Le low-code (et son petit frère le no-code) est l’une des tendances IT du moment, mais dès que l’on aborde la question de la sécurité et de la gouvernance, le sujet parait généralement moins « sexy ». Oui le low-code est déjà considéré par des très nombreux DSI comme un levier d’innovation incontournable, mais à condition de rester hyper vigilant sur les risques liés au shadow IT et à la non-conformité.
Les idées reçues sur la sécurité des plateformes low-code
On entend tout et son contraire sur le low-code : « C’est juste des apps bricolées, donc forcément plus vulnérables », « C’est gadget, pas un vrai outil pro », etc.
Évidemment, la réalité est beaucoup plus nuancée.
Idée reçue n°1 : « C’est un terrain de jeu pour le Shadow IT »
Effectivement, si chaque service télécharge sa petite plateforme low-code dans son coin, on court à la cata. Mais bien encadré, le low-code peut au contraire réduire le Shadow IT, parce qu’on offre un outil validé par la DSI, plus simple à prendre en main qu’un gros framework.
Idée reçue n°2 : « La sécurité est forcément faible »
Beaucoup de plateformes low-code proposent déjà des mécanismes d’authentification, de cryptage, d’hébergement certifié ISO27001, etc.
Idée reçue n°3 : « Ça ne scale pas, c’est juste sympa pour faire un petit POC fun »
Certains solutions low-code (ou no-code) assurent quand même la gestion de milliers d’utilisateurs. Tout dépend évidemment du choix de l’outil…
Comment garantir la gouvernance des données dans un environnement sans code
Low-code ou pas, la gouvernance, c’est avant tout définir clairement :
- Qui a le droit de créer quoi, dans quelle plateforme.
- Où sont stockées les données, et qui y accède.
- Les normes de confidentialité (RGPD, etc.) à respecter.
A partir de là, il faut garder en tête qu’en low-code, on peut déployer une appli en quelques jours, alors mieux vaut mettre en place un cadre pour éviter les débordements.
Définir des rôles et niveaux d’accès
Aussi, on ne veut pas que n’importe qui puisse bricoler un connecteur vers des données ultra-sensibles. D’où l’intérêt de bien définir les rôles et les niveaux d’accès, pour donner de l’autonomie, mais dans un périmètre surveillé :
- Système de droits granulaires (admin, dev, lecteur…).
- Audit log pour tracer qui a modifié l’appli ou les données.
Mettre en place un catalogue d’applications
Pour ne pas se retrouver avec 30 versions de la même appli, on peut également instaurer un app store interne où l’on recense les projets.
La DSI valide la cohérence et fait le tri dans les doublons.
Authentification, conformité et auditabilité : des exigences non négociables
Pour que l’entreprise ne se retrouve pas avec une passoire, il y a bien sûr quelques incontournables en termes de sécurité.
Authentification
Les plateformes low-code dignes de ce nom intègrent souvent du single sign-on (Azure AD, Google, etc.) de base.
Conformité
RGPD, ISO 27001, HIPAA (pour la santé), on ne rigole plus avec la data. L’éditeur doit offrir des garanties sur le chiffrement, la localisation des serveurs, la gestion des logs.
Auditabilité
Qui a accédé à quoi, qui a modifié quoi, et quand ? L’outil doit fournir des traces. Si un incident survient, il faut pouvoir se référer à un historique pour mener l’investigation. On n’improvise jamais l’audit trail le jour même.
Les bonnes pratiques pour éviter le shadow IT
Aucune entreprise n’aime que les équipes métiers utilisent des solutions hors du radar de la DSI. Ça peut partir d’une bonne intention (ex classique : « On a besoin d’une app vite fait »), mais ça peut se transformer en nid à failles.
Voici 3 bonnes pratiques ou éviter la dérive du shadow IT :
- Offrir un outil low-code validé : si la DSI propose officiellement une plateforme reconnue (sécurisée, admin géré, accès piloté) comme la plateforme de développement sans code proposée par DAZZM, les équipes métiers auront moins envie d’aller bricoler sur une solution inconnue.
- Mettre en place une charte : une charte interne qui précise que pour créer une appli low-code, vous devez respecter XYZ, informer la DSI, etc., permet de formaliser les règles et d’éviter l’anarchie.
- Sensibiliser : la cybersécurité est l’affaire de tous, il faut donc expliquer pourquoi c’est dangereux de sortir du cadre, notamment en montrant des exemples concrets d’organisations qui se sont fait pirater à cause du shadow IT.
L’avenir de la cybersécurité dans le monde du développement visuel
Low-code et no-code se démocratisent et sont partis pour s’installer sur la durée. La question de la sécurité va donc devenir de plus en plus prioritaire.
Dans ce contexte, on peut imaginer :
- Des plateformes low-code ultra-sécurisées avec cryptographie embarquée, logs poussés, scan automatisé des failles.
- Une normalisation : des standards émergent pour qualifier la robustesse, la conformité, le respect des bonnes pratiques.
- Un rôle accru pour la DSI : la DSI ne code pas tout, mais agit comme un chef d’orchestre qui veille à la cohésion et à la sécurité globale.
En clair, la cybersécurité ne va pas disparaître parce qu’on ne code plus de la même manière. Au contraire, elle se retrouve plus que jamais au cœur du sujet.
Super opportunité et casse-tête à la fois
En adoptant le low-code, on accélère la création d’applications, on libère la créativité des métiers… et on prend potentiellement le risque de semer la pagaille si la gouvernance et la sécurité ne suivent pas.
D’un côté, c’est une super opportunité pour innover, réduire les délais, diminuer la charge dev.
De l’autre, c’est un casse-tête potentiel si on ne met pas en place une politique claire de droits d’accès, d’authentification, d’intégration, et de suivi des données.
Mieux vaut donc considérer la cybersécurité comme un point de départ, et non une réflexion de dernière minute. Ce n’est pas parce qu’on dit « moins de code » qu’on doit ignorer la rigueur. Le duo low-code + sécurité peut très bien fonctionner… si bien sûr on fait l’effort d’instaurer les règles de gouvernance, de s’appuyer sur des plateformes solides et d’impliquer la DSI pour encadrer tout ça.
Si tel est le cas, l’avenir du développement d’applis devrait être à la fois ultra-rapide et ultra-sûr…espérons-le !
