Frédéric Najman, Spécialiste en Cybersécurité du SFPN : Le NoCode / LowCode permet aux RSSI de mettre la Cybersécurité en transversal sur tous métiers de l’entreprise ou de l’organisation.
septembre 2024 par Valentin Jangwa, Global Security Mag
Pendant la période estivale, Frédéric Najman, Spécialiste en Cybersécurité du SFPN, a accordé un entretien à Global Security Mag.
Global Security Mag : Bonjour Frédéric Najman, Global Security Mag est ravi d’avoir cette opportunité d’échanger avec vous. Pouvez-vous vous présenter et nous dire comment votre parcours vous a amené à votre rôle actuel ?
Frédéric Najman : Je suis ravi également. Je suis au sein du SFPN (Syndicat Français des Professionnels du NoCode). Venant d’un milieu de la technique, je suis ingénieur, et j’ai fait ma thèse à l’époque en intelligence artificielle, avant que cela ne devienne le buzzword que c’est de nos jours, c’était donc assez précurseur. J’ai ensuite eu la chance d’aller travailler dans la Silicon Valley, et j’ai aussi évolué dans des sociétés de différents pays, tels que la République tchèque, Israël, ou la France, très souvent sur des profils de type projet startup, mais en interne dans de grandes entreprises. Aujourd’hui, j’ai un profil de Consultant CTO as a Service, et ces dernières années, j’ai travaillé sur des projets pour Bouygues, Total et actuellement j’ai plusieurs missions de consulting, dont une importante chez un des leaders dans le backend Low Code / NoCode qui s’appelle Xano, et qui est vraiment à suivre car je pense que c’est une future licorne. Je les ai rencontrés alors que je faisais une mission pour le groupe La Poste qui fait partie des grandes sociétés en cours de passer au NoCode. Il est à noter que beaucoup de grandes sociétés évoluent actuellement vers le NoCode / LowCode, et je constate à travers toutes mes missions à quel point il y a une vraie maturité sur les stacks NoCode / LowCode, notamment sur tout ce qui est backend.
Cela fait presque dix ans que l’univers du LowCode a démarré, et je crois environ deux ans que c ’est devenu complètement en maturité sur des gros projets. On commence à avoir vraiment un Retour d’Expérience de ces grandes entreprises, le Groupe La Poste ayant été un précurseur, et l’impact commence à se ressentir, non seulement sur la technique, mais aussi sur l’ensemble des métiers.
Il y a de plus en plus une vraie adoption des solutions NoCode / LowCode, notamment pour l’automatisation, et on en constate le bénéfice pour les métiers avec des projets qui se développent plus rapidement.
Je participe aussi à des ONG (Organisations Non Gouvernementales) en tant que Consultant technique, notamment pour USAID qui a été créée par JF Kennedy, où j’aide sur certains projets internationaux, à mettre en place des stacks techniques.
Au niveau académique, j’ai fait un troisième cycle sur les technologies des nouveaux médias. Je ne peux pas dire que je suis un spécialiste de la sécurité, mais en tant que CTO, je suis très souvent confronté à ces sujets de Cybersécurité. J’ai par exemple travaillé pour une entreprise israélienne de Cybersécurité dans l’univers de la vidéosurveillance.
Global Security Mag : Pouvez-vous nous parler plus du NoCode / LowCode sous l’angle de la Cybersécurité ?
Frédéric Najman : Selon ma vision, ce qu’apporte le NoCode / LowCode et qui est très intéressant pour les équipes DevOps, les CISOs et autres, c’est la notion ou le côté un peu packagé. C’est-à-dire que lorsqu’il s’agit notamment du backend, et que vous optez pour une solution NoCode / LowCode, Vous avez un package d’un CI-CD (pratiques combinées d’intégration continue et de livraison continue), d’une base de données, et d’une couche de sécurité qui arrive avec la solution. Cela représente un énorme avantage pour les grandes entreprises, mais aussi pour les PME (Petites et Moyennes Entreprises) qui n ’ont pas forcément les moyens ou l’expérience d’avoir des experts ou des équipes de sécurité, ou qui ont parfois ces équipes souvent débordées et qui ne peuvent pas gérer tous les sujets en matière de sécurité au niveau du réseau, du code, ou des bases de données. La problématique de la Cybersécurité est en effet « à tous les étages », par exemple dans l’humain chez les utilisateurs dans leurs rôles. Et le moindre « trou dans la raquette » est finalement une porte ouverte à l’insécurité. Ce que je trouve intéressant avec l’arrivée de ces stacks NoCode / LowCode, c’est d’avoir une solution à la base très robuste. C’est par exemple le cas de solutions comme celle de Xano qui me semble être à un haut niveau de compliance ou conformité (ISO 2701, ISO 9000, ISO 27700, SOC 2, RGPD, HIPAA, bientôt HDS), avec des contraintes qui sont parfois liées à des régions (certifications NGPD au Brésil, CCPA en Californie, PDPR à Singapour, etc.). Ces certifications de sécurité sont très lourdes à passer pour des entreprises, parfois très nébuleuses et coûteuses. Il est donc très avantageux d’acquérir un stack de backend contenant déjà tout cela, qu’il s’agisse de Xano ou autres solutions, avec la maintenance incluse en plus et tous les mois des tests de pénétration et des scans de réseaux. Tout cet ensemble d’éléments vous procure une certaine garantie, au moins sur la partie applicative ou de la base de données, etc. Ces stacks contiennent également avec des systèmes de chiffrement de données, des systèmes d’authentification des utilisateurs et de gestion de rôles, des systèmes de contrôle d’accès. Ainsi, cela réduit la nécessité pour les développeurs de mettre en œuvre des mesures de sécurité en partant de zéro, et leur permet de créer une API plus facilement, plus rapidement via une plateforme visuelle intégrant des fonctionnalités de sécurité et des processus de développement qui garantissent que les applications respectent les best practices ou meilleures pratiques en matière de Cybersécurité. Les mises à jour sont aussi simplifiées. Tous les correctifs de sécurité finalement sont intégrés au niveau du stack, et les vulnérabilités sont ainsi réduites. Les Applications restent ainsi sécurisées au fil du temps.
Ce qui est aussi intéressant, c’est que les Stack NoCode / LowCode sont souvent capables de s’adapter par nature aux contraintes de sécurité de l’entreprise ou de l’organisation.
Les Stack NoCode / LowCode qui existent aujourd’hui sont modernes et fonctionnent par conception via des API, connexion, SSO, etc., d’une manière intégrée. Parfois on veut intégrer des solutions de sécurité un peu à l ’ancienne et on a du mal à faire des ponts. Mais celles-ci ont été créées par défaut pour s’interconnecter parce que c ’est du développement de solutions et d’outils modernes. Cela permet aux personnes « non ou moins techniques », de pouvoir développer des applications conformément à la promesse du NoCode / LowCode, de mettre en place des flux de travail et des processus d’automatisation sans avoir à trop se soucier des problématiques de sécurité qui peuvent constituer un entonnoir parfois dans l ’entreprise ou l’organisation, avec la nécessité de validation du ou de la responsable de la sécurité, etc. Des équipes métiers ou des développeurs peuvent ainsi développer leurs applications en toute homogénéité et agilité, avec une garantie de respecter les meilleures pratiques, ce qui bénéficie à la Cybersécurité, et à la rapidité des projets.
Souvent les responsables de sécurité sont confronté.e.s à des défis constants, ils doivent répondre rapidement à toutes ces problématiques de menaces, de vulnérabilités, ce qui prend du temps. Ces stacks NoCode / LowCode leur redonnent un peu cette maniabilité et leur libérant de la bande passante. Étant souvent confronté à des CTOs, et à des CISOs etc., je constate que leur vrai problème est d’avoir trop de sujets à gérer, et il leur est impossible de tout gérer. Toutes ces plateformes font l’objet d’audits de sécurité régulièrement sur des éléments cruciaux. Des évaluations régulières de sécurité et des tests de vulnérabilité sont effectués d’une manière proactive.
Il y a également une mise en œuvre de contrôles d’accès et d’identité basés sur les rôles (RBAC ou Role-Based Access Control), une stratégie clé pour l’accès aux données des entreprises et des organisations, et qui est normalement complexe à gérer.
En plus des autres exigences de conformité, une norme AFNOR est en cours de mise en place. Les éditeurs essayeront de respecter cette norme AFNOR, et cela pourrait prendre des années pour les entreprises organisations à devoir s’y conformer.
Une autre réalité est que dans les projets d’entreprises ou d’organisations, on compartimente un peu trop comme une bulle la sécurité et la conformité en une entité à part entière, en mettant d’un autre côté les développeurs ou les équipes DevOps. Cela a pour résultat de créer des groupes dans l’entreprise ou l’organisation sans réelle collaboration entre toutes ces équipes. C’est là où les stack NoCode / LowCode ont une valeur ajoutée avec un côté horizontal, car là où avant, la plupart des solutions étaient très verticalisées (solutions de sécurité d’un côté, solutions des bases de données d’un autre côté), ils permettent de les regrouper dans un paquet en favorisant ainsi la collaboration entre les équipes de développement, de sécurité et de conformité. Cette collaboration me semble vitale pour le projet de l’entreprise ou de l’organisation, et pour la sécurité de ce même projet. Finalement, la promesse du NoCode / LowCode, c’est de donner au métier aussi la capacité de créer ses propres briques métiers sans avoir à passer par des processus internes parfois coûteux et sans garantie de réussite.
Global Security Mag : Pouvez-vous expliquer la différence entre NoCode et LowCode ?
Frédéric Najman : J’aimerais tout d’abord préciser que la notion de NoCode peut prêter à confusion, car on pourrait penser que cela voudrait dire qu’il n’existerait plus de codeurs et qu’on pourrait ainsi se passer de l’humain, du codeur, du développeur comme on l’entend normalement. Pour moi, il ne s’agira peut-être plus de codeurs dans le sens écrire des lignes de code, mais il s’agira toujours de développeurs. Selon moi, la différence entre un codeur et un développeur, c’est que le développeur, c’est la personne qui a une logique de développement, c’est-à-dire une logique pour développer du code informatique, et le codeur, c’est celui ou celle qui écrit. Et là où les plateformes NoCode / LowCode apportent un gros avantage, c’est que le code est visuel. Certes il s’agit de programmation visuelle mais cela reste de la programmation c’est-à-dire qu’il est nécessaire de continuer à avoir une « logique scientifique », même si ce qui est génial aujourd’hui, c’est qu’on n’est plus obligé d’avoir fait un cursus scientifique ou technique pour pouvoir devenir développeur. J’en donne pour exemple dans une entreprise, une personne qui gérait la logistique des camions et qui a souhaité changer de métier et apprendre à coder. Après un court stage interne de quelques semaines avec les outils NoCode / LowCode, elle a commencé à développer, simplement en faisant preuve de logique. Et elle n’a pas eu à apprendre du Python, du PHP, du C, etc., ni le plus fastidieux qui est la grammaire et tout le contenu dans le code. Elle avait une logique relativement innée. Elle s’est ainsi mise à faire des Applications d’entreprise
En développant notamment l’outil de logistique dont il avait besoin, sans savoir coder.
La partie LowCode, c’est qu’à un moment, l’assemblage de briques visuelles implique qu’on ait les briques nécessaires. Il est donc possible qu’il manque une brique l’atome d’une brique, et c’est là, qu’il va falloir la coder d ’une manière plus traditionnelle. Alors, on a créé le LowCode, c’est-à-dire un code simplifié pour créer des briques pour ceux qui font du NoCode. C’est un peu comme si vous étiez en train de faire un puzzle et que tout d ’un coup, il vous manquait une pièce. Et vous avez donc besoin d’aller chez l’imprimeur qui va vous imprimer une pièce, car c’est son métier. Mais une fois que vous avez la pièce, vous n’avez pas besoin de savoir l’imprimer, et vous pouvez l’assembler tout seul. Donc la distinction entre le LowCode et le NoCode, c’est que pour le LowCode, on va mettre un petit bout de code, comme on le faisait traditionnellement, d’une manière vraiment atomique et très légère, pour que le NoCodeur puisse l’assembler. C’est intéressant parce que ça veut dire que les stacks NoCode qui vont permettre de programmer d’une manière complètement visuelle, peuvent aussi évoluer. En effet, au début du NoCode, beaucoup de codeurs se sont sentis frustrés en pensant être limités par les briques. Et avec l’intelligence artificielle, il est maintenant possible de coder très facilement et rapidement des briques éventuellement manquantes. Finalement, le LowCodeur n’aura plus qu’à valider que ce qu’a fait l’intelligence artificielle (IA) fonctionne, et l’intégrer. Le NoCode / LowCode est ainsi plus démocratique. Et moi qui pourtant viens du métier traditionnel d’ingénieur (j’ai écrit des livres qui se trouvent sur Amazone, concernant Java ou les architectures client -serveur), j’adore le NoCode / LowCode, car je peux me concentrer sur la logique et le métier, et laisser tomber ce que je n’aimais pas faire. Et je n’ai pas l’impression de me faire voler mon travail, au contraire, j’ai l ’impression que mon travail devient de plus en plus intéressant. En résumé, sur la partie logicielle, le NoCode est un code visuel, et le LowCode vient rajouter les briques qui peuvent manquer au NoCode. Et dans le LowCode on va faire une distinction entre le Low Code généré par l’IA et le Low Code généré par l’humain.
Global Security Mag : Quels seraient vos messages clés pour nos lectrices et lecteurs par rapport à ces enjeux NoCode / LowCode et la Cybersécurité ?
Frédéric Najman : Alors je vais commencer par quelque chose d’un peu « bateau ». L’éducation ou la formation ou la sensibilisation, c’est crucial dans tous ces sujets car il y a des menaces émergentes continuelles, etc. Mais le message à faire passer, c’est tout d’abord qu’il faut choisir le bon stack, car il existe plusieurs outils sur le marché, et Il y en a qui sont plus ou moins sérieux, certifiés, et avec le bon niveau de sécurité, ou qui peuvent plus ou moins s’intégrer dans des architectures actuelles de l’entreprise ou de l’organisation. On peut dire qu’aujourd’hui, ces solutions sont vraiment arrivées à maturité pour les entreprises et les organisations. Je conseille donc de s’y mettre, si ce n’est pas encore le cas, car c’est épatant d’efficacité. Il est nécessaire de considérer le sujet au niveau transversal de l’entreprise ou de l’organisation, car la transition vers le NoCode / LowCode peut apporter des réponses à différents niveaux et métiers.
En ce qui concerne la partie Cybersécurité, les stacks NoCode / LowCode sont une opportunité pour ces équipes de pouvoir faire ce qu’elles n’ont pas le temps de faire. Par exemple, les tests de pénétration, les tests de conformité, sont intégrées dans les stacks NoCode / LowCode, et cela peut permettre de se concentrer sur leurs métiers et ce qu’elles savent faire le mieux ou ce qui est le plus crucial pour l’entreprise ou l’organisation. Et ce qu’elles ne savent pas faire, elles vont probablement le retrouver dans le stack NoCode / LowCode.
Le stack NoCode / LowCode est l’occasion d’une meilleure collaboration entre les équipes de développement, de sécurité, des bases de données, de réseaux, d’infrastructure.
Le stack NoCode / LowCode arrive avec des solutions déjà intégrées et packagées sur les certifications, les conformités et la sécurité. C’est une opportunité pour le ou la RSSI, de transversaliser le sujet de la Cybersécurité, puisqu’autour du stack NoCode / LowCode, on va retrouver autant les briques métiers, que les briques sécurité, backend et frontend. Et comme la Cybersécurité est au centre des préoccupations, elle devient ainsi le sujet de tout le monde. Choisir le bon stack NoCode / LowCode permet aux RSSI de mettre le sujet de la Cybersécurité en transversal sur tous les métiers de l’entreprise ou de l’organisation. Cela permet aussi d’aller plus vite, de faire des économies et d’être plus agile.