Connect with us

Internet

Mises à jour et patches de sécurité, on facture ou pas ?

Il y a

le

Je suis en train de refondre et mettre en place une vraie grille tarifaire qui correspond à une nouvelle politique d’infogérance que je vais appliquer à mes clients.

Dans les différentes options, une me pose un peu problème : la mise en place de mises à jour ou de patches de sécurité, non pas au niveau serveur mais sur les scripts de sites installés (Dotclear, WordPress, et surtout Joomla ou les forums comme PunBB).
Ces rustines sont publiés assez régulièrement par les éditeurs, et il est fortement recommandé de les installer.
Bien sûr cela représente une intervention qui prend du temps, et d’autant plus fastidieuse si les scripts ont été profondément personnalisés ou remaniés, ce qui est le cas dans la plupart des cas.

Question : sachant que plusieurs sites sont concernés (voire plusieurs dizaines), la tentation est forte de facturer cette prestation chronophage et sensible au client, mais en même temps doit-il supporter le coût d’une mise à jour de sécurité ? Je n’en suis pas sûr. Si mon concessionnaire auto me facturait le remplacement d’une pièce de sécurité effectué à son initiative, je crois que je n’apprécierais pas vraiment…

Qu’en pensez-vous ? Vous faites comment vous ? On facture ou pas ?

41 Commentaires

41 Commentaires

  1. Seb

    24 avril 2007 at 17 h 34 min

    Mon avis perso. Si le client t’as explicitement demandé d’utiliser tel ou tel script de site (par ex Joomla) ca parait logique qu’il paye le temps passé à leur mise à jour.
    Après si c’est toi qui lui as proposé Joomla, je dirais que ce n’est pas à lui de payer pour les mises à jour. C’est un peu comme si tu lui corrigeais un bug d’un site que tu lui as créé, tu ne lui fait pas payé la correction du bug car tu en es responsable.

    C’est mon avis…

  2. Dave

    24 avril 2007 at 17 h 36 min

    Vu le temps que ça prend, pas d’hésitation ! Facturation

  3. Lanza

    24 avril 2007 at 17 h 40 min

    Si tu factures il faut lui laisser le choix :

    – Prendre le risque de se faire hacker.
    – Faire la mise à jour lui même, avec le risque de tout planter.
    – Payer.

  4. Lanza

    24 avril 2007 at 17 h 42 min

    Autre solution : intégrer ces mises à jour dans une facture forfaitaire de maintenance, par exemple avec l’hébergement.

  5. xeno1887

    24 avril 2007 at 17 h 50 min

    +1 avec Lanza

  6. Spica

    24 avril 2007 at 17 h 51 min

    Moi je dirais facturation après proposition au client : tu lui expliques l’intérêt de la manoeuvre et tu lui donnes ton prix. Y’a pas de raison que tu bosses gratuit, et en même temps, tu vas pas lui facturer des trucs sans le prévenir. D’autant plus que ce sont des corretifs de failles, pas des bugs dans ton boulot. Donc je trouve normal de le tenir au courant des mises à jour de sécurité des outils pour lesquels il a opté (même si c’est d’après tes conseils), en lui laissant le choix de les faire ou non, avec les risques que ça comporte.

  7. Pierre

    24 avril 2007 at 17 h 53 min

    La réponse de Lanza est bien c est ce que je ferais, et si tu t apperçois qu un client couine un peu cela peut etre un bon plan de faire un geste commercial mais ce geste commercial il doit savoir qu il a un coût

  8. Redsan

    24 avril 2007 at 17 h 54 min

    Eric,

    Ta comparaison avec la voiture est interessante mais les CMS dont tu parles ne sont pas soumis aux mêmes risques (fréquence de tentative d’intrusion) et surtout à la même évolution (amélioration)… Pour moi, aucune hésitation. Facturation.

  9. Pierre

    24 avril 2007 at 17 h 57 min

    rectificatif la réponse 2 de lanza me parait bonne, et pour les réticents jongler avec le geste commercial qui fidelise le client et peut etre voir avec le comptable l’integrer ton geste dans le budget pub

  10. shYm0n

    24 avril 2007 at 18 h 08 min

    Je pense effectivement qu’un forfait pour l’année par exemple, serait une bonne idée. Maintenant faut-il encore définir les tarifs, et que ce soit bien expliqué au client.

  11. Eric Boi.

    24 avril 2007 at 18 h 09 min

    Ayant pas mal bossé chez des éditeurs de logiciels et SSII, tout cela est pris en compte par la maintenance (payante, bien sûr). Cette maintenance est indispensable pour le client et le fournisseur. Expliquée et vendue dès le départ de la prestation, elle est très bien perçue (pertinante et nécessaire) par le client. En revanche, ne pas l’avoir inclus dès le départ, cela va demander quelques talents commerciaux pour faire passer la pillule … et ce facheux oubli …

  12. greg

    24 avril 2007 at 18 h 11 min

    c’est parce que tu te poses ce genre de question que les webmasters seront toujours moins riches que les garagistes 🙂

  13. TMAMAMA

    24 avril 2007 at 18 h 15 min

    quand une pièce auto est cassée, on paye pour la réparer !

    quand on trouve une faille de sécurité, on paye pour la maintenance applicative, ca s’appelle de la TMA pour Tierce Maintenance Applicative :
    http://www.google.fr/search?hl=f...

    je me demande comment vous faites les gars pour bosser quand meme avec des questions pareilles, vous etes vraiment des charlots…

  14. Cedric

    24 avril 2007 at 18 h 26 min

    Une voiture n’est pas OpenSource. Tu payes pour acheter la voiture. Maintenant toi tu factures pas le logiciel que tu installes (pas de licences) mais plutot le temps que tu passes à installer, configurer, etc… Donc tu n’as pas de responsabilité quant à ce qui est installé (tu l’as même pas développé). Donc c’est pas parce que c’est open source, que tout doit être gratuit…. Facturation !

  15. François

    24 avril 2007 at 18 h 28 min

    TMAMAMA, tu n’as pas tout compris visiblement… Eric parle de remplacement de pièce de voiture par sécurité et à l’initiative du garagiste ou du constructeur, pas de pièce cassé.

    Sur ce, les charlots te saluent bien 🙂

  16. Eric

    24 avril 2007 at 18 h 28 min

    greg, comme tu as raison, ça marche aussi avec les plombiers 😉
    Les gens sont un peu énervés ces derniers jours on dirait, n’est-ce pas TMAMAMA ?

  17. Rémi

    24 avril 2007 at 18 h 33 min

    Bien sur qu’il faut facturer..

    Un garagiste ne va pas changer les plaquettes de frein gratuitement de tous ses clients…

    Les mises à jour se feraient automatiquement – comme les MAJ de logiciels – je dis pas, mais à priori, ca peut pas s’automatiser ^^

  18. Eric

    24 avril 2007 at 18 h 33 min

    Ok, je crois que c’est clair : on facture mais on explique bien quoi et pourquoi. Je ne vais pas l’inclure dans le forfait hébergement car le client ne comprendrait pas forcément de payer pour une intervention qui n’aura pas forcément lieu (il peut se passer un an sans mise à jour majeure du’un script).

  19. Pym

    24 avril 2007 at 18 h 34 min

    Ca existe vraiment les gens qui payent pour des trucs gratuits ? 😛

  20. Bubule

    24 avril 2007 at 18 h 46 min

    Le mieux c’est le forfait de maintenance adapté aux logiciel installé. Un forfait optionnel et annuel. Bien sure, tu ne peux pas intervenir à chaque fois qu’un patch sort, sinon il te faut un employé didié à ça. Le mieux c’est peut-être de proposer une intervention trimestrielle, si besoin est pour mettre à jours.

    Tu offres un service, du coup, c’est à proposer mais pas à imposer. Le plus dur est surement de justifier le fait que ce n’est pas compris dans le prix de base.

  21. ChrisP

    24 avril 2007 at 19 h 02 min

    Il faut y aller simplement 3 niveaux de facturation :

    1- Forfait de base avec 0 mise à jour d’incluse.

    2- Forfait premium avec les mises à jour.

    3- Facturation à l’intervention

    Le point le plus important sera probablement de faire comprendre les implications du choix aux clients.

  22. Julien Tartarin

    24 avril 2007 at 19 h 11 min

    +1 pour le forfait, facultatif, mais il faut le calculer pour ne pas travailler à perte, et ne pas voler non plus le client…

  23. Eric

    24 avril 2007 at 19 h 26 min

    Ah zut, si on peut plus voler les clients alors, comment on va vivre ?
    🙂

  24. Julien Tartarin

    24 avril 2007 at 19 h 31 min

    Je parlais d’être suffisamment raisonnable, pas excessif quoi 😉

  25. Korki

    24 avril 2007 at 19 h 34 min

    Le problème c’est qu’effectivement ce sont des mises à jours nécessaires, indispensables.

    Je pense qu’il faut savoir fair des distinctions. Il y a la mise à jours qui prendra 5 minutes et qui fidélisera le client parce que le sav est cool donc il en parlera. Et y’a la mise à jours qui nécessite d’être adapté donc repensé, qui elle doit être facturé mais dans des tarifs qui doivent toujours prendre en compte la notion d’obligation qu’à le client. On vous propose pas de voiture sans ceinture, mais plus vous voulez d’airbag plus c’est chers. Faut adopter un peu le même système a mon avis.

  26. Nico

    24 avril 2007 at 19 h 48 min

    Attention la maintenance est tres tres mal vue par les "petits" clients (10 ans de web agency derrière moi)
    Ils ont l’impression de se faire voler pour un risque qui n’arrive jamais (d’apres eux) alors que les gros clients qui ont l’habitude et conscience de l’interet d’une maintenance sont tout a fait ok ! donc : les deux a proposer forfait ou a l’acte (au choix du client)

  27. serge

    24 avril 2007 at 20 h 02 min

    Je rejoins l’avis de la plupart d’entre vous. J’opte pour la facturation annuelle de la maintenance. Vis à vis du client, l’explication est la suivante : l’utilisation d’un CMS open-source lui revient moins cher au départ mais impose des mises à jour régulières (sécurité mais aussi évolution donc un site toujours optimal). Pour la facturation, j’ai choisi le ticket (1 ticket=1/4 h), qui peut être utilisé aussi bien pour la maintenance que pour de petites modif du site, ou tout autre petit service. Comme ça, t’arnaques pas le client et tu perds pas ton temps.

  28. TMATMATMAAA

    24 avril 2007 at 20 h 20 min

    serge et les autres: oui, ca s’appelle de la TMA !

    mais visiblement ici, peu connaissent bien leur métier

  29. Bob

    24 avril 2007 at 20 h 25 min

    SInon y’a la solution de mettre un IDS devant les sites en question qui va bloquer 100% des attaques envers les applications Web en questions. Un snort bien configuré conviendrait tout à fait dans ton cas.

  30. Jange

    24 avril 2007 at 20 h 43 min

    +1 Lanza

  31. Fetard

    24 avril 2007 at 20 h 58 min

    Tu peux lui facturer un bonus "sécurité" en lui rappelant le risque de se faire hacker sil le prend pas.

    Un peu comme les extensions de garantie sur le matos : c pas obligatoire mais vivement conseillé

  32. eiffel

    24 avril 2007 at 22 h 32 min

    +1 Lanza : tout le monde y gagne:
    – le client, par la tranquillité d’esprit
    – le webmaster, qui voit son travail rémunéré, via une activité "vache à lait" (pas parce qu’on anarque le client ! c’est un terme marketing pour parler de produits qui rapporte sa marge sans avoir besoin de faire de la recherche, de la pu, etc)
    – internet (eh oui) car cela contribue à la sécurisation des sites de manière globale

    la solution de ChrisP ne me semble pas adéquate:
    la première solution est inacceptable car tu dis au client: vous vous demerdez, c’est vous qui appliquez les patchs ( mais comme il ne les applique pas, une fois hacké, c’est toi qui est appellé en disant qu’il y a un bug dans le site!)
    et la facturation à l’intervention, ça oblige constamment à justifier auprès du client l’importance de la MAJ (sinon, il cherchera à faire des packs de MAJ) et à se battre à chaque fois avec sa comptabilité

    alors qu’un forfait de maintenance, c’est une ligne de dépense, budgété, renouvellé tacitement chaque année. tranquillou pour tout le monde.

    par contre, il faut prévoir ce que j’appelle dans ma boite (une grosse société de service) un CCR: une augmentation du cout du forfait en fonction du niveau de spécifité du site. Moi, par ex, le cout du forfait est augmenté de 15% du montant du développement

    à Serge: un ticket, 1/4h ? pour moi, l’unité de base c’est l’heure. en dessous, cela ne me parait pas très sérieux : car suite à la modif (éventuellement personnalisée en fonction des spécifiques), tu as une batterie de tests, rédaction d’un cahier de tests (si le client veut controler que des tests ont été effectué), MAJ des docs (vous faites jamais de docs ? pas meme des commentaires dans le code type "application du patch n°xxx le 24/04/007", histoire de revenir en arrière en cas de pb? ou pour se souvenir de ce qui a été fait sur tel site ? etc), information du client (faut lui dire qu’on bosse pour lui, c’est TRES important), et enfin, le markup (votre marge, vous travaillez pas pour la gloire)

  33. Regis

    24 avril 2007 at 23 h 46 min

    Eric, si ca vient de ta propre initiative c’est délicat de facturer…

    par contre si le client le demande tu mets la dose bien évidemment.

    le mieux c’est de prévoir à chaque signature de contrat un forfait de mise à jour à la louche, comme ca t’es pas emmerdé. c’est ce que je fait ^^

  34. AniMo

    25 avril 2007 at 1 h 43 min

    Oui, c’est au client de supporter la mise à jour;

    S’il devait payer pour le développement d’un cms comme wordpress ou joomla ça lui couterait beaucoup plus cher qu’un forfait annuel de mise à jour. Mais grâce à ces solutions OS ,il peut bénéficier gratuitement d’outils "pros" pour gérer son contenu. En contrepartie, une maintenance annuelle est un coût plutôt minime…

  35. Cedric

    25 avril 2007 at 1 h 49 min

    Monsieur Citron,
    en tant que client de votre agence, il est hors de question de payer quoique ce soit. Si vous osez me le demander, je ne vous ferais pas bonne presse.

  36. Lilyprune

    25 avril 2007 at 9 h 48 min

    C’est le juriste qui parle 😉 Il faut tout simplement le prévoir dans le contrat avec les clients. Il faut, pour ceux qui le souhaitent, mettre en place une clause "sécurité" par laquelle le client accepte de payer pour l’installation de patches développés par des tiers…
    et pour ceux qui n’en veulent pas, il faut prévoir une clause par laquelle le client renonce à vous poursuivre en cas de hack de son suite pour cause de non "patchage" de son site 😉
    Clic clac l’affaire est dans le sac 😉

  37. Eric

    25 avril 2007 at 10 h 08 min

    Merci Lilyprune pour la petite touche juridique, notamment "…le client renonce à vous poursuivre en cas de hack…" C’est effectivement important.

  38. Thomas

    25 avril 2007 at 11 h 41 min

    La solution est simple, tu ne sécurise pas, tu attends que le site se fasse hacker. Et là, tu arrives comme sauveur et tu factures lourd.

  39. mrique

    25 avril 2007 at 12 h 11 min

    + 1 thomas !!!!

  40. mrique

    25 avril 2007 at 12 h 13 min

    derniere solution : quand c’est hacké, tu fais une déclaration de sinistre à ton assureur RC pro qui paye la facture de réinstallation ! (ne marche qu’une fois)

  41. Korki

    25 avril 2007 at 12 h 58 min

    Même la sécurité se paye de nos jours alors que c’est censé être quelque chose d’indispensable. Comme quoi… Tout se marchande, surtout la tranquillité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Dernières news

Les bons plans

Les tests