No code : comment faire face aux questions de sécurité ?
Quels sont les enjeux liés à la sécurité pour le no code ? Nous soulignons ici trois points de vigilance à observer et développons une réflexion sur la responsabilité de l'humain.
Sur un marché digital de plus en plus concurrentiel, les outils NoCode offrent la promesse de pouvoir créer des produits digitaux plus rapidement et à moindre coût. Ces technologies deviennent petit à petit des incontournables pour qui veut être le premier à se faire une place dans la course. Mais sont-elles aussi fiables que les technologies plus classiques ? Quels sont les risques pour les utilisateurs ? Et pour les développeurs ?
Pour répondre à ses questions, voici 3 points de vigilance à prendre en compte.
Confiance envers l’outil et ses composants tiers
L’éditeur de l’outil relève d’un risque majeur.
En effet si l’accès à l’éditeur de l’outil est compromis alors c’est toute l’application qui l’est.
De manière plus globale, un outil NoCode a été développé par des tiers, de ce fait, la pile technique qui le compose est invisible pour le développeur NoCode. Par défaut, il doit donc faire confiance à un outil sans avoir la visibilité sur sa construction et sur sa sécurité.
Et qu’en est-il des composants tiers ? Les outils NoCode ont du succès car ils peuvent être connectés avec quantité de plugins ou de composants qui les rend particulièrement adaptables et personnalisables. On se retrouve alors avec le même problème de confiance.
Pour des raisons évidentes, ses outils investissent en général massivement sur la sécurité car de cette sécurité découle l’utilisation pérenne de leur plateforme par des développeurs.
Il n’est clairement pas dans leur intérêt d’avoir des failles qui pourraient être exploitées.
Pour les composants tiers il conviendra alors si besoin, de redévelopper entièrement le composant en code traditionnel pour mieux contrôler le risque. Si ce nouveau développement n‘est pas possible, on optera alors pour identifier le créateur et s’assurer de la sécurité en allant chercher le code source.
La gouvernance des données et l’automatisation
Comment les outils NoCode mettent à disposition, accèdent ou utilisent les données des utilisateurs et les données des applications qui sont développées ?
La question se pose principalement dans deux cas :
Lors de tests, le développeur peut utiliser et stocker des données personnelles de l’utilisateur sans que ce dernier ne s’en aperçoive.
Lors d’une automatisation, on ignore où les données vont transiter et être stockées en passant d’un outil A à un outil B.
Le risque d’une fuite dans ces cas-là est relativement faible mais il existe bel et bien.
L’outil NoCode en panne
Si l’outil NoCode n’est plus disponible pour une raison ou une autre, il mettrait en grande difficulté une entreprise utilisant ses services. Quel est le temps de réaction du support si plus rien ne fonctionne ? Qu’advient-il alors des risques lorsqu’un outil est en statut Off ?
En général, les problèmes sont réglés en un temps record au vu de l’ampleur des dégâts potentiels sur l’ensemble de leurs clients.
L’humain : la plus grande faille ?
Dans la plupart des cas pratiques, la faille vient rarement de l’outil mais plutôt de l’humain qui s’en sert.
Une mauvaise connaissance de l’outil conduit à des risques évidents pour les développeurs et il convient de dire que les plateformes qui fournissent ces outils ont aussi un rôle d’éducation pour faciliter les bonnes pratiques.
Cela vaut aussi pour le client. Le rôle des agences ou des freelances sera aussi d’éduquer le client à l’utilisation de son nouveau produit développé afin de limiter les risques qu’il pourrait rencontrer en essayant de combler un besoin par lui-même. Il en va de leur responsabilité.
Pour conclure, on peut dire que le choix de la plateforme ou de son outil est important.
Il est conseillé de choisir un outil avec une bonne réputation, une communauté active et grandissante (signe que l’outil est fiable) et de s’assurer que la sécurité est prise au sérieux notamment via l’éducation sur la prise en main des outils.