En bref
La TMA (Tierce Maintenance Applicative) désigne le contrat par lequel un assureur, une mutuelle ou une institution de prévoyance confie à un prestataire externe la maintenance de son site web, de ses parcours de souscription et de ses espaces clients. Elle couvre trois types d’interventions : la maintenance corrective (correction des bugs et incidents), la maintenance préventive/sécurité (mises à jour de sécurité, PHP, CMS, plugins), et la maintenance évolutive (évolutions fonctionnelles et contenu).
Ce qui distingue la TMA d’un site assurance d’une TMA générique : les obligations réglementaires cumulées (DORA depuis janvier 2025, RGAA accessibilité 2025, RGPD), la criticité des parcours transactionnels (souscription, déclaration de sinistre, télétransmission), et la dépendance à des plugins et APIs métiers spécifiques au secteur (simulateurs, signature électronique, connecteurs SI de gestion).
Budget indicatif : de 800 à 5 000 €/mois selon la complexité du site et le périmètre contractualisé. Un contrat de TMA mal cadré coûte toujours plus cher qu’un contrat bien structuré — en heures hors-forfait et en risques non couverts.
Après la livraison d’un site ou d’un parcours de souscription, une question se pose quasi systématiquement en comité de direction : « maintenant qu’il est en ligne, qui s’en occupe et à quel coût ? » La TMA est la réponse à cette question — mais c’est une réponse qui doit être cadrée avec précision, car un contrat de TMA flou est une source garantie de litiges, de surcoûts et de risques non couverts.
Ce guide s’adresse aux directeurs digital, DSI et responsables marketing des compagnies d’assurance, mutuelles et IP qui veulent comprendre ce qu’un contrat de TMA doit couvrir, comment le chiffrer correctement, et ce que DORA change concrètement à leurs obligations de maintenance depuis janvier 2025.
Les trois types de maintenance : ce que recouvre vraiment une TMA
La grande confusion autour des contrats de TMA vient du fait que « maintenance » recouvre des réalités très différentes selon les prestataires. Un contrat qui ne définit pas explicitement les trois types de maintenance laisse la porte ouverte à des désaccords coûteux.
Corrective
Correction des incidents
Correction des bugs, erreurs et dysfonctionnements affectant le bon fonctionnement du site. Déclenchée par un incident signalé ou détecté par le monitoring.
Ex. : formulaire de devis qui plante à l’étape 3, affichage cassé sur iOS 17, erreur 500 sur l’espace client après une mise à jour.
Préventive / Sécurité
Mises à jour et sécurisation
Mises à jour du CMS (WordPress), des plugins, du PHP et des dépendances. Correctifs de sécurité suite à la découverte de vulnérabilités (CVE). Surveillance et durcissement.
Ex. : mise à jour PHP 8.1 → 8.3, patch de sécurité Gravity Forms, renouvellement certificat SSL, correction suite à un audit de sécurité.
Evolutive
Évolutions fonctionnelles
Ajout ou modification de fonctionnalités, mises à jour de contenu réglementaire, intégration de nouveaux modules, optimisations performances et SEO.
Ex. : ajout d’un module 100% Santé dans le simulateur, mise à jour des mentions légales RGPD, intégration d’une nouvelle API tarificateur.
Point contractuel critique : beaucoup de prestataires incluent la maintenance corrective et préventive dans leur forfait, mais facturent la maintenance évolutive en régie (tarif horaire hors forfait). Si cette distinction n’est pas explicite dans le contrat, tout ajout de contenu ou évolution fonctionnelle peut se retrouver hors forfait et générer des surcoûts non anticipés. Exigez une liste exhaustive de ce qui entre dans chaque catégorie.
Point contractuel critique : beaucoup de prestataires incluent la maintenance corrective et préventive dans leur forfait, mais facturent la maintenance évolutive en régie (tarif horaire hors forfait). Si cette distinction n’est pas explicite dans le contrat, tout ajout de contenu ou évolution fonctionnelle peut se retrouver hors forfait et générer des surcoûts non anticipés. Exigez une liste exhaustive de ce qui entre dans chaque catégorie. Francis Mahut – Fondateur d’Eficiens
Le périmètre spécifique d’une TMA pour un site assurance
Un site d’assurance n’est pas un site vitrine classique. Sa TMA doit couvrir des composantes que l’on ne retrouve pas dans la maintenance d’un site e-commerce ou d’un site institutionnel générique.
Les composantes techniques spécifiques à surveiller
| Composante | Risque si non maintenu | Fréquence d’intervention | Inclus TMA standard ? |
|---|---|---|---|
| CMS WordPress + thème | Vulnérabilités de sécurité, incompatibilités PHP | Mensuelle | ✔ Toujours |
| Plugins métiers (ACF, Gravity Forms, WPML) | Conflits de version, failles de sécurité, pertes de données de formulaire | Mensuelle / après CVE | ✔ Toujours |
| Version PHP du serveur | Fin de support PHP = failles non corrigées, incompatibilités plugins | Annuelle (migration PHP) | ~ Souvent en option |
| Connecteurs API (tarificateurs, SI gestion) | Rupture de flux si l’API partenaire évolue sans que le connecteur soit mis à jour | À chaque évolution partenaire | ✗ Souvent hors forfait |
| Simulateurs et calculateurs | Résultats erronés si les paramètres tarifaires évoluent sans mise à jour (CCAM, garanties) | Après chaque évolution tarifaire | ✗ Évolutive hors forfait |
| Module de signature électronique | Blocage du parcours de souscription si l’API éditeur change | Sur alerte éditeur | ~ Variable |
| Certificats SSL | Avertissement de sécurité navigateur, abandon massif des visiteurs | Avant expiration (J-30) | ✔ Toujours |
| Sauvegardes et restauration | Perte de données irrémédiable en cas d’incident ou d’intrusion | Quotidienne (vérification mensuelle) | ✔ Toujours |
| Conformité RGPD (consentements cookies) | Non-conformité CNIL, risque de mise en demeure | Sur évolution réglementaire | ~ Évolutive, souvent hors forfait |
| Accessibilité RGAA | Non-conformité directive EAA 2025, risque contentieux pour les acteurs concernés | Après chaque déploiement | ✗ Presque toujours hors forfait |
Le cas particulier de WordPress dans l’assurance
La majorité des sites d’assureurs et de mutuelles de taille intermédiaire tournent sous WordPress. Ce CMS est parfaitement adapté à leurs besoins — à condition qu’il soit correctement maintenu. C’est précisément là que réside le principal risque opérationnel.
WordPress, avec ses milliers de plugins disponibles, est la cible n°1 des attaques automatisées sur le web. Selon les données Wordfence, plus de 90 % des sites WordPress hackés l’ont été à cause d’un plugin ou d’un thème non mis à jour. Pour un assureur dont le site traite des données de santé ou des données financières d’adhérents, une compromission n’est pas seulement un problème technique — c’est un incident RGPD à notifier à la CNIL dans les 72 heures, et potentiellement un incident DORA à notifier à l’ACPR.
73 jours
C’est la durée médiane entre la publication d’une vulnérabilité critique sur un plugin WordPress et son exploitation active par des attaquants. Sans processus de mise à jour mensuel, votre site est exposé pendant plus de deux mois à chaque CVE critique. (Source : Wordfence / WPScan 2024)
DORA et la TMA : ce que le règlement impose concrètement
Depuis le 17 janvier 2025, DORA (Digital Operational Resilience Act) s’applique aux assureurs et mutuelles soumis à Solvabilité II. Son impact sur la TMA est direct et souvent mal compris.
Le prestataire TMA est un fournisseur TIC au sens de DORA
DORA classe les prestataires de services TIC dans deux catégories : les fournisseurs critiques (soumis à supervision directe de l’EIOPA/ACPR) et les fournisseurs non critiques (soumis à obligations contractuelles renforcées). Un prestataire de TMA qui intervient sur des applications supportant l’activité principale de l’assureur — parcours de souscription (à faire valider par votre juriste), espace client, portail sinistres — entre typiquement dans cette seconde catégorie. Cela impose à l’assureur de :
- Inscrire le prestataire TMA dans son registre des fournisseurs TIC avec une évaluation de criticité documentée.
- Contractualiser des SLAs précis couvrant les délais d’intervention selon la gravité des incidents (voir grille P1/P2/P3 ci-dessous).
- Prévoir une clause d’audit permettant à l’assureur (ou à son superviseur) de vérifier les pratiques de sécurité du prestataire.
- Disposer d’une clause de réversibilité garantissant la restitution de tout le code source, des configurations et de la documentation technique en cas de fin de contrat.
- Exiger du prestataire un plan de continuité documenté et testé — notamment pour les interventions critiques nocturnes ou en période de pic (renouvellements ANI, campagnes d’affiliation).
Recommandation Eficiens : si votre contrat de TMA actuel ne comporte pas d’annexe « Exigences DORA », considérez qu’il n’est pas conforme. Cette annexe doit couvrir a minima : classification de criticité du prestataire, SLAs par niveau de gravité, droit d’audit, clause de réversibilité avec inventaire technique, et plan de continuité d’activité du prestataire. Lire notre article sur l’impact de DORA sur les sites web assurance.
Les obligations de traçabilité des interventions
DORA impose de documenter et de conserver l’historique des incidents TIC significatifs, y compris ceux résolus en maintenance corrective. Chaque intervention de votre prestataire TMA doit donc générer un ticket daté et signé, avec description du problème, cause racine identifiée, action corrective, et durée d’indisponibilité. Ces données alimentent le registre des incidents TIC et sont potentiellement demandées par l’ACPR lors d’une inspection.
Un prestataire TMA qui ne dispose pas d’un outil de ticketing traçable et d’une politique d’archivage des interventions n’est pas compatible avec vos obligations DORA.
La grille SLA : ce que votre contrat doit garantir
Un contrat de TMA sans SLA explicites est un contrat sans engagement. Les SLAs (Service Level Agreements) définissent les délais maximum d’intervention et de résolution selon la gravité de l’incident. Pour un site assurance, voici la grille de référence.
| Priorité | Définition | Exemples assurance | Délai de prise en charge | Délai de résolution |
|---|---|---|---|---|
| P1 — Critique | Service totalement indisponible, impact sur l’ensemble des utilisateurs | Site down, parcours de souscription en erreur 500, espace client inaccessible | 30 min(24h/24) | 4 heures |
| P2 — Majeur | Fonctionnalité critique dégradée, impact partiel sur les utilisateurs | Formulaire de devis bugué sur mobile, erreur de calcul tarifaire sur une formule, paiement en ligne KO | 2 heures(heures ouvrées) | 1 jour ouvré |
| P3 — Mineur | Bug non bloquant, dégradation esthétique, comportement inattendu | Image non affichée sur une page secondaire, lien cassé, décalage CSS sur IE 11 | 24h (heures ouvrées) | 3 à 5 jours ouvrés |
| P4 — Évolution | Demande de nouvelle fonctionnalité ou de modification non urgente | Ajout d’un bloc FAQ, mise à jour d’un tableau de garanties, nouveau champ dans un formulaire | Planifié au prochain sprint | Selon estimation et planification |
Vigilance : les SLAs ne s’appliquent qu’aux incidents déclarés par le bon canal (email de ticketing ou portail dédié). Un appel téléphonique à votre chef de projet ne démarre pas l’horloge du SLA. Assurez-vous que le contrat précise les canaux de déclaration valides et les horaires d’astreinte pour les incidents P1.
RGAA et accessibilité numérique : la nouvelle obligation dans la TMA
Depuis juin 2025, la directive européenne sur l’accessibilité (European Accessibility Act, EAA) est entrée en vigueur. Les sites web et applications mobiles des assureurs et mutuelles proposant des services au public en ligne doivent répondre aux critères WCAG 2.1 AA, tels qu’implémentés dans le RGAA en France.
Cette obligation a une implication directe sur la TMA : chaque déploiement de nouvelle fonctionnalité, chaque mise à jour de contenu susceptible de modifier le DOM, doit faire l’objet d’un test de non-régression accessibilité. Un composant déployé en toute hâte pour corriger un bug peut casser la navigation clavier ou la compatibilité lecteur d’écran d’un module existant.
Votre contrat de TMA doit donc préciser si les tests d’accessibilité sont inclus dans la recette des évolutions, ou s’ils constituent une prestation supplémentaire. Sans cette précision, la conformité RGAA de votre site peut se dégrader à chaque déploiement sans que personne ne le détecte avant un audit externe — ou une mise en demeure.
TMA internalisée vs agence spécialisée : le vrai comparatif
Certains assureurs choisissent d’internaliser tout ou partie de leur maintenance. Ce choix a des implications souvent sous-estimées sur le coût total et la couverture réelle des risques.
| Critère | Equipe interne | Agence généraliste | Agence spécialisée assurance |
|---|---|---|---|
| Disponibilité 24h/24 (incidents P1) | ✗ Rarement | ~ Selon contrat | ✔ Standard |
| Compétences pluridisciplinaires | ~ Selon taille équipe | ✔ Oui | ✔ Oui + contexte métier |
| Connaissance des spécificités assurance | ✔ Forte | ✗ Faible | ✔ Forte |
| Continuité en cas de turnover | ✗ Risque élevé | ✔ Équipe structurée | ✔ Équipe structurée |
| Conformité DORA (traçabilité, audit) | ~ À structurer | ~ Variable | ✔ Process documentés |
| Réactivité sur pics saisonniers (renouvellements) | ✗ Capacité limitée | ~ Selon disponibilité | ✔ Anticipé contractuellement |
| Coût | Fixe mais sous-estimé (charges sociales, formation, outillage) | Variable, souvent attractif mais risques hors-périmètre | Forfait transparent avec SLAs engagés |
Le coût réel d’une équipe interne : un développeur WordPress senior en CDI coûte entre 45 000 et 65 000 € de salaire brut, soit 70 000 à 95 000 € de coût employeur total. Pour ce budget, vous disposez d’une seule personne, non disponible la nuit, qui prend des congés, peut tomber malade, et finira probablement par quitter l’entreprise. Pour le même budget annualisé, une agence spécialisée mobilise une équipe pluridisciplinaire avec une plage de compétences que vous ne pourrez jamais constituer à ce coût en interne.
Budget : ce qu’il faut prévoir pour une TMA site assurance
| Poste | Ce que ça couvre | Mensuel indicatif |
|---|---|---|
| Forfait de base — maintenance technique et sécurité | ||
| Maintenance corrective (incidents) | Correction bugs, incidents P1/P2/P3 dans les SLAs contractuels | 300 – 800 € |
| Maintenance préventive / sécurité | MàJ WordPress, PHP, plugins, certificats SSL, sauvegardes vérifiées, revue de sécurité mensuelle | 300 – 600 € |
| Monitoring et astreinte P1 | Surveillance uptime + alertes 24h/24, disponibilité nocturne pour incidents critiques | 200 – 500 € |
| Maintenance évolutive — en régie ou forfait d’heures | ||
| Évolutions fonctionnelles et contenu | Mises à jour contenu, nouveaux modules, ajustements UX, évolutions réglementaires (RGPD, RGAA) | 500 – 3 000 € |
| Évolutions connecteurs APIs | Adaptation suite à des changements d’API partenaires (tarificateur, signature, SI gestion) | Variable (hors forfait) |
| Total mensuel indicatif | ||
| Site vitrine standard | Maintenance corrective + préventive + monitoring, peu d’évolutions | 800 – 1 500 €/mois |
| Site + parcours devis + espace client | Périmètre complet avec évolutions régulières et connecteurs métiers | 2 000 – 4 000 €/mois |
| Groupe multi-entités, périmètre étendu | Plusieurs sites, extranet courtiers, intégrations SI multiples, conformité DORA documentée | 4 000 – 8 000 €/mois |
Fourchettes indicatives hors hébergement et hors interventions ponctuelles hors-forfait. Ces budgets s’entendent TTC pour une prestation en France.
Ce qu’un bon contrat de TMA doit contenir
Un contrat de TMA se juge au moment où un incident survient — pas lors de sa signature. Voici les clauses indispensables, à vérifier systématiquement avant de signer.
🔴 Périmètre exhaustif des interventions couvertes
Liste précise des URLs, des composantes techniques (CMS, plugins nommément listés, APIs) et des types d’interventions inclus. Tout ce qui n’est pas listé est hors forfait.
🔴 Grille SLA avec délais d’intervention par niveau de priorité
P1 à P4 définis avec des délais de prise en charge et de résolution opposables. Précision des horaires couverts (9h-18h heures ouvrées vs 24h/24 pour les P1).
🔴 Clause de réversibilité (exigée par DORA)
En cas de fin de contrat, le prestataire restitue sous 30 jours : code source complet, accès aux environnements (staging, production), fichiers de configuration, documentation technique et fonctionnelle.
🔴 Traçabilité des interventions (exigée par DORA)
Chaque intervention génère un ticket horodaté dans un outil partagé, avec cause racine, action corrective et durée d’indisponibilité. Rapport mensuel transmis automatiquement.
🟡 Politique de test avant déploiement
Définition des tests requis avant toute mise en production : tests fonctionnels, tests de non-régression, tests d’accessibilité RGAA, tests de charge pour les évolutions impactant les performances.
🟡 Gestion des pics saisonniers
Pour les assureurs : précision du dispositif renforcé en période de renouvellement ANI (octobre-décembre) et en cas de campagnes d’affiliation générant des pics de trafic inhabituels.
🟡 Clause d’audit DORA
Droit pour l’assureur de demander un audit des pratiques de sécurité du prestataire, ou d’exiger la fourniture d’un rapport tiers (ISO 27001, SOC 2) à intervalles réguliers.
🟢 Rapport mensuel de performance
Tableau de bord mensuel incluant : nombre d’incidents par priorité, temps de résolution moyen, taux de disponibilité mesuré, mises à jour réalisées, alertes de sécurité traitées.
Eficiens réalise la TMA de dizaines de sites assurance, mutuelles, IP ou courtiers. Consultez-nous. Julia Benchetrit – Responsable New Biz Eficiens
Qu'est-ce que la TMA et en quoi diffère-t-elle d'un simple contrat de maintenance ?
La Tierce Maintenance Applicative (TMA) est un contrat par lequel une organisation confie à un prestataire externe la responsabilité de maintenir, faire évoluer et sécuriser ses applications numériques. La différence avec un simple « contrat de maintenance » tient dans l’étendue de la responsabilité : une TMA couvre non seulement les interventions correctives (correction de bugs), mais aussi la maintenance préventive (mises à jour, sécurité) et évolutive (nouvelles fonctionnalités, évolutions réglementaires), avec des SLAs engagés par écrit.
Combien coûte une TMA pour un site d'assureur ou de mutuelle ?
Le budget dépend du périmètre fonctionnel et du niveau de service contractualisé. Pour un site vitrine standard avec maintenance corrective, préventive et monitoring, comptez de 800 à 1 500 €/mois. Pour un périmètre complet incluant un parcours de souscription et un espace client avec évolutions régulières, le budget se situe entre 2 000 et 4 000 €/mois. Pour un groupe multi-entités avec plusieurs sites, un extranet courtiers et des intégrations SI complexes, le budget peut dépasser 5 000 €/mois.
Ces budgets s’entendent hors hébergement et hors interventions ponctuelles hors-forfait (évolutions de connecteurs APIs, migrations de version PHP majeures, refontes de composants). Négociez systématiquement un volume d’heures d’évolutive mensuel inclus pour éviter les dépassements non anticipés.
DORA impose-t-il des exigences spécifiques sur les contrats de TMA ?
Oui. Depuis janvier 2025, les assureurs soumis à DORA doivent traiter leur prestataire TMA comme un fournisseur de services TIC et lui imposer contractuellement des obligations spécifiques : SLAs de disponibilité et d’intervention engagés par écrit, clause de réversibilité garantissant la restitution du code et de la documentation en cas de fin de contrat, droit d’audit sur les pratiques de sécurité, et obligation de traçabilité des interventions avec archivage des tickets.
Un contrat de TMA qui ne contient pas ces clauses n’est pas conforme à DORA. Les prestataires sérieux disposent d’une annexe « Exigences DORA » standardisée. Si votre prestataire actuel ne peut pas vous en fournir une, c’est un signal d’alerte.
Vaut-il mieux internaliser la TMA ou la confier à une agence spécialisée ?
La TMA internalisée semble moins coûteuse en apparence, mais son coût réel est systématiquement sous-estimé : salaire chargé d’un développeur senior (70 000 à 95 000 € / an de coût employeur), plus la formation continue, l’outillage, et le risque de turnover qui laisse votre site sans référent technique pendant plusieurs semaines.
Une agence spécialisée assurance offre pour un budget comparable une équipe pluridisciplinaire (développeurs front et back, SysOps, UX, SEO), une disponibilité 24h/24 pour les incidents P1, une continuité garantie en cas de changement de personnel, et une connaissance du contexte métier assurance (contraintes réglementaires, saisonnalité des renouvellements, spécificités des plugins métiers). L’internalisation reste pertinente pour les groupes disposant d’une DSI structurée capable de gérer une équipe pluridisciplinaire et les obligations DORA associées.
Que se passe-t-il si mon prestataire TMA fait défaut pendant un incident critique ?
C’est exactement le scénario que la clause de réversibilité et les SLAs sont censés prévenir. Si un incident P1 survient et que votre prestataire ne répond pas dans les délais contractuels, vous disposez (si le contrat est bien rédigé) d’un recours en pénalités de retard et du droit de faire intervenir un tiers à ses frais.
En pratique, la meilleure protection est d’avoir accès à tous les éléments techniques de votre site à tout moment : hébergement sous votre propre compte (pas celui du prestataire), dépôt Git du code source accessible, documentation technique à jour, et mots de passe en coffre-fort numérique sous votre contrôle. Si votre prestataire héberge votre site sur son propre compte serveur et détient les accès, vous êtes en situation de dépendance totale — ce que DORA qualifie précisément de risque de concentration à éviter.
La conformité RGAA est-elle incluse dans une TMA standard ?
Rarement dans les contrats standards. La conformité RGAA est généralement traitée comme une prestation évolutive à part entière — elle nécessite un audit initial, une correction des non-conformités identifiées, puis une vérification systématique à chaque déploiement de nouvelle fonctionnalité.
Depuis l’entrée en vigueur de la directive EAA en juin 2025, les sites d’assureurs proposant des services en ligne au grand public ont des obligations de conformité renforcées. Un contrat de TMA qui ne précise pas comment la conformité RGAA est maintenue dans le temps expose l’assureur à une dégradation progressive de son niveau de conformité à chaque déploiement. Exigez que votre contrat inclue a minima des tests de non-régression accessibilité à chaque mise en production d’une évolution fonctionnelle.
Si vous nous contactiez pour échanger sur vos enjeux de TMA et de maintenance ?
Tous les détails sur notre page contact ou en visio ci-dessous
Échangeons sur vos enjeux
Ils nous font confiance
