t-elle par des pull requests ?
Un pipeline d’intégration & déploiement continue est-il en place ?
Toute l'équipe travaille-t-elle sur un backlog commun dans le meme outil ? Par exemple un board Projets, Trello ou des issues GitLab
Un standard de formatage de code et un linter sont-il en place ?
Peut-on faire tourner le produit en local en 15 minutes ?C'est vraiment important, on va tester !
Les PM / PO / Stakeholders testent-ils les développements sur un environnement de test similaire à la prod ?Ces environnements sont parfois appelés feature apps ou review apps.
La CI / CD tourne-t-elle sur les PRs en moins de 10 minutes ?
Les améliorations techniques sont-elles faciles à prioriser face aux nouvelles fonctionnalités ?Le travail de développement nécessite de travailler parfois sur des fonctionnalités du produit et d'autres fois de travailler à des sujets purements techniques qui n'apportent pas de nouvelles fonctionnalités.
Ces sujets techniques peuvent cependant parfois être critiques pour la fiabilité et la qualité de l'application. Dans ces cas, il est important de pouvoir les prioriser correctement par rapport aux nouvelles fonctionnalités.
À votre avis, est-ce que la communication avec les PM permet de correctement prioriser ces sujets ?
Appliquez-vous un standard de nommage de commits, type conventional commit ?https://www.conventionalcommits.org/fr/v1.0.0/
Ressentez-vous un climat de confiance qui permet de partager ouvertement les difficultés et les succès durant les retros ?
Votre équipe a-t-elle défini et documenté des critères clairs pour considérer qu'une tâche est "prête à être développée" (Definition of Ready) et "prête à déployée" (Definition of Done)?Avez-vous des difficultées à l'interface dev / produit ?
Les données utilisées sur les environnements de développement ou de test sont-elles anonymisées ?Faker, ETL d'anonymisation, ...
Disposez-vous d'un glossaire expliquant le vocabulaire métier ?
Vos utilisateurs ont-il accès à un changelog pour votre projet ?https://keepachangelog.com/fr/1.1.0/
Pour l'analyse produit de votre application, utilisez-vous l'instance Matomo proposée par l'Incubateur des territoires ?https://matomo.incubateur.anct.gouv.fr/
Adoptez-vous une approche guidée par l'impact pour introduire vos nouvelles fonctionnalités ?Par exemple : Commencer avec la version la plus minimale de la fonctionnalité, mesurer son impact. Décider si il faut continuer ou pas à investir sur cette fonctionnalitée.
Utilisez-vous des frameworks pour la conception produit ?Par exemple Shape Up, dual-track agile, lean UX, etc...
Faites-vous de la recherche utilisateur ?https://designgouv.notion.site/La-recherche-utilisateur-27f77d6e829a4187817be6f91398a78e
Disposez-vous d'une cartographie des parcours utilisateurs (user journey) à jour ?Exemple A+ : https://www.notion.so/incubateurdesterritoires/Parcours-utilisateurs-principaux-1c7744bf03dd80c18685e982782950d6
Organisez-vous des rétrospectives au moins une fois tous les deux mois ?
Les rétrospectives aboutissent-elles systématiquement à des actions concrètes à mettre en place ?
Avez-vous une politique de rétention des données définie et appliquée ?GDPR
Chiffrez‑vous les données en transit ?HTTPS entre client et serveur, TLS entre serveur et base de données.
Disposez‑vous d’une détection de secrets dans le code exécuté par la CI ?Par exemple détection GitLab / GitHub / SonarQube
https://docs.gitlab.com/ee/user/application_security/secret_detection/
https://gitleaks.io/
Utilisez vous des commits signés ?https://docs.gitlab.com/ee/user/project/repository/signed_commits/
https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits
Disposez-vous d'une procédure de réponse aux incidents de sécurité ?Voici celle de l'incubateur : https://www.notion.so/incubateurdesterritoires/Proc-dure-de-R-ponse-et-Signalement-des-Incidents-de-S-curit-PRIS-184744bf03dd80deb69bc0916d6c1bbb#184744bf03dd80deb69bc0916d6c1bbb
Utilisez-vous le coffre (Vaultwarden) de l'incubateur pour la génération, le stockage et le partage de secrets au sein de la startup ?https://coffre.incubateur.anct.gouv.fr/
Un fichier security.txt est-il mis en place sur votre service ?Permet à un reporter de vous prévenir d'une faille sur votre service https://securitytxt.org/
Appliquez-vous le principe de minimisation des données personnelles : collecte limitée au strict nécessaire, APIs n'exposant que les champs utiles, anonymisation en dev/test, et accès restreint pour les outils de visualisation connectés à la base de données ?Article 5.1.c du RGPD. Pour les outils de visualisation (Metabase, Superset…) : user DB dédié en lecture seule avec droits minimaux, connexion sur un replica, exposition via des vues filtrées — jamais le user applicatif ni un accès direct aux tables de prod
Employez‑vous un pipeline CI avec GitLab, GitHub ou Forgejo ?
Vos dépendances sont‑elles figées à des versions précises avec des lock‑files commités ?Absence de ^ ou ~ dans package.json. Lock‑files commités et vérifiés en CI.
Le code généré automatiquement fait‑il l’objet d’une revue humaine systématique avant le merge ?Code provenant d’IA, de scaffolding ou de tout outil de génération ; la revue humaine demeure obligatoire.
Des garde‑fous empêchent‑ils l’envoi de données sensibles vers des services tiers ?Les secrets, données utilisateurs et clés API ne doivent pas fuir vers des services externes (IA, SaaS, etc.). Entre 2022 et 2023, plus de 100 000 comptes ChatGPT ont été compromis via des infostealers. En 2023, des employés de Samsung ont divulgué des données sensibles via ChatGPT (ANSSI CERTFR‑2026‑CTI‑001).
Vos agents et outils de développement IA s’exécutent‑ils dans un environnement isolé ?VM dédiée sandboxée. Faire tourner des agents IA (Claude Code, Codex, etc.) sur la machine du développeur expose secrets, clés SSH et tokens à du code tiers (dépendances, supply‑chain). Voir l’agent‑vm développé à l’incubateur : <https://github.com/sylvinus/agent-vm> — Ref ANSSI CERTFR‑2026‑CTI‑001 S2.2 sur le ciblage des agents MCP.
Les machines hôtes des développeurs sont‑elles dépourvues de gestionnaire de paquets (npm, pip, composer, ...) ?Attaques supply‑chain, reproductibilité de l’environnement de développement.
Avez-vous défini un âge minimum de vos dépendances avant installation ?Attaques supply‑chain. <https://docs.npmjs.com/cli/v11/using-npm/config#min-release-age>
Un scan de vulnérabilités des dépendances (SCA) est‑il intégré à votre CI/CD ?Snyk, OWASP Dependency‑Check, scan natif GitLab, Trivy, ...
Disposez‑vous d’un processus de correction des vulnérabilités critiques avec un délai cible défini ?Indiquez votre délai cible en commentaire. Recommandation : <48 h pour les critiques.
Les secrets et clés API sont‑ils distincts entre les environnements (dev/staging/prod) et entre les services en production ?Aucune clé de production ne doit être réutilisée en développement. Chaque service possède ses propres credentials avec les droits minimaux nécessaires. Les clés sont indépendantes de comptes personnels dans la mesure du possible.
Votre système d’authentification repose‑t‑il sur une bibliothèque ou un service standard ?Ref ANSSI : ne pas coder l’auth soi‑même. ProConnect, Devise, NextAuth, Passport, etc. N/A si pas d’authentification.
Votre équipe connaît‑elle les recommandations ANSSI concernant les assistants de développement ?Rapport conjoint ANSSI/BSI 2024 sur les assistants de code IA. Synthèse de la menace CERTFR‑2026‑CTI‑001 (février 2026). Guide « Recommandations de sécurité pour un système d’IA générative » sur [cyber.gouv.fr](http://cyber.gouv.fr)
Disposez-vous d'une stratégie de déploiement territorial documentée ?
Mesurez-vous le coût d'acquisition de nouveaux utilisateurs ou territoires ?
Avez-vous calculé le retour sur investissement (ROI) pour les collectivités qui adoptent votre solution ?
Avez-vous un plan de communication ou marketing pour promouvoir votre solution ?
Avez-vous un suivi des taux de conversion à chaque étape du parcours d'adoption (découverte, essai, adoption régulière) ?
Collaborez-vous ou avez-vous tenté de collaborer avec d'autres startups d'État ou services publics numériques pour créer des synergies ?
Avez-vous documenté votre proposition de valeur afin d'aligner l'équipe autour de celle-ci ?
Votre produit est-il référencé sur le comptoir du libre de l'addulact ?https://comptoir-du-libre.org/fr/softwares
Process pour référencer votre produit : https://docs.numerique.gouv.fr/docs/a39920d1-ab80-4b94-b237-f066e35e251e/
