Services
Des API contract-first qui sont livrées et le restent. OpenAPI 3.1 pour le REST public, GraphQL Federation pour les frontends multi-équipes, gRPC + protobuf pour le service-à-service interne. Nous concevons la spec avant qu'un handler ne soit écrit, câblons correctement OAuth 2.1 / OIDC, générons des SDK typés dans plus de 7 langages et instrumentons chaque endpoint avec OpenTelemetry dès le premier jour. Versionnement avec des fenêtres de dépréciation explicites (RFC 8594), gateway et WAF en frontal, SLO par endpoint avec alertes de taux de consommation. Ingénieurs backend senior en CET avec chevauchement côte est des États-Unis. À partir de 12 000 EUR/mois par équipe dédiée ; design sprint API de 6 à 8 semaines à partir de 35 000 EUR forfaitaire.
Une API est un contrat que vous ne pouvez pas reprendre. Dès qu'un client payant s'intègre à votre /v1, vous êtes propriétaire de cette surface pendant des années. La plupart des défaillances d'API ne sont pas des bugs d'implémentation — ce sont des décisions de contrat prises trop vite, par des personnes qui n'ont jamais eu à maintenir une migration v2. Nous concevons en contract-first : OpenAPI 3.1, GraphQL SDL ou protobuf réside dans un dépôt de spec versionné, est revu en PR par le produit, le frontend, le mobile et les consommateurs externes avant qu'un handler n'existe, et est analysé par Spectral par rapport à un guide de style. openapi-diff bloque les changements cassants en CI. Les serveurs mock se déploient automatiquement par branche afin que les consommateurs soient débloqués immédiatement. Versionnement, dépréciation, authentification, limitation de débit et observabilité sont conçus avant la première ligne de code, et non rajoutés au lancement quand il est trop tard.
OpenAPI 3.1 / GraphQL SDL / protobuf dans un dépôt de spec versionné, analyse Spectral, barrière CI openapi-diff sur les changements cassants, serveurs mock Prism / Mockoon déployés automatiquement par branche, revue de conception avec frontend + mobile + consommateurs externes.
REST + OpenAPI 3.1 pour les surfaces publiques. GraphQL avec Apollo Federation 2 ou Hot Chocolate pour les frontends multi-équipes. gRPC + protobuf pour le service-à-service interne à haut débit / faible latence. Le bon outil selon le consommateur, pas selon le goût des ingénieurs.
OAuth 2.1 + OIDC, mTLS + SPIFFE pour le service-à-service, JWT avec RS256/EdDSA. Gateway via Kong / Tyk / API Gateway / APIM / Apigee. Limitation de débit à fenêtre glissante ou GCRA, WAF en frontal, clés d'API partenaires signées en HMAC.
SDK typés générés automatiquement (TS, Python, Go, Java, C#, Swift, Kotlin, Ruby) via openapi-generator ou stainless.com, publiés sur npm / PyPI / Maven / NuGet avec une discipline semver et un pipeline de release CI.
OpenTelemetry dès le premier jour (traces, métriques, logs), trace ID dans chaque réponse d'erreur, tableaux de bord RED, SLO par endpoint avec alertes de taux de consommation, surveillance synthétique via k6 cloud ou Checkly depuis US-East et EU-West.
Contrat de support N-2, en-têtes Sunset/Deprecation RFC 8594, fenêtres de dépréciation de 12 mois avec rappels e-mail cadencés, changelog public, règles d'évolution protobuf appliquées, @deprecated GraphQL avec télémétrie d'usage depuis Apollo Studio ou Hive.
Semaines 1 à 4 : ateliers consommateurs, modèle de ressources, ébauche OpenAPI 3.1 / SDL / proto, enveloppe d'erreur, contrat de pagination, conception de l'authentification, politique de versionnement. Spec revue en PR et validée.
Serveur mock en ligne par branche, lint CI + barrières sur les changements cassants câblés, gateway provisionnée, intégration OAuth/OIDC, socle d'observabilité, pipeline de SDK configuré pour 3 langages de lancement.
Implémentation des handlers par rapport à la spec, tests de contrat Pact en CI, tests de charge k6 face aux cibles SLO, releases alpha du SDK pour les premiers intégrateurs bêta, démo hebdomadaire avec les partenaires produit + design.
Bascule GA avec politiques WAF + limitation de débit affinées, changelog public, SDK en GA sur les langages de lancement, surveillance synthétique en ligne, rotation d'astreinte documentée, revue SLO post-lancement à 30/60/90 jours.
6 à 8 semaines, forfaitaire. Spec OpenAPI 3.1, conception de l'authentification, choix de la gateway, pipeline de SDK, politique de versionnement, implémentation de référence MVP. Le livrable est une décision de surface d'API prête à présenter au comité. À partir de 35 000 EUR forfaitaire.
Pod de 3 personnes (TPM + 2 ingénieurs backend senior) qui construit et livre l'API de bout en bout. Co-livraison avec votre équipe, démo hebdomadaire, pilotage mensuel. À partir de 12 000 EUR/mois par équipe.
Responsabilité des SLO post-lancement, cadence de release des SDK, escalade du support partenaires, revue de contrat trimestrielle, astreinte 24/7 pour la surface d'API. À partir de 6 500 EUR/mois.
NDA, DPA conforme au RGPD avec CCT, cession de la propriété intellectuelle au client signés avant le démarrage. Spec, code et CI résident dans vos dépôts dès le premier jour.
Clients de signature électronique natifs iOS et Android avec un CRM Symfony + React pour un cabinet d'avocats transfrontalier — onboarding KYC et piste de preuve opposable pour les dossiers US & UE.
Plateforme sociale en production — App Store + Google Play, en service aux États-Unis et en UE — avec Radar géolocalisé, messagerie chiffrée et économie virtuelle.
Refonte et reconstruction Android + iOS pour un opérateur logistique du dernier kilomètre en Allemagne — planification d'itinéraires multipoints, suivi des chauffeurs en temps réel et facturation in-app en production dans l'UE.
Conforme au RGPD · Prêt pour ISO 27001 · SOC 2 Type II en cours · Compatible HIPAA · CCPA pris en compte
La spec est revue et validée avant le premier handler. La CI casse le build à tout changement non rétrocompatible. Serveurs mock par branche. Résultat : zéro incident « nous avons livré un changement cassant par accident » en production client.
Régions Francfort / Irlande / Paris par défaut pour les données des consommateurs de l'UE, DPA conforme au RGPD avec CCT, flux de données alignés sur Schrems II, journaux d'audit chiffrés avec des clés gérées par le client et répliqués uniquement au sein de l'UE.
Les SDK sont générés à partir de la même spec que celle que le serveur valide, de sorte que la documentation et le runtime ne peuvent pas diverger. Nous livrons dans plus de 7 langages avec un seul pipeline de release CI, une discipline semver et un changelog que le client peut réellement lire.
Pour les API fintech / healthtech, nous livrons face à DSP2 / Open Banking, HL7 FHIR R5, ISO 20022 et autres contrats métier — avec des intégrations d'exemple et des suites de tests de conformité incluses dans le dépôt de spec.
La décision est dictée par le profil du consommateur, pas par le goût des ingénieurs. Les API publiques et les intégrations tierces passent par REST avec OpenAPI 3.1 — c'est le contrat universel, chaque générateur de SDK le prend en charge, chaque gateway d'API le parle, chaque client peut le curl. GraphQL lorsque vous avez un frontend multi-équipes (web + iOS + Android) qui interroge un graphe d'objets profond et que le problème de sous/sur-récupération est réel, fédéré via Apollo Federation 2 ou Hot Chocolate lorsque plusieurs équipes possèdent différents sous-graphes. gRPC pour le service-à-service interne où les budgets de latence sont serrés (<10 ms p99) et où les deux côtés sont les vôtres — protobuf vous offre des contrats typés, le streaming et le multiplexage des connexions. Nous n'utilisons jamais GraphQL pour le service-à-service et nous n'utilisons jamais gRPC pour les API publiques.
OpenAPI 3.1 (ou fichier proto, ou GraphQL SDL) réside dans un dépôt de spec versionné, séparé de l'implémentation. La revue de PR sur la spec a lieu avant qu'une ligne de code de handler ne soit écrite — produit, frontend, mobile et au moins un consommateur externe (le cas échéant) valident le contrat. Spectral analyse la spec par rapport à votre guide de style (camelCase vs snake_case, forme de l'enveloppe d'erreur, contrat de pagination, etc.). Les changements de spec passent par openapi-diff avec une barrière CI sur les changements cassants — une PR qui casse le contrat exige un label explicite d'incrémentation de version. Des serveurs mock (Prism pour REST, Mockoon, sous-graphes mock pour GraphQL) sont déployés automatiquement par branche afin que les équipes frontend soient débloquées immédiatement.
REST : versionnement par chemin d'URI (/v1, /v2) pour les API publiques (le plus clair pour les tiers), basé sur les en-têtes en interne où les consommateurs sont contrôlés. Nous nous engageons sur un support N-2 : lorsque v3 sort, v1 entre dans une fenêtre de dépréciation de 12 mois avec les en-têtes Sunset et Deprecation (RFC 8594), des e-mails de rappel à 90, 30 et 7 jours aux détenteurs de clés d'API, et un changelog public. GraphQL : directives @deprecated au niveau du champ avec motif et indice de migration, télémétrie d'usage depuis Apollo Studio ou Hive pour confirmer un trafic nul avant suppression. gRPC : règles d'évolution protobuf strictement appliquées (ne jamais renuméroter les champs, ne jamais réutiliser les numéros de champs, uniquement des changements additifs sans incrémentation de version majeure).
OAuth 2.1 + OIDC pour l'authentification côté utilisateur (Auth0, WorkOS, Clerk, ou votre propre Keycloak/Ory Hydra lorsque l'auto-hébergement est requis). mTLS + SPIFFE/SPIRE pour le service-à-service. Clés d'API avec signature HMAC pour les intégrations partenaires, JWT avec RS256 ou EdDSA (jamais HS256 avec secret partagé en 2026, et jamais RSA en dessous de 2048 bits). Le choix de la gateway dépend de la stack : Kong ou Tyk pour l'auto-hébergement, AWS API Gateway / Azure APIM / Apigee pour le cloud managé, Cloudflare Workers + Hyperdrive pour l'edge-first. Limitation de débit au niveau de la gateway (fenêtre glissante ou GCRA, jamais une fenêtre fixe naïve), avec des plafonds par clé, par IP et globaux. WAF en frontal systématiquement.
OpenTelemetry dès le premier jour — traces, métriques et logs avec des conventions sémantiques cohérentes, exportés vers votre backend (Datadog, Honeycomb, Grafana Tempo + Mimir + Loki, ou Elastic). Chaque requête possède un trace ID exposé dans les réponses d'erreur afin que le support puisse récupérer la trace complète en un clic. SLO définis par endpoint (latence p95/p99, taux d'erreur, disponibilité), budgets d'erreur suivis dans Grafana, alertes de taux de consommation appelant l'astreinte avant que le SLO ne soit dépassé. Tableaux de bord RED (Rate, Errors, Duration) générés automatiquement à partir de la spec OpenAPI. Surveillance synthétique via k6 cloud ou Checkly sollicitant les chemins critiques chaque minute depuis US-East et EU-West.
Une équipe API dédiée démarre à 12 000 EUR/mois par pod (TPM + 2 ingénieurs backend senior). Pour des API publiques greenfield, un design sprint de 6–8 semaines à 35 000 EUR forfaitaire produit la spec OpenAPI 3.1, la conception de l'authentification, le choix de la gateway, le pipeline de génération de SDK, la politique de versionnement et une implémentation de référence MVP. La génération de SDK pour des langages supplémentaires (TS, Python, Go, Java, C#, Swift, Kotlin) est incluse via openapi-generator ou stainless.com. Forfait d'exploitation à long terme avec astreinte disponible à partir de 6 500 EUR/mois.
Communiquez quelques détails et un consultant senior vous répondra sous un jour ouvré.
