histats

Pourquoi le développement d’applications low-code/no-code comporte des risques de sécurité inhérents

Pourquoi le développement d’applications low-code/no-code comporte des risques de sécurité inhérents

De nombreuses organisations s’appuient désormais sur des plates-formes de développement d’applications low-code/no-code pour répondre de manière rentable à une variété de besoins applicatifs dans divers aspects des opérations commerciales. Une enquête récente a montré que 47 % des organisations utilisent déjà ces technologies, tandis que 20 % de celles qui ne les utilisent pas expriment leur intention d’adopter la technologie dans les 12 prochains mois.

La tendance low code/no code change la façon dont les organisations créent des applications pour leurs besoins.

Les entreprises peuvent utiliser des plateformes de développement low-code/no-code pour créer des applications qui numérisent et automatisent les processus manuels et papier. Ils peuvent être utilisés pour développer des outils d’engagement client. Ils peuvent créer des applications qui facilitent le partage de données avec des partenaires commerciaux.

En effet, la technologie low/no code met le pouvoir entre les mains des utilisateurs professionnels, qui sont les mieux placés pour décider de ce que l’entreprise doit construire ensuite. Maintenant, ils ont le pouvoir de le construire eux-mêmes.

Comme pour toutes les grandes vagues technologiques, l’innovation peut également entraîner de nouveaux risques, et la technologie low-code/no-code ne fait pas exception. Les risques pour la sécurité du développement résidentiel sont réels et peuvent l’emporter sur les avantages.

En relation : L’évolution du développement low-code/no-code

Voici un résumé des différents points qui mettent en évidence la propension au risque du développement d’applications low-code/no-code et des applications qui en résultent.

La responsabilité partagée de la sécurité des applications

Comme le cloud public, les plates-formes no-code/low-code facilitent et accélèrent le développement d’applications et d’automatisations (pour différents utilisateurs et différents cas d’utilisation), mais cela a à nouveau un coût de sécurité.

Les plateformes LCNC sont chargées de s’assurer que leurs plateformes ne peuvent pas être piratées. Le problème auquel les organisations sont confrontées concerne la manière dont les développeurs professionnels et citoyens utilisent ces plates-formes et la manière dont ils créent/déployent des applications et des automatisations. Il s’agit également de la logique métier qui est mise en œuvre.

Lorsqu’un développeur professionnel ou citoyen crée une application qui expose une organisation à des risques de sécurité ou de conformité, comme une application qui expose les informations d’identification de l’administrateur à n’importe quel utilisateur, ou une automatisation qui déplace des données sensibles vers un emplacement non contrôlé, ou une application qui gère mal les PII — s’il est de la responsabilité de l’organisation de suivre ces menaces et de prendre des mesures correctives.

See also  3 clés pour se défendre contre l'escalade des cyberattaques

Le manque de visibilité conduit à une gestion impossible

L’un des problèmes du développement no-code/low-code est le manque de visibilité des équipes de sécurité. En tant qu’expert en sécurité cloud Chris Hugues explique : “Vous utilisez le logiciel et ne connaissez donc pas le code source, les vulnérabilités associées ou potentiellement le niveau de test et de rigueur auquel la plateforme a été soumise.” C’est parce que les plates-formes font abstraction du “code”, de sorte que vous ne pouvez pas activer les méthodes traditionnelles qui reposent sur l’inventaire et l’analyse du code.

Connexes : les développeurs low-code signalent des niveaux plus élevés de satisfaction au travail

Les plates-formes sans code/low code sont partout ; Des solutions SaaS déjà disponibles dans l’entreprise telles que celles de Microsoft, Salesforce ou ServiceNow, aux plateformes telles que Zapier qui sont utilisées directement dans l’entreprise. Les équipes de sécurité n’ont aucun moyen de savoir ce qui est utilisé, qui sont les fabricants, si des applications critiques pour l’entreprise sont développées avec de tels outils et si elles impliquent des données sensibles.

Comment les équipes de sécurité peuvent-elles sécuriser et gérer ce qu’elles ne peuvent pas voir ?

Pour relever ce défi de manque de visibilité et de difficulté de gouvernance, la solution la plus viable consiste à choisir une plate-forme low-code/no-code dotée de fonctionnalités prenant en charge la visibilité, telles que la possibilité de s’intégrer aux contrôles de sécurité existants ou à des tiers des outils de validation de sécurité basés sur le cloud. L’intégration avec des solutions ou des plates-formes de sécurité est importante pour pouvoir suivre les applications low-code déployées, en particulier les données qu’elles génèrent, traitent, stockent et transmettent.

Shadow IT écrasant

Au rythme où les applications low-code/no-code sont progressivement supprimées, en particulier dans les grandes organisations complexes, les entreprises ne devraient pas être surprises de voir leur informatique fantôme croître de plus en plus. Une étude de Groupe Everest indique que le shadow IT représente 50 % ou plus des dépenses informatiques. Cela n’augure rien de bon pour la cybersécurité, surtout si l’on considère les prédiction qu’environ 30 % des failles de sécurité peuvent être attribuées au shadow IT.

En relation: La première journée sans code met en lumière le secteur des applications en pleine croissance

See also  Des pirates informatiques déploient de fausses applications d'achat pour voler les données bancaires des utilisateurs malaisiens

Pour souligner, le shadow IT concerne l’utilisation de systèmes informatiques, du matériel au logiciel, qui n’ont pas l’approbation explicite ou claire du service informatique. C’est ce qui se passe généralement avec le développement et l’utilisation d’applications low-code/no-code. Il serait inapproprié de supprimer le code faible/aucun code avec le problème du shadow IT.

Le Shadow IT n’est pas bon pour les organisations pour de nombreuses raisons. Plus particulièrement, il en résulte ce qui suit :

  • L’incapacité de connaître et de surveiller les ressources informatiques suggère que l’on ne voit pas la situation dans son ensemble. Cela empêche les organisations de savoir clairement ce qu’elles ont et ce qu’elles doivent protéger.
  • Le Shadow IT rend difficile l’identification des menaces et leur anticipation, leur arrêt ou leur atténuation efficaces. Les applications qui font partie du shadow IT peuvent être à l’origine de fuites de données, mais les services informatiques ou les équipes de cybersécurité peuvent avoir du mal à les trouver et à résoudre le problème en conséquence.
  • Avoir plus de logiciels signifie généralement plus de points de défaillance. Il existe des cas où les applications low-code/no-code ne sont plus surveillées car elles sont considérées comme insignifiantes ou bénignes, puis finissent par devenir des vulnérabilités car elles fuient des données ou permettent l’injection de scripts.
  • Le Shadow IT est également un facteur incontrôlable dans les processus organisationnels. Les applications low-code/no-code sous le voile de l’informatique fantôme ne peuvent pas être conçues pour se conformer à la posture de sécurité d’une organisation et ne peuvent pas être facilement suivies et corrigées si elles créent des problèmes de sécurité. La seule façon de les maîtriser est de mettre en lumière ces composants du shadow IT, ce qui signifie qu’ils doivent cesser de devenir du shadow IT.

De nombreux experts en informatique réitèrent l’idée que le shadow IT n’est pas le problème en soi, mais un symptôme. Il n’existerait pas si les employés obtenaient les ressources informatiques dont ils ont besoin à partir de la configuration et des ressources informatiques connues d’une organisation. Les applications low-code/no-code n’ont pas besoin de faire partie de l’informatique fantôme, avec une gouvernance et une validation de sécurité appropriées.

Manque d’expertise en cybersécurité

Les utilisateurs n’ont pas besoin de connaissances techniques approfondies pour comprendre comment utiliser les plates-formes de développement low-code/no-code, sans parler des connaissances en cybersécurité pour s’assurer qu’ils ne créent et ne déploient pas d’applications susceptibles de créer des vulnérabilités de sécurité ou d’entrer en conflit avec la posture de sécurité. de leurs organisations.

Il s’agit clairement d’un risque de sécurité inhérent à toute organisation. N’importe qui peut désormais créer des applications via des interfaces intuitives, mais presque tous n’ont aucune idée des risques potentiels. Enseigner et apprendre les bases du développement d’applications sécurisées ne va pas être facile.

La OWASP Top 10 des risques de sécurité Low Code/No Code saisir les différents risques attribuables au manque de connaissances en cybersécurité des utilisateurs low-code/no-code. Il a tendance à créer des applications avec une authentification non sécurisée, des problèmes de fuite de données, un partage excessif d’applications et de composants, des erreurs de gestion des données et des secrets, une mauvaise configuration, des risques d’injection de dépendance, un mode personnalisé non géré et des vulnérabilités d’escalade de privilèges.

Les utilisateurs ordinaires n’ont probablement même pas entendu parler de ces risques de sécurité. Il est peu probable qu’ils sachent quelles mesures sont nécessaires pour les éviter. Bien que les plates-formes de développement d’applications soient livrées avec des assistants qui fournissent des rappels sur les problèmes de sécurité, de nombreux utilisateurs ne savent probablement pas exactement ce qu’ils signifient.

De conclure

Le problème des risques de sécurité pour le développement d’applications low-code ou codées n’est pas quelque chose auquel les organisations sont impuissantes. De nombreuses plates-formes sont déjà de plus en plus conscientes des implications en matière de sécurité. Les principales plateformes sont désormais conçues avec la cybersécurité à l’esprit.

Les problèmes décrits ici ne sont en aucun cas des moyens de dissuasion implicites pour ceux qui cherchent à essayer des plates-formes de création d’applications à faible code. Les risques sont réels, mais ils ne sont pas sans solutions correspondantes efficaces. Avec les bonnes connaissances en cybersécurité et les bons outils de validation de la sécurité, les organisations peuvent tirer parti des applications low-code/no-code et du développement d’applications sans sécurité.

Ben Kliger est PDG et co-fondateur de Zénité.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *