Je suis en train de refondre et mettre en place une vraie grille tarifaire qui correspond à une nouvelle politique d’infogérance que je vais appliquer à mes clients.
Dans les différentes options, une me pose un peu problème : la mise en place de mises à jour ou de patches de sécurité, non pas au niveau serveur mais sur les scripts de sites installés (Dotclear, WordPress, et surtout Joomla ou les forums comme PunBB).
Ces rustines sont publiés assez régulièrement par les éditeurs, et il est fortement recommandé de les installer.
Bien sûr cela représente une intervention qui prend du temps, et d’autant plus fastidieuse si les scripts ont été profondément personnalisés ou remaniés, ce qui est le cas dans la plupart des cas.
Question : sachant que plusieurs sites sont concernés (voire plusieurs dizaines), la tentation est forte de facturer cette prestation chronophage et sensible au client, mais en même temps doit-il supporter le coût d’une mise à jour de sécurité ? Je n’en suis pas sûr. Si mon concessionnaire auto me facturait le remplacement d’une pièce de sécurité effectué à son initiative, je crois que je n’apprécierais pas vraiment…
Qu’en pensez-vous ? Vous faites comment vous ? On facture ou pas ?
Voir tous les articles de Eric
...
41 commentaires pour "Mises à jour et patches de sécurité, on facture ou pas ?"
1
Seb le 24 avril 2007 à 17:34
Mon avis perso. Si le client t’as explicitement demandé d’utiliser tel ou tel script de site (par ex Joomla) ca parait logique qu’il paye le temps passé à leur mise à jour.
Après si c’est toi qui lui as proposé Joomla, je dirais que ce n’est pas à lui de payer pour les mises à jour. C’est un peu comme si tu lui corrigeais un bug d’un site que tu lui as créé, tu ne lui fait pas payé la correction du bug car tu en es responsable.
C’est mon avis…
2
Dave le 24 avril 2007 à 17:36
Vu le temps que ça prend, pas d’hésitation ! Facturation
3
Lanza le 24 avril 2007 à 17:40
Si tu factures il faut lui laisser le choix :
– Prendre le risque de se faire hacker.
– Faire la mise à jour lui même, avec le risque de tout planter.
– Payer.
4
Lanza le 24 avril 2007 à 17:42
Autre solution : intégrer ces mises à jour dans une facture forfaitaire de maintenance, par exemple avec l’hébergement.
5
xeno1887 le 24 avril 2007 à 17:50
+1 avec Lanza
6
Spica le 24 avril 2007 à 17:51
Moi je dirais facturation après proposition au client : tu lui expliques l’intérêt de la manoeuvre et tu lui donnes ton prix. Y’a pas de raison que tu bosses gratuit, et en même temps, tu vas pas lui facturer des trucs sans le prévenir. D’autant plus que ce sont des corretifs de failles, pas des bugs dans ton boulot. Donc je trouve normal de le tenir au courant des mises à jour de sécurité des outils pour lesquels il a opté (même si c’est d’après tes conseils), en lui laissant le choix de les faire ou non, avec les risques que ça comporte.
7
Pierre le 24 avril 2007 à 17:53
La réponse de Lanza est bien c est ce que je ferais, et si tu t apperçois qu un client couine un peu cela peut etre un bon plan de faire un geste commercial mais ce geste commercial il doit savoir qu il a un coût
8
Redsan le 24 avril 2007 à 17:54
Eric,
Ta comparaison avec la voiture est interessante mais les CMS dont tu parles ne sont pas soumis aux mêmes risques (fréquence de tentative d’intrusion) et surtout à la même évolution (amélioration)… Pour moi, aucune hésitation. Facturation.
9
Pierre le 24 avril 2007 à 17:57
rectificatif la réponse 2 de lanza me parait bonne, et pour les réticents jongler avec le geste commercial qui fidelise le client et peut etre voir avec le comptable l’integrer ton geste dans le budget pub
10
shYm0n le 24 avril 2007 à 18:08
Je pense effectivement qu’un forfait pour l’année par exemple, serait une bonne idée. Maintenant faut-il encore définir les tarifs, et que ce soit bien expliqué au client.
11
Eric Boi. le 24 avril 2007 à 18:09
Ayant pas mal bossé chez des éditeurs de logiciels et SSII, tout cela est pris en compte par la maintenance (payante, bien sûr). Cette maintenance est indispensable pour le client et le fournisseur. Expliquée et vendue dès le départ de la prestation, elle est très bien perçue (pertinante et nécessaire) par le client. En revanche, ne pas l’avoir inclus dès le départ, cela va demander quelques talents commerciaux pour faire passer la pillule … et ce facheux oubli …
12
greg le 24 avril 2007 à 18:11
c’est parce que tu te poses ce genre de question que les webmasters seront toujours moins riches que les garagistes
13
TMAMAMA le 24 avril 2007 à 18:15
quand une pièce auto est cassée, on paye pour la réparer !
quand on trouve une faille de sécurité, on paye pour la maintenance applicative, ca s’appelle de la TMA pour Tierce Maintenance Applicative :
http://www.google.fr/search?hl=f...
je me demande comment vous faites les gars pour bosser quand meme avec des questions pareilles, vous etes vraiment des charlots…
14
Cedric le 24 avril 2007 à 18:26
Une voiture n’est pas OpenSource. Tu payes pour acheter la voiture. Maintenant toi tu factures pas le logiciel que tu installes (pas de licences) mais plutot le temps que tu passes à installer, configurer, etc… Donc tu n’as pas de responsabilité quant à ce qui est installé (tu l’as même pas développé). Donc c’est pas parce que c’est open source, que tout doit être gratuit…. Facturation !
15
François le 24 avril 2007 à 18:28
TMAMAMA, tu n’as pas tout compris visiblement… Eric parle de remplacement de pièce de voiture par sécurité et à l’initiative du garagiste ou du constructeur, pas de pièce cassé.
Sur ce, les charlots te saluent bien
16
Eric le 24 avril 2007 à 18:28
greg, comme tu as raison, ça marche aussi avec les plombiers
Les gens sont un peu énervés ces derniers jours on dirait, n’est-ce pas TMAMAMA ?
17
Rémi le 24 avril 2007 à 18:33
Bien sur qu’il faut facturer..
Un garagiste ne va pas changer les plaquettes de frein gratuitement de tous ses clients…
Les mises à jour se feraient automatiquement – comme les MAJ de logiciels – je dis pas, mais à priori, ca peut pas s’automatiser ^^
18
Eric le 24 avril 2007 à 18:33
Ok, je crois que c’est clair : on facture mais on explique bien quoi et pourquoi. Je ne vais pas l’inclure dans le forfait hébergement car le client ne comprendrait pas forcément de payer pour une intervention qui n’aura pas forcément lieu (il peut se passer un an sans mise à jour majeure du’un script).
19
Pym le 24 avril 2007 à 18:34
Ca existe vraiment les gens qui payent pour des trucs gratuits ?
20
Bubule le 24 avril 2007 à 18:46
Le mieux c’est le forfait de maintenance adapté aux logiciel installé. Un forfait optionnel et annuel. Bien sure, tu ne peux pas intervenir à chaque fois qu’un patch sort, sinon il te faut un employé didié à ça. Le mieux c’est peut-être de proposer une intervention trimestrielle, si besoin est pour mettre à jours.
Tu offres un service, du coup, c’est à proposer mais pas à imposer. Le plus dur est surement de justifier le fait que ce n’est pas compris dans le prix de base.
21
ChrisP le 24 avril 2007 à 19:02
Il faut y aller simplement 3 niveaux de facturation :
1- Forfait de base avec 0 mise à jour d’incluse.
2- Forfait premium avec les mises à jour.
3- Facturation à l’intervention
Le point le plus important sera probablement de faire comprendre les implications du choix aux clients.
22
Julien Tartarin le 24 avril 2007 à 19:11
+1 pour le forfait, facultatif, mais il faut le calculer pour ne pas travailler à perte, et ne pas voler non plus le client…
23
Eric le 24 avril 2007 à 19:26
Ah zut, si on peut plus voler les clients alors, comment on va vivre ?
24
Julien Tartarin le 24 avril 2007 à 19:31
Je parlais d’être suffisamment raisonnable, pas excessif quoi
25
Korki le 24 avril 2007 à 19:34
Le problème c’est qu’effectivement ce sont des mises à jours nécessaires, indispensables.
Je pense qu’il faut savoir fair des distinctions. Il y a la mise à jours qui prendra 5 minutes et qui fidélisera le client parce que le sav est cool donc il en parlera. Et y’a la mise à jours qui nécessite d’être adapté donc repensé, qui elle doit être facturé mais dans des tarifs qui doivent toujours prendre en compte la notion d’obligation qu’à le client. On vous propose pas de voiture sans ceinture, mais plus vous voulez d’airbag plus c’est chers. Faut adopter un peu le même système a mon avis.
26
Nico le 24 avril 2007 à 19:48
Attention la maintenance est tres tres mal vue par les "petits" clients (10 ans de web agency derrière moi)
Ils ont l’impression de se faire voler pour un risque qui n’arrive jamais (d’apres eux) alors que les gros clients qui ont l’habitude et conscience de l’interet d’une maintenance sont tout a fait ok ! donc : les deux a proposer forfait ou a l’acte (au choix du client)
27
serge le 24 avril 2007 à 20:02
Je rejoins l’avis de la plupart d’entre vous. J’opte pour la facturation annuelle de la maintenance. Vis à vis du client, l’explication est la suivante : l’utilisation d’un CMS open-source lui revient moins cher au départ mais impose des mises à jour régulières (sécurité mais aussi évolution donc un site toujours optimal). Pour la facturation, j’ai choisi le ticket (1 ticket=1/4 h), qui peut être utilisé aussi bien pour la maintenance que pour de petites modif du site, ou tout autre petit service. Comme ça, t’arnaques pas le client et tu perds pas ton temps.
28
TMATMATMAAA le 24 avril 2007 à 20:20
serge et les autres: oui, ca s’appelle de la TMA !
mais visiblement ici, peu connaissent bien leur métier
29
Bob le 24 avril 2007 à 20:25
SInon y’a la solution de mettre un IDS devant les sites en question qui va bloquer 100% des attaques envers les applications Web en questions. Un snort bien configuré conviendrait tout à fait dans ton cas.
30
Jange le 24 avril 2007 à 20:43
+1 Lanza
31
Fetard le 24 avril 2007 à 20:58
Tu peux lui facturer un bonus "sécurité" en lui rappelant le risque de se faire hacker sil le prend pas.
Un peu comme les extensions de garantie sur le matos : c pas obligatoire mais vivement conseillé
32
eiffel le 24 avril 2007 à 22:32
+1 Lanza : tout le monde y gagne:
– le client, par la tranquillité d’esprit
– le webmaster, qui voit son travail rémunéré, via une activité "vache à lait" (pas parce qu’on anarque le client ! c’est un terme marketing pour parler de produits qui rapporte sa marge sans avoir besoin de faire de la recherche, de la pu, etc)
– internet (eh oui) car cela contribue à la sécurisation des sites de manière globale
la solution de ChrisP ne me semble pas adéquate:
la première solution est inacceptable car tu dis au client: vous vous demerdez, c’est vous qui appliquez les patchs ( mais comme il ne les applique pas, une fois hacké, c’est toi qui est appellé en disant qu’il y a un bug dans le site!)
et la facturation à l’intervention, ça oblige constamment à justifier auprès du client l’importance de la MAJ (sinon, il cherchera à faire des packs de MAJ) et à se battre à chaque fois avec sa comptabilité
alors qu’un forfait de maintenance, c’est une ligne de dépense, budgété, renouvellé tacitement chaque année. tranquillou pour tout le monde.
par contre, il faut prévoir ce que j’appelle dans ma boite (une grosse société de service) un CCR: une augmentation du cout du forfait en fonction du niveau de spécifité du site. Moi, par ex, le cout du forfait est augmenté de 15% du montant du développement
à Serge: un ticket, 1/4h ? pour moi, l’unité de base c’est l’heure. en dessous, cela ne me parait pas très sérieux : car suite à la modif (éventuellement personnalisée en fonction des spécifiques), tu as une batterie de tests, rédaction d’un cahier de tests (si le client veut controler que des tests ont été effectué), MAJ des docs (vous faites jamais de docs ? pas meme des commentaires dans le code type "application du patch n°xxx le 24/04/007", histoire de revenir en arrière en cas de pb? ou pour se souvenir de ce qui a été fait sur tel site ? etc), information du client (faut lui dire qu’on bosse pour lui, c’est TRES important), et enfin, le markup (votre marge, vous travaillez pas pour la gloire)
33
Regis le 24 avril 2007 à 23:46
Eric, si ca vient de ta propre initiative c’est délicat de facturer…
par contre si le client le demande tu mets la dose bien évidemment.
le mieux c’est de prévoir à chaque signature de contrat un forfait de mise à jour à la louche, comme ca t’es pas emmerdé. c’est ce que je fait ^^
34
AniMo le 25 avril 2007 à 01:43
Oui, c’est au client de supporter la mise à jour;
S’il devait payer pour le développement d’un cms comme wordpress ou joomla ça lui couterait beaucoup plus cher qu’un forfait annuel de mise à jour. Mais grâce à ces solutions OS ,il peut bénéficier gratuitement d’outils "pros" pour gérer son contenu. En contrepartie, une maintenance annuelle est un coût plutôt minime…
35
Cedric le 25 avril 2007 à 01:49
Monsieur Citron,
en tant que client de votre agence, il est hors de question de payer quoique ce soit. Si vous osez me le demander, je ne vous ferais pas bonne presse.
36
Lilyprune le 25 avril 2007 à 09:48
C’est le juriste qui parle
Il faut tout simplement le prévoir dans le contrat avec les clients. Il faut, pour ceux qui le souhaitent, mettre en place une clause "sécurité" par laquelle le client accepte de payer pour l’installation de patches développés par des tiers…
et pour ceux qui n’en veulent pas, il faut prévoir une clause par laquelle le client renonce à vous poursuivre en cas de hack de son suite pour cause de non "patchage" de son site
Clic clac l’affaire est dans le sac
37
Eric le 25 avril 2007 à 10:08
Merci Lilyprune pour la petite touche juridique, notamment "…le client renonce à vous poursuivre en cas de hack…" C’est effectivement important.
38
Thomas le 25 avril 2007 à 11:41
La solution est simple, tu ne sécurise pas, tu attends que le site se fasse hacker. Et là , tu arrives comme sauveur et tu factures lourd.
39
mrique le 25 avril 2007 à 12:11
+ 1 thomas !!!!
40
mrique le 25 avril 2007 à 12:13
derniere solution : quand c’est hacké, tu fais une déclaration de sinistre à ton assureur RC pro qui paye la facture de réinstallation ! (ne marche qu’une fois)
41
Korki le 25 avril 2007 à 12:58
Même la sécurité se paye de nos jours alors que c’est censé être quelque chose d’indispensable. Comme quoi… Tout se marchande, surtout la tranquillité.