Scanyze MSP
Best practices MSP
Onboarding flow client recommandé, plans à proposer, communication des findings
Best practices MSP
Cette page rassemble les recommandations issues de notre expérience avec les MSP en activité sur Scanyze. Elles ne sont pas obligatoires, mais elles maximisent la satisfaction de vos clients et votre marge opérationnelle.
Onboarding flow client recommandé
J0 — Le client signe
- Créer le tenant via
/partner/clients/newou via API. - Choisir le bon plan dès le départ (cf. matrice ci-dessous).
- Activer billing_delegated=true pour les premiers 30 jours, puis bascule à
falsesi le client veut payer directement Scanyze ensuite. - Créer une cible avec son domaine principal (en mode
act_as_tenant). - Activer la vérification de propriété de domaine immédiatement (challenge DNS TXT) pour débloquer les profils standard / aggressive.
J1 — Premier scan
- Lancer un scan complet en profil gentle pour avoir une baseline.
- Programmer un nightly auto pour suivi continu.
- Si Pro+ : importer le repository Git principal du client, lancer un premier scan.
- Si Pro+ : connecter Microsoft 365 ou Google Workspace.
J3 — Premier rapport
- Générer le rapport exécutif (PDF brandé à votre identité MSP).
- Rendez-vous client de 30 min pour expliquer la posture initiale.
- Identifier les 3-5 quick wins prioritaires.
- Convenir d'une roadmap 30/60/90 jours que vous suivrez avec eux.
J7 — Validation
- Vérifier que tous les modules sont configurés (notifications, intégrations Slack/Jira).
- Inviter les utilisateurs additionnels (équipe IT du client).
- Configurer le rapport mensuel automatique vers le contact principal du client.
- Vérifier que vos rapports white-label s'affichent correctement chez lui.
J30 — Premier rapport mensuel
- Comparaison J0 → J30 avec le delta de posture.
- Mettre en avant les findings résolus.
- Identifier les findings restants et planifier les actions.
Matrice de plan recommandé par profil client
| Profil client | Plan recommandé | Pourquoi |
|---|---|---|
| Freelance, consultant solo | Essentiel | 19 $/mois, 1 domaine, surveillance basique suffisante |
| TPE 5-15 employés, 1 site web | Starter | 29 $/mois, 5 cibles, scans manuels possibles, pentest mensuel |
| PME avec site complexe, 1 dépôt code interne | Pro | 399 $/mois, modules clés (code, compliance, cloud) |
| PME multi-sites + équipe DevOps | Pro ou Business | Selon volume de scans et besoin de white-label |
| ETI / multi-filiales | Business | Workspaces multiples, custom compliance, PagerDuty |
| Grand compte, conformité critique | Enterprise | SSO, illimité, SLA dédié |
Règle de pouce : commencez petit (Starter ou Pro selon les modules), upgradez quand le client en voit la valeur. Le downgrade prend effet en fin de période, donc pas de risque de sur-vendre.
Communication des findings au client
Sévérité Critical
- Délai : notification immédiate (email + Slack + tel si SLA).
- Communication : appel téléphonique de courtoisie pour expliquer.
- Action : proposer un plan de remédiation sous 24h.
- Documenter : ajouter une note dans le finding sur ce qui est fait, qui le fait, quand.
- Marquer comme
confirmedpuisin_progress.
Sévérité High
- Délai : notification dans les 4h ouvrées.
- Communication : email avec contexte business (pas juste « CVE-XXXX-YYYY »).
- Action : intégrer dans le sprint du client (ticket Jira/Linear si intégration active).
- Documenter : ajouter dans le rapport mensuel.
Sévérité Medium
- Délai : inclure dans le digest hebdomadaire.
- Communication : grouper par catégorie (ex. « 12 mediums liés à TLS »).
- Action : roadmap mensuelle.
Sévérité Low / Info
- Délai : rapport mensuel uniquement.
- Communication : ne pas inonder le client. Commenter brièvement dans le rapport.
- Action : à votre discrétion (souvent acceptés tels quels).
Faux positifs
- Documenter systématiquement la raison du marquage en faux positif.
- Créer une règle de suppression globale quand le faux positif est récurrent (ex. un module de scan détecte mal une lib custom).
- Cela évite de répéter le travail sur les scans futurs.
Limiter le bruit pour le client
Un client noyé sous les notifications désactive tout. Pour éviter cela :
- Ne pas cocher tous les types d'événements dans Slack/Teams par défaut. Préférez :
- Slack :
finding.criticaluniquement, peut-êtrebreach.detected - Email : digest quotidien à 8h
- PagerDuty (Business+) :
criticaluniquement, hors heures ouvrées
- Slack :
- Désactiver les notifications de scans planifiés réussis — c'est du bruit.
- Activer les notifications agent endpoint offline > 4h, pas dès la première minute.
Stratégie de croissance MSP
Flywheel typique
- Acquérir un premier client clé dans un secteur (ex. cabinet juridique de référence).
- Devenir leur partenaire de confiance : trimestre 1 → posture +20 points.
- Demander une référence ou témoignage que vous pouvez utiliser publiquement.
- Acquérir 5-10 clients dans le même secteur sur la base de cette référence.
- Générer des rapports sectoriels anonymisés (« Posture moyenne du secteur juridique au Québec »).
- Devenir l'expert reconnu : conférences, articles, podcast.
- Acquérir 50+ clients sectoriels, justifier le tier White-Label.
Pricing recommandé
Selon notre observation des MSP en activité :
| Plan Scanyze | Prix wholesale (avec discount MSP 40%) | Prix retail typique au client |
|---|---|---|
| Essentiel | 11.40 $/mois | 49 $ - 99 $/mois (incl. votre service) |
| Starter | 17.40 $/mois | 99 $ - 199 $/mois |
| Pro | 239.40 $/mois | 599 $ - 1 199 $/mois |
| Business | 479.40 $/mois | 1 499 $ - 2 999 $/mois |
| Enterprise | Sur devis | Sur devis (souvent 5K-15K $/mois) |
Vous facturez la différence (votre service de gestion, l'expertise, le support). Vos clients ne voient pas le prix wholesale.
Outils recommandés
Pour une opération MSP efficace, intégrez :
| Outil | Usage |
|---|---|
| CRM (HubSpot, Pipedrive, Salesforce) | Suivi prospect → client → renouvellement |
| Ticketing (Jira, Linear, Zammad) | Gestion des findings et remédiations |
| PSA (Atera, Syncro, ConnectWise) | Si vous êtes déjà MSP IT — alignement temps imputable |
| BI (Metabase, Power BI) | Reporting interne MSP (consommer l'API MSP) |
| Communication (Slack interne) | Channel #alerts-clients pour les findings critiques |
Quoi éviter
| Anti-pattern | Pourquoi |
|---|---|
| Sur-promettre la couverture du pentest IA | Voir pentest IA — limitations. C'est un audit régulier, pas un pentest manuel. |
| Lancer un scan profile aggressive sur un client en production sans avertir | Risque de sat du serveur du client + alertes WAF. Toujours profile gentle par défaut. |
| Marquer en bulk « accepted_risk » pour faire baisser le compteur de findings | Tu vends de la sécurité, pas de la cosmétique de chiffres. |
| Désactiver les notifications par défaut chez le client | Le client ne sait alors rien des incidents. Activer un minimum vital (critical only). |
| Ne pas faire de revue mensuelle du tenant | C'est l'occasion de justifier la valeur que tu apportes. Sans revue, le client se demande pourquoi il paye. |
| Vendre Pro à un freelance qui n'a qu'un site WordPress | Sur-vendre détruit la confiance. Essentiel ou Starter suffit. |
| Stocker des secrets clients en clair | Toujours utiliser le mode chiffré natif Scanyze pour les PAT, secrets cloud, etc. |
Conformité MSP — Loi 25
En tant que MSP, vous êtes responsable conjoint du traitement des données de vos clients. À ce titre :
- Vérifier que vos employés ont signé une clause de confidentialité explicite.
- Tenir un journal des accès à chaque client (
act_as_tenantaudit Scanyze + votre propre journal interne). - Notifier le client en moins de 72h en cas d'incident affectant ses données (Loi 25 art. 3.5).
- Rédiger un DPA (Data Processing Agreement) entre vous et chaque client.
- Désigner une personne responsable chez vous pour la protection des RP (peut être le CEO si TPE).
Scanyze fournit toute la traçabilité technique nécessaire (audit logs, RLS isolation), mais l'organisation et les procédures internes restent de votre responsabilité.
Sources de cette page
- Inspiré des best practices observées sur les MSP utilisant Scanyze depuis le début de la Beta ouverte.
- Pour des questions spécifiques :
partners@scanyze.comou la communauté Slack partenaires (invitation envoyée à l'activation).
À jour pour Scanyze v0.130.x.