Summary
[!note] 📚 Série Pré-Lancement Pilotflow
- Le Mythe des 50 000 $ ← vous êtes ici
- Gmail OAuth Scopes Décodés : Public, Sensible et Restreint — 13 mars
- Revue de Codebase Pré-Développement : Trouver les Bugs avant d’Écrire le Code — 18 mars
- Documents Légaux pour Add-ons Gmail en 15 Minutes — 20 mars
Et si la recherche la plus importante que vous puissiez faire avant de lancer un add-on Gmail prenait une journée et ne coûtait rien — mais qu’omettre de la faire vous coûtait tout le projet ?
Avant d’écrire la moindre ligne de code de production pour Pilotflow, j’ai passé une journée à rechercher ce qu’il coûterait réellement de publier l’application sur le Google Workspace Marketplace. Ce que j’ai trouvé a changé toute l’architecture du produit.
Le Chiffre que Tout le Monde Répète
Cherchez « coût certification CASA add-on Gmail » et vous trouverez partout le même chiffre : 50 000 à 75 000 $. Forums de développeurs, articles de blog, threads de conseils pour startups — le nombre est répété avec une telle assurance qu’il finit par sembler être un fait établi.
Ce n’en est pas un.
Ce qu’Est Vraiment CASA
CASA (Cloud Application Security Assessment) est la revue de sécurité obligatoire de Google pour les applications du Workspace Marketplace qui utilisent des OAuth scopes restreints — spécifiquement les scopes qui accèdent au contenu intégral de la boîte Gmail ou de Google Drive d’un utilisateur.
La certification existe pour de bonnes raisons. Si une application peut lire tout votre historique d’e-mails, la posture de sécurité de cette application compte énormément. Google souhaite une vérification indépendante que l’application gère cet accès de manière responsable.
La certification est effectuée par des évaluateurs de sécurité approuvés par Google — des entreprises tierces qui réalisent la revue. C’est là que vit la confusion sur le coût.
Le Vrai Chiffre
Après avoir remonté le chiffre de 50 000 $ jusqu’à ses sources, j’ai trouvé qu’il reflétait soit des tarifs obsolètes, soit le coût du niveau d’évaluation le plus complet chez des prestataires premium.
Via TAC Security — l’un des partenaires d’évaluation CASA approuvés par Google — la fourchette de prix réelle pour la certification Tier 2 est de 540 à 1 800 $ par an.
C’est une décision commerciale complètement différente.
À 50 000 $, vous concevez toute votre liste de fonctionnalités en évitant les scopes restreints. Vous supprimez des fonctionnalités, acceptez une UX dégradée, et architecturez le produit défensivement — parce que la certification est un chiffre qui tue tout projet pré-revenu.
À 540–1 800 $, vous faites un calcul coût-bénéfice normal : est-ce que la fonctionnalité qui nécessite un scope restreint génère assez de valeur (et à terme de revenus) pour justifier le coût annuel de certification ?
Pourquoi Cette Distinction Change Tout
Voici l’impact pratique pour Pilotflow :
| Hypothèse | Décision produit |
|---|---|
| CASA coûte 50 000 $ | Supprimer toutes les fonctionnalités à scope restreint. Lancer un produit limité. |
| CASA coûte 540–1 800 $/an | Garder toutes les fonctionnalités. Valider avec 100 utilisateurs test d’abord. Décider la certification ensuite. |
Le premier chemin produit une application handicapée dès le lancement. Le second produit une application qui peut être correctement validée avant l’investissement de certification.
Le Cadre de Décision Correct
Prendre la bonne décision sur CASA nécessite deux étapes que la plupart des développeurs sautent :
Étape 1 : Identifier les scopes dont votre add-on a réellement besoin. Pas « quels scopes semblent utiles » — ce que votre ensemble de fonctionnalités spécifique requiert vraiment. Un add-on Gmail qui travaille avec l’e-mail actuellement ouvert utilise des scopes différents d’un qui traite tout votre historique de boîte de réception.
Étape 2 : Savoir ce que chaque catégorie de scope vous coûte. Les scopes restreints nécessitent CASA. Les scopes sensibles nécessitent une vérification OAuth (gratuit, 4–6 semaines). Les scopes publics ne nécessitent rien. La catégorie dans laquelle tombe votre add-on est déterminée entièrement par les scopes que vous demandez.
Je couvre le système complet de classification des scopes — et la distinction spécifique que la plupart des développeurs ratent — dans l’article suivant.
La leçon clé : Le chiffre de 50 000 $ est largement répété et faux. Vérifiez vos hypothèses à partir de sources primaires avant de les laisser contraindre votre architecture.
Points Clés
- La certification Google CASA Tier 2 est requise pour les add-ons Gmail à scope restreint — mais le coût réel (540–1 800 $/an via TAC Security) est bien inférieur au chiffre de 50 000 $ largement cité.
- La différence de coût entre le mythe et la réalité change entièrement la décision d’architecture produit.
- Ne laissez pas des chiffres non vérifiés contraindre votre conception. Remontez les affirmations jusqu’à leurs sources avant d’agir dessus.
La Suite
Comprendre les coûts CASA n’est que la moitié de l’équation. L’autre moitié est de comprendre quels scopes le déclenchent — et la distinction technique spécifique qui détermine si votre add-on a besoin de la certification.
→ Suivant : Gmail OAuth Scopes Décodés
— Kékéli
