« L’approche Low-Code/No-Code : un levier pour sécuriser les produits applicatifs à chaque étape de leur cycle de vie »

[TRIBUNE d'Adeline Gallet-Weisz, Magellan Consulting] Face à l’accélération du cycle de vie des projets et la demande croissante de prédictibilité, les Directions des Systèmes d’Informations et du Numérique (DSIN) doivent garantir vitesse, conformité et fiabilité des livrables, afin d’être des partenaires fiables pour les directions métiers. Dans ce cadre, les approches Low-Code/No-Code (LCNC) et plus particulièrement les plateformes intelligentes, apportent une réponse pragmatique à cette équation. Explication d’Adeline Gallet-Weisz, Senior Manager SI & Projets chez Magellan Consulting (Groupe Magellan Partners).

Tout le monde a lu le rapport Gartner selon lequel, d’ici 2027, plus de 70 % des nouvelles applications d’entreprise seront développées à l’aide de plateformes Low-Code ou No-Code. Mais au-delà de la rapidité, c’est la maîtrise du cycle de vie des applications qui doit séduire les DSIN.

En premier lieu il s’agit de sécuriser le cadrage en adoptant une approche de type “design & build en continu”. Car on le sait, 47% environ des projets IT échouent souvent pour une raison simple : le besoin métier est mal compris ou mal traduit.

Pourtant ce risque est facilement gérable si les DSIN avaient beaucoup plus recours aux plateformes LCNC pour faire des prouves de concept (POC, Proof of Concept) rapides dans cette phase critique de début de projet.

Au-delà de leur capacité à permettre aux DSIN de valider le concept, ces prototypes permettent aux Directions métiers de visualiser immédiatement le rendu final et manipuler une première version de leur futur outil en quelques jours. Ce qui réduit les risques de dérive fonctionnelle et budgétaire, limite les malentendus, accélère la validation des besoins et surtout améliore drastiquement la relation DSIN/Métier qui entretien une approche de co-construction plus efficace et aspirationnelle.

Dans ce contexte, la DSI garde la main sur l’architecture, les règles de sécurité et l’intégration aux systèmes existants (gouvernance de la donnée, conformité RGPD…) et le le métier, lui, est tout de suite projeté vers son futur outil de travail et est acteur de sa trajectoire.

A ce niveau, il est recommandé d’utiliser des environnements isolés et des jeux de données anonymisés et de définir des processus clairs de validation, d’archivage et de priorisation des maquettes.

Parmi les plateformes existantes pour cette approche on peut citer Microsoft Power Platform (avec Power Apps et Power Automate) pour le prototypage d’applications métiers, workflows automatisés, dashboards simples, Bubble pour la création rapide d’applications Web complètes (MVP, marketplace, back‑office) sans code et Figma + Plugins LCNC pour des maquettes interactive et de prototypage des interfaces avant développement, OutSystems et Mendix, outils orientés gouvernance et performance, appSheet ou Glide pour les usages métier légers et mobiles.

Valider sa cible technologique et industrialiser les bonnes pratique

En second lieu, il s'agit de valider sa cible technologique et d'industrialiser les bonnes pratiques Les plateformes LCNC reposent à ce niveau sur des modèles préconstruits et des composants validés qui intègrent les bonnes pratiques de sécurité et de qualité logicielle.

Ces éléments - formulaires, connecteurs, API, modules d’authentification...- doivent respecter les standards de sécurité (OWASP, ISO 27001, RGPD). Chaque composant est testé, versionné et mis à jour automatiquement, ce qui évite la prolifération de dépendances non maîtrisées, fréquente dans les développements classiques.

Ici, les plateformes LCNC, lorsqu’elles sont bien utilisées, ont l’avantage de limiter les risques d’erreur humaine et d’assurer une cohérence technique entre projets. Certaines plateformes intelligentes (comme Pega, Power Platform, Mendix) intègrent même nativement une approche de type DevSecOps. A savoir que chaque étape du cycle - développement, test, intégration, déploiement - est automatisée et auditée.

Concrètement, les pipelines CI/CD embarquent des tests de sécurité et de performance, les builds et les déploiements sont signés, tracés et réversibles, les environnements de développement, de recette et de production sont isolés et synchronisés automatiquement, réduisant le risque d’erreurs manuelles.

Pour les DSI, c’est une garantie que chaque application respecte un cadre de sécurité, même si elle est partiellement développée par un tiers.

Côté métiers, c’est une autonomie contrôlée où l’innovation n’est plus perçue comme une prise de risque.

Néanmoins, à la fin de toute phase de conception, et avant le début de développements trop poussés, il appartient aux DSIN de s’assurer du niveau de dépendance requis par la plateforme choisie. En effet, certaines solutions LCNC sont propriétaires de leur code : un cadrage trop poussé dans un outil non pérenne peut créer un verrou technologique.

Sécuriser la maintenance et l'évolutivité

Troisième aspect, important il s’agit de sécuriser la maintenance et l’évolutivité, i.e de disposer d’une architecture maîtrisée dans le temps. Car l’un des défis majeurs des projets IT reste leur maintenance. Un code mal documenté ou dépendant d’un développeur unique crée une dette technique difficile à rattraper.

L'approche LCNC offre à ce niveau un alternative : les applications sont visuellement documentées et construites à partir de composants standardisés. En allant plus loin, si l’on fait appel à des plateformes intelligentes permettant du vibe coding (*), il est possible (et même fortement recommandé !) de leur demander d’ordonner le code généré et de le commenter.

Ainsi, la reprise par un autre développeur est facilitée. Les mises à jour sont gérées automatiquement par la plateforme et les évolutions - comme par exemple l’ajout d’un flux de données oou l’intégration de l’IA - peuvent être testées sans impacter la production. Ce qui sécurise non seulement la pérennité des applications, mais aussi la traçabilité des données et des accès, enjeu clé de conformité (RGPD, audit interne, etc.).

Renforcer la sécurité opérationnelle

Enfin, quatrième point à respecter, l’exploitation, la supervision et le monitoring afin de renforcer la sécurité opérationnelle Au‑delà de la conception et du développement, l’exploitation constitue ici une étape clé pour garantir la sécurité et la fiabilité des applications Low-Code / No-Code.

Les plateformes modernes offrent à ce niveau des capacités avancées de monitoring centralisé, permettant aux DSI de superviser les applications de la même manière que les développements traditionnels.

La plupart disposent d'une connexion native aux outils de supervision et aux SIEM (Security Information and Event Management) en proposant des connecteurs autorisant l'export des logs et des événements vers une plateforme centrale de supervision (Splunk, Datadog, Elastic, Sentinel, QRadar, etc.).

Cela inclut les logs d’accès et d’authentification, les journaux d’exécution des workflows, les appels d’API et leurs métriques de performance, les erreurs applicatives ou techniques.

Cette intégration permet de replacer les applications LCNC dans la chaîne de monitoring globale du système informatique garantissant une observabilité équivalente aux applications développées en code traditionnel. Avec à la clé un système d'alertes et de détection proactive des incidents en reliant les logs de la plateforme au SOC ou au service de supervision.

Ces alertes automatiques peuvent être configurées - anomalies d’accès, hausse brutale du nombre d’appels API, erreurs récurrentes, comportements suspects - l’équipe IT bénéficiant alors d’une visibilité en temps réel sur l’état des applications, avec des incidents qui peuvent être identifiés avant qu’ils n’aient un impact sur les utilisateurs.

Ce monitoring avancé doit permettre aux entreprises de constater une baisse du MTTD (Mean Time To Detect). Les anomalies sont repérées plus rapidement grâce à des alertes automatisées et aux logs centralisés et une réduction du MTTR (Mean Time To Repair).

A ce niveau, les plateformes LCNC fournissent une traçabilité détaillée permettant d’isoler rapidement la cause d’un dysfonctionnement (workflow, connecteur, règle métier, API, authentification…). Combinée à l’automatisation DevSecOps des plateformes, cette supervision renforce la résilience opérationnelle et diminue le risque d’incidents prolongés.

Gouvernance et cohabitation : un modèle hybride gagnant

Le succès du LowCode / NoCode repose au fond sur une gouvernance claire. L’exploitation est certes simplifiée mais elle doit être gouvernée. L’un des principaux intérêts du LCNC est que la plateforme gère elle‑même une grande partie des sujets techniques (scalabilité, disponibilité, mises à jour).

Toutefois, les DSIN conservent un rôle essentiel : au lieu de devenir un "goulot d’étranglement" elles deviennent l’orchestrateur de l’innovation. Il est ainsi essentiel qu’elles gardent le contrôle grâce à des environnements séparés (dev/test/prod), des stratégies de logs unifiées, des accès administrés, des tableaux de bord consolidés pour piloter l’activité LCNC.

In fine, avec l’approche Low-Code/No-Code, les DSI ne “lâchent pas la main”, mais elles orchestrent un nouvel écosystème où les développeurs conçoivent des applications simples et locales, les équipes IT valident, industrialisent et intègrent les projets stratégiques, les règles de sécurité et d’architecture sont centralisées et automatisées.

On passe ainsi d’une logique de contrôle à une logique de confiance encadrée. C’est cette approche hybride - entre liberté et rigueur - qui rend le LCNC durable dans les grandes organisations.

Le LowCode / NoCode transforme le paradigme des projets IT et plus précisément la construction d’applicatifs. Il ne s’agit plus seulement de développer plus vite, mais de développer plus sûr, en réduisant les frictions entre métiers et DSI, en standardisant la qualité et en automatisant les contrôles. Le LCNC devient alors un moyen de réconcilier l’agilité et la gouvernance, deux piliers souvent perçus comme opposés. Il ne remplace pas les développements traditionnels mais les complète en sécurisant chaque étape du cycle de vie projet, dans une logique d’innovation maîtrisée.

Les entreprises qui réussiront cette intégration ne seront pas simplement plus rapides à livrer : elles seront aussi plus robustes, plus auditables et plus innovantes.

(*) Le vibe coding est une technique de programmation utilisant l'intelligence artificielle générative pour écrire du code informatique.

« L’approche Low-Code/No-Code : un levier pour sécuriser les produits applicatifs à chaque étape de leur cycle de vie »

Partager cet article

Kuzzle renforce les fonctionnalités de sa plateforme IoT en open source avec des plug-in "no code"

Kontron mise sur le “low code” pour l'intégration d'interfaces de machines entre l’OT et l’IT

Selon une enquête de Mendix, l’approche "low code" est amenée à supplanter la programmation traditionnelle d’ici 2024

Apprentissage automatique, programmation “no code”… Les tendances actuelles de la robotique sont favorables aux petites entreprises

« L’approche Low-Code/No-Code : un levier pour sécuriser les produits applicatifs à chaque étape de leur cycle de vie »

Partager cet article

Kuzzle renforce les fonctionnalités de sa plateforme IoT en open source avec des plug-in "no code"

Kontron mise sur le “low code” pour l'intégration d'interfaces de machines entre l’OT et l’IT

Selon une enquête de Mendix, l’approche "low code" est amenée à supplanter la programmation traditionnelle d’ici 2024

Apprentissage automatique, programmation “no code”… Les tendances actuelles de la robotique sont favorables aux petites entreprises

Recevez notre newsletter