Summary
[!note] 📚 Série Pilotflow : Construire un Add-on Gmail
- Le Mensonge des 50 000 $ qui a Failli Tuer Mon Add-on Gmail ← vous êtes ici
- Niveaux des Scopes OAuth Gmail Décodés — 13 juillet
- Analyse de la Codebase Pré-Développement — 22 juin
- Documents Légaux pour Add-ons Gmail — 29 juin
Laissez-moi vous raconter le moment où j’ai failli abandonner un projet avant d’écrire la moindre ligne de code.
Je planifiais Pilotflow, un add-on Gmail pour aider les utilisateurs à reprendre le contrôle de leur boîte de réception. La fonctionnalité principale consistait à lire des fils d’e-mails — comprendre ce qu’ils contenaient pour que l’utilisateur puisse agir intelligemment. En recherchant les exigences du Google Workspace Marketplace, j’ai trouvé un post de forum, puis un autre, puis une réponse Stack Overflow, tous convergeant vers la même conclusion : un add-on Gmail qui lit les e-mails nécessite la certification CASA Tier 2, qui coûte entre 50 000 et 75 000 $.
Cinquante mille dollars. Pour un développeur solo. Pour certifier un outil gratuit avant d’avoir gagné un seul dollar.
J’ai failli fermer mon ordinateur et passer à autre chose.
Le Mythe qui Circule dans les Communautés de Développeurs
Ce chiffre apparaît dans des dizaines d’endroits : des articles de blog de 2022, des threads de forums de développeurs, des discussions entre indie hackers. Et il n’est pas entièrement faux — ce prix est réel pour la certification CASA Tier 2 chez certains évaluateurs. Mais il décrit une extrémité d’un spectre, pas l’ensemble du tableau.
À retenir : Le chiffre de 50 000 $ pour la certification CASA est réel — mais c’est le plafond, pas le plancher. Le coût réel dépend du chemin d’évaluation choisi.
Ce que j’ai trouvé après des recherches plus approfondies a tout changé.
Le programme de sécurité de Google pour les applications du Workspace Marketplace comporte différents niveaux selon la sensibilité des scopes OAuth demandés par votre add-on. CASA (Cloud Application Security Assessment) est requis pour les scopes restreints — ceux qui offrent l’accès le plus invasif. Mais voici ce que les posts de forums omettent toujours : CASA n’a pas un prix unique. Il existe plusieurs chemins d’évaluation, et certains coûtent une fraction infime des chiffres alarmants.
Ce qu’est Réellement CASA (et Qui le Fait)
CASA est l’acronyme de Cloud Application Security Assessment. C’est le cadre de Google pour évaluer si une application demandant des scopes OAuth restreints gère les données utilisateurs de manière responsable. Google ne conduit pas les évaluations lui-même — il autorise des cabinets de sécurité tiers appelés CASA TAPs (Third-party Assessment Providers) à les réaliser.
Les évaluations suivent le standard OWASP Application Security Verification Standard. Votre application est testée contre un ensemble standard d’exigences de sécurité, et si elle réussit, vous recevez une lettre de certification qui vous permet de publier sur le Google Workspace Marketplace avec des scopes restreints.
Les évaluations coûteuses sont les plus complètes — elles incluent des tests de pénétration, une revue de code manuelle et une analyse étendue des vulnérabilités. Mais tous les add-ons n’ont pas besoin de l’option full-service. Ce que décrivent la plupart des posts de forums, c’est le niveau premium, sans mentionner qu’il existe des chemins alternatifs.
Les Vrais Chiffres que j’ai Trouvés
Après avoir contacté directement deux CASA TAPs et lu la documentation officielle du programme de Google, la fourchette de prix que j’ai trouvée était très différente du mythe circulant :
| Chemin d’évaluation | Coût approximatif | Ce qu’il couvre |
|---|---|---|
| Auto-évaluation (avec revue TAP) | 540–900 $ | Checklist OWASP ASVS, le TAP valide votre travail |
| Évaluation TAP standard | 900–1 800 $/an | Le TAP revoit l’app, sans pentest complet |
| Évaluation avec tests de pénétration | 15 000–75 000 $+ | Tests manuels complets, audit de code |
[!note] L’insight clé Les chiffres de 50 000 à 75 000 $ décrivent les tests de pénétration complets. Une évaluation TAP standard pour une application SaaS modeste se situe entre 540 et 1 800 $ par an — une catégorie complètement différente.
Pour Pilotflow au stade MVP, le chemin d’évaluation pertinent est le TAP standard. Non pas pour couper des coins ronds, mais parce qu’une évaluation de sécurité standard est appropriée proportionnellement : elle correspond au profil de risque d’un add-on indépendant par rapport à une intégration d’entreprise gérant des données financières.
Mais Voici le Rebondissement qui a Changé Mon Design
Découvrir le vrai coût était un soulagement — mais ça n’a pas mis fin à l’analyse. Ça a ouvert une question plus intéressante : ai-je réellement besoin de scopes restreints du tout ?
Le scope que je prévoyais d’utiliser était gmail.readonly, qui accorde un accès en lecture complète à toute la boîte de réception de l’utilisateur. Ce scope est restreint selon la classification de Google, ce qui déclenche l’exigence CASA.
Mais je ne construisais pas une plateforme d’analyse de boîte de réception. Je construisais un outil pour aider les utilisateurs à agir sur des fils d’e-mails spécifiques — ceux qu’ils regardent actuellement. Et Google fournit un scope différent exactement pour ce cas d’usage : gmail.addons.current.message.readonly.
Ce scope est classifié comme sensible, pas restreint. Il passe la vérification OAuth (un processus gratuit qui prend 4 à 6 semaines) au lieu de la certification CASA. La différence :
gmail.readonly→ lit toute la boîte de réception → restreint → certification CASA requisegmail.addons.current.message.readonly→ lit le message actuellement ouvert → sensible → vérification OAuth uniquement
La fonctionnalité que je voulais (aider les utilisateurs à agir sur des fils d’e-mails) pouvait être construite avec le scope sensible. Ce dont je n’avais pas besoin, c’était d’un accès batch en arrière-plan à toute la boîte de réception. C’était une capacité que j’avais imaginé avoir, pas une que le vrai workflow utilisateur nécessitait.
À retenir : Avant de budgétiser pour un scope restreint, demandez-vous si un scope moins invasif offre la même expérience utilisateur. Dans le cas de Pilotflow, c’était le cas — et ça évitait entièrement l’exigence de certification pour le MVP.
La Décision qui a Sauvé le Projet
Le choix que j’ai fait était de re-concevoir Pilotflow autour du contexte du message courant plutôt que d’un accès complet à la boîte de réception. Cela signifiait :
- Le MVP fonctionne dans le fil Gmail actuellement ouvert
- Les utilisateurs qui veulent un traitement par lot peuvent l’invoquer à la demande (déclenchant le contexte explicitement)
- Pas d’accès en arrière-plan à la boîte de réception — pas de scope restreint — pas de certification CASA au lancement
Le projet Notiwise, que j’avais construit avant Pilotflow, avait déjà pris une décision similaire. En construisant un add-on de notification de Calendrier, l’équipe a découvert que gmail.addons.current.message.readonly déclencherait les exigences CASA tandis que calendar.addons.current.event.read ne le ferait pas. La fonctionnalité a été repensée en conséquence, préservant la valeur utilisateur tout en éliminant la contrainte de certification.
Pattern reconnu. Principe appliqué.
[!info] Quand cela s’applique À chaque fois que vous concevez des scopes OAuth pour un add-on Google Workspace, commencez par le scope le moins invasif qui délivre votre valeur utilisateur principale. Élargissez le scope uniquement quand un workflow utilisateur spécifique le nécessite vraiment — pas parce que “plus d’accès, c’est plus de flexibilité.”
Ce que je Dirais à Quelqu’un qui Commence cette Recherche
Si vous développez un add-on Gmail et que vous avez rencontré le chiffre de 50 000 $ :
- Vérifiez d’abord la classification du scope. La documentation des scopes OAuth de Google classe chaque scope Gmail en public, sensible ou restreint. Seuls les scopes restreints nécessitent CASA.
- Concevez pour le scope minimum viable. Identifiez le workflow utilisateur exact que votre fonctionnalité permet, puis trouvez le scope le plus limité qui le couvre.
- Si le restreint est inévitable, obtenez de vraies devis. Contactez deux ou trois CASA TAPs. La fourchette est plus large que ce que les posts de forums suggèrent, et le chemin d’auto-évaluation peut être viable.
- Intégrez le coût de certification dans votre modèle de revenus. Si 900 à 1 800 $/an est le coût, vous avez besoin d’environ 75 à 150 $/mois de revenus juste pour le couvrir. Planifiez en conséquence avant de construire.
Le mythe des 50 000 $ a failli me coûter un projet en lequel je croyais. Le coût réel, après une recherche appropriée, n’était pas un problème pour le MVP que je concevais. Mais je n’y suis arrivé qu’en questionnant le chiffre que j’avais lu, pas en l’acceptant.
Le prochain billet de cette série couvre les niveaux des scopes OAuth Gmail en détail — le système de classification à trois niveaux et comment le choix du scope affecte à la fois les exigences de certification et la conversation de confiance avec les utilisateurs lors de l’installation.
— Kékéli