Ces dernières années, les technologies low-code et no-code sont devenues de plus en plus populaires, soutenues par la prédiction de Gartner selon laquelle 65 % du développement d'applications d'ici 2024 seront alimentés par ces outils révolutionnaires. Ils fournissent un ensemble simplifié de blocs de construction, facilitant la création de solutions informatiques personnalisées pour diverses industries. Cependant, comme pour toute nouvelle technologie, il existe des risques potentiels et les utilisateurs peuvent naturellement avoir des inquiétudes quant à la sécurité des plates-formes low-code et no-code.
Comprendre les différents types de plates-formes
Avant d'évaluer les risques de sécurité, il est essentiel d'identifier la fonctionnalité souhaitée d'une plate-forme low-code ou no-code. En règle générale, ces plates-formes offrent une gamme de composants, tels que des zones de texte, des sélecteurs de date/heure et des entrées de nombres, qui peuvent être agencés pour élaborer une solution sur mesure. Les données saisies via ces composants restent sur la plateforme, ce qui simplifie l'analyse de la sécurité. À bien des égards, ces composants sont similaires à ceux que l'on trouve dans les plates-formes SaaS conventionnelles.
Les plates-formes avec ces composants contenus peuvent être classées comme « contenues ». Le véritable différenciateur de cette nouvelle génération d'outils est le cloud, qui a rendu les API (interfaces de programmation d'applications) de plus en plus courantes. Comme ces plates-formes facilitent l'extraction, la transformation et l'intégration des données dans divers systèmes, le développement low-code et no-code atteint de nouveaux sommets.
Imaginez un scénario dans lequel votre équipe interagit avec un client potentiel lors d'un événement. Après avoir obtenu certaines informations du prospect et les avoir saisies dans l'application low-code ou no-code, l'application crée une opportunité Salesforce dans votre flux de travail de vente, affecte un responsable de compte et met à jour votre outil de marketing par e-mail. L'ensemble de ce processus peut être accompli en peu de temps à l'aide de ces outils de développement, permettant des flux de travail transparents qui profitent à votre entreprise.
Cependant, les plates-formes connectées communiquent directement avec d'autres services pour l'entrée, la sortie de données ou les deux, mettant en évidence les risques potentiels associés aux systèmes connectés.
Risques connectés
Les plates-formes low-code et no-code connectées entraînent une perte de visibilité sur le stockage et le traitement des données. Lorsque vous utilisez une plateforme connectée pour collecter des données à partir d'un service comme Marketo et les envoyer à un autre service externe, les risques encourus peuvent être difficiles à déterminer. Pour compliquer davantage les choses, les connexions à des services tiers sont souvent établies avec les informations d'identification d'un individu, plutôt qu'avec un compte de service dédié. Par conséquent, l'accès aux données pourrait être enregistré sous la personne qui a établi la connexion, au lieu de l'utilisateur réel.
Ce manque de granularité pose d'importants problèmes de sécurité, car les équipes ne savent plus qui accède aux données. De plus, la sécurité a longtemps lutté pour maintenir la visibilité sur l'environnement informatique d'une entreprise. L'adoption rapide de plates-formes low-code et no-code peut exacerber ces lacunes de visibilité à moins que l'industrie ne mûrisse pour répondre aux exigences de l'entreprise.
Adaptation à la sécurité Low-Code et No-Code
Malgré les problèmes de sécurité, les plates-formes low-code et no-code offrent un avantage commercial significatif et permettent aux équipes de résoudre les problèmes plus efficacement. Pour adopter ces solutions en toute sécurité, les utilisateurs doivent commencer par une évaluation des risques afin de déterminer si la plateforme est « connectée ». Si vous êtes connecté, vérifiez les informations d'identification utilisées pour lier les services tiers et utilisez les comptes de service dans la mesure du possible.
Ensuite, examinez les capacités de journalisation de la plate-forme et assurez-vous qu'elles sont activées pour la plate-forme et ses connexions. Le maintien de la visibilité sur ces activités est crucial pour traiter rapidement tout problème de violation de données ou d'exposition.
Une fois les bases traitées, les utilisateurs peuvent se concentrer sur des problèmes de sécurité plus avancés. Par exemple, des organisations comme l'OWASP ont déjà commencé à explorer les dix principales menaces spécifiques au développement low-code et no-code. Cette recherche peut aider à guider les efforts des utilisateurs et les meilleures pratiques de sécurité à l'avenir.
La prédiction de Gartner ne suggère pas que les méthodes de développement traditionnelles seront obsolètes. Au lieu de cela, les plates-formes low-code et no-code éliminent les obstacles et permettent à un plus large éventail d'utilisateurs de résoudre leurs problèmes. Parmi ceux-ci, AppMaster est devenu une plate no-code remarquable, fournissant des outils puissants pour le développement d'applications backend, Web et mobiles. Si elles sont abordées judicieusement, les plates-formes low-code et no-code offrent l'opportunité d'introduire des concepts de sécurité modernes à une nouvelle génération d'utilisateurs, en favorisant des solutions résilientes et sécurisées dès le départ.
