No-code / low-code et IA : des accélérateurs, pas un nouveau paradigme (et pourquoi DevSecOps restera la colonne vertébrale)

Leave a reply

On entend parfois, avec l’aplomb tranquille de ceux qui n’ont jamais eu un incident en production : « Plus besoin de développeurs. » C’est une phrase simple, donc dangereuse. Parce qu’elle confond outil et paradigme.

Ma thèse (et je vais la marteler, gentiment) : le no-code/low-code n’est pas un nouveau paradigme du développement logiciel. C’est un outillage supplémentaire qui peut créer beaucoup de valeur sur certains segments, mais qui n’obère pas les méthodes d’ingénierie et d’industrialisation existantes — notamment DevSecOps. Et l’IA suit la même logique : gain évident, mais utile seulement si l’on possède le socle de compréhension et le cadre d’industrialisation.

1️⃣Outil vs paradigme : doctrine d’emploi, pas révélation mystique

Un paradigme, c’est une manière stable d’organiser la production et la responsabilité : architecture, qualité, sécurité, exploitation, gouvernance, compétences, et gestion du cycle de vie. Un outil, lui, change surtout le coût d’accès à certaines tâches.

Sur ce point, Gartner est étonnamment clair (et presque poétique pour un communiqué de presse) : le low-code est présenté comme l’évolution des outils de RAD vers le cloud/SaaS, pas une rupture ontologique. Et Gartner précise aussi que “no-code” n’est pas un critère suffisant : beaucoup de configurations “sans code” restent complexes et exigent des compétences spécialisées.

Donc, oui : on peut construire plus vite. Non : on ne supprime pas la gravité (ni la prod).

2️⃣ Ce que le no-code/low-code change réellement : l’accès et la vitesse

Le vrai bénéfice est là : réduire le délai entre une intention métier et une solution utilisable, surtout pour des apps internes simples (workflows, formulaires, automatisations, reporting). L’industrialisation ne disparaît pas, mais le prototypage et la réalisation “proche du métier” deviennent beaucoup plus accessibles.

Cette dynamique est massive : Gartner projette un marché mondial des technologies low-code à 26,9 Md$ en 2023 (+19,6% vs 2022) et souligne le rôle des “business technologists”.

Mais attention au piège stratégique : augmenter la vitesse de production augmente mécaniquement le nombre d’actifs logiciels à gouverner. Et là, les illusions commencent.

3️⃣ Ce que le no-code/low-code ne change pas (jamais) : les invariants du logiciel

Même sans écrire de code, dès que vous mettez en service une application, vous héritez des invariants :

Identité et habilitations, données (qualité, conformité, traçabilité), intégrations, tests (régression/sécurité), observabilité, gestion d’incidents, continuité, mises à jour, fin de support.

C’est précisément ce que structure le NIST SSDF (Secure Software Development Framework) : un socle de pratiques pour réduire les vulnérabilités à l’échelle du cycle de vie logiciel. Ce cadre s’applique indépendamment du langage… et donc indépendamment du “glisser-déposer”.

Traduction leadership : on peut simplifier l’assemblage, pas abolir la responsabilité.

4️⃣ Citizen developers : la productivité… ou le shadow IT industrialisé (selon votre gouvernance)

Gartner estime que d’ici 2026, les développeurs hors DSI représenteront au moins 80% de la base d’utilisateurs des outils low-code, contre 60% en 2021. C’est une excellente nouvelle… si vous avez un cadre. Sinon, c’est un multiplicateur de risques.

OWASP a consacré un Top 10 entier aux risques du citizen development (low-code/no-code, IA assistée, agents), avec un message simple : innovation distribuée = surface de risque distribuée si l’on ne gouverne pas (droits, données, configurations, inventaire, composants, etc.).

Ici, votre philosophie “pragmatisme” devient une règle de commandement : autonomie oui, anarchie non.

5️⃣ DevSecOps n’est pas “l’équipe qui code” : c’est la capacité d’industrialisation

Le contresens classique est de croire que DevSecOps est une “méthode de développeurs”. En réalité, DevSecOps est une capacité organisationnelle : livrer vite, de manière reproductible, traçable, observable, et sécurisée.

Le NIST (SP 800-204D) traite explicitement de l’intégration de la sécurité de la chaîne d’approvisionnement logicielle dans les pipelines CI/CD DevSecOps — autrement dit : la discipline de pipeline, de contrôles et de traçabilité devient structurante, pas optionnelle.

Et les organisations convergent vers la même logique avec la platform engineering : Gartner projette qu’en 2026, 80% des grandes organisations d’ingénierie logicielle auront des équipes dédiées, fournissant une “paved road” (voie balisée) via des plateformes et portails internes pour réduire la charge cognitive et standardiser l’exécution. DORA insiste sur la même idée : la plateforme abstrait la complexité, rend l’expérimentation plus sûre, et réduit le risque en rendant l’échec “moins cher” et la récupération plus rapide.

Donc non : le low-code ne remplace pas DevSecOps. Il renforce le besoin d’une ossature DevSecOps/plateforme, parce que vous allez produire plus, avec plus de producteurs.

6️⃣ IA et développement : gain évident, mais seulement si le socle existe

Le développement assisté par IA suit exactement la même logique que le low-code : accélérateur, pas paradigme. On obtient de la vitesse (boilerplate, tests, refactoring, documentation), mais la compétence de fond reste indispensable : cadrage, architecture, vérification, sécurité, exploitation.

Le NIST a même publié SP 800-218A, un profil SSDF pour les pratiques de développement sécurisé appliquées à la GenAI et aux modèles foundation “dual-use”. Message implicite : l’IA change la forme des risques, donc la discipline doit évoluer, pas disparaître. Et côté sécurité, le NCSC britannique rappelle que le prompt injection n’est pas une simple “SQL injection bis” : les différences sont cruciales et peuvent ruiner des mitigations naïves.

Pragmatisme, encore : l’IA est une puissance de feu. Sans doctrine d’emploi, c’est juste… un gros calibre pointé vers vos propres pieds.

7️⃣ Le pragmatisme comme boussole : “bon outil, bon périmètre, bon cadre”

Votre philosophie se résume en une règle opérationnelle : chaque solution a une zone de pertinence, et c’est le rôle du leadership de la définir.

  • No-code/low-code : parfait pour accélérer des solutions simples, proches du métier, à criticité maîtrisée, sur une voie balisée.
  • Dev “pro” : indispensable pour le cœur métier, les exigences de performance, la sécurité avancée, l’intégration complexe, le mission-critical.
  • IA : excellente pour accélérer, explorer, automatiser… à condition d’un cadre de vérification et d’industrialisation (tests, revue, pipeline, observabilité, sécurité).

À noter : même les plateformes low-code sérieuses parlent désormais “garde-fous” (DLP, gouvernance des connecteurs, environnements). Microsoft décrit explicitement les politiques DLP comme des garde-fous pour réduire le risque d’exposition involontaire des données via connecteurs.

🧾Conclusion : vers une forge numérique (digital foundry)

Le no-code/low-code n’est pas un nouveau paradigme. L’IA non plus. Ce sont des outils puissants qui abaissent le coût de production sur certains segments — mais qui ne remplacent ni l’ingénierie, ni l’industrialisation, ni la responsabilité. Les cadres (SSDF), les exigences supply chain en CI/CD, et la montée de la platform engineering convergent vers la même vérité : la vitesse durable est un produit de la discipline.

L’ouverture logique, côté stratégie et leadership, c’est la création d’une forge numérique (digital foundry) : un cadre normé où citizen developers et développeurs professionnels se retrouvent, non pas pour se marcher dessus, mais pour co-produire sur une “paved road” sécurisée (identité, données, tests, observabilité, déploiement), avec une gouvernance qui accélère au lieu de freiner. Je m’arrête volontairement ici : cette forge numérique mérite un article à part entière — parce que c’est moins un sujet d’outils qu’un sujet de design organisationnel et de commandement.

Sources :

https://csrc.nist.gov/pubs/sp/800/218/final

https://csrc.nist.gov/pubs/sp/800/204/d/final

https://owasp.org/www-project-citizen-development-top10-security-risks

https://csrc.nist.gov/pubs/sp/800/218/a/final

https://www.ncsc.gov.uk/blog-post/prompt-injection-is-not-sql-injection

https://www.gartner.com/en/newsroom/press-releases/2024-05-16-gartner-identifies-the-top-five-strategic-technology-trends-in-software-engineering-for-2024

https://dora.dev/capabilities/platform-engineering

https://www.gartner.com/en/newsroom/press-releases/2023-10-11-gartner-says-more-than-80-percent-of-enterprises-will-have-used-generative-ai-apis-or-deployed-generative-ai-enabled-applications-by-2026

https://learn.microsoft.com/en-us/power-platform/admin/wp-data-loss-prevention

https://learn.microsoft.com/fr-fr/power-platform/guidance/coe/overview

https://www.infoworld.com/article/2337677/low-code-development-technologies-market-forecast-to-hit-445-billion-by-2026.html

https://www.telecomtv.com/content/digital-platforms-services/gartner-forecasts-worldwide-low-code-development-technologies-market-to-grow-20-in-2023-46204

Loading spinner

Leave a Reply

Your email address will not be published. Required fields are marked *