Idée reçue n°3 des DSI sur le NoCode : Il ne répond pas aux impératifs de sécurité et d’urbanisation des systèmes d’information

| | DSI, No Code

L’idée reçue n°3 des DSI sur le NoCode : « Il ne répond pas aux impératifs de sécurité et d’urbanisation des systèmes d’information » est fausse, au contraire ! Une plateforme NoCode répond autant au besoin d’efficacité des métiers qui réclament des Time To market réduits pour leurs applications, qu’aux priorités des DSI en matière de sécurité et d’urbanisation. Décryptage de Nicolas Thery, CTO DAMAaaS.

 

Ces trois dernières années, l’augmentation des menaces cyber a monopolisé une bonne partie de l’attention et des moyens des DSI. D’ailleurs, les PME et les grandes entreprises européennes prévoient d’augmenter leurs budgets en sécurité informatique de 10 % sur les trois prochaines années. Il est donc légitime, alors que le NoCode se développe fortement, de savoir quelles sont les garanties apportées par ce type de plateforme en matière de sécurité. 

 

Les éditeurs de plateforme NoCode déploient leur solution dans le cloud, c’est même dans leur ADN. Leurs solutions sont ainsi exposées comme d’autres aux cyberattaques : ils disposent de deux leviers pour s’en prémunir.

 

  • Assurer la sécurité applicative des outils NoCode 

Les cyberattaques ont la liberté de cibler tout ce qui est à leur disposition, cela s’appelle la surface d’attaque. Le réseau et l’infrastructure ont longtemps été ciblés, mais les écrans de l’application dans le navigateur sont aujourd’hui une cible privilégiée avec le SaaS.

Les éditeurs de solution NoCode doivent donc être en capacité d’assurer la robustesse de chaque écran et d’apporter des garanties sur la sécurisation de leur plateforme. Le choix des frameworks, le maintien à jour de chaque composant doit être une priorité.

Des audits et des tests d’intrusion sont indispensables pour assurer la robustesse de leur solution sur la durée. 

 

  • Sécuriser l’hébergement cloud des applications NoCode 

Au-delà du risque infrastructure, qu’il est “aisé” de pallier en mobilisant des datas centers géographiquement distants, une plateforme NoCode disponible en SaaS doit s’engager sur la disponibilité du service apportée à ses clients. L’éditeur tend à optimiser la Durée Maximale d’Interruption Admissible (DMIA) d’activité pour permettre son redémarrage rapide. Il propose pour cela un Plan de Reprise d’Activité qui définit procédures et moyens mis en place. D’une plateforme à l’autre, les délais de bascule sur un serveur de PRA varient de plusieurs jours à quelques heures, voire… quelques minutes. 

La sauvegarde fait aussi partie des garanties apportées par un éditeur d’une solution NoCode. Si la procédure commune consiste à permettre à l’application de revenir en arrière, au point convenu avec le client pour restaurer les données, les pratiques varient d’un éditeur à l’autre et apportent différents niveaux de sécurisation des données (d’une fois par jour à toutes les heures). 

“S’il est un facteur de risque spécifique au NoCode, il tient surtout à la mauvaise utilisation d’une application relativement aux enjeux de sécurité des données”  

Qu’une solution soit facile à créer et en toute autonomie par l’assemblage de briques de “legos” ne dispense pas, au contraire, du respect de certaines exigences, pour assurer la sécurité des données qui y sont hébergées. . À défaut apparaissent de nombreuses problématiques de violation, de fuites ou de création de silos de données de non-conformité, des problèmes de confidentialité, de gestion des droits.

 

Cela suppose 3 points d’attention particuliers. 

  • Gérer scrupuleusement les droits d’accès

Toutes les données qui transitent dans une application métier n’ont pas à être vues de tous les utilisateurs. Le risque est d’autant plus important si la même plateforme NoCode est utilisée au sein d’une entreprise pour différents métiers/services. Les concepteurs de l’application doivent gérer les habilitations au niveau du service ou du métier concerné afin de rendre étanche les accès entre les différentes applications déployées.  Les solutions NoCode doivent rendre cette phase simple et efficace !

 

  • Assurer la conformité au RGPD et à certaines réglementations métiers spécifiques

Comme d’autres outils, les applications NoCode font transiter un grand nombre de données soumis au RGPD. Certaines centralisent aussi des données ou des documents soumis au code du commerce (contrats, factures clients, fournisseurs, bons de commande), au Code du travail (document personnel des salariés) ou des impôts (documents relatifs à la TVA par exemple)). 

Si ces données transitent par une application NoCode, celle-ci vous permettra justement d’assurer la conformité réglementaire de vos activités avec des fonctionnalités comme la purge de fiches dans un délai défini, le chiffrement des données personnelles ou sensibles, l’interdiction de saisie de certains mots particuliers. 

Un environnement NoCode facilite la mise en place de sécurité, traçabilité et autres règles de conservation de données répondant aux exigences des règlements de conformité….. pour autant que ses fonctionnalités en soient connues et utilisées ! 

 

  • Appliquer des règles de contrôle fortes pour servir des audits de risque

Certains secteurs d’activité manipulent des données sensibles, le secteur bancaire, les finances, la santé par exemple. Ils sont soumis à des audits de risque ou réglementaires. Dans ce cadre, ils doivent appliquer des règles de contrôle fortes pour chaque processus critique, qu’un environnement NoCode bien utilisé rend tout à fait possible. 

Avec une solution NoCode, il est plus rapide et plus facile d’automatiser et de rendre non modifiable un historique de modification qu’avec du code. Avec le NoCode, il est donc plus simple de donner la main aux utilisateurs métier, experts de leur domaine et “sachant” de la réglementation pour paramétrer la solution et s’assurer de la conformité de leurs applications. 

Une plateforme NoCode est tout à fait adaptée à ces secteurs pour autant qu’elle soit conçue dès le départ avec des règles de contrôle et une gestion des accès stricts. Elle permet même de construire en quelques clics une preuve d’audit documentée et fiable. Un pas de plus dans la culture prévention des risques en entreprise. 

 

👉 Pour aller plus loin, découvrez notre e-book sur les idées reçues des DSI à propos du NoCode

 

Quand le NoCode sert l’urbanisation du SI

Les logiciels et applications prolifèrent dans les entreprises, le taux d’équipement reste en forte croissance. Certains de ces outils sont liés entre eux et communiquent, d’autres pas ou plus. À terme, ceci fait peser un risque de paralysie du fait de problèmes de compatibilité entre les solutions, notamment lors des montées de version. 

Il en résulte des données dispersées et une dette technique très difficile à rattraper pour pouvoir les exploiter ! C’est contre ce risque d’”obsolescence” que l’urbanisation du SI est mise en œuvre dans les entreprises. Objectif : organiser la transformation progressive et continue du SI, visant à le simplifier et le rendre plus réactif aux évolutions. 

Davantage de maîtrise, davantage de flexibilité 

En ce sens, un environnement NoCode participe à l’urbanisation du SI, plus qu’une alternative low code. L’éditeur garde la maîtrise complète de sa plateforme et reste le garant de son intégration au SI client, même et surtout lors de migrations. La DSI conserve de son côté une vision complète sur les enrichissements de la solution opérés par l’éditeur. En cas d’incompatibilité avec une montée de version tierce, certaines plateformes NoCode sont même rétrocompatibles si besoin.

 

Dans sa capacité à communiquer et à s’interconnecter avec d’autres applications, le NoCode est aussi plus agile, car les interconnexions sont assurées par des API. Et c’est l’utilisateur lui-même qui réalise les appels d’API aux différents systèmes tiers pour en recueillir les données souhaitées. 

 

Téléchargez notre e-book « 4 idées reçues des DSI sur le NoCode »

Par Damaaas, le