Paramètres d'affichage

Choisissez un thème pour personnaliser l'apparence du site.

Startup : Startup Fictive

Tapez le nom d'un outil non mutualisé et appuyez sur Entrée ou cliquez sur &quo;Ajouter&quo;

Produit : Produit Fictif

Languages:

Javascript

Hébergement:

Scalingo

Chargement des recommandations...

Si vous constatez des erreurs dans ces informations, merci de nous les remonter.

Audit technique du produit Produit Fictif

Comité d'investissement non prévu

Ce questionnaire vise à recueillir des informations techniques sur le produit. Une réponse positive (Oui) est généralement attendue, mais une réponse négative (Non) peut être tout à fait appropriée en fonction du contexte. Dans ce cas, merci de préciser les raisons dans les commentaires.

Important : Le formulaire ne prend pas encore en charge l'édition simultanée. Si plusieurs personnes travaillent dessus en même temps, cela risque d'écraser les réponses des autres.

Merci pour votre contribution.

L'application est-elle déployée chez un hébergeur de la Ruche ?Clevercloud ou Scalingo

Répondue

Votre application prod a-t-elle un nom de domaine en .beta.gouv.fr ?https://doc.incubateur.net/communaute/gerer-son-produit/gestion-au-quotidien/tech/sous-domaine-beta-gouv-fr#beta.gouv.fr-ou-incubateur.net

Répondue

Vos environnements autres que la prod (staging, demo, etc) sont sur un autre domaine que beta.gouv.fr (par exemple incubateur.net) ?

Répondue

Les indicateurs de votre produit dans Dashlord sont-ils au minimum à la note E et exempts de tout avertissement (warning) ?https://dashlord.incubateur-agriculture.beta.gouv.fr/

Répondue

Monitorez-vous votre infrastructure ? Si oui, avec quels outils ?Par exemple avec des outils type Grafana, Metrics scalingo, ... (CPU, RAM, Disque, ...)

Répondue

Pour la gestion des erreurs de votre application, utilisez-vous l'instance Sentry proposée par la DINUM ?https://sentry.incubateur.net

Répondue

Recevez-vous une alerte en cas de downtime sur le produit ?par ex: updown.io

Répondue

Un système de log centralisé est-il en place (ELK / etc…) ? Si oui quel outil ?

Répondue

Vos medias publics sont-ils diffusés via un bucket s3 public avec HTTPS ?

Répondue

Vos medias privés sont-ils diffusés via un bucket s3 privé avec des liens signés et générés par votre backend ?C'est bien le S3 qui sert l'asset et pas votre backend, par exemple AEI : https://gitlab.com/incubateur-territoires/startups/agents-intervention/agents-en-intervention/-/blob/dev/src/Service/S3ServiceImpl.php?ref_type=heads#L66-82

Répondue

Avez-vous testé dans les 6 derniers mois votre procédure de backup et restore de la base de donnée ?

Répondue

Les données sont-elles chiffrées au repos (at rest) ?Cela a pour but d'empêcher l'utilisation des données dans le cas d'une intrusion par exemple.

Répondue

Avez-vous un processus de migration de schéma automatisé ?Par exemple les migrations Django

Répondue

Utilisez vous un outil de visualisation des données de type metabase ?Par exemple pour exposer vos indicateurs. Si oui, précisez l'outil

Répondue

Pour l'analyse produit de votre application, utilisez-vous l'instance Matomo beta.gouv ?

Répondue

Adoptez-vous une approche guidée par les OKR pour introduire vos nouvelles fonctionnalités ?

Répondue

Faites-vous régulièrement de la recherche utilisateur (boucle de feed back, tunnel de conversion) ?

Répondue

Organisez-vous des rétrospectives au moins une fois tous les deux mois ?

Répondue

Les rétrospectives aboutissent-elles systématiquement à des actions concrètes à mettre en place ?

Répondue

Avez-vous une politique de rétention des données définie et appliquée ?GDPR

Répondue

Avez- vous des indicateurs d’indicateurs clairs (KPIs, OKRs) ?Indiquer les indicateurs suivis en commentaire

Répondue

Les devs ont une connaissance importante des critères RGAA ?Des formations via Beta.gouv sont possibles

Répondue

Votre produit inclut-il une déclaration d'accessibilité ?si oui, donnez le lien en commentaire

Répondue

Est-ce que l'état de conformité du site est affiché sur la page d'accueil ?https://accessibilite.numerique.gouv.fr/obligations/mentions-et-pages-obligatoires/

Répondue

Avez-vous construit et publié un plan d'action pour l'année en cours ?https://accessibilite.numerique.gouv.fr/obligations/schema-pluriannuel/

Répondue

Avez-vous contrôlé les 10 choses faciles à vérifier pour un site plus accessible ?https://doc.incubateur.net/communaute/travailler-chez-beta.gouv.fr/se-former/se-former-en-ligne/formation-a-laccessibilite/10-choses-faciles-a-verifier-pour-un-site-plus-accessible

Répondue

Votre produit utilise-t-il le DSFR ?

Répondue

Y-a-t-il un readme permettant de contribuer au projet de manière autonome ?Faire tourner le projet en local, pratiques de contribution, ...

Répondue

Un Single Sign-On (SSO) est-il implémenté pour vos utilisateurs ?ProConnect / AgentConnect / MonComptePro

Répondue

Appliquez-vous des pratiques d’éco-conception ? Saisissez en commentaire le score obtenu sur le site https://www.ecoindex.fr/

Répondue

Documentez-vous vos décisions d'architecture ? Si oui merci de mettre le lien en commentairehttps://blog.octo.com/architecture-decision-record https://github.com/joelparkerhenderson/architecture-decision-record https://en.wikipedia.org/wiki/Architectural_decision#cite_note-15 https://github.com/betagouv/rdv-service-public/tree/production/docs/decisions

Répondue

Utilisez-vous un ORM ?ORM : Outil qui traduit les données entre la base de données et les objets du code. Ex : Hibernate, SQLAlchemy, Entity Framework.

Répondue

Existe t-il un document de traitement des données (politique de confidentialité) ?

Répondue

Publiez-vous le budget de votre startup ?

Répondue

La fiche beta.gouv.fr de la startup est-elle à jour (membres, repo, stats, budget, ...) ?

Répondue

Utilisez-vous aujourd'hui des outils qui ne sont pas mutualisés ?précisez en commentaire les produits concernés

Répondue

Une page stats est-elle en place pour visualiser vos métriques d'impact ?

Répondue

Votre sponsors suit et adhère à la méthode produit

Répondue

Le code est-il sur un repo public ?

Répondue

Avez-vous un fichier de licence dans le repository ?

Répondue

Les données du produit sont-elles disponibles sur data.gouv.fr ?

Répondue

Un service externe peut-il s'interfacer avec votre produit en autonomie ?API Publique, documentée, self-service

Répondue

Contrôlez-vous automatiquement que vos dépendances (librairies) sont à jour ?Par exemple avec Dependabot

Répondue

Les dépendances sont-elles activement maintenues et disposent-elles d'une communauté ou support solide ?Vous n'utilisez pas de dépendances dépréciées, en fin de vie ou expérimentales

Répondue

Avez-vous un outil d'analyse statique du code en place ?Complexité cyclomatique, ... Par exemple SonarQube, GitLab Code Quality, Github Code QL

Répondue

Avez-vous en place de tests automatiques exécutés pour chaque Pull Request ?

Répondue

Mesurez-vous la couverture de vos tests automatiques ? Si oui, merci de la mettre en commentaire

Répondue

L'acceptation de nouveau code dans la branche principale passe-t-elle par des pull requests ?

Répondue

Les branches principales sont-elles protégées d’un commit direct ?

Répondue

Un pipeline d’intégration & déploiement continue est-il en place ?

Répondue

Toute l'équipe travaille-t-elle sur un backlog commun dans le meme outil ? Par exemple un board Projets, Trello ou des issues GitLab

Répondue

Un standard de formatage de code et un linter sont-il en place ?

Répondue

Des hooks pre-commit sont en place pour enforcer les standards ?

Répondue

Les PM / PO / Stakeholders testent-ils les développements sur un environnement de test similaire à la prod ?Ces environnements sont parfois appelés feature apps ou review apps.

Répondue

Les améliorations techniques sont-elles faciles à prioriser face aux nouvelles fonctionnalités ?Le travail de développement nécessite de travailler parfois sur des fonctionnalités du produit et d'autres fois de travailler à des sujets purements techniques qui n'apportent pas de nouvelles fonctionnalités. Ces sujets techniques peuvent cependant parfois être critiques pour la fiabilité et la qualité de l'application. Dans ces cas, il est important de pouvoir les prioriser correctement par rapport aux nouvelles fonctionnalités. À votre avis, est-ce que la communication avec les PM permet de correctement prioriser ces sujets ?

Répondue

Utilisez-vous les chiffrement pour les données en transit ?Par exemple utilisation de HTTPS entre le client et le serveur, ou TLS entre le serveur et la base de données.

Répondue

Avez-vous en place une détection des secrets dans le code exécuté sur la CI ?Par exemple détection GitLab / GitHub / SonarQube https://docs.gitlab.com/ee/user/application_security/secret_detection/ https://gitleaks.io/

Répondue

Utilisez-vous des MFAs (https://fr.wikipedia.org/wiki/Double_authentification) pour accéder aux interfaces d'administration de vos outils et infras ?Ex. : - dépôt de code (GitLab, GitHub...) - accès à l'interface d'administration de l'hébergeur - sentry - grafana - plus généralement, tous les outils qui concourent au bon fonctionnement du service...

Répondue

Ce produit dispose t-il d'un dossier sur le service MonServiceSécurisé ?

Répondue

Utilisez-vous le coffre (Vaultwarden) de l'incubateur pour la génération, le stockage et le partage de secrets au sein de la startup ?https://coffre.incubateur.anct.gouv.fr/

Répondue

Un lien security.txt est-il mis en place sur votre service ?Permet à un reporter de vous prévenir d'une faille sur votre service https://securitytxt.org/

Répondue

Votre metabase utilise-t-il un utilisateur dédié avec des permissions en lecture seule pour accéder à la base de données ?

Répondue

Avez-vous mis en place une période de cooldown pour la mise à jour de dépendances ?https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns

Répondue

Disposez-vous d'une stratégie de déploiement documentée ?

Répondue

Mesurez-vous le coût d'acquisition de nouveaux utilisateurs et/ou de votre fonctionnalité clé ?

Répondue

Avez-vous calculé le retour sur investissement (ROI) ?
Avez-vous un plan de communication ou marketing pour promouvoir votre solution ?
Avez-vous un suivi des taux de conversion à chaque étape du parcours d'adoption (découverte, essai, adoption régulière) ou AARRR ?