PartnerMatch®

← Blog · 17 juin 2026 · 16 min de lecture

Salesforce AppExchange : le playbook de la revue de sécurité et de la mise en ligne

Un playbook indépendant pour se lister sur Salesforce AppExchange. Décider si cela convient, construire sur les bonnes API, passer la revue de sécurité, et écrire une fiche qui convertit.

Une grille de tuiles d'applications dans une marketplace de CRM avec une tuile mise en évidence intitulée votre application montant dans le classement, sur un fond papier.

Se lister sur une grande marketplace de CRM peut placer votre produit devant des acheteurs qui sont déjà dans le système où ils travaillent. Cela peut aussi se transformer en un détour de plusieurs mois avec une revue de sécurité pour laquelle vous n'étiez pas prêt et une fiche sur laquelle personne ne clique. Salesforce AppExchange est l'une des plus grandes de ces marketplaces, et la différence entre ces deux issues tient surtout à la préparation : savoir si cela convient avant de commencer, construire sur la bonne surface, traiter la revue de sécurité comme des critères d'acceptation plutôt que comme une surprise, et écrire une fiche qui mérite l'installation.

Ceci est un playbook indépendant. PartnerMatch n'est pas affilié à Salesforce, et rien ici n'est un document officiel de programme. Les exigences des marketplaces changent, alors traitez les critères, calendriers et noms de programmes exacts comme des éléments à confirmer dans la documentation officielle actuelle plutôt que comme des faits figés. Ce qui ne change pas beaucoup, c'est la forme du travail, et c'est cette forme que ce guide couvre : la décision, la construction, la revue et la fiche, dans l'ordre où vous les rencontrez.

Il fait la paire avec notre guide plus large de la stratégie de marketplace SaaS et nos parcours d'autres écosystèmes, comme la HubSpot App Marketplace et le playbook d'application Shopify, pour que vous puissiez comparer ce qui est commun à toutes les marketplaces et ce qui est spécifique à celle-ci.

L'essentiel en 60 secondes

  • Décidez d'abord si cela convient. AppExchange rapporte quand vos acheteurs vivent déjà dans le CRM et que votre produit prolonge clairement leur travail là-bas. Si ce n'est pas le cas, l'effort risque de ne pas être rentable.
  • Construisez sur les API de la plateforme, pas autour d'elles. Plus votre intégration avec le modèle de données et d'authentification de l'hôte est propre, plus chaque étape ultérieure se déroule sans accroc.
  • La revue de sécurité est la barrière. Traitez ses exigences comme des critères d'acceptation que vous respectez dès le premier jour, pas comme une checklist que vous bâclez à la fin.
  • Préparez des preuves, pas seulement du code. Les relecteurs veulent voir le moindre privilège, un traitement sécurisé des données et de la traçabilité, avec une documentation à l'appui.
  • Une fiche est une surface de conversion. Ouvrez sur le workflow et le résultat, montrez de vraies captures d'écran, et rendez le prix et le support clairs.
  • Être listé est le début, pas la fin. Les installations viennent de l'activation, des avis et du travail après le lancement, pas du simple fait que la fiche existe.
  • Confirmez les spécificités officiellement. Les noms, critères et calendriers évoluent, alors vérifiez par rapport à la documentation actuelle avant d'engager une roadmap.

Étape 1 : décider si AppExchange convient

L'erreur la plus coûteuse est de faire tout ce travail pour une marketplace qui n'allait jamais faire bouger vos chiffres. Avant toute construction, répondez honnêtement à une question : vos acheteurs sont-ils déjà à l'intérieur de ce CRM, et votre produit prolonge-t-il le travail qu'ils y font ?

Quand la réponse est un oui clair, une fiche de marketplace rencontre les clients là où ils sont déjà. Une équipe standardisée sur le CRM préférera ajouter une capacité depuis l'intérieur plutôt que d'évaluer un outil séparé, et « disponible sur AppExchange » est un signal de confiance pour un acheteur prudent. Quand la réponse est non, quand vos utilisateurs ne vivent pas dans le CRM, ou que votre produit ne le touche que de loin, la fiche devient un placement de vanité qui coûte des mois et rapporte peu.

Travaillez l'adéquation avant de vous engager :

Question Forte adéquation Faible adéquation
Où vos acheteurs travaillent-ils ? Dans le CRM au quotidien Ailleurs, le CRM est périphérique
Que fait votre produit pour eux ? Prolonge un workflow CRM central Vaguement lié, métier séparé
Y a-t-il de la demande ? Les clients réclament l'intégration Vous devinez la demande
Pouvez-vous le soutenir ? Équipe prête pour la revue et l'entretien Aucun responsable, aucun plan de maintenance
L'intégration a-t-elle du poids ? De vraies données circulent dans les deux sens Un lien mince et cosmétique

Si la plupart de vos réponses atterrissent dans la colonne de droite, le geste honnête est d'attendre et de revisiter quand l'adéquation est plus forte. Nous travaillons ce genre de décision en détail dans construire, acheter ou s'associer et notre guide de stratégie de marketplace. Une fiche ne vaut un vrai effort que lorsqu'il y a un workflow authentique et une vraie demande client derrière.

Étape 2 : construire sur les API de la plateforme

Une fois engagé, la construction détermine la difficulté de tout ce qui suit. Le principe est de s'intégrer au modèle de données, à l'authentification et aux points d'extension de la plateforme plutôt que de les contourner. Une intégration qui respecte les conventions de l'hôte est plus facile à construire, plus facile à faire revoir, et plus facile à laisser le client lui faire confiance.

En pratique, cela signifie quelques choses. Authentifiez de la façon dont la plateforme l'attend, en utilisant ses flux d'autorisation standard plutôt qu'en demandant aux clients des identifiants que vous stockez vous-même. Lisez et écrivez les données via les API documentées, en mappant sur les objets de la plateforme au lieu d'inventer une structure parallèle. Ne demandez que l'accès que vos fonctionnalités utilisent réellement, car chaque permission supplémentaire est quelque chose que le client et le relecteur remettront en question. Et traitez les données de la plateforme avec le même soin que les vôtres, car dès que vous lisez les enregistrements CRM d'un client, vous en êtes responsable.

Les schémas sous-jacents sont les mêmes que dans toute intégration solide : authentification propre, permissions restreintes, synchronisation fiable. Notre guide d'une API prête pour les partenaires couvre le côté producteur, et webhooks ou polling couvre le maintien de deux systèmes en synchronisation sans manquer de changements ni marteler la plateforme. Mieux vous suivez le grain de la plateforme ici, moins vous rencontrez de friction à la revue, car la plupart des constats de revue remontent à une intégration qui a pris des raccourcis autour du modèle prévu.

Étape 3 : traiter la revue de sécurité comme des critères d'acceptation

C'est l'étape qui surprend les équipes, et c'est celle qui décide de votre calendrier. Une marketplace qui place des applications devant des acheteurs entreprise revoit ces applications avant de les lister, et cette revue est une vraie barrière, pas une formalité. L'erreur est de la traiter comme un examen final que l'on bûche. Le bon geste est de traiter ses exigences comme des critères d'acceptation que vous respectez dès le premier commit.

Le raisonnement est simple. Les constats de sécurité découverts à la fin sont coûteux, car les corriger signifie souvent changer la façon dont l'application traite les données ou les permissions, ce qui est de la reprise par-dessus des fonctionnalités terminées. Les mêmes constats détectés pendant la construction sont peu coûteux, car vous le construisez bien du premier coup. Vous lisez donc les exigences de sécurité actuelles avant de concevoir, vous les intégrez à votre définition de terminé, et vous vérifiez par rapport à elles au fur et à mesure. C'est la même logique que notre guide de la certification d'application sans douleur : la checklist est un ensemble de critères d'acceptation, et y satisfaire devrait être un non-événement parce que vous l'avez construite ainsi depuis le début.

Les exigences exactes appartiennent à la plateforme et elles changent, alors confirmez-les dans la documentation officielle actuelle. Les catégories qui intéressent les relecteurs sont stables dans toutes les marketplaces sérieuses :

Domaine de revue Ce qu'il recherche généralement
Accès et permissions Moindre privilège : seulement l'accès dont les fonctionnalités ont besoin
Authentification Flux standard et sécurisés ; aucun traitement d'identifiants non sécurisé
Traitement des données Données client stockées et transmises de façon sécurisée
Isolation des données Les données d'un client jamais accessibles par un autre
Vulnérabilités Failles web et API courantes absentes et testées
Secrets Clés et tokens tenus hors du code et des surfaces client
Documentation Compte rendu clair de ce que l'application fait et de ce qu'elle touche

Deux pratiques font que la revue se déroule sans accroc. Premièrement, préparez des preuves, pas seulement du code qui fonctionne. Les relecteurs veulent voir comment vous traitez les données et pourquoi vos permissions sont restreintes comme elles le sont, ce qui signifie de la documentation, pas seulement une démo qui passe. Deuxièmement, faites une auto-revue par rapport aux exigences publiées avant de soumettre, idéalement avec quelqu'un qui n'a pas construit la fonctionnalité, pour que les manques évidents soient détectés par vous plutôt que par le relecteur. Une première soumission propre évite un aller-retour, et les allers-retours sont là où les semaines partent. Pour le côté ingénierie plus profond de tout cela, les classes de vulnérabilités web et API courantes sont bien documentées par OWASP, en lien à la fin.

Étape 4 : écrire une fiche qui convertit

Passer la revue vous donne le droit de vous lister. Cela ne vous donne pas d'installations. La fiche est une surface de conversion, et la plupart d'entre elles sous-vendent le produit en décrivant ce qu'il est au lieu de ce qu'il fait pour la personne qui lit.

Ouvrez sur le workflow et le résultat. Un acheteur qui parcourt la marketplace se pose une seule question : est-ce que cela rendra plus rapide ou meilleur un métier que je fais déjà. Répondez-y dès les premières lignes, dans son langage, avant toute liste de fonctionnalités. « Gardez vos contacts CRM synchronisés avec X automatiquement » bat « une puissante plateforme d'intégration » à chaque fois, car la première nomme un métier que l'acheteur reconnaît et la seconde l'oblige à travailler pour comprendre si cela s'applique.

Ce que comprend une fiche qui convertit :

  • Un titre et un résumé orientés workflow. Le résultat et le métier, dans les mots de l'acheteur, pas le nom interne que vous donnez à la fonctionnalité.
  • De vraies captures d'écran. Montrez l'intégration en train de faire son métier à l'intérieur de la plateforme. Un acheteur veut voir ce qu'il obtient, et un vrai écran bat un visuel générique.
  • Une valeur précise, pas des adjectifs. « Synchronise en temps réel pour que les commerciaux ne travaillent jamais sur des données périmées » leur dit quelque chose. « Simplifié et puissant » ne leur dit rien.
  • Un prix honnête et clair. Quel que soit votre modèle, indiquez-le franchement. Un acheteur qui ne peut pas savoir ce que cela coûte suppose le pire et passe son chemin.
  • De la preuve sociale. Avis, notes et clients nommés si vous en avez. Au début, même une poignée d'avis authentiques fait bouger les choses.
  • Un support évident. Indiquez clairement que quelqu'un est derrière l'application et comment le joindre. Les acheteurs entreprise n'installeront pas un logiciel sans responsable visible.

Nous creusons cela dans nos guides pour écrire une fiche de marketplace qui convertit et comment les marketplaces classent les applications. La version courte : la fiche est un texte de vente visant un acheteur précis qui fait un métier précis, et celles qui convertissent sont celles qui nomment ce métier et prouvent que l'application le fait.

Étape 5 : générer des installations après la mise en ligne

Une hypothèse courante est que la mise en ligne est la ligne d'arrivée et que les installations suivent d'elles-mêmes. Ce n'est pas le cas. Une nouvelle fiche dans une grande marketplace est une tuile parmi tant d'autres, et la découverte seule ne la portera pas. Le travail après le lancement est ce qui transforme une fiche en pipeline.

Le premier tour du volant est le plus dur, alors amorcez-le délibérément. Dirigez vos propres clients qui utilisent les deux produits vers la fiche pour semer les premières installations. Demandez aux clients satisfaits des avis honnêtes, car les premiers avis sont ce qui met le prochain acheteur à l'aise. Puis observez ce qui se passe après l'installation : la métrique qui compte n'est pas les installations, ce sont les connexions actives et retenues, et un client qui installe mais n'active jamais est un risque d'attrition, pas une victoire.

Les mécaniques qui génèrent de l'adoption après le lancement :

Mécanique Ce qu'elle fait
Semer des installations depuis les clients existants Met les premiers chiffres et les premiers avis au tableau
Demander des avis Construit la preuve sociale que le prochain acheteur lit
Instrumenter l'activation Vous dit qui a installé mais ne s'est jamais connecté
Relancer les installations bloquées Récupère ceux qui se sont coincés avant la valeur
La relier à la co-vente Connecte la présence en marketplace à un vrai pipeline

Nous couvrons le playbook post-lancement dans générer des installations après le lancement et la mécanique plus large dans notre guide de la mécanique de co-vente. Le fil conducteur, c'est que la fiche est le début du travail, pas la fin.

Erreurs fréquentes, et comment les corriger

Se lister parce que la marketplace est grande, pas parce que cela convient. La correction : confirmez que vos acheteurs vivent dans le CRM et que votre produit y prolonge leur travail avant de vous engager. Une fiche sans adéquation authentique et sans demande client, c'est des mois d'effort pour une tuile sur laquelle personne ne clique.

Traiter la revue de sécurité comme un examen final. La correction : lisez d'abord les exigences actuelles et construisez par rapport à elles comme des critères d'acceptation. Les constats détectés pendant la construction sont peu coûteux ; les constats détectés à la soumission sont de la reprise sur des fonctionnalités terminées, et c'est là que les calendriers glissent.

Demander plus d'accès que vous n'en utilisez. La correction : restreignez les permissions à exactement ce dont vos fonctionnalités ont besoin. Chaque permission supplémentaire est quelque chose sur quoi le client hésite et que le relecteur remet en question, et le moindre privilège est à la fois plus sûr et plus facile à approuver.

Une fiche qui décrit le produit, pas le métier. La correction : ouvrez sur le workflow et le résultat dans le langage de l'acheteur, montrez de vraies captures d'écran, et rendez le prix et le support clairs. L'acheteur se demande si cela aide un métier qu'il fait déjà ; répondez à cela d'abord.

Supposer que les installations suivent la fiche. La correction : semez les premières installations depuis les clients existants, recueillez des avis, instrumentez l'activation, et relancez les installations bloquées. La découverte seule ne portera pas une nouvelle tuile dans une marketplace encombrée.

FAQ

Est-ce un guide officiel Salesforce ? Non. PartnerMatch est indépendant et non affilié à Salesforce, et ceci n'est pas un document officiel de programme. Utilisez-le pour comprendre la forme du travail, et confirmez les exigences, calendriers et noms de programmes exacts dans la documentation officielle actuelle, qui peut changer sans préavis.

Combien de temps prend la mise en ligne sur AppExchange ? Cela dépend de votre point de départ et de la quantité de reprise que la revue de sécurité fait apparaître, donc une construction qui suit déjà le modèle de la plateforme et satisfait aux exigences de sécurité publiées avance plus vite qu'une construction qui a pris des raccourcis. La plus grande variable, c'est à quel point vous êtes préparé pour la revue, c'est pourquoi construire par rapport à ses exigences dès le départ est la meilleure façon de comprimer le calendrier.

Que vérifie réellement la revue de sécurité ? Les critères exacts appartiennent à la plateforme et ils changent, alors confirmez-les officiellement. Les catégories sont stables dans toutes les marketplaces sérieuses : accès au moindre privilège, authentification sécurisée, traitement et isolation sécurisés des données, absence de vulnérabilités courantes, gestion correcte des secrets, et documentation claire. Traitez-les comme des critères d'acceptation que vous respectez, et préparez des preuves, pas seulement du code qui fonctionne.

Faut-il être partenaire Salesforce pour se lister ? La participation à la marketplace implique généralement une relation partenaire et des étapes de programme que la plateforme définit et met à jour, alors confirmez les exigences actuelles dans la documentation officielle plutôt que de présumer. Le travail de ce guide, adéquation, construction, revue et fiche, s'applique quelle que soit la structure exacte du programme le jour où vous commencez.

Comment obtenir des installations après la mise en ligne ? Pas du simple fait que la fiche existe. Semez les premières installations depuis les clients qui utilisent déjà les deux produits, recueillez des avis honnêtes pour construire la preuve sociale, instrumentez l'activation pour voir qui a installé mais ne s'est jamais connecté, et relancez ceux qui sont bloqués. Une nouvelle fiche est une tuile parmi tant d'autres, et le travail post-lancement est ce qui la transforme en pipeline.

En quoi est-ce différent de se lister sur d'autres marketplaces ? La forme est la même dans toutes les marketplaces sérieuses : décider de l'adéquation, construire sur le modèle de la plateforme, passer une revue, écrire une fiche qui convertit, et générer des installations après le lancement. Les spécificités diffèrent dans les exigences de sécurité exactes, le programme partenaire et le format de fiche. Comparer nos playbooks HubSpot et Shopify à celui-ci montre ce qui est commun et ce qui est spécifique à la plateforme.

Pour aller plus loin

  • Salesforce AppExchange pour voir la marketplace elle-même et comment les fiches sont présentées aux acheteurs.
  • Salesforce Partners pour les informations officielles du programme partenaire, là où confirmer les exigences et étapes actuelles.
  • OWASP pour les classes de vulnérabilités web et API courantes qu'une revue de sécurité teste, utile du côté ingénierie de la préparation à la revue.

La version courte

Se lister sur Salesforce AppExchange vaut un vrai effort quand vos acheteurs vivent déjà dans le CRM et que votre produit prolonge clairement leur travail là-bas, et c'est un détour coûteux quand cette adéquation manque. Construisez sur les propres API, l'authentification et le modèle de données de la plateforme au lieu de les contourner, car la plupart des constats de revue remontent à des raccourcis. Traitez la revue de sécurité comme des critères d'acceptation que vous respectez dès le premier jour, pas comme un examen final, et préparez des preuves de moindre privilège, de traitement sécurisé des données et d'isolation plutôt qu'une simple démo qui passe. Écrivez une fiche qui ouvre sur le workflow et le résultat, montre de vraies captures d'écran, et rend le prix et le support clairs. Puis faites le travail post-lancement, semez des installations, recueillez des avis et instrumentez l'activation, car la fiche est le début du travail, pas la fin. Et parce que les spécificités des marketplaces changent, confirmez les critères et étapes de programme exacts dans la documentation officielle actuelle, puisque ceci est un playbook indépendant, pas un playbook officiel.

Si vous voulez de l'aide pour décider si une marketplace convient, vous préparer pour la revue, ou transformer une fiche en pipeline, un Partner Audit passe en revue votre produit, votre surface d'intégration et votre potentiel de marketplace, puis vous remet un plan concret de ce qu'il faut construire et des écosystèmes à poursuivre.

À lire aussi

18 juin 2026 · 21 min de lecture

Construire une application Slack : un manuel du cadrage au lancement

Lire → 13 juin 2026 · 25 min de lecture

Construire une application Shopify : un manuel du cadrage au lancement pour le SaaS

Lire → 19 juin 2026 · 22 min de lecture

Rédiger une fiche de marketplace qui convertit

Lire →

Prêt à transformer vos partenariats en produit livré ?

Commencez par un audit partenaire. Nous étudions votre produit, votre API, les parcours de vos clients et votre potentiel de partenariats.

Réserver un audit