Mises à jour et patches de sécurité, on facture ou pas ?

Je suis en train de refondre et mettre en place une vraie grille tarifaire qui correspond à une nouvelle politique d’infogérance que je vais appliquer à mes clients. Dans les différentes options, une me pose un peu problème : la mise en place de mises à jour ou de patches de sécurité, non pas au

Je suis en train de refondre et mettre en place une vraie grille tarifaire qui correspond à une nouvelle politique d’infogérance que je vais appliquer à mes clients.

Dans les différentes options, une me pose un peu problème : la mise en place de mises à jour ou de patches de sécurité, non pas au niveau serveur mais sur les scripts de sites installés (Dotclear, WordPress, et surtout Joomla ou les forums comme PunBB).
Ces rustines sont publiés assez régulièrement par les éditeurs, et il est fortement recommandé de les installer.
Bien sûr cela représente une intervention qui prend du temps, et d’autant plus fastidieuse si les scripts ont été profondément personnalisés ou remaniés, ce qui est le cas dans la plupart des cas.

Question : sachant que plusieurs sites sont concernés (voire plusieurs dizaines), la tentation est forte de facturer cette prestation chronophage et sensible au client, mais en même temps doit-il supporter le coût d’une mise à jour de sécurité ? Je n’en suis pas sûr. Si mon concessionnaire auto me facturait le remplacement d’une pièce de sécurité effectué à son initiative, je crois que je n’apprécierais pas vraiment…

Qu’en pensez-vous ? Vous faites comment vous ? On facture ou pas ?


Nos dernières vidéos

41 commentaires

  1. Mon avis perso. Si le client t’as explicitement demandé d’utiliser tel ou tel script de site (par ex Joomla) ca parait logique qu’il paye le temps passé à leur mise à jour.
    Après si c’est toi qui lui as proposé Joomla, je dirais que ce n’est pas à lui de payer pour les mises à jour. C’est un peu comme si tu lui corrigeais un bug d’un site que tu lui as créé, tu ne lui fait pas payé la correction du bug car tu en es responsable.

    C’est mon avis…

  2. Si tu factures il faut lui laisser le choix :

    – Prendre le risque de se faire hacker.
    – Faire la mise à jour lui même, avec le risque de tout planter.
    – Payer.

  3. Moi je dirais facturation après proposition au client : tu lui expliques l’intérêt de la manoeuvre et tu lui donnes ton prix. Y’a pas de raison que tu bosses gratuit, et en même temps, tu vas pas lui facturer des trucs sans le prévenir. D’autant plus que ce sont des corretifs de failles, pas des bugs dans ton boulot. Donc je trouve normal de le tenir au courant des mises à jour de sécurité des outils pour lesquels il a opté (même si c’est d’après tes conseils), en lui laissant le choix de les faire ou non, avec les risques que ça comporte.

  4. La réponse de Lanza est bien c est ce que je ferais, et si tu t apperçois qu un client couine un peu cela peut etre un bon plan de faire un geste commercial mais ce geste commercial il doit savoir qu il a un coût

  5. Eric,

    Ta comparaison avec la voiture est interessante mais les CMS dont tu parles ne sont pas soumis aux mêmes risques (fréquence de tentative d’intrusion) et surtout à la même évolution (amélioration)… Pour moi, aucune hésitation. Facturation.

  6. rectificatif la réponse 2 de lanza me parait bonne, et pour les réticents jongler avec le geste commercial qui fidelise le client et peut etre voir avec le comptable l’integrer ton geste dans le budget pub

  7. Je pense effectivement qu’un forfait pour l’année par exemple, serait une bonne idée. Maintenant faut-il encore définir les tarifs, et que ce soit bien expliqué au client.

  8. Ayant pas mal bossé chez des éditeurs de logiciels et SSII, tout cela est pris en compte par la maintenance (payante, bien sûr). Cette maintenance est indispensable pour le client et le fournisseur. Expliquée et vendue dès le départ de la prestation, elle est très bien perçue (pertinante et nécessaire) par le client. En revanche, ne pas l’avoir inclus dès le départ, cela va demander quelques talents commerciaux pour faire passer la pillule … et ce facheux oubli …

  9. quand une pièce auto est cassée, on paye pour la réparer !

    quand on trouve une faille de sécurité, on paye pour la maintenance applicative, ca s’appelle de la TMA pour Tierce Maintenance Applicative :
    http://www.google.fr/search?hl=f...

    je me demande comment vous faites les gars pour bosser quand meme avec des questions pareilles, vous etes vraiment des charlots…

  10. Une voiture n’est pas OpenSource. Tu payes pour acheter la voiture. Maintenant toi tu factures pas le logiciel que tu installes (pas de licences) mais plutot le temps que tu passes à installer, configurer, etc… Donc tu n’as pas de responsabilité quant à ce qui est installé (tu l’as même pas développé). Donc c’est pas parce que c’est open source, que tout doit être gratuit…. Facturation !

  11. TMAMAMA, tu n’as pas tout compris visiblement… Eric parle de remplacement de pièce de voiture par sécurité et à l’initiative du garagiste ou du constructeur, pas de pièce cassé.

    Sur ce, les charlots te saluent bien 🙂

  12. greg, comme tu as raison, ça marche aussi avec les plombiers 😉
    Les gens sont un peu énervés ces derniers jours on dirait, n’est-ce pas TMAMAMA ?

  13. Bien sur qu’il faut facturer..

    Un garagiste ne va pas changer les plaquettes de frein gratuitement de tous ses clients…

    Les mises à jour se feraient automatiquement – comme les MAJ de logiciels – je dis pas, mais à priori, ca peut pas s’automatiser ^^

  14. Ok, je crois que c’est clair : on facture mais on explique bien quoi et pourquoi. Je ne vais pas l’inclure dans le forfait hébergement car le client ne comprendrait pas forcément de payer pour une intervention qui n’aura pas forcément lieu (il peut se passer un an sans mise à jour majeure du’un script).

  15. Le mieux c’est le forfait de maintenance adapté aux logiciel installé. Un forfait optionnel et annuel. Bien sure, tu ne peux pas intervenir à chaque fois qu’un patch sort, sinon il te faut un employé didié à ça. Le mieux c’est peut-être de proposer une intervention trimestrielle, si besoin est pour mettre à jours.

    Tu offres un service, du coup, c’est à proposer mais pas à imposer. Le plus dur est surement de justifier le fait que ce n’est pas compris dans le prix de base.

  16. Il faut y aller simplement 3 niveaux de facturation :

    1- Forfait de base avec 0 mise à jour d’incluse.

    2- Forfait premium avec les mises à jour.

    3- Facturation à l’intervention

    Le point le plus important sera probablement de faire comprendre les implications du choix aux clients.

  17. Le problème c’est qu’effectivement ce sont des mises à jours nécessaires, indispensables.

    Je pense qu’il faut savoir fair des distinctions. Il y a la mise à jours qui prendra 5 minutes et qui fidélisera le client parce que le sav est cool donc il en parlera. Et y’a la mise à jours qui nécessite d’être adapté donc repensé, qui elle doit être facturé mais dans des tarifs qui doivent toujours prendre en compte la notion d’obligation qu’à le client. On vous propose pas de voiture sans ceinture, mais plus vous voulez d’airbag plus c’est chers. Faut adopter un peu le même système a mon avis.

  18. Attention la maintenance est tres tres mal vue par les "petits" clients (10 ans de web agency derrière moi)
    Ils ont l’impression de se faire voler pour un risque qui n’arrive jamais (d’apres eux) alors que les gros clients qui ont l’habitude et conscience de l’interet d’une maintenance sont tout a fait ok ! donc : les deux a proposer forfait ou a l’acte (au choix du client)

  19. Je rejoins l’avis de la plupart d’entre vous. J’opte pour la facturation annuelle de la maintenance. Vis à vis du client, l’explication est la suivante : l’utilisation d’un CMS open-source lui revient moins cher au départ mais impose des mises à jour régulières (sécurité mais aussi évolution donc un site toujours optimal). Pour la facturation, j’ai choisi le ticket (1 ticket=1/4 h), qui peut être utilisé aussi bien pour la maintenance que pour de petites modif du site, ou tout autre petit service. Comme ça, t’arnaques pas le client et tu perds pas ton temps.

  20. SInon y’a la solution de mettre un IDS devant les sites en question qui va bloquer 100% des attaques envers les applications Web en questions. Un snort bien configuré conviendrait tout à fait dans ton cas.

  21. Tu peux lui facturer un bonus "sécurité" en lui rappelant le risque de se faire hacker sil le prend pas.

    Un peu comme les extensions de garantie sur le matos : c pas obligatoire mais vivement conseillé

  22. +1 Lanza : tout le monde y gagne:
    – le client, par la tranquillité d’esprit
    – le webmaster, qui voit son travail rémunéré, via une activité "vache à lait" (pas parce qu’on anarque le client ! c’est un terme marketing pour parler de produits qui rapporte sa marge sans avoir besoin de faire de la recherche, de la pu, etc)
    – internet (eh oui) car cela contribue à la sécurisation des sites de manière globale

    la solution de ChrisP ne me semble pas adéquate:
    la première solution est inacceptable car tu dis au client: vous vous demerdez, c’est vous qui appliquez les patchs ( mais comme il ne les applique pas, une fois hacké, c’est toi qui est appellé en disant qu’il y a un bug dans le site!)
    et la facturation à l’intervention, ça oblige constamment à justifier auprès du client l’importance de la MAJ (sinon, il cherchera à faire des packs de MAJ) et à se battre à chaque fois avec sa comptabilité

    alors qu’un forfait de maintenance, c’est une ligne de dépense, budgété, renouvellé tacitement chaque année. tranquillou pour tout le monde.

    par contre, il faut prévoir ce que j’appelle dans ma boite (une grosse société de service) un CCR: une augmentation du cout du forfait en fonction du niveau de spécifité du site. Moi, par ex, le cout du forfait est augmenté de 15% du montant du développement

    à Serge: un ticket, 1/4h ? pour moi, l’unité de base c’est l’heure. en dessous, cela ne me parait pas très sérieux : car suite à la modif (éventuellement personnalisée en fonction des spécifiques), tu as une batterie de tests, rédaction d’un cahier de tests (si le client veut controler que des tests ont été effectué), MAJ des docs (vous faites jamais de docs ? pas meme des commentaires dans le code type "application du patch n°xxx le 24/04/007", histoire de revenir en arrière en cas de pb? ou pour se souvenir de ce qui a été fait sur tel site ? etc), information du client (faut lui dire qu’on bosse pour lui, c’est TRES important), et enfin, le markup (votre marge, vous travaillez pas pour la gloire)

  23. Eric, si ca vient de ta propre initiative c’est délicat de facturer…

    par contre si le client le demande tu mets la dose bien évidemment.

    le mieux c’est de prévoir à chaque signature de contrat un forfait de mise à jour à la louche, comme ca t’es pas emmerdé. c’est ce que je fait ^^

  24. Oui, c’est au client de supporter la mise à jour;

    S’il devait payer pour le développement d’un cms comme wordpress ou joomla ça lui couterait beaucoup plus cher qu’un forfait annuel de mise à jour. Mais grâce à ces solutions OS ,il peut bénéficier gratuitement d’outils "pros" pour gérer son contenu. En contrepartie, une maintenance annuelle est un coût plutôt minime…

  25. Monsieur Citron,
    en tant que client de votre agence, il est hors de question de payer quoique ce soit. Si vous osez me le demander, je ne vous ferais pas bonne presse.

  26. C’est le juriste qui parle 😉 Il faut tout simplement le prévoir dans le contrat avec les clients. Il faut, pour ceux qui le souhaitent, mettre en place une clause "sécurité" par laquelle le client accepte de payer pour l’installation de patches développés par des tiers…
    et pour ceux qui n’en veulent pas, il faut prévoir une clause par laquelle le client renonce à vous poursuivre en cas de hack de son suite pour cause de non "patchage" de son site 😉
    Clic clac l’affaire est dans le sac 😉

  27. Merci Lilyprune pour la petite touche juridique, notamment "…le client renonce à vous poursuivre en cas de hack…" C’est effectivement important.

  28. derniere solution : quand c’est hacké, tu fais une déclaration de sinistre à ton assureur RC pro qui paye la facture de réinstallation ! (ne marche qu’une fois)

  29. Même la sécurité se paye de nos jours alors que c’est censé être quelque chose d’indispensable. Comme quoi… Tout se marchande, surtout la tranquillité.

Répondre