La science de la conformité dans le monde du low-code

Les organisations peuvent facilement s'appuyer sur le low-code pour créer de nouvelles solutions, tant qu'elles se plient aux exigences de conformité.

La croissance des applications no code / low-code explose grâce à de nouveaux outils et de nouveaux fournisseurs, qui semblent apparaître chaque semaine, offrant toujours plus de capacités et de cas d’usages pour le low-code. De nos jours, il est facile pour tous, au sein d’une organisation de créer de nouvelles solutions informatiques qui répondent à des besoins concrets en utilisant des plateformes low-code.

Alors que les utilisateurs métiers se réjouissent de leurs nouvelles libertés en matière d'innovation numérique en libre-service grâce au low-code, les responsables informatiques pourraient, eux, s’inquiéter face à cette croissance exponentielle des solutions informatiques à gérer.

Compte tenu de la réglementation sur la protection des données, des enjeux majeurs de sécurité et de la dépendance croissante à l’égard de la technologie numérique, la gouvernance informatique est plus importante que jamais. Or, tous les employés n’auront, par exemple, pas le niveau de connaissance requis en ce qui concerne des normes telles que les RGPD ou les HIPAA.

Les plateformes low-code sont là pour rester, vouées à devenir pour les entreprises aussi importantes que les outils comme les feuilles de calcul et les traitements de texte. La capacité des organisations à créer des applications sur mesure avec des outils low-code qui offrent une valeur commerciale est en expansion. Mais cette nouvelle ère d’innovation doit se construire de manière à protéger la sécurité d’une entreprise et de ses opérations en cours.

La principale responsabilité qui incombe maintenant aux équipes informatiques n’est pas d’aller à l’encontre de cette tendance qui habilite les développeurs low-code en dehors des rôles informatiques traditionnels, mais de s’assurer qu’elles donnent à leur entreprise les bons outils pour que cela se fasse dans les règles. Les équipes informatiques doivent superviser la sélection de plateformes appropriées qui répondent aux normes de sécurité, de fiabilité, ainsi qu’aux standards légaux, et déployer la solution choisie dans l’ensemble de l’entreprise.

Alors, quand il s’agit de choisir une plateforme low-code, quels sont les domaines qu’il faut examiner et considérer en profondeur ?

Tout d’abord, il faut examiner les pratiques DevOps. Les outils low-code ne doivent pas se trouver en dehors des cadres de gouvernance appropriés. Voici quelques questions à poser à un fournisseur low-code :

  • Les utilisateurs peuvent-ils opérer selon un protocole dev/test/prod ?
  • Les nouvelles applications ou mises à jour peuvent-elles être examinées par une équipe de gouvernance avant d’être publiées ?
  • La plateforme analyse-t-elle les meilleures pratiques de développement et fournit-elle des recommandations aux développeurs ?
  • La plateforme assure-t-elle la création d’unités de tests et d’autres mises à l’épreuve pour valider une application avant publication ?
  • La plateforme détecte-t-elle automatiquement les erreurs de configuration de sécurité ?

De plus, les outils low-code fonctionnent souvent dans un modèle cloud et doivent être accompagnés de certifications de sécurité et de conformité. Les réglementations mondiales ont un impact sur toutes les organisations et les audits indépendants de certification en matière de sécurité sont un gage de confiance pour les acheteurs sur la fiabilité des plateformes. Les équipes informatiques doivent rechercher des certifications établies telles que :

  • SOC1, SOC2 et SOC3,
  • PCI-DSS pour le traitement des paiements et la sécurité des données,
  • ISO 27017:2015,
  • ISO/CEI 27001:2013.

D’autres normes de conformité peuvent également s’appliquer selon la région ou le secteur, notamment :

  • Certification HIPAA / HiTRUST pour les données patient US Healthcare,
  • FedRamp pour le gouvernement américain,
  • UK G-Cloud pour le gouvernement britannique,
  • GxP pour les sciences de la vie.

Si la sécurité est intégrée, les équipes informatiques ont l'assurance que les employés qui utilisent les outils travaillent selon des normes élevées dès le départ.

Autre critère essentiel : la disponibilité des logiciels et les options d’hébergement régionales. Les équipes informatiques doivent pouvoir compter sur des systèmes offrant des niveaux de disponibilité élevés, avec des garanties de délai, une reprise après sinistre et des plans de redondance des données. Rien n’est plus important que les données d’une entreprise. Les équipes informatiques ont donc besoin d’une plateforme qui fonctionne avec une sécurité et une intégrité élevée en tout temps. Pour les multinationales, l’hébergement géographique mondialisé est aussi un élément important. L’outil recherché doit répondre aux besoins de l’entreprise, qu’il s’agisse de veiller à ce que les données restent dans une région précise et ne soient plus transférées, ou qu’elles soient simplement disponibles dans plusieurs zones à l’échelle mondiale.

Enfin, il est nécessaire d’examiner la portée de la capacité d’une plateforme low-code. La première étape se situe en interne : quelles sont les exigences opérationnelles et quelle expérience numérique vos employés et clients doivent se voir offrir ? Par exemple, est-ce qu’il y a un besoin de créer des applications de type :

  • Applications mobiles,
  • Applications destinées aux consommateurs,
  • Applications destinées aux employés,
  • Gestion de cas ou bureau d'assistance,
  • Automatisation des processus et workflow,
  • Automatisation robotisée des processus et intelligence artificielle,
  • Règles commerciales complexes,
  • Applications qui combinent des données provenant de sources multiples,
  • Intégrations d’API.

La sélection d’une plateforme avec le plus large éventail de capacités assure une valeur maximale pour une entreprise sans avoir besoin de former et de maintenir plusieurs environnements.

L’ensemble de ces éléments permet de déterminer la plateforme la plus adaptée aux exigences et aux besoins de l’entreprise. Il s’agit ensuite de s’assurer que les utilisateurs en tirent le meilleur parti. Le low-code présente tellement d’opportunités pour les entreprises que les équipes informatiques jouent un rôle clé en permettant aux utilisateurs de construire des applications qui les aident dans leur travail. Aider les utilisateurs à comprendre comment y accéder de la bonne manière et leur fournir un accès à l’apprentissage et à la formation est donc essentiel. Il existe par exemple des groupes communautaires en ligne très actifs qui partagent leurs bonnes pratiques et aident les nouveaux adeptes des outils low-code à les appréhender. Les mêmes pratiques peuvent être mises en place au sein d’une entreprise, encourageant l’adoption et le développement du low-code.

Arrivées au bout de ce cheminement en examinant tous ces domaines – DevOps, sécurité, disponibilité, capacité, formation – les équipes informatiques peuvent enfin se reposer, se détendre et embrasser la liberté offerte par le low-code.