Comment la gouvernance des applications low-code aide à protéger les données
Les développeurs d'applications low-code doivent adhérer aux politiques d'utilisation des données et des ressources. L'absence de gouvernance met en péril les budgets, la sécurité et la conformité. Il s'agit aussi de limiter la prolifération des données.
La gouvernance n'est pas une tâche facile, d'autant que les progrès technologiques facilitent l’accès au développement d'applications. Les plateformes de développement applicatif low-code (*) permettent ainsi aux développeurs de créer rapidement des applications via une interface graphique, en limitant très largement l’écriture manuelle de code. De la sorte, ces plateformes ouvrent également la discipline à des personnes sans expertise du développement ; on parle de citizens developers (citoyens développeurs). Et cela jusque dans les métiers au sein de l’entreprise.
Mais ce citizen developer adepte du low-code crée un défi inédit en matière de gouvernance. Dès lors, il faut prendre en compte tant l’identité de celui-ci que la technologie, pour créer une stratégie de gouvernance efficace.
Avec une gouvernance des développeurs, les organisations édictent des pratiques répondant aux exigences de sécurité et de conformité. La stratégie de gouvernance doit intégrer des contraintes stratégiques et technologiques qui s'appliquent au travail accompli et à la manière dont il l’est. Il faut adapter cette approche au degré d’expertise IT des personnes utilisant la plateforme de développement low-code.
Pour autant, une telle gouvernance n'est pas possible sans supervision, quel que soit l'auteur du développement. Ainsi, les DSI devraient définir et faire respecter les contraintes des politiques définies. De plus, ils devraient choisir des outils low-code qui réduisent d’une part, le risque de non-conformité aux contraintes stratégiques et d’autre part, facilitent l’audit des applications développées. Les exigences de gouvernance et les contraintes définies peuvent aider à réduire trois principaux risques : la duplication et l'incohérence des données, l'insécurité des données et la prolifération des ressources IT ou leur utilisation inefficace.
Définir des politiques pour les données
Selon une étude de CIMI Corp., la gouvernance des données est peut-être là le plus grand défi. Les organisations devraient stocker les données en un seul lieu pour éviter les incohérences, ainsi que les problèmes de duplication et de synchronisation. Les citizens developers ne devraient pas créer de bases de données, sauf sur une base transitoire ; leurs activités devraient se concentrer sur l'analyse et le reporting. S'il est nécessaire de créer une base de données personnalisée, la DSI devrait la créer et la partager. Cela, pour éviter la duplication des données, assurer la conformité avec les politiques internes, ou encore la réglementation.
Les règles de sécurité et de conformité des données peuvent limiter la création de celles-ci ou les relations spécifiques entre éléments. Par exemple, une organisation ne doit pas concevoir une application associant le nom et l'adresse d'un employé à un numéro de sécurité sociale, sauf dans une base de données protégée. La violation de telles contraintes crée des vulnérabilités et des risques juridiques pour les entreprises. L'application de la conformité est un problème difficile à résoudre avec les plateformes low-code car leur analyse peut nécessiter l'exploration de champs de données et de combinaisons qui présentent des risques de conformité.
Pour faire face à ces risques, il faut limiter l'accès des développeurs aux bases de données qui contiennent des données sensibles et exiger une approbation pour accéder à ces bases, au-delà des applications cœur de métier qui les gèrent.
Quelques plateformes low-code limitent la création et l'utilisation des bases de données. Il est conseillé d'utiliser un modèle d’entrepôt de données indépendant qui serve à la fois de référentiel et de socle d'analyse. La plupart des entreprises utilisent le traitement parallèle de données pour recueillir l'information, puis la valider et l'analyser. Lorsque l’on utilise un entrepôt de données conjointement à une plateforme low-code, il est possible d’appliquer des contrôles de gouvernance stricts. La stratégie de gouvernance des données et le choix des outils d'entreposage doivent répondre au type de données que l’on prévoit d’analyser, qu'elles soient structurées ou non, en temps réel ou archivées.
Une fois mise en place une stratégie d’entrepôt de données, il devient possible d’évaluer une gamme plus large d'outils low-code provenant de fournisseurs comme Appian, Bonitasoft, Nintex et OutSystems. Mais avant de mettre en œuvre la politique de gouvernance, il faut toujours analyser le mode opératoire de l’entrepôt de données pour s'assurer de sa conformité.
Choisissez une plateforme et n’en changez plus
Pour mettre toutes les chances de votre côté, concentrez-vous sur une seule plateforme low-code ; ne laissez pas les personnes concernées choisir la leur.
Il est presque impossible d'imposer une gouvernance low-code lorsque plusieurs métiers choisissent des plateformes différentes.
Il est généralement plus pratique de sélectionner une plateforme flexible, offrant une gamme d'options low-code pour répondre aux différentes exigences applicatives, afin de s'assurer que vous pouvez utiliser un seul produit dans l'entreprise.
Des outils comme Pega Platform, OutSystems, Mendix et Betty Blocks proposent des approches flexibles qui intègrent le citizen development, l'utilisation professionnelle et la supervision.
Optimiser l’utilisation des ressources
L'utilisation des ressources et l'efficacité présentent des défis spécifiques en matière de gouvernance low-code. Notamment, si l’on considère que le groupe de surveillance ne doit pas paralyser les projets. Le développement accéléré d'applications, jusqu’au citizen development, tend à encourager les développeurs d'applications à prendre des décisions moins discriminatoires. Quelques équipes produisent dans leurs entreprises des milliers d'applications low-code en une seule année, ce qui augmente considérablement la consommation des ressources informatiques. La gouvernance des infrastructures informatiques peut justifier que l’acceptation de la demande d’une nouvelle application par un service, soit conditionnée à ce que son développement soit optimisé en vue d'une réutilisation possible.
La rigueur dans la gestion de projet est la clé de la gouvernance des ressources. Chaque développeur citoyen et professionnel utilisant une plateforme low-code doit valider son projet avec le groupe de supervision qui en évaluera l’utilité en regard des ressources requises, pour encadrer l’approche et assurer la conformité avec les principes de gouvernance des données.
Le choix de l'outil est important mais ne doit pas faire oublier les défis de la gouvernance d’applications low-code. En l'absence d'une supervision, le citizen development entraîne presque toujours des problèmes, quelle que soit la façon dont on utilise plateformes et les outils. Le groupe de surveillance doit également veiller attentivement à l'utilisation de ces plateformes et outils. Le but est de permettre à un plus grand nombre de personnes de développer davantage d'applications dans leur travail ou pour leurs clients. Mais ce choix doit intégrer les coûts, la sécurité et la conformité.
* low-code : ce concept désigne des plateformes permettant à n’importe quel utilisateur de créer simplement son application, sans connaissances spécifiques.