Cybersécurité des MSP

5 pistes pour préserver ses marges en tant que MSP : Les pièges à éviter en cybersécurité

Adrien Gendre

24 juin 2021

28 min

5 pistes pour préserver ses marges en tant que MSP : Les pièges à éviter en cybersécurité

Comme pour tous les autres aspects de votre offre de service, vous devez soigneusement élaborer et positionner vos services de cybersécurité si vous souhaitez réaliser des marges saines et confortables. Cependant, à l’inverse des autres activités assurées par les MSP, une offre de cybersécurité bien conçue nécessite de porter une attention particulière aux fonctionnalités uniques qui caractérisent cet écosystème.

Et pour cause : les clients n’ont pas forcément conscience d’avoir besoin d’une cybersécurité, la configuration et la maintenance peuvent s’avérer chronophages et le choix accidentel d’une solution trop faible peut être à l’origine de failles importantes dans la sécurité de vos clients. En l’absence d’une mise en œuvre adéquate, votre stratégie de cybersécurité peut donc sérieusement creuser votre marge.

Au fil des années, nous avons accompagné de nombreux MSP dans le développement de leur offre de cybersécurité. Ceux qui réussissent le mieux ne tombent pas dans les pièges suivants :

1. N’avoir d’yeux que pour le prix

S’il est important de proposer un prix raisonnable, ce n’est rien en comparaison de l’efficacité, primordiale pour dégager des marges.

La plupart du temps, les solutions bon marché ne sont pas mises à jour ni développées régulièrement. De fait, les solutions de cybersécurité offrent une protection contre des adversaires actifs, ce qui signifie que leurs failles sont rapidement décelées et exposées, vous laissant, vous et vos clients, à la merci des attaques.

Lorsque ces attaques se produisent, vous entrez dans un scénario catastrophe dans lequel tout le monde doit monter au créneau. Vos techniciens seront mobilisés pour mesurer l’ampleur de l’effraction, corriger les failles, évaluer les dégâts... et ce pendant des semaines, voire des mois. C’est autant de temps qu’ils ne consacreront pas aux clients et à des activités plus lucratives.

Et si vos clients perdent des données propres de valeur ou sont exposés à un ransomware, cela pourrait ralentir leur croissance, voire mettre en péril leur entreprise. Pour vous, cela revient à perdre un client. Même s’ils survivent à l’attaque, votre relation sera probablement endommagée.

En un mot : le coût d’une solution de cybersécurité ne s’évalue pas uniquement au prix affiché, mais également à hauteur des risques encourus. Et en plus de l’argent, cela peut également vous coûter du temps.

2. Ne pas prendre en compte le temps passé sur l’outil

En plus de la capacité d’un outil à améliorer la sécurité globale de votre client, il est important pour les MSP de penser au workflow qu’impliquent la configuration et la maintenance.

À titre d’exemple, examinons la catégorie des solutions connues sous le nom de passerelles de messagerie sécurisée (SEG). Passons sur le fait que les SEG n’offrent actuellement qu’une faible défense contre tous les types d’attaques orchestrées contre les utilisateurs d’Office 365 ; ces solutions sont aussi et surtout très chronophages. Afin de configurer un SEG et d’en assurer la maintenance, un technicien doit mettre à jour les enregistrements MX, gérer les emails placés en quarantaine, surveiller l’émergence de nouvelles menaces, régler les taux élevés de faux positifs propres à cette solution, etc..

Malgré tout, les SEG sont des outils très largement disponibles et répandus qui affichent un prix attractif. C’est pourquoi de nombreux MSP choisissent d’implémenter des SEG, ce malgré la suppression significative de marges due à leur maintenance exigeante.

Un autre facteur de taille à prendre compte est le temps requis par une solution lorsqu’elle est déployée à grande échelle. Si vous êtes un petit MSP et qu’une solution donnée nécessite une à deux heures de configuration et environ 30 minutes de maintenance hebdomadaire, cet investissement peut vous paraître acceptable. Mais que se passera-t-il lorsque votre base comptera plusieurs dizaines de clients, ou plus encore ?

Pour gagner des marges, les MSP doivent gagner du temps : le temps passé à améliorer votre infrastructure tech, le temps passé à éteindre les incendies, le temps passé sur le marché pour vous développer, le temps passé à cultiver des relations clients. Lorsque les MSP sélectionnent des solutions sans prendre en compte le temps nécessaire à la configuration et à la maintenance, ils se tirent véritablement une balle dans le pied.

3. Laisser des lacunes dans l’infrastructure de sécurité

La gestion des solutions de sécurité en tant qu’infrastructures complètes semble exiger un temps monstrueux. Il faut pourtant être réalistes : protéger uniquement un segment de M365 revient à verrouiller votre porte d’entrée tout en laissant la fenêtre ouverte. Compte tenu de ce que coûtent les violations de données ou les attaques de ransomwares, il s’avère bien plus prudent à long terme d’investir dans une protection totale et exhaustive.

D’une manière générale, voici ce que doit couvrir une solution de sécurité :

  • Email : Il s’agit du vecteur d’attaques le plus utilisé, et la sécurité de l’email repose sur les décisions pertinentes des utilisateurs finaux. Tout ce qui est susceptible de réduire le nombre d’attaques de phishing et d’indiquer aux utilisateurs finaux à qui faire confiance permet de réduire la charge qui pèse sur le reste de votre infrastructure de sécurité.
  • Pare-feu : Les pare-feu constituent une défense vitale du périmètre réseau de vos clients. Sans eux, toute autre mesure de sécurité s’avère quasiment inutile.
  • Sécurité des terminaux : Chaque appareil relié au réseau doit disposer de sa propre couche de sécurité. Sans quoi il ne sera qu’une question de temps avant qu’une menace ne perce les défenses et compromette un appareil non sécurisé.
  • Sauvegarde/prévention de la perte de données (DLP) : Si une attaque de ransomware parvient à percer vos défenses, la meilleure manière de supprimer l’avantage de l’attaquant consiste à disposer d’une sauvegarde de l’ensemble de vos systèmes et d’un système DLP mis en place.
  • Filtrage des DNS : Le filtrage DNS réduit les risques pour les sites web de vos clients d’être ciblés par une attaque ainsi que le nombre de tentatives de phishing que votre solution de sécurité de l’email doit neutraliser.

Le choix de votre infrastructure de sécurité n’est pas à prendre à la légère. Si vous souhaitez explorer plus avant ce sujet, nous vous conseillons de consulter notre blog, Transition vers les services managés de sécurité : choix de l’architecture de sécurité. , pour en savoir plus.

4. Être allergique au marketing

Un bon nombre de MSP ont choisi ce métier par vocation : ils aiment trouver des réponses, résoudre des problèmes techniques et s’intéressent aux nouvelles technologies. Logiquement, le marketing et les ventes peuvent être perçus comme la partie fastidieuse de leur métier. Pourtant, la promotion de ses services est essentielle pour assurer ses marges en tant que MSP.

Plutôt que d’envisager cette opération comme du marketing, l’astuce consiste à la voir comme une action pédagogique.

Par exemple, de nombreuses PME n’ont même pas conscience d’avoir besoin d’une cybersécurité. C’est en partie parce que les violations de données ne sont généralement ébruitées que lorsqu’elles concernent un acteur majeur du marché. Il faut bien comprendre que seules 30 % des PME se disent préoccupées par les ransomwares, alors même que 60 % des MSP qui protègent ces PME ont fait état d’attaques de ransomwares. D’après le rapport IC3 du FBI, les attaques de ransomware ont occasionné 29,1 M$ en pertes en 2020, dont une grande partie aux PME.

La solution consiste à développer une stratégie de communication qui établit le risque, démontre la valeur des services de cybersécurité et explique en quoi vous vous démarquez. Pour être efficace, le marketing ne doit pas consister à imposer vos services à des prospects. Il s’agit plutôt d’éduquer votre audience pour l’aider à comprendre la nécessité de vos services. Ainsi, vous vous assurez d’élargir votre clientèle et de générer un ROI sur vos investissements de cybersécurité.

5. Vendre un produit plutôt qu’un partenariat

Comme c’est le cas pour tous les produits techniques présentant un certain niveau de sophistication, vous n’achetez pas seulement une solution de cybersécurité, mais également une relation de confiance. Il est important que votre fournisseur puisse présenter un bilan positif, qu’il soit en mesure de répondre sans hésitation à vos questions pendant le processus d’achat et qu’il propose d’autres services en plus de son produit, comme l’intégration et la configuration, le positionnement et l’assistance marketing ainsi que d’autres services moins courants.

Le fournisseur sur lequel votre choix se porte doit vous traiter en partenaire dans le cadre d’une relation continue, pas comme un client dont l’achat est déjà conclu. S’il privilégie la seconde approche, il n’aura que peu de raison de vous aider à surmonter les défis auxquels vous serez confronté, à part peut-être la peur de recevoir un avis négatif. Si votre fournisseur opte pour la première approche, il vous consacrera alors du temps pour s’assurer que vous tirez pleinement parti de son produit.

Considération et prudence sont les mots d’ordre

En matière de cybersécurité, les marges des MSP dépendent finalement d’une planification et d’une considération minutieuses. De toute évidence, ces choses ne s’improvisent pas. C’est particulièrement vrai pour les MSP qui vendent des services sur Microsoft 365. En revanche, les MSP qui prennent la peine d’élaborer une offre de cybersécurité stratégique pour Microsoft 365 finissent par en récolter les fruits.

Pour en savoir plus sur la cybersécurité et son rôle dans la génération de croissance pour les MSP, pour découvrir comment proposer des services de sécurité gérés et comment consolider votre infrastructure tech de cybersécurité, lisez notre nouvel eBook : Des opportunités pour les revendeurs Microsoft 365

Dans ce document, vous trouverez des conseils pour les MSP qui cherchent à fournir des services managés de sécurité tout en gardant un œil sur leurs marges.

 

New call-to-action