Principe Low-Code n°8, Gouvernance et contrôle : de bonnes barrières de sécurité permettent de bonnes applications

Passer au contenu principal

Principe Low-Code n°8, Gouvernance et contrôle : de bonnes barrières de sécurité permettent de bonnes applications

Gouvernance et contrôle

« Tu vas laisser pour qui do est ce que nous faisons? "

C'est la réaction de nombreux développeurs professionnels et responsables informatiques à l'idée de démocratiser le processus de développement avec Low-code et de laisser les développeurs « citoyens » non professionnels — analystes commerciaux, ingénieurs, experts du domaine et autres — créer des applications. Leur réaction suivante est souvent la suivante : si vous ne pouvez pas voir le code, comment pouvez-vous être sûr qu'un l'application adhère aux normes établies de l'entreprise, aux meilleures pratiques et aux considérations architecturales?

L’attitude protectrice de l’informatique à l’égard de son paysage technologique est née lorsque les ordinateurs sont arrivés pour la première fois entre les mains des utilisateurs « moyens ». Leurs inquiétudes étaient alors légitimes et le sont encore, dans une large mesure, aujourd’hui. Certains diront qu’avec l’évolution continue de la technologie à un rythme effréné, la nécessité de garder le contrôle de l’architecture, des outils et de la composante humaine est plus grande que jamais. Il n’est donc pas surprenant que le principe n°8 du Manifeste du Low-Code soit le suivant :

Gouvernance et contrôle :
Des processus et protocoles de gouvernance et de contrôle solides sont essentiels.

Les définitions sont importantes ici, car il existe au moins trois saveurs différentes de gouvernance low-code. La première concerne le respect des règles internes (meilleures pratiques, normes, normes culturelles) pour empêcher les gens de casser des choses. C'est notre sujet principal ici. Une autre concerne le respect des règles et réglementations externes, par exemple les exigences réglementaires spécifiques pour les applications financières. La troisième est la définition au niveau du DSI, qui consiste à s'assurer que la stratégie informatique soutient la stratégie commerciale et produit des résultats quantifiables. Bien que nous nous concentrions ici sur la première définition, il deviendra également clair que le low-code fait un travail remarquable en prenant en charge les définitions deux et trois.

Le contrôle, en revanche, signifie simplement contrôler, dans le sens où l'informatique contrôle ce qui se passe dans l'ensemble de l'écosystème technologique : qui est autorisé à accéder, où cette personne est autorisée à accéder, ce qu'elle est autorisée à faire, quels outils elle est autorisée à utiliser. L'informatique doit être aux commandes car elle est responsable de l'intégrité de l'ensemble de la pile technologique.

La frontière entre gouvernance et contrôle peut être un peu floue. Ces deux notions vont de pair. C'est pourquoi nous les considérons ensemble, comme un seul principe low-code.

Plus vous avez de liberté, plus vous avez besoin de gouvernance et de contrôle

L’un des grands avantages du low-code est qu’il invite un bassin de talents beaucoup plus large à participer à la création d’applications, y compris des types non techniques non formés au développement. Les utilisateurs professionnels peuvent s’essayer à la création d’applications ou élaborer leurs idées pour l’équipe technique. Les développeurs novices peuvent perfectionner leurs compétences en créant tout ce qu’ils peuvent imaginer. Et bien sûr, les développeurs chevronnés peuvent utiliser toutes les nouvelles technologies passionnantes pour repousser les limites de l’innovation. Le low-code offre aux créateurs de tous niveaux de compétence les outils nécessaires pour créer toutes sortes d’applications. Il leur donne la liberté de créer.

Mais ils ne peuvent pas avoir la liberté de créer des problèmes. Il est encore plus important de mettre en place des contrôles robustes pour le low-code que pour les plateformes de développement traditionnelles, précisément pour éviter que des créateurs d'applications inexpérimentés ou trop ambitieux ne causent par inadvertance des ravages sur les systèmes critiques de l'entreprise.

Lorsque vous avez une culture de l'innovation, vous devez disposer de garde-fous solides. Lorsque vous avancez rapidement, lorsque les équipes apportent des compétences diverses au processus, lorsque les équipes disposent de l'autonomie nécessaire pour exceller, c'est là que les contrôles sont d'une importance capitale.

Mais vous ne pouvez pas tout contrôler, et vous ne devriez pas le vouloir. Lier les mains de la créativité va à l'encontre de son objectif. Il s'agit d'un exercice d'équilibre délicat, liberté contre contrôle, innovation contre gestion des risques. La plateforme elle-même doit promouvoir et faire respecter l'équilibre approprié.

Prévenir, détecter, corriger

La maîtrise des risques repose sur trois aspects principaux. La prévention, bien évidemment, vise à empêcher les problèmes de se produire. La détection vise à trouver des problèmes potentiels ou réels. Et la correction, là encore, vise à réparer ce qui est cassé.

L'idée reçue est qu'il vaut mieux prévenir que guérir. Cette approche a pour inconvénient, et c'est un sérieux inconvénient, que si trop de contrôles sont intégrés, la créativité est étouffée et l'ensemble du processus ralenti, deux choses qui sont contraires à l'approche low-code. Le coût réel de la prévention ou le coût d'opportunité lorsque l'innovation est entravée peut être plus élevé que le coût en temps et en argent nécessaire pour effectuer une réparation.

L'approche low-code se concentre davantage sur la détection et la correction, en réservant la prévention uniquement aux choses qui peuvent causer de gros dégâts. L'idée est de minimiser l'impact (ou de « limiter le rayon d'explosion ») de toute erreur ou faux pas. Les microservices et architecture basée sur le cloud isole de manière inhérente les conséquences d'une erreur. Cela permet également d'identifier et de réparer le problème plus facilement et plus rapidement.

Cela dit, le low-code intègre des mécanismes de sécurité préventifs importants, notamment en contrôlant les outils auxquels les utilisateurs ont accès et en leur fournissant des éléments de base qui ne leur permettront pas de casser des objets. [« Ne donnez pas d’outils électriques aux jeunes enfants », comme le dit le dicton.]

Gouvernance et contrôle, style low-code

Le low-code, bien conçu, intègre tous les outils et conventions de gouvernance et de contrôle éprouvés du développement traditionnel, les met à jour et les enrichit avec les pouvoirs des technologies les plus récentes, notamment l'intelligence artificielle et l'automatisation. En général, le low-code est conçu pour permettre aux utilisateurs de faire facilement ce qu'il faut et de faire difficilement ce qu'il ne faut pas faire, et ce de trois manières importantes.

Pour commencer, le low-code prend en charge la plupart des choix techniques pour configurer l'application, ce qui évite au développeur d'avoir à le faire. Les tâches courantes et routinières sont automatisées, ce qui réduit le nombre de décisions à prendre et donc les erreurs à commettre.

Ensuite, tout au long du processus, l’intelligence artificielle guide le développeur sur les meilleures prochaines étapes et vérifie en permanence le travail.

Enfin, avec le low-code, l'ensemble du cycle de vie de l'application est imprégné d'un contrôle qualité automatisé. Boite être automatisé besoin à automatiser pour assurer la qualité et la conformité : contrôles de cohérence de tout, refactoring, contrôle d'identité, tests et surveillance continus, sauvegardes, beaucoup à.

Visibilité, aperçu, contrôle

Pour exercer une gouvernance et un contrôle efficaces, il faut de la visibilité. Si vous ne pouvez pas voir ce que font les gens, vous ne pouvez pas vous assurer qu'ils font ce qu'il faut. Grâce aux riches métadonnées du low-code, il n'y a pratiquement rien qui ne puisse être mesuré. Tout est traçable et vérifiable. Tout peut être vérifié. Tout peut être surveillé. Les informations obtenues aident non seulement les responsables informatiques à garder le contrôle, mais peuvent également les aider à s'assurer que tout le monde va dans la bonne direction pour obtenir un impact sur l'entreprise, afin de satisfaire à cette troisième définition de la gouvernance si chère aux DSI.

Ceux nouveau dans le low-code On part parfois du principe erroné que, parce qu'elle est si simple et rapide à utiliser, elle doit être légère en termes de gouvernance et de contrôle. En fait, c'est tout le contraire : elle offre toute la gouvernance et le contrôle des plateformes traditionnelles, et même plus (ce qui contribue également à la rendre rapide et facile à utiliser, pour compléter cette pensée circulaire).

Pour reprendre l'expression populaire : bougez vite et ne cassez rien. Le low-code vous soutient.

Choisissez votre langue