Cet article a été mis à jour depuis sa publication originale, en juin 2021.
Comme pour tous les autres aspects de votre offre de services, vous devez soigneusement mettre au point et positionner vos services de cybersécurité si vous souhaitez réaliser des marges saines et confortables. Cependant, à l’inverse des autres activités assurées par les MSP, une offre de cybersécurité bien conçue nécessite de porter une attention particulière aux fonctions uniques qui caractérisent ce secteur.
Les clients ne perçoivent pas toujours l’impératif de la cybersécurité. Par ailleurs, des solutions inadaptées peuvent dégrader votre productivité et leur faire courir des risques importants. En l’absence d’une mise en œuvre adéquate, votre stratégie de cybersécurité peut donc sérieusement nuire à votre marge.
Au fil des ans, nous avons accompagné de nombreux MSP dans le développement de leurs offres de cybersécurité. Les fournisseurs qui réussissaient le mieux évitaient ces cinq pièges.
1. N’avoir d’yeux que pour le prix
S’il est important de proposer un prix raisonnable, ce n’est rien en comparaison de l’efficacité, primordiale pour dégager des marges.
La plupart du temps, les solutions bon marché ne sont pas mises à jour ni développées régulièrement. De fait, les solutions de cybersécurité offrent une protection contre des adversaires actifs, ce qui signifie que leurs failles sont rapidement décelées et exposées, vous laissant, vous et vos clients, à la merci des attaques.
Lorsque ces attaques se produisent, vous entrez dans un scénario catastrophe dans lequel tout le monde doit monter sur le pont. Vos techniciens seront mobilisés pour mesurer l’ampleur de la violation, remédier aux menaces, évaluer les dégâts... et ce pendant des semaines, voire des mois. C’est autant de temps qu’ils ne consacreront pas aux clients et à des activités plus lucratives.
Et si vos clients perdent des données internes de valeur ou sont exposés à un ransomware, leur croissance pourrait ralentir, et leur activité risque même de péricliter. Pour vous, cela revient à perdre un client. Même s’ils survivent à l’attaque, votre relation sera probablement dégradée.
Le prix de vente ne dit pas tout du coût réel d’une solution de cybersécurité. Vous devez aussi tenir compte du risque qu’elle vous fait courir et du temps qu’elle vous fait perdre.
2. Ne pas prendre en compte le temps passé sur l’outil
En plus de la capacité d’un outil à améliorer la sécurité globale de votre client, il est important d’évaluer l’évolutivité de sa technologie. Pour ce faire, vous devez évaluer avec soin les solutions en concurrence sur plusieurs points, et notamment celles qui demandent votre intervention.
L’un des critères les plus importants est la réponse aux incidents. Votre rôle de MSP implique de traiter les emails suspects signalés par les utilisateurs, de réunir des données légales, de surveiller les réseaux et bien plus encore. Ces responsabilités peuvent mobiliser une grande partie de votre temps lorsque les solutions de sécurité utilisées n’incluent pas les fonctions nécessaires pour assurer une réponse aux incidents rapide et précise. C’est d’ailleurs souvent le cas, car les fournisseurs misent davantage sur la détection que sur la réponse aux incidents lors du développement de leurs produits.
Aucune solution de cybersécurité n’est capable d’intercepter 100 % des menaces, et vous devez donc disposer de solides fonctions de réponse aux incidents pour vous défendre contre les menaces les plus urgentes et dangereuses. Ces menaces sont les plus susceptibles de toucher votre sécurité et votre productivité.
Si une start-up parviendra peut-être à composer avec les inefficacités d’une technologie imparfaite, un MSP cherchant à se développer n’y parviendra pas. Pour renforcer leurs marges, les MSP doivent gagner du temps : le temps passé à améliorer leur infrastructure technologique, le temps passé à éteindre les incendies, le temps passé à se faire connaître et se développer, le temps passé à cultiver des relations clients. Lorsque les MSP sélectionnent des solutions sans prendre en compte le temps nécessaire à leur utilisation, ils se tirent véritablement une balle dans le pied.
3. Laisser des lacunes dans l’infrastructure de sécurité
La plupart des MSP ont conscience qu’ils doivent proposer des services de sécurité à leurs clients. Pourtant, nombreux sont ceux qui ne savent pas pour quelles solutions opter. Au vu du coût des violations de données et des attaques de ransomware, ils ont tout intérêt à investir dans des solutions offrant une protection à plusieurs niveaux.
D’une manière générale, voici ce que doit couvrir une solution de sécurité :
- L’email : l’email est le principal vecteur des attaques. Il est de plus en plus prisé par les hackers avec la montée en puissance des suites de productivité comme Microsoft 365 et Google Workspace. Les emails fournissent aux hackers une multitude de canaux pour exploiter les utilisateurs finaux, ce qui justifie la mise en place d’une sécurité de l’email La sécurité de l’email est un maillon central de votre infrastructure de sécurité. Elle vous protège des attaques de phishing, de spear phishing et des malwares.
- Pare-feu: les pare-feu constituent une défense vitale du périmètre réseau de vos clients. En faisant l’impasse sur le pare-feu, vous les mettez en danger.
- Sécurité des terminaux: sécurité des terminaux sécurise individuellement chaque appareil du réseau pour éviter qu’un acteur malveillant ne puisse les compromettre.
- Sauvegarde/prévention de la perte de données (DLP): si une attaque de ransomware parvient à percer vos défenses, la meilleure manière de supprimer l’avantage de l’attaquant consiste à disposer d’une sauvegarde de l’ensemble de vos systèmes et d’un système DLP.
- Filtrage des DNS : le filtrage des DNS réduit les risques pour les sites Web de vos clients d’être ciblés par une attaque ainsi que le nombre de tentatives de phishing que votre solution de sécurité de l’email doit neutraliser.
Sur le même thème: 5 questions à poser avant de choisir une solution de sécurité de l'email
4. Être allergique au marketing
Un bon nombre de MSP ont choisi ce métier par vocation : ils aiment trouver des réponses, résoudre des problèmes techniques et s’intéressent aux nouvelles technologies. Logiquement, le marketing et les ventes peuvent être perçus comme la partie fastidieuse de leur activité. Pourtant, la promotion de ses services est essentielle pour assurer ses marges en tant que MSP.
Les MSP doivent voir le marketing comme de l’éducation.
D’après le rapport 2023 de Verizon sur les violations de données, le risque pour les petites et moyennes entreprises d’être victimes d’une violation de données est respectivement 42 et 69 % plus important que celui des grandes corporations. En effet, elles présentent désormais des surfaces d’attaque aussi étendues que celles des grandes entreprises en raison de l’adoption d’outils et infrastructures numériques similaires. Pour autant, elles ne disposent pas de leurs ressources et de leur maturité en matière de cybersécurité. Elles tendent aussi à sous-estimer leur risque cyber et leur intérêt pour les hackers.
Vous devez donc développer une stratégie de communication qui établit le risque, démontre la valeur des services de cybersécurité et explique en quoi vous vous démarquez de vos concurrents. Vous pourrez ainsi séduire toujours plus de clients et générer davantage de ROI en lien avec la cybersécurité.
5. Vendre un produit plutôt qu’un partenariat
Comme c’est le cas pour tous les produits techniques présentant un certain niveau de sophistication, vous n’achetez pas seulement une solution de cybersécurité, mais également une relation de confiance. Il est important de s’assurer que le fournisseur propose un support de qualité, vous accompagne lors du processus d’achat et offre des services supplémentaires. Ces services doivent inclure l’intégration, la configuration, le positionnement et le support marketing, ainsi que d’autres offres moins classiques.
Le fournisseur sur lequel votre choix se porte doit vous traiter en partenaire dans le cadre d’une relation continue. Il doit veiller à ce que sa solution soit utilisée à son plein potentiel.
Marges des MSP : considération et prudence sont les mots d’ordre
En matière de cybersécurité, les marges des MSP dépendent finalement d’une planification et d’une considération minutieuses. C’est particulièrement vrai pour les MSP vendant des services en lien avec Microsoft 365. Les MSP qui ont pris le temps de bâtir une offre de cybersécurité bien pensée autour de Microsoft 365 en récolteront les fruits.
Si vous êtes prêt à aller plus loin en matière de sécurité de l’email managée, intéressez-vous à Vade for M365, une solution de sécurité de l’email collaborative pour Microsoft 365 pensée pour les MSP. Facile à gérer et à intégrer dans une offre, elle propose une détection des menaces basées sur des intelligences artificielle et humaine, une réponse aux incidents multitenant, une formation de sensibilisation au phishing personnalisée et automatisée, et bien plus encore.
