Combien coûte un projet RIAGENCY ?

Nos projets s'échelonnent typiquement entre : • Site web essentiel (artisans, indépendants, TPE) : 1 — 4 K€ • Landing & site vitrine premium : 4 — 12 K€ • Plateforme web sur-mesure : 12 — 50 K€ • SaaS / outil métier complet : 30 — 150 K€ • Branding & identité visuelle : 1 — 15 K€ • IA appliquée (audit, prototype, intégration) : selon scope Le prix final dépend du périmètre exact, des intégrations tierces, du niveau d'ambition et du calendrier. Que vous soyez artisan local ou scale-up internationale, on s'adapte à votre réalité économique. Contactez-nous avec votre brief, premier retour sous 48 à 72 heures ouvrées, sans engagement.

Quels sont vos délais ?

Site web essentiel : 2 à 3 semaines. Landing premium ou site vitrine : 3 à 5 semaines de la signature à la mise en ligne. Plateforme web sur-mesure : 8 à 16 semaines selon l'ampleur fonctionnelle. SaaS complet : 4 à 9 mois en sprints courts. Les délais annoncés au devis sont notre engagement de référence — en cas de risque de décalage, nous communiquons immédiatement avec un plan de rattrapage.

Que se passe-t-il après la livraison ? Y a-t-il un suivi ?

Chaque projet inclut une période de garantie de 30 jours après livraison, durant laquelle les correctifs de bugs résiduels identifiés sont pris en charge. Au-delà, deux options s'offrent à vous : assurer la maintenance en interne ou avec un autre prestataire (vous avez l'intégralité du code et des accès), ou souscrire à l'une de nos formules d'abonnement maintenance — qui couvrent les correctifs, mises à jour de sécurité, monitoring, évolutions mineures et support prioritaire. Tarifs sur devis selon le volume mensuel souhaité.

Pourquoi commencez-vous toujours par une phase de Discovery ?

Parce qu'aucun projet digital ne peut être réellement bon s'il n'est pas profondément ancré dans le métier qu'il sert. Avant la première maquette, on prend le temps de comprendre vos process, vos clients, vos contraintes opérationnelles, votre vocabulaire interne. Cette discipline limite considérablement les mauvaises surprises ultérieures et augmente significativement les chances qu'on construise l'outil qui résout réellement votre problème — pas celui qu'on pense être joli à livrer.

À qui appartient le code après livraison ?

Cela dépend du modèle commercial choisi. Pour les projets achetés en one-shot (paiement unique du développement), le code et les données vous appartiennent intégralement après livraison : repository Git transféré sur votre compte (GitHub, GitLab ou Bitbucket selon votre préférence), documentation technique complète, accès à tous les services tiers (hébergement, base de données, emails). Vous pouvez maintenir le projet en interne ou avec un autre prestataire. Pour les projets en formule abonnement (hébergement et maintenance continue assurés par RIAGENCY), le code reste géré sur notre infrastructure pendant la durée de l'abonnement, vos données restent bien sûr accessibles et exportables à tout moment, et un rachat du code source est possible si vous souhaitez ultérieurement basculer en mode propriétaire.

Travaillez-vous uniquement en France ou aussi à l'international ?

Notre base est à Paris, mais nous travaillons partout dans le monde. Nous avons des clients en France, en Europe, en Amérique du Nord et au-delà. Nous gérons les fuseaux horaires, les langues (français et anglais natifs, autres langues sur projet), les devises (EUR, USD, GBP, CHF) et les juridictions internationales. Réunions en visioconférence, déplacement sur site possible si pertinent.

Travaillez-vous avec des PME ou seulement des startups ?

Les deux, sans hiérarchie. Notre approche s'adapte à un artisan local aussi bien qu'à une scale-up tech internationale. Notre critère, c'est la qualité de la collaboration et l'adéquation entre votre projet et notre savoir-faire. Nous prenons autant de plaisir à livrer un site irréprochable pour un cabinet médical qu'une plateforme SaaS multi-tenant.

Comment intégrez-vous l'IA dans vos projets ?

Au cas par cas, sans dogmatisme. Selon le contexte : chatbot client connecté à votre base de connaissances, génération automatisée de contenu éditorial, automatisations métier via N8n, optimisation SEO pour les moteurs IA (ChatGPT Search, Perplexity, Gemini), agents internes pour vos équipes. On utilise l'intelligence artificielle quand elle apporte une valeur business mesurable, pas pour cocher une case marketing.

Qu'est-ce qui vous différencie d'une autre agence ?

Trois points principaux. Premièrement, nous commençons toujours par comprendre votre métier en profondeur — c'est notre priorité méthodologique, pas un argument commercial. Deuxièmement, le code livré peut être entièrement le vôtre selon le modèle commercial choisi (achat one-shot ou abonnement). Troisièmement, nous limitons volontairement le nombre de projets actifs en parallèle pour préserver un niveau d'attention élevé sur chacun.

Retour au blog

Architecture technique12 min de lecture01 avril 2026

Architecture Next.js pour une plateforme SaaS multi-tenant : retour d'expérience

Concevoir une plateforme SaaS multi-tenant en 2026 exige des choix d'architecture précis. Voici notre retour d'expérience sur la stack Next.js + Supabase + Stripe, les pièges évités, les patterns qui marchent.

Le contexte : pourquoi le multi-tenant change tout

Une plateforme SaaS classique sert un seul utilisateur à la fois. Une plateforme SaaS multi-tenant sert simultanément plusieurs organisations clientes (tenants), avec leurs propres utilisateurs, leurs propres données, leurs propres configurations, leurs propres niveaux d'abonnement.

Ce changement d'échelle impose des choix d'architecture qui n'apparaissent pas dans les tutoriels Next.js classiques. Notre retour d'expérience est issu d'une plateforme SaaS récemment livrée pour le secteur du BTP, comportant 10 modules métier, qui sert plusieurs entreprises clientes simultanément avec des données strictement isolées.

Le choix de stack en 2026

Frontend : Next.js 16 avec App Router

Next.js 16 est en 2026 le standard de facto pour les applications web sur-mesure complexes. Les raisons de notre choix :

Server Components par défaut. Les composants serveur permettent de rendre côté serveur ce qui doit l'être (SEO, performance), et de réserver le client pour ce qui en a vraiment besoin (interactivité). Réduction drastique du JavaScript envoyé.

Streaming et Suspense natifs. Les pages se rendent progressivement, l'utilisateur voit du contenu en moins de 200ms même pour des pages complexes.

Turbopack. Le bundler officiel de Next.js depuis 2024 est devenu mature en 2026. Builds 5 à 10x plus rapides qu'avec Webpack, hot reload quasi instantané.

App Router avec layouts imbriqués. Permet de modéliser proprement la hiérarchie d'une SaaS multi-tenant : layout global → layout tenant → layout module → page.

Server Actions. Pour les mutations de données, on peut écrire des fonctions serveur directement dans les composants, sans créer d'API REST. Code plus simple, type-safety totale entre frontend et backend.

Base de données : Supabase (PostgreSQL managé)

Supabase est notre choix par défaut depuis 2024 pour les SaaS multi-tenant. Avantages décisifs :

PostgreSQL natif. Pas de NoSQL exotique, on reste sur du SQL standard avec les patterns connus.

Row Level Security (RLS) intégrée. C'est LA killer feature pour le multi-tenant. On peut définir au niveau de la base que telle ligne n'est accessible qu'aux utilisateurs de telle organisation. Sécurité ne dépend plus du code applicatif.

Auth gérée. Système d'authentification complet (email/password, magic links, OAuth, SSO) sans avoir à coder soi-même. Compatible avec les standards (JWT, OIDC).

Realtime. Les changements en base sont diffusés en WebSocket aux clients connectés. Précieux pour les interfaces collaboratives.

Edge Functions. Pour les traitements custom non triviaux (intégrations tierces, calculs lourds, webhooks), on peut écrire des fonctions Deno déployées en edge.

Paiements : Stripe

Pour la facturation récurrente B2B, Stripe reste l'écrasant standard. Avantages :

Subscriptions et seats gérés nativement (essentiel pour les SaaS B2B avec utilisateurs multiples par compte)
Customer Portal prêt à l'emploi (les clients gèrent eux-mêmes leur abonnement, leurs factures, leurs cartes)
Webhooks fiables pour synchroniser l'état de l'abonnement avec votre base
Couverture internationale complète (devises, taxes, Tax IDs européens)

Authentification : Supabase Auth + Custom Claims

L'authentification d'une plateforme multi-tenant a deux niveaux :

Identité : qui est l'utilisateur ? (email, mot de passe, MFA)
Appartenance : à quel tenant appartient-il ? Avec quel rôle ?

Notre pattern : Supabase Auth gère l'identité, et on injecte dans le JWT des custom claims qui contiennent l'ID du tenant courant et le rôle de l'utilisateur. Ces claims sont consommés par les politiques RLS pour filtrer automatiquement les données accessibles.

L'architecture en couches

Notre architecture cible se compose de quatre couches.

Couche 1 : Database (PostgreSQL via Supabase)

Toutes les tables critiques ont une colonne organization_id qui référence l'organisation cliente. Une politique RLS s'assure que chaque ligne n'est accessible qu'aux utilisateurs membres de cette organisation.

Exemple de politique RLS sur une table de factures : la politique vérifie que l'organization_id de la ligne correspond à une organisation dont l'utilisateur courant est membre. Cette politique garantit qu'un utilisateur ne peut JAMAIS voir les factures d'une autre organisation, même si une faille applicative tente de lui en montrer.

Couche 2 : Server Actions (Next.js)

Les mutations passent par des Server Actions qui : 1. Vérifient la session utilisateur 2. Valident les données (Zod ou ArkType) 3. Exécutent la requête SQL ou Edge Function 4. Retournent le résultat typé au composant client

Avantages clés : le code de mutation reste collé au code de présentation, mais s'exécute côté serveur. Pas de duplication de logique entre client et serveur, type-safety totale, sécurité par construction.

Couche 3 : Server Components (Next.js)

Les pages qui affichent des données sont des Server Components qui requêtent Supabase directement. Pas d'API REST intermédiaire, pas de fetch client.

Avantages :

Sécurité : la requête se fait côté serveur, le code SQL n'est jamais exposé
Performance : pas de waterfall de requêtes, tout se fait avant le premier render
DX : code synchrone, lisible, type-safe

Couche 4 : Client Components (React)

Les composants client sont réservés aux interactions :

Formulaires (validation à la volée)
Animations (Framer Motion)
États temporaires (modals, dropdowns)
WebSockets (Supabase Realtime)

Tout le reste reste serveur. Le résultat : un bundle JavaScript initial très réduit, des Time to Interactive sous la barre des 2 secondes même sur des plateformes complexes.

Les pièges à éviter

Piège 1 : oublier la RLS sur une table

Si vous oubliez d'activer RLS sur une table, ou si votre politique est mal écrite, vous exposez les données de tous les tenants à tous les utilisateurs. Cette catastrophe est plus fréquente qu'on ne le pense.

Notre protocole : aucune table ne va en production sans : 1. RLS activée 2. Au moins une politique testée 3. Test d'isolation entre deux tenants en environnement de staging

Nous utilisons aussi un script automatisé qui scanne toutes les tables au moment du build pour vérifier qu'aucune n'est sans RLS. Ce check fait partie du pipeline de déploiement.

Piège 2 : mauvaise gestion des invitations

Inviter un utilisateur dans une organisation sans le coupler à un mécanisme d'acceptation explicite est risqué. Notre pattern : 1. Création d'une invitation pending dans la table invitations 2. Email envoyé via Resend avec lien magique (token signé) 3. Utilisateur clique, accepte, est ajouté à la table memberships 4. Refresh des claims JWT pour qu'il accède à la nouvelle organisation

L'invitation expire après 7 jours par défaut. Les invitations pending sont visibles dans l'interface admin pour permettre le suivi.

Piège 3 : sur-isolation ou sous-isolation

Trop d'isolation : on duplique tout par tenant (schéma DB séparé, instance d'app séparée). Coût opérationnel énorme. À réserver aux grands comptes qui paient pour ça.

Pas assez d'isolation : tous les utilisateurs partagent les mêmes ressources, un tenant peut dégrader les performances des autres. Inacceptable.

Notre choix par défaut : isolation logique via RLS, avec rate limiting par tenant pour éviter les abus. Suffisant pour la majorité des SaaS B2B. Pour les clients enterprise qui exigent une isolation stricte (réglementaire ou contractuelle), on peut basculer en isolation par schéma à la demande.

Piège 4 : authentification trop fragile

L'authentification email/password seule ne suffit plus en 2026 pour une plateforme B2B sérieuse. Notre standard minimal :

Email/password avec exigences de complexité
2FA disponible (TOTP via Google Authenticator, Authy, 1Password)
SSO Google et Microsoft pour les organisations qui le demandent
Magic links pour les invitations et réauthentifications
Sessions limitées dans le temps avec refresh automatique

Piège 5 : pas de monitoring tenant-aware

Un crash applicatif qui n'identifie pas quel tenant l'a déclenché est inutile en debug. Notre setup :

Sentry avec tag organization_id sur toutes les erreurs
Logs structurés (JSON) avec organization_id partout
Dashboard interne avec usage par tenant (requêtes, erreurs, temps de réponse)

Cette discipline permet de réagir rapidement quand un tenant rencontre un problème, et d'identifier les patterns d'usage qui pourraient nécessiter une optimisation.

La performance : objectifs et mesures

Pour une plateforme SaaS B2B en 2026, les objectifs Core Web Vitals doivent être :

First Contentful Paint : < 1,0s
Largest Contentful Paint : < 2,0s
Time to Interactive : < 3,0s
Cumulative Layout Shift : < 0,1
API response time (p95) : < 300ms

Nous mesurons ces métriques en continu via Vercel Speed Insights. Des dégradations sont détectées sous 24h.

Pour atteindre ces cibles sur une plateforme SaaS complexe, plusieurs disciplines convergent : Server Components par défaut, requêtes SQL optimisées avec index appropriés, mise en cache stratégique (React Cache + Supabase Edge Cache), images servies en AVIF avec responsive sizing, fonts préchargées et subset.

Stripe en multi-tenant : les patterns essentiels

Quelques patterns Stripe que nous appliquons systématiquement.

Un Customer Stripe par organisation cliente, pas par utilisateur. L'organisation est l'entité qui paie, donc l'entité Stripe. Les utilisateurs membres consomment les seats payés par l'organisation.

Subscriptions avec metered billing pour les SaaS à usage variable. Si votre plateforme facture à l'usage (nombre d'API calls, volume de stockage, etc.), Stripe gère parfaitement la facturation à la consommation.

Webhooks pour synchroniser l'état d'abonnement. Tout changement côté Stripe (upgrade, downgrade, échec de paiement, annulation) doit déclencher un webhook qui met à jour la table subscriptions de votre base. Ne jamais faire de fetch synchrone vers Stripe au moment de servir une page.

Customer Portal pour la self-service. Tous les changements d'abonnement, de carte, de facturation, doivent passer par le Customer Portal de Stripe. Économise des heures de développement et offre une expérience supérieure aux clients.

Conclusion : la stack importe, mais la discipline plus encore

Le choix de stack Next.js + Supabase + Stripe est aujourd'hui un choix par défaut raisonnable pour une plateforme SaaS B2B sur-mesure. La maturité de l'écosystème, la qualité de la DX, la rapidité de développement sont des avantages décisifs face à des stacks plus exotiques.

Mais le vrai différentiateur n'est pas la stack — c'est la discipline architecturale. Politiques RLS rigoureusement testées, séparation server/client respectée, performance mesurée en continu, monitoring tenant-aware. Ce sont ces choix qui font la différence entre une plateforme robuste qui sert ses clients pendant 10 ans, et un produit fragile qui s'effondre à la première montée en charge sérieuse.

Pour les entreprises qui investissent dans une plateforme SaaS sur-mesure en 2026, le message est clair : exigez de votre prestataire qu'il documente ses choix d'architecture, ses politiques de sécurité, ses procédures de monitoring. Une stack moderne sans discipline produit du code moderne mais fragile. Une stack moderne avec discipline produit du code qui dure.