What are low-code and no-code solutions and what are their limits?

The low-code and the no-code market continue to grow and more and more companies are interested in it to overcome the shortage of technical skills associated with an ever-increasing demand for business applications. In a recent study, MarketsandMarkets predicts that the low-code/no-code market will reach $45.5 billion worldwide in 2025, compared to $27 billion in 2022 and just over $4 billion in 2017. That’s an annual growth of nearly 130%. According to Gartner, by 2024, 65% of applications created will be in no-code or low-code.

The rise of no-code technologies can be explained by the flexibility they provide to business teams, who are now able to create applications without any technical knowledge thanks to very visual parameterization interfaces. However, the integration of these solutions must be done in compliance with the IT strategy of organizations by integrating security and governance requirements.

Low-code vs No-code

To understand the genesis of “low-code” platforms, we have to go back to 1982 when James Martin, an information technology consultant, published his 15th book on the software industry, Application Development without Programmers. In the preface, he states: “The number of programmers available per computer is decreasing so rapidly that most computers of the future will have to be put to work at”.

The emergence of Low-Code Development Platforms (LCDP) will really take place in 2011 with the creation of platforms bringing together many programming concepts and automatic code generation to accelerate the design of applications by developers by reducing code writing to its minimum.

Low-code solutions are therefore aimed at developers who need to reduce the amount of code they write. The targeted users are therefore rather technical and the low-code solution will allow them to get rid of certain repetitive tasks that can be done in a semi-automated way in order to program more quickly.

The no-code solutions on the other hand allow any user, including business users, to create an application, without any line of code and especially, without having ad hoc skills in terms of development. The interfaces are very visual and allow you to make settings with a few clicks or simple drag and drop.

Of course, developers can also use no-code solutions to respond more quickly to business needs. Their work can thus be simplified thanks to the agility of no-code solutions and they can concentrate on more complex tasks or those with a strong impact on the IS and the business.

The arrival of these solutions has democratized access to certain technologies and has led to the emergence of a new approach to software development, “citizen development”, which allows users (most often business users) to create applications or programs without any knowledge of software development.

The simplified access to no-code applications by the business has accelerated their implementation, often outside the control of the IT department. The use of applications that have not been approved by IT, otherwise known as “Shadow IT”, is becoming more and more widespread in organizations and has even accelerated with the COVID crisis where many employees used their personal hardware and applications to share company data. Business users, not measuring the possible harmful consequences, only see it as a quick way to meet an operational need for the benefit of the company. Yet the risks are numerous and very real: data breaches, data leaks, non-compliance, confidentiality or rights management issues, creation of data silos, generation of protocol conflicts between applications, security breaches…

For the IT teams responsible for the security of the systems and the proper functioning of the IS, it is essential to have a global view of all the tools installed, the data flow as well as the accesses granted to the users in order to protect the organization from possible cyber-attacks.

The increase in the number of applications used in the company also induces more risks because each new application provider leads to new protocols, secure accesses to set up, rights to grant…

However, no-code and low-code solutions can also put the IT department back in control by offering them secure, turnkey solutions that are integrated into the IT system in line with the organization’s strategy. Business users can retain the agility granted by no-code solutions while keeping the IT department in the loop, which will give them the necessary level of visibility to guard against any risks to the organization.

Les limites du «citizen development » et le shadow IT

L’accès simplifié aux application no-code par les métiers a accéléré leur mise en place, bien souvent, en dehors de tout contrôle du service informatique. L’usage d’applications non approuvées au préalable par la DSI, autrement appelé “Shadow IT”, est de plus répandu dans les organisations et s’est même accéléré avec la crise COVID où de nombreux employés ont utilisé leur matériel et applications personnels pour partager des données de leur entreprise. Les utilisateurs métiers, ne mesurant pas les conséquences néfastes possibles, n’y voient là qu’une façon rapide de répondre à un besoin opérationnel au bénéfice de l’entreprise. Les risques sont pourtant nombreux et bien réels : violations de données, fuites de données, non-conformité, problèmes de confidentialité ou de gestion des droits, création de silos de données, génération de conflits de protocole entre applications, failles de sécurité…

Pour les équipes informatiques garantes de la sécurité des systèmes et du bon fonctionnement du SI, il est primordial d’avoir une vue globale sur l’ensemble des outils installés, les flux de données ainsi que les accès octroyés aux utilisateurs et ce afin de préserver l’organisation d’éventuelles cyber attaques.

L’augmentation du nombre d’applications utilisées dans l’entreprise induit également plus de risques car chaque nouveau fournisseur d’applications entraine de nouveaux protocoles, des accès sécurisés à mettre en place, des droits à octroyer…

Pour autant les solutions no-code et low-code peuvent également redonner le contrôle à la DSI en leur offrant des solutions clés en mains, sécurisées et intégrées au SI dans le respect de la stratégie de l’organisation. Les utilisateurs métiers peuvent conserver l’agilité octroyée par les solutions no-code tout en gardant la DSI dans la boucle, ce qui leur donnera le niveau de visibilité nécessaire pour se prémunir de tous risques pour l’organisation.

Pourquoi adopter une solution low-code ou no-code ?

Aujourd’hui un grand nombre d’entreprises adoptent des solutions Low/No-code en raison de la pénurie de développeurs et des défis liés aux compétences que le coding demande.

En effet les besoins sont globalement importants, mais durant les dernières années on peut observer un manque de candidats avec des compétences techniques ce qui amène les entreprises à recruter des développeurs à l’étranger. Les solutions Low/No Code permettent aux entreprises avec des besoins importants et spécifiques d’être capables de créer des applications métiers sans avoir besoin de recruter des développeurs et donc de réaliser des économies substantielles. Ce type de software affranchit ainsi les organisations des démarches de développement spécifique et de maintenance logicielle qui sont assurées par l’éditeur no-code.

Les outils no-code, avec la programmation visuelle qu’ils offrent, ouvrent ainsi des portes qui étaient auparavant fermées à tous ceux qui ne savaient pas coder. Véritables accélérateurs d’innovation et d’agilité, ces applications vont très certainement changer la structuration des systèmes d’information de demain et le regard que portent les utilisateurs métiers sur la digitalisation des processus et la sécurité.

Les applications low-code/no-code permettent également aux équipes IT de répondre de façon très réactive aux besoins des utilisateurs métiers même spécifiques. L’agilité de ces solutions permettent généralement de paramétrer des applications poussées en quelques semaines. La plupart des éditeurs proposent des solutions avec des connecteurs natifs et dans le respect des standards de sécurité, en mode cloud ou on-premise, pour garantir l’intégrité du SI. Elles répondent ainsi parfaitement aux enjeux de la direction informatique en matière de sécurité et de gouvernance.

Point de vigilance à garder à l’esprit : certains éditeurs étrangers proposent des solutions hébergées aux Etats-Unis qui sont alors soumises à la législation américaine (Cloud Act et Patriot Act). Ces deux lois fédérales américaines autorisent les forces judiciaires à consulter et analyser vos données privées localisées dans des serveurs américains sans aucune limite et sans obligation de vous en informer. Les éditeurs américains sont donc dans l’obligation de s’y conformer avec des contraintes beaucoup moins fortes que dans le cadre des législations européennes. Nous avons d’ailleurs pu l’observer dans la façon dont Facebook a permis à Cambridge Analytica d’accéder aux données de 87 millions d’utilisateurs en 2015. Si vous êtes une entreprise française à la recherche d’une solution sécurisée il sera plus judicieux de vous adresser à des éditeurs européens qui sont dans l’obligation de se conformer aux réglementations de l’UE.