Application no code  : comment garantir la sécurité grâce à DAMAaaS

| | DSI

Le no-code a le vent en poupe. Selon Gartner, d’ici quatre ans, 65% des applications créées le seront en no-code ou en low-code. Nombre d’entre elles sont hébergées dans le cloud, alors que les risques de cybercriminalité restent forts. Garantir la sécurité de vos applications no code en mode SaaS est au cœur de la proposition de valeur de DAMAaaS. Voici comment.  

 

1 # Assurer la sécurité de vos applications au sein de la solution DAMAaaS  

Les cyberattaques constituent l’un des facteurs de risque évident pour les applications no code. Ces attaques ne visent plus tant le réseau ou l’infrastructure, généralement bien protégés à l’égard de ce type de risque que les applications elles-mêmes : la sécurité applicative, qui consiste justement à protéger les données au coeur des développements de l’application, est un enjeu fort pour les entreprises

Pour cela, l’éditeur d’une solution logicielle doit apporter des garanties sur la sécurisation de sa plateforme, même si aucune obligation réglementaire n’existe sur le sujet. 

Dans la solution DAMAaaS, chaque ligne de code est écrite en interne, par nos développeurs et pensée du point de vue de la sécurité. L’équipe partage une véritable “culture sécurité”, notre attention est constante. 

Au-delà de nos propres compétences, la sécurité de DAMAaaS est testée aussi par différents cabinets d’expertise -Wavestone et Intrinsec- qui réalisent des audits, complétés par des tests réguliers d’intrusion. Cette évaluation, externe et neutre, est indispensable pour mettre au clair la robustesse d’une solution logicielle. Ainsi dans DAMAaaS, vos  applications no code sont en sécurité.

 

2 # Sécuriser l’hébergement de la solution DAMAaaS : haute disponibilité et sauvegarde

L’incendie chez OVH en mars dernier a rappelé la réalité du risque « infrastructure ».  Plus que jamais, différents serveurs doivent être mobilisés, répartis dans des data centers géographiquement distants

Chez DAMAaaS, nous avons fait le choix d’héberger les applications no code de nos clients et les données utilisées dans 2 sites géographiques, comprenant au global une soixantaine de serveurs. Au-delà de l’hébergement physique, nous portons une attention particulière aux enjeux de haute disponibilité et de sauvegarde

 

> DAMAaaS ou la haute disponibilité des applications no code en SaaS

Un éditeur de logiciel en SaaS doit optimiser la Durée Maximale d’Interruption Admissible d’activité (DMIA ou RTO pour Recovery Time Objective) qu’il est en mesure de proposer aux clients pour leurs applications no code. Il doit pour cela proposer un Plan de Reprise d’Activité (PRA) qui définit les procédures et les moyens mis en place pour assurer une DMIA en cas de désastre important. D’un éditeur à l’autre, les délais varient de plusieurs jours… à quelques heures ! Chez DAMAaaS, nos serveurs sont actifs en permanence. Il faut un maximum de 4h pour basculer une application client sur son serveur de PRA en cas de risque avéré. Cependant dans les faits, cette bascule se réalise en moins de 5 minutes suite à la prise de décision. 

C’est d’ailleurs cette décision qui a été prise en 3 minutes, dès que l’incendie OVH a été confirmé. Pour nos clients, ce fut complètement transparent, car les quelque 10 minutes d’interruption se sont produites en HNO (Heures Non Ouvrées du territoire métropolitain). Alors que pendant ce temps, de grandes institutions sont restées dans le noir plusieurs semaines !

Les modalités d’exécution d’un PRA constituent également un point d’attention.  Certains éditeurs de logiciel réalisent leur bascule de serveur de façon automatisée, d’autres non. Chez DAMAaaS, nous faisons le choix de ne pas automatiser cette approche pour notre solution et les applications de nos clients  : la bascule n’est réalisée que si nous nous sommes assurés de son absolue nécessité.  Une bascule de serveur n’est pas irréversible, mais un retour en arrière est complexe à réaliser et non sans risque sur le délai de reprise de l’activité. 

 

> Les sauvegardes des applications DAMAaaS 

Les procédures de sauvegarde ne sont pas la garantie d’une reprise d’activité après une défaillance humaine ou technique, mais elles permettent à l’application de revenir en arrière, au point que l’éditeur et le client ont fixé ensemble pour restaurer les données. Les pratiques diffèrent grandement aussi chez les éditeurs. Nombreux sont ceux qui pratiquent des sauvegardes quotidiennes. Pour DAMAaaS, la sauvegarde des données est effectuée toutes les heures. nous avons opté pour une fréquence plus soutenue, réalisée par tranche d’une heure, ce qui limite grandement les pertes de données. 

 

4 #Bénéficier de la qualité d’infogérance de DAMAaaS  

Rares sont les éditeurs à s’attarder sur le choix de l’infogérance de leurs serveurs. C’est pourtant un paramètre clé en matière de sécurité : l’infogérant a en charge le maintien en conditions opérationnelles des infrastructures de ses clients. C’est lui qui conseille et met en place l’architecture globale du SI et le niveau de service qu’il peut atteindre. 

Chez DAMAaaS, le choix de l’infogéreur fait partie intégrante de notre approche. Nous veillons à sous-traiter à une entreprise dont l’expertise en matière de sécurité répond en tous points aux exigences que nous nous sommes fixées. C’est pour nous la garantie d’un niveau de service optimal apporté à nos clients. 

 

5 # Sensibiliser les métiers aux sujets sécurité pour des  applications no code ou plus généralement du Cloud

Le comportement des individus est aussi une faille possible. Les clients DAMAaaS, utilisateurs finaux, travaillent le plus souvent dans une direction métier.Leurs connaissances en matière de sécurité peuvent être limitées : sans le vouloir, souvent sans le savoir, ils sont susceptibles de créer des brèches dans la gestion des droits d’accès ou des failles dans le paramétrage initial. 

Leurs collègues de la DSI sont eux plus affûtés en matière de sécurité. De nouvelles complémentarités entre les services sont à trouver aux étapes clés de la construction d’une application no code. Cela doit passer par la mise en place d’une coordination optimale entre les métiers et la DSI, un transfert de compétences entre les équipes. Les équipes DAMAaaS peuvent assurer un accompagnement en amont, dès la conception selon la méthode de co-construction tirée du Design-thinking. Ils peuvent également assurer  des séquences de formation des concepteurs et utilisateurs pour compléter le dispositif. 

C’est la garantie d’un time-to-market rapide d’une application no code, personnalisée et ajustée au contexte de votre entreprise, le tout dans le respect des critères de sécurité.

Par Nicolas Thery, le