Contenu principal

Low-Code : Cybersécurité pratique et efficace

""
Technologies & Innovation
13 avril 2024

Le Low-Code/No-Code est né au début des années 1990 avec la volonté de faciliter l'accès au développement informatique et de permettre à des profils divers de prendre une part plus importante dans la construction de solutions tout en réduisant les besoins de programmation. Aujourd'hui, de nombreuses solutions Low-Code sont disponibles sur le marché, telles que Powerapps, AppSheet, Bubble, Mendix ou encore Appian. Ces plateformes sont suffisamment matures pour permettre le développement complet d'applications, de la conception à la mise en production.

Cybersécurité dans le Low-Code

Le marché du Low-code fait actuellement face à plusieurs tendances :

  • Expansion de l'adoption
  • Intégration de solutions d’IA
  • Collaboration entre les Développeurs et les Métiers

La facilité du low code introduit des vulnérabilités en matière de cybersécurité si les aspects de sécurité ne sont pas pris en compte dès la phase de conception.

Bricks Builder sous WordPress : Une Faille de Sécurité Majeure Révélée en Février 2024

Février 2024, une faille de sécurité a été détectée dans le WordPress dans le thème Bricks Builder qui utilise du low code, affectant plus de 25 000 sites web. La vulnérabilité repérée est une faille d’exécution de code à distance, qui permettait aux hackers d’exécuter des commandes.

La gravité de la faille a été mesurée à 9,8 sur 10 sur le standard d’évaluation de la criticité des vulnérabilités.

Après identification, la recommandation implique aux utilisateurs du thème WordPress, y compris ceux utilisant des approches low code / no code, de mettre à jour dès que possible pour remédier à cette menace (Communiqués – Briques (bricksbuilder.io)).

Malgré un correctif rapide, plusieurs entreprises ont été touchées, compromettant la confidentialité des données et leur conformité réglementaire.  Il est nécessaire que les organisations mettent en place des mesures pour garantir un développement low-code sécurisé.

Stratégies pour Renforcer la Sécurité dans le Développement Low-Code

La cybersécurité revêt une importance cruciale lors des recettes d'application. Sans une approche rigoureuse de la cybersécurité, les applications low-code/no-code peuvent être exposées à des risques tels que les failles de sécurité, les fuites de données et les violations de la vie privée des utilisateurs.

Un exemple de l'importance de la cybersécurité lors des recettes d'application est celui d'une entreprise qui a lancé une nouvelle application low-code pour gérer les données clients. Les testeurs ont découvert une vulnérabilité qui permettait à des utilisateurs non autorisés d'accéder aux informations personnelles des clients. Grâce à une intervention rapide, la faille a été corrigée avant le déploiement, évitant ainsi une violation potentielle du RGPD et des conséquences juridiques graves.

Protéger les applications Low Code : Bonnes pratiques et conformité RGPD

Nous voyons donc qu’il est essentiel de mettre en place des bonnes pratiques pour pallier ces failles dans le low code.

Inventaire des vulnérabilités régulièrement : Consulter des bases de données de vulnérabilités, comme CVE ou des rapports de sécurité publiés par des organismes de sécurité informatique réputés tels que CERT, pour rechercher des informations sur des incidents de sécurité spécifiques, y compris ceux liés au Low Code :

  • Évaluer les risques
  • Sensibilisation à la sécurité
  • Gestion des accès
  • Surveillance et détection des menaces
  • Mises à jour et correctifs
  • Tests de sécurité
  • Conformité réglementaire

Cette conformité est ce qu’on appelle la RGPD (Règlement Général sur la Protection des Données). Ces applications restent toujours vulnérables en raison de plusieurs facteurs :

  • Gestion des Données
  • Sécurité des Données
  • Gestion des Consentement
  • Transparence et traçabilité

Anticipations des défis émergents

À mesure que les solutions d'IA se développent et s'intègrent aux plateformes de Low Code déjà en place, il devient impératif de renforcer les moyens de sécuriser ces développements. L'évolution rapide de ces technologies permet de nouvelles abstractions dans le processus de développement. Cependant, cette abstraction accrue entraîne également une opacité croissante dans le code généré qui peut échapper au contrôle des DSI.

Cette transformation de parties du code en boîtes noires peut potentiellement introduire des vulnérabilités de sécurité et des risques de conformité.

Dans ce contexte, il est crucial de mettre en place un cadre clair et des restrictions appropriées pour garantir que les développements Low Code restent sécurisés. Cela implique non seulement d'établir des protocoles de sécurité robustes, mais aussi de promouvoir une culture de responsabilité et de transparence dans le processus de développement.

En conclusion, pour garantir des développements Low Code sécurisés dans un environnement en constante évolution, il est impératif de mettre en place des mesures proactives et de favoriser une culture de sécurité et de transparence.

Le sujet vous intéresse ? Nos experts vous répondent

Nosing DOEUK
Nosing DOEUK
Senior Partner - Directeur de l'Offre Innovation et Technologies

L'innovation est la clé vers la réussite de la plupart des projets car nous constatons des mutations qui touchent tous les secteurs. Nous bénéficions d'une expertise technologique et méthodologique pour accompagner nos clients dans ce challenge plus que stimulant.

Auteur Salsabil DAFRANE
Salsabil DAFRANE
Consultante