Startup : Startup Fictive Outils mutualisés de l'incubateurSélectionnez les outils de l'incubateur utilisés dans le contexte de ce produit Sélectionner... Chargement...
Outils non mutualisésSélectionnez les autres outils utilisés dans le contexte de ce produit Sélectionner... Chargement...
Recommandations Chargement des recommandations...
Si vous constatez des erreurs dans ces informations, merci de nous les remonter.
Audit technique du produit Produit Fictif Comité d'investissement non prévu
Ce questionnaire vise à recueillir des informations techniques sur le produit. Une réponse positive (Oui) est généralement attendue, mais une réponse négative (Non) peut être tout à fait appropriée en fonction du contexte. Dans ce cas, merci de préciser les raisons dans les commentaires.
Important : Le formulaire ne prend pas encore en charge l'édition simultanée. Si plusieurs personnes travaillent dessus en même temps, cela risque d'écraser les réponses des autres.
Merci pour votre contribution.
Infra Opération DB Produit A11y Archi Intra OSS Dev XP Sécu Bizdev L'application est-elle déployée chez un hébergeur de la Ruche ?Clevercloud ou Scalingo
Votre application prod a-t-elle un nom de domaine en .beta.gouv.fr ?https://doc.incubateur.net/communaute/gerer-son-produit/gestion-au-quotidien/tech/sous-domaine-beta-gouv-fr#beta.gouv.fr-ou-incubateur.net
Vos environnements autres que la prod (staging, demo, etc) sont sur un autre domaine que beta.gouv.fr (par exemple incubateur.net) ?
Les indicateurs de votre produit dans Dashlord sont-ils au minimum à la note E et exempts de tout avertissement (warning) ?https://dashlord.incubateur-agriculture.beta.gouv.fr/
Monitorez-vous votre infrastructure ? Si oui, avec quels outils ?Par exemple avec des outils type Grafana, Metrics scalingo, ... (CPU, RAM, Disque, ...)
Pour la gestion des erreurs de votre application, utilisez-vous l'instance Sentry proposée par la DINUM ?https://sentry.incubateur.net
Recevez-vous une alerte en cas de downtime sur le produit ?par ex: updown.io
Un système de log centralisé est-il en place (ELK / etc…) ? Si oui quel outil ?
Vos medias publics sont-ils diffusés via un bucket s3 public avec HTTPS ?
Vos medias privés sont-ils diffusés via un bucket s3 privé avec des liens signés et générés par votre backend ?C'est bien le S3 qui sert l'asset et pas votre backend, par exemple AEI : https://gitlab.com/incubateur-territoires/startups/agents-intervention/agents-en-intervention/-/blob/dev/src/Service/S3ServiceImpl.php?ref_type=heads#L66-82
Avez-vous testé dans les 6 derniers mois votre procédure de backup et restore de la base de donnée ?
Les données sont-elles chiffrées au repos (at rest) ?Cela a pour but d'empêcher l'utilisation des données dans le cas d'une intrusion par exemple.
Avez-vous un processus de migration de schéma automatisé ?Par exemple les migrations Django
Utilisez vous un outil de visualisation des données de type metabase ?Par exemple pour exposer vos indicateurs. Si oui, précisez l'outil
Pour l'analyse produit de votre application, utilisez-vous l'instance Matomo beta.gouv ?
Adoptez-vous une approche guidée par les OKR pour introduire vos nouvelles fonctionnalités ?
Faites-vous régulièrement de la recherche utilisateur (boucle de feed back, tunnel de conversion) ?
Organisez-vous des rétrospectives au moins une fois tous les deux mois ?
Les rétrospectives aboutissent-elles systématiquement à des actions concrètes à mettre en place ?
Avez-vous une politique de rétention des données définie et appliquée ?GDPR
Avez- vous des indicateurs d’indicateurs clairs (KPIs, OKRs) ?Indiquer les indicateurs suivis en commentaire
Les devs ont une connaissance importante des critères RGAA ?Des formations via Beta.gouv sont possibles
Votre produit inclut-il une déclaration d'accessibilité ?si oui, donnez le lien en commentaire
Est-ce que l'état de conformité du site est affiché sur la page d'accueil ?https://accessibilite.numerique.gouv.fr/obligations/mentions-et-pages-obligatoires/
Avez-vous construit et publié un plan d'action pour l'année en cours ?https://accessibilite.numerique.gouv.fr/obligations/schema-pluriannuel/
Avez-vous contrôlé les 10 choses faciles à vérifier pour un site plus accessible ?https://doc.incubateur.net/communaute/travailler-chez-beta.gouv.fr/se-former/se-former-en-ligne/formation-a-laccessibilite/10-choses-faciles-a-verifier-pour-un-site-plus-accessible
Votre produit utilise-t-il le DSFR ?
Y-a-t-il un readme permettant de contribuer au projet de manière autonome ?Faire tourner le projet en local, pratiques de contribution, ...
Un Single Sign-On (SSO) est-il implémenté pour vos utilisateurs ?ProConnect / AgentConnect / MonComptePro
Appliquez-vous des pratiques d’éco-conception ? Saisissez en commentaire le score obtenu sur le site https://www.ecoindex.fr/
Documentez-vous vos décisions d'architecture ?
Si oui merci de mettre le lien en commentairehttps://blog.octo.com/architecture-decision-record
https://github.com/joelparkerhenderson/architecture-decision-record
https://en.wikipedia.org/wiki/Architectural_decision#cite_note-15
https://github.com/betagouv/rdv-service-public/tree/production/docs/decisions
Utilisez-vous un ORM ?ORM : Outil qui traduit les données entre la base de données et les objets du code.
Ex : Hibernate, SQLAlchemy, Entity Framework.
Existe t-il un document de traitement des données (politique de confidentialité) ?
Publiez-vous le budget de votre startup ?
La fiche beta.gouv.fr de la startup est-elle à jour (membres, repo, stats, budget, ...) ?
Utilisez-vous aujourd'hui des outils qui ne sont pas mutualisés ?précisez en commentaire les produits concernés
Une page stats est-elle en place pour visualiser vos métriques d'impact ?
Votre sponsors suit et adhère à la méthode produit
Le code est-il sur un repo public ?
Avez-vous un fichier de licence dans le repository ?
Les données du produit sont-elles disponibles sur data.gouv.fr ?
Un service externe peut-il s'interfacer avec votre produit en autonomie ?API Publique, documentée, self-service
Contrôlez-vous automatiquement que vos dépendances (librairies) sont à jour ?Par exemple avec Dependabot
Les dépendances sont-elles activement maintenues et disposent-elles d'une communauté ou support solide ?Vous n'utilisez pas de dépendances dépréciées, en fin de vie ou expérimentales
Avez-vous un outil d'analyse statique du code en place ?Complexité cyclomatique, ...
Par exemple SonarQube, GitLab Code Quality, Github Code QL
Avez-vous en place de tests automatiques exécutés pour chaque Pull Request ?
Mesurez-vous la couverture de vos tests automatiques ? Si oui, merci de la mettre en commentaire
L'acceptation de nouveau code dans la branche principale passe-t-elle par des pull requests ?
Les branches principales sont-elles protégées d’un commit direct ?
Un pipeline d’intégration & déploiement continue est-il en place ?
Toute l'équipe travaille-t-elle sur un backlog commun dans le meme outil ? Par exemple un board Projets, Trello ou des issues GitLab
Un standard de formatage de code et un linter sont-il en place ?
Des hooks pre-commit sont en place pour enforcer les standards ?
Les PM / PO / Stakeholders testent-ils les développements sur un environnement de test similaire à la prod ?Ces environnements sont parfois appelés feature apps ou review apps.
Les améliorations techniques sont-elles faciles à prioriser face aux nouvelles fonctionnalités ?Le travail de développement nécessite de travailler parfois sur des fonctionnalités du produit et d'autres fois de travailler à des sujets purements techniques qui n'apportent pas de nouvelles fonctionnalités.
Ces sujets techniques peuvent cependant parfois être critiques pour la fiabilité et la qualité de l'application. Dans ces cas, il est important de pouvoir les prioriser correctement par rapport aux nouvelles fonctionnalités.
À votre avis, est-ce que la communication avec les PM permet de correctement prioriser ces sujets ?
Utilisez-vous les chiffrement pour les données en transit ?Par exemple utilisation de HTTPS entre le client et le serveur, ou TLS entre le serveur et la base de données.
Avez-vous en place une détection des secrets dans le code exécuté sur la CI ?Par exemple détection GitLab / GitHub / SonarQube
https://docs.gitlab.com/ee/user/application_security/secret_detection/
https://gitleaks.io/
Utilisez-vous des MFAs (https://fr.wikipedia.org/wiki/Double_authentification) pour accéder aux interfaces d'administration de vos outils et infras ?Ex. :
- dépôt de code (GitLab, GitHub...)
- accès à l'interface d'administration de l'hébergeur
- sentry
- grafana
- plus généralement, tous les outils qui concourent au bon fonctionnement du service...
Ce produit dispose t-il d'un dossier sur le service MonServiceSécurisé ?
Utilisez-vous le coffre (Vaultwarden) de l'incubateur pour la génération, le stockage et le partage de secrets au sein de la startup ?https://coffre.incubateur.anct.gouv.fr/
Un lien security.txt est-il mis en place sur votre service ?Permet à un reporter de vous prévenir d'une faille sur votre service https://securitytxt.org/
Votre metabase utilise-t-il un utilisateur dédié avec des permissions en lecture seule pour accéder à la base de données ?
Avez-vous mis en place une période de cooldown pour la mise à jour de dépendances ?https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns
Disposez-vous d'une stratégie de déploiement documentée ?
Mesurez-vous le coût d'acquisition de nouveaux utilisateurs et/ou de votre fonctionnalité clé ?
Avez-vous calculé le retour sur investissement (ROI) ?
Avez-vous un plan de communication ou marketing pour promouvoir votre solution ?
Avez-vous un suivi des taux de conversion à chaque étape du parcours d'adoption (découverte, essai, adoption régulière) ou AARRR ?
