Drupal

Drupal est conçu pour la complexité. Quand un projet nécessite du contenu structuré à grande échelle, de la publication multilingue, un contrôle d'accès granulaire, ou une stabilité de plateforme à long terme sans dépendance à un éditeur, Drupal est le bon choix.

Nous travaillons avec Drupal de la version 7 à la version 11, sur des projets allant de migrations de contenu institutionnel à des portails d'entreprise servant des milliers d'utilisateurs chaque jour.

Pourquoi Drupal

Drupal n'est pas le bon choix pour tous les projets, et nous vous le dirons directement si ce n'est pas le cas. C'est le bon choix quand les besoins dépassent ce qu'une plateforme plus simple peut gérer proprement : des modèles de contenu complexes avec plusieurs types de contenu et des relations entre eux, des workflows éditoriaux impliquant plusieurs rôles et étapes de validation, un contrôle d'accès fin au niveau du contenu ou du champ, ou une plateforme qui doit rester maintenable et indépendante d'un fournisseur unique sur le long terme.

Pour les organisations du secteur public, de l'enseignement supérieur, des médias ou de l'entreprise, la maturité de Drupal, sa gouvernance open source et son historique à grande échelle en font un choix solide et durable. Pour un petit site vitrine avec un contenu simple, c'est probablement plus de plateforme qu'il n'en faut.

Développement de modules Drupal sur mesure

Quand l'écosystème de modules contribués de Drupal ne couvre pas vos besoins, les modules sur mesure sont la bonne réponse. Nous développons des modules personnalisés pour la logique métier complexe, les intégrations tierces (SSO, ERP, CRM, plateformes de recherche), l'automatisation des workflows et les pipelines de données critiques en termes de performance. Tout ce que nous écrivons respecte les standards de code Drupal et est couvert par des tests PHPUnit.

Migrations Drupal

Migrer depuis Drupal 7, 8 ou 9 vers une version actuelle est l'un des projets Drupal les plus courants et les plus sous-estimés. La complexité technique est réelle : les relations entre contenus, les dépendances de modules personnalisés et l'intégrité des données nécessitent une planification rigoureuse avant qu'une seule ligne de code de migration ne soit écrite. Nous avons livré des migrations de toutes tailles, des mises à niveau de sites uniques aux plateformes multi-environnements et multilingues avec des relations de contenu complexes. Nous utilisons l'API Migrate de Drupal et documentons chaque décision de mapping.

Drupal multisite

L'architecture multisite de Drupal permet à plusieurs sites web de fonctionner depuis une seule base de code et de partager un ensemble commun de modules, de thèmes et de configuration. Pour les organisations gérant plusieurs propriétés, des sites régionaux ou des sous-sites institutionnels, cela réduit la charge de maintenance et assure la cohérence à travers le réseau.

Nous concevons et construisons des environnements Drupal multisite de zéro, et nous avons repris des plateformes multisite existantes qui nécessitaient une restructuration ou une migration vers une version actuelle de Drupal. Définir le bon modèle de configuration partagée dès le départ est ce qui détermine la facilité de gestion du réseau dans la durée.

Drupal headless avec JSON:API

Drupal est l'une des plateformes CMS headless les plus performantes disponibles. Son implémentation JSON:API est mature, ses outils de modélisation de contenu sont puissants, et son système de contrôle d'accès gère des workflows éditoriaux complexes. Pour les organisations qui ont besoin de diffuser du contenu sur plusieurs canaux ou qui souhaitent découpler leur frontend de leur système de gestion de contenu, Drupal est une base solide. Nous construisons des systèmes Drupal découplés en utilisant JSON:API comme couche de contenu, associés à des applications Next.js ou des frontends sur mesure.

Audit de sécurité et de performance Drupal

Une revue technique complète d'un site Drupal existant, couvrant les failles de sécurité, les goulots d'étranglement de performance, la qualité du code et l'état de préparation pour une mise à niveau. Le livrable est un rapport écrit avec des recommandations priorisées. Le périmètre est défini par engagement en fonction de la complexité du site, de l'environnement d'hébergement et des objectifs.

Ce que nous examinons

• Sécurité : core et modules obsolètes, failles de sécurité connues, permissions et contrôle d'accès, durcissement de la configuration, revue du code personnalisé
• Performance : analyse du temps de chargement des pages, optimisation des requêtes de base de données, configuration du cache, CDN et livraison des assets
• Qualité du code : architecture des modules personnalisés, standards de code Drupal, évaluation de la dette technique
• Préparation à la mise à niveau : chemin vers Drupal 11, compatibilité des modules, complexité de la migration et estimation des coûts

Utile quand

• Un nouveau responsable technique a hérité d'un site Drupal
• Une organisation planifie une mise à niveau Drupal
• Un site rencontre des problèmes de performance ou de sécurité
• Une due diligence technique pré-acquisition est requise

Réponse aux mises à jour de sécurité Drupal

Les avis Drupal hautement critiques doivent être appliqués dans les 24 à 48 heures, car des exploits apparaissent généralement quelques heures après la publication. L'équipe sécurité Drupal coordonne chaque release avec des relecteurs nommés, un score de gravité au format NIST, et des correctifs synchronisés sur les dépendances en amont. Nous surveillons ce flux de publication et agissons dessus.

Une mise à jour de sécurité Drupal du noyau embarque en même temps les correctifs Symfony, Twig et Composer, comme le démontre l'avis de sécurité Drupal SA-CORE-2026-004 du 20 mai 2026. Une seule mise à jour de noyau peut véhiculer plusieurs correctifs de sécurité issus des dépendances amont, et le processus de mise à jour sécurisée doit tous les prendre en compte ; notre guide opérationnel SA-CORE-2026-004 détaille les quatre étapes opérationnelles qui décident de la bonne application d'un correctif. Nous prenons en charge l'ensemble de la cascade, y compris les décisions de couverture pour les branches en fin de vie : Drupal 7 a atteint sa fin de vie le 5 janvier 2025, et les branches en fin de vie reçoivent encore des correctifs de l'équipe sécurité Drupal selon le principe du best-effort, sans garantie de couverture à long terme.

Questions fréquentes

Comment gérez-vous les avis de sécurité Drupal ?

Nous surveillons chaque avis de l'équipe sécurité Drupal dès sa publication, par RSS, courriel et un canal interne. Chaque avis passe par un triage le jour même de sa publication : vérification de la portée par rapport à votre stack, évaluation de la gravité, et décision entre application du correctif dans la fenêtre de maintenance standard ou réponse d'urgence. Les correctifs sont testés sur un environnement de préproduction qui reflète la production avant tout déploiement, avec un déploiement atomique et une sauvegarde de base de données préalable pour que le retour arrière tienne toujours en une seule commande.

À quelle vitesse un site Drupal doit-il être patché après un avis de sécurité ?

Les avis hautement critiques, niveau de gravité le plus élevé de l'équipe sécurité Drupal, doivent être appliqués dans les 24 à 48 heures suivant la publication. Les avis modérément critiques justifient une application dans la semaine, et les avis informatifs peuvent généralement attendre la prochaine fenêtre de maintenance. Notre guide opérationnel SA-CORE-2026-004 couvre le processus opérationnel derrière ces fenêtres, et explique pourquoi le format d'avis transparent de l'équipe sécurité Drupal rend le calendrier maîtrisable plutôt que chaotique.

Quand faut-il faire appel à une agence pour les mises à jour de sécurité Drupal ?

Les équipes internes gèrent bien la sécurité Drupal lorsqu'une personne suit le flux de sécurité quotidiennement, qu'un environnement de préproduction fonctionne, et qu'une procédure de retour arrière est documentée. Les sites avec une part importante de modules personnalisés, d'intégrations contrib, ou de contraintes de conformité dépassent souvent la capacité interne autour d'une douzaine de modules contrib installés. Faire appel à une agence a du sens lorsque le coût d'un avis manqué pendant 36 heures dépasse le montant du contrat. Ce type d'engagement correspond à ce que les agences françaises appellent une TMA Drupal (tierce maintenance applicative).

Comment maintenir un site Drupal à jour dans le temps ?

Les versions mineures (sécurité et corrections de bugs comme 11.3.10) sortent tous les un à deux mois ; notre contrat de maintenance les couvre toutes selon un rythme testé. Les montées de version majeures (Drupal 10 vers 11 par exemple) demandent une planification distincte car elles comportent des changements d'API et un travail de compatibilité des modules. Nous suivons le cycle de vie de version pour chaque projet, et notre guide de migration de la fin de vie de Drupal 10 détaille la démarche que nous suivons lorsqu'une branche majeure approche de sa fin de vie.

Nous pouvons également mettre en œuvre ce que nous trouvons, via nos services de développement web ou de maintenance et support.

Vous ne savez pas si Drupal est le bon choix pour votre projet ? Notre service de conseil et accompagnement fournit des évaluations de plateformes indépendantes avant que vous vous engagiez dans un développement.