ONDEV Logo

Expert en acquisition client digitale. Création de sites web et applications sur-mesure qui convertissent.

Services
  • Création de Sites Web
  • Applications Sur-Mesure
  • Publicité Digitale
  • Référencement SEO
  • Développeur Web Marseille
  • Création de Logo
  • Design UX/UI
  • Refonte d'Application
  • Maintenance Applicative
  • Audit de Code
  • Agence Vibe Coding
  • Logiciel Métier Sur-Mesure
  • Agence No Code
Navigation
  • Accueil
  • Réalisations
  • Expertise
  • Qui sommes-nous
  • Blog
  • Contact
Guides
  • Nos guides
  • Comment créer un site internet
  • Pourquoi créer un site internet
  • Coût d'un site internet
  • Choisir son prestataire web
Contact

Mathieu Rabissoni

06 01 37 20 21WhatsAppmathieu@ondev.fr

Marseille, France

Suivez-nous

LinkedInInstagramFacebook
Zones d'intervention
Marseille|Aix-en-Provence|Aubagne|La Ciotat|Cassis|Allauch|Gardanne|Marignane|Vitrolles|Toutes nos zones

© 2026 ONDEV. Tous droits réservés.

Mentions légalesPolitique de confidentialitéPlan du site
ONDEV Logo
Réalisations
Contact
On en discute

Expertise

Création de Sites WebSite Vitrine MarseilleSite E-Commerce MarseilleRéférencement SEOOptimisation GEOApplications Web & MobileAgence CommunicationPublicité en LigneDéveloppeur Web Marseille
Réalisations

Ressources

Qui sommes-nous ?BlogGuides
Contact
AppelerWhatsApp
On en discute
  1. Accueil
  2. Guides
  3. Supabase
Guide complet

Supabase : le guide complet en français

La plateforme backend open source qui alimente une nouvelle génération d'applications web. PostgreSQL, authentification, stockage, temps réel : tout comprendre avant de construire, par une agence qui l'utilise en production.

Parler de votre projet Lire le guide

Sommaire · Supabase

  1. 1Supabase, c’est quoi ?
  2. 2Les briques de Supabase expliquées une à une
  3. 3Pourquoi Lovable et Bolt génèrent du Supabase
  4. 4Supabase vs Firebase : le comparatif complet
  5. 5Le piège n°1 : la Row Level Security (RLS)
  6. 6Le pricing réel de Supabase
  7. 7Quand choisir Supabase (et quand l’éviter)
  8. 8L’expertise ONDEV sur Supabase

Les fondamentaux

Supabase, c'est quoi ?

Supabase est une plateforme backend open source lancée en 2020, conçue comme une alternative libre à Firebase, le service backend de Google. En une phrase : Supabase fournit tout ce dont une application web ou mobile a besoin côté serveur, sans avoir à le construire soi-même.

Concrètement, chaque projet Supabase regroupe une base de données PostgreSQL, un système d'authentification, du stockage de fichiers, du temps réel et des fonctions serverless. Une API est générée automatiquement à partir de votre base : votre frontend peut lire et écrire des données dès la première minute.

Le projet est devenu l'un des dépôts les plus populaires de GitHub et la société est aujourd'hui valorisée à plusieurs milliards de dollars. Surtout, Supabase est devenu le backend par défaut des outils de génération d'applications par IA comme Lovable ou Bolt : des dizaines de milliers d'applications reposent désormais dessus, souvent sans que leurs créateurs sachent vraiment ce qu'il y a sous le capot.

PostgreSQL

Une vraie base relationnelle SQL

Open source

Code public, self-hosting possible

Backend complet

Auth, storage, realtime, functions

Architecture

Les briques de Supabase expliquées une à une

Supabase n'est pas un outil monolithique : c'est un assemblage de composants open source éprouvés, orchestrés autour de PostgreSQL. Comprendre chaque brique permet de savoir ce que vous utilisez réellement, et ce que vous payez.

C'est cette architecture modulaire que nous exploitons dans nos développements d'applications web sur-mesure : on active uniquement les briques nécessaires au projet.

Base de données PostgreSQL

Le cœur de Supabase. Une base relationnelle complète : tables, jointures, vues, triggers, fonctions, extensions (PostGIS, pgvector pour l’IA). Vos données restent exportables au format standard.

API auto-générée

Grâce à PostgREST, chaque table devient instantanément une API REST sécurisée. Un client GraphQL est aussi disponible. Zéro code backend à écrire pour les opérations classiques.

Authentification (Auth)

Inscription et connexion par email, magic link, OAuth (Google, GitHub, Apple...), SSO. La gestion des sessions et des tokens JWT est incluse, avec 50 000 utilisateurs actifs offerts.

Storage (fichiers)

Stockage d’images, vidéos et documents avec gestion des permissions par bucket, transformation d’images à la volée et CDN intégré pour la diffusion rapide.

Realtime (temps réel)

Websockets natifs pour écouter les changements de la base en direct : chat, notifications, tableaux de bord collaboratifs, curseurs partagés (broadcast et presence).

Edge Functions

Des fonctions serverless en TypeScript (Deno), déployées au plus près des utilisateurs : webhooks Stripe, envoi d’emails, appels d’API tierces, logique métier sensible.

IA & no-code

Pourquoi Lovable et Bolt génèrent du Supabase

Si vous avez créé une application avec Lovable, Bolt ou un autre outil de vibe coding, il y a de fortes chances qu'elle tourne sur Supabase sans que vous l'ayez choisi. Ces outils l'intègrent par défaut : API simple, authentification prête à l'emploi, plan gratuit, client JavaScript officiel. Pour une IA qui génère du code, c'est le backend idéal.

Cette adoption massive a un revers : des milliers d'applications sont mises en ligne sans aucune revue de sécurité ni d'architecture. Le prototype fonctionne, mais la base est souvent mal protégée, les clés mal gérées et les coûts imprévisibles dès que le trafic arrive.

Nous détaillons ce phénomène dans notre guide du vibe coding et nous accompagnons les porteurs de projets concernés via notre agence spécialisée en vibe coding, pour transformer un prototype IA en produit fiable.

Backend par défaut

Lovable et Bolt branchent Supabase automatiquement sur la plupart des projets générés

Sécurité non vérifiée

Le code généré oublie souvent la Row Level Security : les données deviennent publiques

Prototype vs production

Passer en production exige un audit : sécurité, migrations, sauvegardes, monitoring

Comparatif

Supabase vs Firebase : le comparatif complet

Firebase, lancé par Google en 2012, a longtemps été le backend clé en main de référence. Supabase s'est construit en opposition directe, avec un choix technique fondamental : le relationnel SQL plutôt que le NoSQL. Ce choix change tout pour les applications métier.

CritèreSupabaseFirebase
Base de donnéesPostgreSQL (relationnel, SQL)Firestore (NoSQL, documents)
RequêtesSQL complet : jointures, vues, agrégationsRequêtes limitées, pas de jointures natives
Open sourceOui, self-hosting possibleNon, propriétaire Google
PricingPaliers prévisibles (gratuit, puis 25 $/mois)À l’usage : chaque lecture et écriture facturée
RGPD et hébergementRégions UE au choix (Francfort, Irlande...), self-hostingGoogle Cloud, écosystème américain (Cloud Act)
RéversibilitéExport PostgreSQL standard, migration libreFort verrouillage, migration coûteuse
Écosystème mobileSDK Flutter, React Native, Swift, KotlinTrès mature : notifications FCM, Crashlytics

Pour aller plus loin : nous avons publié un comparatif détaillé critère par critère, avec des cas d'usage concrets, dans notre article Supabase vs Firebase : lequel choisir.

Sécurité

Le piège n°1 : la Row Level Security (RLS)

C'est LE point qui distingue une application Supabase sérieuse d'une bombe à retardement. Avec Supabase, votre frontend parle directement à la base de données via une clé publique (la clé anon), visible par n'importe qui dans le code de votre site.

La protection ne vient donc pas de la clé, mais de la Row Level Security : des règles PostgreSQL qui définissent, ligne par ligne, qui peut lire ou modifier quoi. Sans RLS, toutes vos données sont accessibles publiquement : emails de vos clients, commandes, messages privés. Des centaines d'applications générées par IA ont exposé des données exactement de cette façon.

1

Activer la RLS sur chaque table

La RLS doit être activée explicitement sur toutes les tables exposées via l’API, sans exception. Une seule table oubliée suffit à exposer des données sensibles.

2

Écrire une policy par opération

Lecture, insertion, modification, suppression : chaque opération a besoin de sa propre règle. Une policy trop permissive (USING true) revient à désactiver la protection.

3

Ne jamais exposer la clé service_role

Cette clé contourne toutes les règles de sécurité. Elle ne doit exister que côté serveur (Edge Functions, API routes), jamais dans le code frontend ni dans un dépôt Git public.

4

Tester avec un utilisateur anonyme

Le test ultime : ouvrir votre application en navigation privée et tenter de lire les données d’un autre utilisateur via l’API. Si ça passe, votre RLS est défaillante.

5

Utiliser le Security Advisor de Supabase

Le dashboard Supabase intègre un analyseur qui signale les tables sans RLS et les policies dangereuses. À consulter avant chaque mise en production, puis régulièrement.

À retenir

Une base Supabase sans RLS est une base publique. Si votre application a été générée par un outil IA ou développée rapidement, faites vérifier vos policies avant de collecter des données réelles. C'est précisément ce que couvre notre accompagnement d'agence Supabase, audit de sécurité inclus.

Une application Supabase en projet ou en ligne ?

Audit de sécurité RLS, reprise d'un prototype Lovable ou Bolt, développement sur-mesure : parlons-en concrètement.

Obtenir un devis gratuit

Budget

Le pricing réel de Supabase

Contrairement à Firebase qui facture chaque lecture et écriture, Supabase fonctionne par paliers prévisibles. C'est un avantage majeur pour budgéter un projet, à condition de connaître les limites de chaque plan et les coûts additionnels.

Free

0 $

  • 500 Mo de base de données
  • 50 000 utilisateurs actifs / mois
  • 1 Go de stockage de fichiers
  • Pause après 7 jours d'inactivité
  • 2 projets actifs maximum
Production

Pro

25 $ / mois

  • 8 Go de base de données
  • 100 000 utilisateurs actifs / mois
  • 100 Go de stockage de fichiers
  • Sauvegardes quotidiennes (7 jours)
  • Aucune mise en pause

Team & Enterprise

599 $+ / mois

  • SSO, conformité SOC 2, HIPAA
  • Sauvegardes étendues (PITR)
  • Support prioritaire et SLA
  • Enterprise : tarification sur devis

Les coûts à anticiper : au-delà du forfait, Supabase facture les dépassements (base, stockage, bande passante) et les instances de calcul plus puissantes (compute add-ons). Un SaaS avec quelques milliers d'utilisateurs actifs tourne généralement entre 25 et 100 $ par mois : très compétitif face au coût d'un backend hébergé et maintenu manuellement.

Décision

Quand choisir Supabase (et quand l'éviter)

Supabase est un excellent choix par défaut pour la plupart des applications web modernes. Mais aucune technologie n'est universelle : voici notre grille de décision, issue de nos projets en production.

Choisissez Supabase si...

  • Vous construisez un SaaS avec des données relationnelles (clients, commandes, réservations)
  • Vous voulez un MVP rapide avec authentification et base prêtes à l’emploi
  • Le RGPD compte : hébergement UE ou self-hosting requis
  • Votre équipe connaît le SQL ou veut monter dessus
  • Votre application a besoin de temps réel (chat, tableaux de bord)
  • Vous consolidez une application générée par IA (Lovable, Bolt)

Évitez Supabase si...

  • Votre app mobile dépend fortement de l’écosystème Google (FCM, Crashlytics, Analytics)
  • Vos données sont massivement analytiques : un data warehouse sera plus adapté
  • Vous avez besoin de garanties contractuelles fortes sans budget Enterprise
  • Votre logique métier est si complexe qu’un backend dédié (Node.js, NestJS) restera plus lisible
  • Votre organisation impose une stack interne existante (Java, .NET)

Conseil ONDEV : le choix du backend dépend du projet, pas de la mode. Sur certains projets nous utilisons Supabase, sur d'autres Strapi, Neon ou un backend Node.js sur-mesure. Le bon réflexe : décider sur la base de vos données, de votre budget et de vos contraintes réglementaires.

Preuves

L'expertise ONDEV sur Supabase

Ce guide n'est pas théorique : nous opérons Supabase en production. Notre réalisation la plus emblématique est Wiloq, une application SaaS de vestiaire numérique pour l'événementiel, construite avec Next.js et Supabase : authentification, base PostgreSQL, temps réel et déploiement Vercel. Découvrez l'étude de cas complète de Wiloq.

Au-delà de Supabase, notre équipe conçoit des applications métier exigeantes : une application R&D pour SNEF qui fait gagner 1h30 tous les 2 jours aux équipes, une application métier pour Dassault Aviation utilisée par plus de 90 collaborateurs (1h gagnée par processus), ou encore la plateforme Swap&Share et ses 200+ échanges de compétences.

Nous réalisons aussi des audits d'applications générées par IA sur Supabase : vérification RLS, revue de la structure de base, optimisation des coûts et fiabilisation avant mise en production. Toutes nos prestations autour de la plateforme sont détaillées sur notre page agence Supabase.

12+

Fonctionnalités Wiloq

SaaS Next.js + Supabase en production

3

Interfaces distinctes

Organisateurs, staff et participants

90+

Utilisateurs Dassault

Applications métier grands comptes

Pages liées · Supabase

Agence Supabase•Agence vibe coding•Supabase vs Firebase•Wiloq : SaaS sur Supabase•Applications web sur-mesure•Devis gratuit

FAQ

Questions fréquentes sur Supabase

Supabase est une plateforme backend open source lancée en 2020, souvent présentée comme l’alternative à Firebase. Elle fournit tout ce dont une application web a besoin côté serveur : une base de données PostgreSQL, l’authentification des utilisateurs, le stockage de fichiers, le temps réel et des fonctions serverless. Le tout accessible via une API générée automatiquement.
Oui, Supabase propose un plan gratuit généreux : 500 Mo de base de données, 50 000 utilisateurs actifs mensuels, 1 Go de stockage et 2 projets actifs. Attention : les projets gratuits sont mis en pause après 7 jours d’inactivité. Pour une application en production, le plan Pro à 25 dollars par mois est le minimum recommandé.
Choisissez Supabase si vos données sont relationnelles (clients, commandes, réservations), si vous voulez du SQL, un hébergement en Europe ou la possibilité de migrer librement. Choisissez Firebase si votre application est très dépendante de l’écosystème Google (notifications FCM, Crashlytics) ou si votre équipe maîtrise déjà Firestore. Pour la majorité des SaaS et applications métier, Supabase est aujourd’hui le choix le plus solide.
Oui, à condition de respecter les bonnes pratiques : Row Level Security activée sur toutes les tables, plan adapté au trafic, sauvegardes vérifiées et monitoring en place. Chez ONDEV, nous opérons Wiloq, une application SaaS de vestiaire numérique, en production sur Supabase avec plus de 12 fonctionnalités et 3 interfaces distinctes.
Oui. Supabase permet de choisir la région d’hébergement de chaque projet, notamment en Union européenne (Francfort, Irlande, Londres, Zurich), et fournit un accord de traitement des données (DPA). Pour un contrôle total, le self-hosting sur vos propres serveurs est possible puisque le code est open source. Il reste indispensable de configurer correctement la sécurité (RLS) pour protéger les données personnelles.
Absolument. Nous auditons régulièrement des applications construites sur Supabase, y compris des projets générés avec Lovable ou Bolt : sécurité RLS, structure de la base, performances, coûts. Nous développons aussi des applications Supabase sur-mesure, de la conception au déploiement en production.

Prêt à construire sur Supabase ?

SaaS sur-mesure, audit de sécurité RLS ou reprise d'un prototype IA : nous transformons Supabase en avantage concurrentiel pour votre entreprise.

Obtenir un devis gratuit AppelerWhatsApp