La gouvernance n'est pas une tâche facile, d'autant que les progrès technologiques facilitent l’accès au développement d'applications. Les plateformes de développement applicatif low-code permettent ainsi aux développeurs de créer rapidement des applications via une interface graphique, en limitant très largement l’écriture manuelle de code. De la sorte, ces plateformes ouvrent également la discipline à des personnes sans expertise du développement ; on parle de citizens developers (citoyens développeurs). Et cela jusque dans les métiers au sein de l’entreprise.
Mais ce citizen developer adepte du low-code crée un défi inédit en matière de gouvernance. Dès lors, il faut prendre en compte tant l’identité de celui-ci que la technologie, pour créer une stratégie de gouvernance efficace.
Avec une gouvernance des développeurs, les organisations édictent des pratiques répondant aux exigences de sécurité et de conformité. La stratégie de gouvernance doit intégrer des contraintes stratégiques et technologiques qui s'appliquent au travail accompli et à la manière dont il l’est. Il faut adapter cette approche au degré d’expertise IT des personnes utilisant la plateforme de développement low-code.
Pour autant, une telle gouvernance n'est pas possible sans supervision, quel que soit l'auteur du développement. Ainsi, les DSI devraient définir et faire respecter les contraintes des politiques définies. De plus, ils devraient choisir des outils low-code qui réduisent d’une part, le risque de non-conformité aux contraintes stratégiques et d’autre part, facilitent l’audit des applications développées. Les exigences de gouvernance et les contraintes définies peuvent aider à réduire trois principaux risques : la duplication et l'incohérence des données, l'insécurité des données et la prolifération des ressources IT ou leur utilisation inefficace.
Définir des politiques pour les données
Selon une étude de CIMI Corp., la gouvernance des données est peut-être là le plus grand défi. Les organisations devraient stocker les données en un seul lieu pour éviter les incohérences, ainsi que les problèmes de duplication et de synchronisation. Les citizens developers ne devraient pas créer de bases de données, sauf sur une base transitoire ; leurs activités devraient se concentrer sur l'analyse et le reporting. S'il est nécessaire de créer une base de données personnalisée, la DSI devrait la créer et la partager. Cela, pour éviter la duplication des données, assurer la conformité avec les politiques internes, ou encore la réglementation.
Les règles de sécurité et de conformité des données peuvent limiter la création de données ou les relations spécifiques entre éléments. Par exemple, une organisation ne doit pas concevoir une application associant le nom et l'adresse d'un employé à un numéro de sécurité sociale, sauf dans une base de données protégée. La violation de telles contraintes crée des vulnérabilités et des risques juridiques pour les entreprises. L'application de la conformité est un problème difficile à résoudre avec les plateformes low-code car leur analyse peut nécessiter l'exploration de champs de données et de combinaisons qui présentent des risques de conformité.
Pour faire face à ces risques, il faut limiter l'accès des développeurs aux bases de données qui contiennent des données sensibles et exiger une approbation pour accéder à ces bases, au-delà des applications cœur de métier qui les gèrent.
Quelques plateformes low-code limitent la création et l'utilisation des bases de données. Il est conseillé d'utiliser un modèle d’entrepôt de données indépendant qui serve à la fois de référentiel et de socle d'analyse. La plupart des entreprises utilisent le traitement parallèle de données pour recueillir l'information, puis la valider et l'analyser. Lorsque l’on utilise un entrepôt de données conjointement à une plateforme low code, il est possible d’appliquer des contrôles de gouvernance stricts. La stratégie de gouvernance des données et le choix des outils d'entreposage doivent répondre au type de données que l’on prévoit d’analyser, qu'elles soient structurées ou non, en temps réel ou archivées.
Une fois mise en place une stratégie d’entrepôt de données, il devient possible d’évaluer une gamme plus large d'outils low-code provenant de fournisseurs comme Appian, Bonitasoft, Nintex et OutSystems. Mais avant de mettre en œuvre la politique de gouvernance, il faut toujours analyser le mode opératoir de l’entrepôt de données pour s'assurer de sa conformité.