Ulrich Fischer
No-code, sécurité et données sensibles
Les responsables et les services informatiques sont fréquemment préoccupés par la protection de leurs données. Ils ont tendance à penser que les plateformes sans code ne sont pas suffisamment sécurisées lorsque des informations sensibles sont en jeu.
La sécurité est une priorité importante, et tout à fait justifiée, pour les organisations lorsqu'elles développent des applications et gèrent des données. Les violations de données sont quelque chose qu’elles souhaitent absolument éviter. Et dans certains domaines comme la santé ou la finance, elles doivent constamment respecter des réglementations strictes. De ce fait, les plateformes "no-code" et "low-code" sont souvent accueillies avec une certaine réserve.
Sont-elles dotées de mesures de sécurité comme le cryptage, les contrôles d'accès ou les pistes d'audit ? Qu'en est-il du manque de contrôle lorsque des personnes non techniques créent des applications ? On pourrait penser que la création de prototypes d'applications est une chose, mais développer des applications d'entreprise qui gèrent les données des clients est une toute autre affaire.
Cette pensée a une part de vérité. Cependant, la situation n'est pas aussi tranchée qu'elle en a l'air. Examinons cela de plus près.
Le renforcement de la sécurité des données correspond-il vraiment à vos besoins ?
On peut diviser les plateformes sans code en outils destinés au grand public (par exemple, Bubble, Adalo, Glide) et en outils d'entreprise (par exemple, Stacker, Internal, Betty Blocks). Les outils d'entreprise sont généralement très efficaces en matière de sécurité, d'audit et de protection des données. Cependant, ils ont tendance à être moins performants en termes de fonctionnalités par rapport aux outils grand public. C'est pourquoi l'une des premières questions à se poser est de savoir quel type de plateforme convient à votre cas d'utilisation. Par exemple, si vous cherchez simplement à créer des prototypes d'applications, qui ne contiendront pas de données sensibles, vous pouvez opter pour des plateformes grand public qui vous permettent d'aller vite et de construire rapidement.
Betty Blocks convient aux données sensibles
Créer des applications prêtes pour l'entreprise sans code
Pour créer des outils internes qui sont susceptibles de traiter des données clients, vous devriez vous tourner vers des outils de niveau entreprise. Chacune de ces plateformes a une approche différente en termes de sécurité et de protection des données sensibles. Pour déterminer si elles peuvent traiter vos données avec la sécurité nécessaire, il y a deux domaines différents à examiner :
1. Faites-vous confiance à l'entreprise ?
Il ne s'agit pas seulement d'avoir une bonne impression de l'équipe de vente, mais de connaître tous les détails. Les questions à poser sont les suivantes : Sont-ils conformes aux normes SOC 2 et GDPR ? Vous donnent-ils la possibilité d'héberger vos données dans vos locaux ou devez-vous utiliser leur cloud ? Les données sont-elles hébergées dans un pays qui vous convient ? La plateforme dispose-t-elle d'une équipe de sécurité ? Si vous obtenez des réponses positives à ces questions, vous aurez l'impression qu'ils ont l'habitude de travailler avec des entreprises dont les données sont sensibles. En fait, vous essayez de vérifier qu'ils prennent au sérieux les entreprises clientes.
2. La plate-forme est-elle conçue comme vous le souhaitez ?
Il est temps d'examiner les détails de la plateforme elle-même. Une plateforme comme Stacker, par exemple, est très performante en matière de contrôle d'accès pour les rôles à un niveau granulaire - vous pouvez donc définir ce qu'un utilisateur individuel peut ou ne peut pas voir. Cela peut être important pour votre organisation. Vous recherchez probablement quelques exigences minimales en matière de sécurité :
- Un tableau de bord centralisé permettant à un membre de l'équipe informatique de gérer des centaines d'utilisateurs et de s'assurer que les bonnes personnes y ont accès. Avec un niveau granulaire de permissions pour le sécuriser.
- Journaux d'audit : lorsque quelqu'un modifie une donnée, vous savez exactement qui l'a fait et vous pouvez tout retracer.
- La capacité d'intégration avec les services et les données que vous utilisez déjà. Ainsi, si les données de vos clients se trouvent sur un serveur SQL mais que la plateforme que vous envisagez ne prend en charge que Airtable ou Microsoft Excel, elle ne vous conviendra pas.
Outil sans code, Stacker
Les avantages des plateformes sans code en matière de sécurité
Si votre organisation décide de créer une application en interne, elle doit également la sécuriser en interne, ce qui peut être complexe. Par contre, une plateforme sans code dispose d'une équipe de sécurité prête à s'occuper de ce travail. Et cette équipe ne travaille pas seulement pour votre compte, mais elle se renseigne également sur les problèmes et les bogues rencontrés sur de nombreux comptes. Il est probable que la plateforme ait les moyens financiers nécessaires pour investir dans la création de l'application la plus sûre et la plus stable possible. Comparez cela à votre service informatique, qui ne peut probablement pas investir correctement dans la sécurité d'une petite application interne.
Vous aurez également une équipe d'assistance qui pourra vous aider à construire l'application de manière correcte, en évitant les vulnérabilités. En fin de compte, les erreurs de sécurité sont plutôt rares lorsque vous construisez avec des plateformes sans code, car l'outil sans code est fondamentalement conçu pour éviter les failles de sécurité courantes que l'on rencontre dans les logiciels internes.
Secteurs où les choses se compliquent
Nous avions dit qu'il y avait un soupçon de vérité dans ce mythe, le voici. Dans certains secteurs très réglementés (par exemple, la santé, les services financiers, l'armée), vous aurez probablement besoin d'une plateforme sans code auto-hébergée qui vous permet d'héberger vos données et d'en avoir le contrôle total. Cela limite considérablement les choix disponibles. Des outils comme Bubble, Adalo et Zapier ne conviennent pas ; vous devrez plutôt vous tourner vers des plateformes comme Betty Blocks, Retool, JetAdmin et N8N.
D'autre part, il y a des secteurs d'activité qui sont soumis à des réglementations très spécifiques. Par exemple, dans le secteur de la santé aux États-Unis, les entreprises doivent s'assurer qu'elles sont conformes à la loi HIPAA. Il est très difficile de trouver aujourd'hui une plateforme sans code qui prenne cela en charge. Il vaut certainement la peine de s'adresser à des outils de niveau entreprise pour voir ce qu'ils peuvent faire, mais en fin de compte, il n'y a pas beaucoup de soutien à l'heure actuelle pour les industries très réglementées et très spécifiques.
A retenir
Il est trop simpliste de dire que les plateformes sans code ne sont pas capables de gérer des données sensibles. À moins que vous n'opériez dans un secteur hautement réglementé - et que votre cas d'utilisation nécessite réellement de manipuler des données sensibles - il existe de nombreuses plateformes de qualité professionnelle conçues pour répondre aux besoins d'une organisation. En fait, la sécurité qu'elles peuvent offrir est souvent l'un des principaux avantages de l'utilisation de la plateforme. L'essentiel est d'évaluer soigneusement les niveaux de sécurité dont vous avez besoin et de vérifier si la plateforme que vous avez trouvée est compatible.
Atténuation des risques
Il existe des mesures assez simples pour minimiser les risques de sécurité :
- Travailler avec des logiciels provenant de fournisseurs fiables et dignes de confiance.
- S'assurer de la disponibilité de certificats de plate-forme confirmant la conformité aux normes internationales de sécurité des logiciels.
- Contrôler l'accès : définir qui peut accéder à la plateforme et quelles actions sont autorisées.
- Instaurer une protection supplémentaire pour les données essentielles.
- Utiliser des services cloud éprouvés pour héberger les outils sans code ainsi que les applications prêtes à l'emploi (par exemple, AWS, Google et Microsoft Azure sont considérés comme fiables).
- Éviter de stocker des données sensibles dans des applications sans code, comme les numéros de carte de crédit, les mots de passe et les informations personnelles.
- Si le stockage de ce type de données est nécessaire, les encrypter et les stocker dans un lieu sûr.
- Garder les logiciels à jour afin d'assurer une protection optimale de vos données.