Retour au blog
    Comparatif29 mai 20267 min de lecture

    Site statique sur Lovable vs app métier sur mesure : la bonne frontière

    Lovable est parfait pour un site statique, risqué pour une app métier. Comment tracer la frontière, reconnaître quand votre site est devenu une application, et quoi faire à ce moment-là.

    Il y a un usage de Lovable où on n'a aucune réserve : le site statique. Vitrine, landing page, page produit, mini-site événementiel. Rapide, joli, pas cher, sans risque. On le recommande et on l'utilise.

    Le problème commence quand un site cesse discrètement d'être un site pour devenir une application — sans que personne n'ait pris la décision. Voici comment reconnaître cette frontière et quoi faire quand on la franchit.

    Ce qu'est un vrai site statique

    Un site statique affiche du contenu. Il informe, il convainc, il dirige vers une action (appeler, réserver via un outil tiers, acheter via une plateforme externe). Caractéristiques :

    • Pas de données clients stockées dans le site lui-même.
    • Pas d'espace de connexion, pas de comptes utilisateurs.
    • Pas de tableau de bord, pas de logique métier.
    • Au pire, un formulaire de contact qui envoie un email.

    Sur ce terrain, Lovable est imbattable. Aucune donnée sensible, aucune surface d'attaque critique, aucun enjeu de montée en charge. Restez-y.

    Le moment où le site devient une application

    La bascule est souvent progressive et passe inaperçue. Les signes :

    • Un formulaire qui stocke des données dans une base (pas juste un email envoyé) — surtout des données personnelles.
    • Un espace de connexion ou des comptes utilisateurs.
    • Un tableau de bord, un back-office, une logique métier.
    • Des paiements, des réservations enregistrées, un suivi de commandes.
    • Des rôles : certains utilisateurs voient des choses que d'autres ne doivent pas voir.

    Dès qu'un de ces éléments apparaît, votre "site" est devenu une application qui porte des données réelles. Et là, le RLS Supabase par défaut ne suffit plus : la faille CVE-2025-48757 a montré que 1 app sur 10 fuyait ses données pour exactement cette raison.

    Pourquoi la frontière compte

    Tant que c'est un site, "ça marche" suffit. Dès que c'est une application avec des données, "ça marche" ne dit plus rien de "c'est sûr". Un visiteur peut potentiellement interroger vos tables avec la clé anon publique si le RLS est mal configuré — et récupérer la liste de vos clients, leurs coordonnées, leurs commandes.

    Le danger, c'est que rien ne change visuellement au moment de la bascule. Le site continue de s'afficher normalement. Seul un test de la surface d'attaque révèle l'exposition.

    Quoi faire à la frontière

    1. Reconnaître la bascule : si l'outil stocke des données réelles ou gère des accès, traitez-le comme une application, plus comme un site.
    2. Auditer : un audit de sécurité gratuit vous dit, en lecture seule, si vos données sont exposées.
    3. Décider : si la base est saine, on sécurise (RLS, accès). Si l'application devient centrale, on la reprend sur mesure pour qu'elle tienne — avec le code transféré.

    La partie purement vitrine peut très bien rester sur Lovable. C'est souvent la meilleure répartition : site statique généré, application métier sur mesure.

    FAQ — site statique vs app métier

    Un formulaire de contact fait-il de mon site une application ?

    S'il envoie juste un email, non. S'il stocke des soumissions dans une base (surtout des données personnelles), vous entrez dans le périmètre application — avec les obligations de sécurité et RGPD associées.

    Puis-je garder le site sur Lovable et l'app à part ?

    Oui, et c'est souvent l'idéal : le site vitrine reste sur Lovable, l'application métier (espace client, back-office) est construite sur mesure et sécurisée. Les deux coexistent très bien.

    Mon site Lovable avec login est-il à risque ?

    Possiblement. Un espace de connexion implique des données utilisateurs, donc du RLS à configurer correctement. Le seul moyen de savoir, c'est de tester la surface anon — c'est gratuit et le jour même.

    À partir de quel volume faut-il s'inquiéter ?

    Le volume compte moins que la nature des données. Même avec peu d'utilisateurs, des données personnelles exposées sont un problème RGPD. Dès qu'il y a des données réelles, auditez.

    Ce qu'on en retient

    • Site statique (vitrine, landing, contenu) → Lovable, sans réserve.
    • La bascule vers une application : stockage de données, login, dashboard, paiements, rôles.
    • À la frontière, le RLS par défaut ne suffit plus — auditez avant que ça fuie.
    • Bonne répartition : site sur Lovable, app métier sur mesure.

    Pas sûr de quel côté est votre projet ? Auditez-le — l'URL suffit.

    Pour aller plus loin

    Lovable vs sur mesure : la ligne entre proto et production

    Lovable ou développement sur mesure ? Le vrai critère n'est pas le budget mais le stade de votre projet : prototype ou production. Le cadre de décision, sans dogmatisme.

    Votre app Lovable fuit-elle vos données ? Ce que dit la faille CVE-2025-48757

    1 app Lovable sur 10 expose ses données à cause d'un RLS Supabase mal configuré (CVE-2025-48757). On explique la faille, comment savoir si votre app est concernée, et comment la corriger.

    J'ai construit mon outil sur Lovable, et après ?

    Votre app Lovable marche, des gens l'utilisent, et là vous bloquez : sécurité, montée en charge, évolutions. Le guide pour passer du proto à un outil qui tient — sans tout jeter.

    Vous vous reconnaissez ?

    Reservez un diagnostic opérationnel gratuit de 30 minutes.