Sécurité des solutions No Code & Low Code
La sécurité est un enjeu crucial pour toutes les entreprises, mais sa mise en œuvre reste souvent un défi pour diverses raisons. L'émergence des solutions no code/low code, avec leurs nombreuses possibilités, oblige les entreprises à redoubler d'efforts en matière de sécurité. Décryptons ensemble le sujet. ⬇️
No code / Low code = Shadow IT ou pas ?
J'ai récemment lu un article de ZDNet qui qualifie les solutions no code/low code de "nouveau cauchemar" pour l'IT, les accusant d'aggraver le problème du Shadow IT.
Le Shadow IT désigne l’utilisation de solutions informatiques développées ou mises en place par des départements hors IT ou sans validation de la DSI. Cette absence de contrôle peut entraîner des failles de sécurité, des incohérences dans la gestion des données ou des inefficacités opérationnelles.
Cependant, une plateforme no code/low code peut parfaitement être sous le contrôle de la DSI. Power Platform en est un excellent exemple, où l'administrateur garde une visibilité totale sur toutes les actions effectuées.
Pour les plateformes non intégrées à l'écosystème technologique de l’entreprise, je rejoins l’analyse de ZDNet. Dans ces cas-là, il est essentiel de se demander quels besoins métiers ne sont pas couverts par l’IT… et c’est un autre débat.
Power Platform et sécurité
La sécurité dans Power Platform repose sur plusieurs mesures clés : chiffrement des données en transit et au repos, gestion des identités via Azure Active Directory avec authentification multi-facteurs, et contrôle des accès basé sur des rôles. La plateforme intègre une surveillance continue des activités et respecte des normes de conformité comme le RGPD et ISO/IEC 27001, garantissant ainsi la protection des données et des opérations.
En résumé, une gestion adéquate des rôles de sécurité dans l’écosystème Microsoft assure déjà une solide protection des données.
Former les développeurs no code à la sécurité
J'en ai déjà parlé dans un précédent billet : la sensibilisation et la formation des développeurs no code sont essentielles. Le digital est omniprésent, et connaître les bonnes pratiques de sécurité doit devenir une compétence de base pour tout le monde. Cela commence par des gestes simples, comme verrouiller son poste avant de le quitter. Vous seriez surpris du nombre de personnes, même dans les DSI, qui négligent ce point.
Intégrer les pratiques no code/low code en entreprise
Au lieu de diaboliser ces nouvelles pratiques, ce qui ne ferait qu'encourager des solutions non contrôlées, les DSI doivent collaborer étroitement avec les métiers pour offrir des alternatives techniques encadrées. Plutôt que de fermer les portes, ce qui ne fera que pousser les équipes à chercher des solutions de contournement, il est plus judicieux de les accompagner par des formations et la création de communautés de pratique axées sur la sécurité. Les équipes métiers cherchent à répondre aux besoins de l’entreprise : aidons-les à le faire de manière sécurisée et efficace.
