Pour réussir, les initiatives de développeurs citoyens demandent une vraie supervision de l'IT

Dans les mains des utilisateurs métier, les outils low code et no code peuvent être puissants - et risqués. Pour CIO États-Unis, des entreprises expliquent comment l'IT peut mettre en place des barrières de sécurité afin de s'assurer que les projets ne dérivent pas.
PublicitéLa révolution du « développement citoyen » semble très prometteuse. Après tout, quelle entreprise ne souhaiterait pas être plus agile, tout en réduisant ses coûts et en accélérant sa capacité à mettre des solutions sur le marché ? Cependant, le nombre important de plateformes permettant aux utilisateurs de créer des workflows, d'automatiser des processus voire de bâtir des applications entières sans avoir les compétences des développeurs professionnels peut susciter le même type de problèmes que le shadow IT si les entreprises ne sont pas vigilantes sur la manière dont elles adoptent ces outils. Il ne s'agit pas seulement de risques sur la sécurité et les métiers, mais aussi de problèmes IT, telle la difficulté de maintenir les projets, la dette technique et d'autres enjeux de gestion, comme l'explique Jason Wong, analyste au sein du cabinet d'études Gartner. Ce dernier estime qu'en 2023, les utilisateurs d'outils low code et no code, également appelés « développeurs citoyens », dépasseront le nombre de développeurs professionnels dans les grandes organisations d'un facteur de quatre pour un.
La transformation numérique et l'hyperautomatisation à l'oeuvre vont encore amplifier l'adoption des outils low code et no code, selon l'analyse du Gartner Fabrizio Biscotti. Si les responsables IT omettent de prendre en compte les inconvénients qui vont de pair avec le recours accru aux développeurs citoyens, des problèmes importants se profilent. Pour CIO États-Unis, des entreprises ayant adopté des plateformes low code ou d'automatisation des workflows expliquent comment elles préparent la voie pour un usage plus productif et moins risqué des ces outils qui donnent de l'autonomie aux utilisateurs.
Une surveillance centralisée chez Schneider Electric
Schneider Electric est l'une de ces entreprises qui s'appuient sur les développeurs citoyens pour fluidifier et automatiser les processus. Le groupe a démarré avec la plateforme low code d'OutSystems il y a quatre ans et a récemment ajouté l'outil d'automatisation des processus de Microsoft, Power Apps à son portefeuille. Il a également mis en place une stratégie pour surveiller le développement citoyen, qui inclut un contrôle centralisé, de la formation et des revues de code et de sécurité. Jamie Locks, vice-président intégration et middlewares, explique que l'approche de Schneider Electric en matière de développement citoyen démarre avec l'équipe de développeurs professionnels du groupe. « Nous nous assurons que nous comprenons la solution », dit-il. « Nous avons cet outil, nous cherchons à vérifier que nous le maîtrisons, que nous comprenons tous les tenants et aboutissants, les enjeux d'intégration, les capacités et la feuille de route du produit. Nous pouvons faire appel à des partenaires pour mettre tout cela en place plus rapidement. » Dans certains cas, les intégrations peuvent se révéler compliquées, ou certains questionnements peuvent apparaître sur la sécurité. « Nous commençons par acquérir nos propres compétences. Ensuite, nous identifions des cas d'usage, des proofs of concept que nous pouvons mettre en production et ne pas jeter sitôt faits, afin d'obtenir le niveau de confort que nous souhaitons. Enfin, nous commençons à bâtir une feuille de route et des composants réutilisables », détaille Jamie Locks.
PublicitéC'est seulement une fois ces fondations en place que l'équipe commence à recruter des développeurs citoyens. Les collaborateurs non-développeurs qui sont intéressés par la solution doivent d'abord suivre une formation. À l'heure actuelle, 150 employés ont été formés sur OutSystems et 95 projets différents ont déjà été déployés selon Jamie Locks. Ces collaborateurs ont de nombreux backgrounds différents, parfois même avec une compétence technologique très basique. « Certains sont aussi bons que nos développeurs, d'autres sont des collaborateurs IT dans une entité régionale, qui s'emparent de l'outil et s'en servent pour faire fonctionner les choses », observe Jamie Locks. « Les collaborateurs que nous recrutons aujourd'hui ont plus d'appétence pour la technologie, ce sont des citoyens digitaux. Je ne souhaite pas que tout soit géré par une seule grande équipe centralisée, et je ne veux pas non plus payer les fournisseurs pour le moindre besoin. »
Pour ce qui concerne Power Apps, Schneider Electric dispose d'une centaine de collaborateurs formés sur la plateforme. « Certains étaient assez techniques, d'autres étaient des représentants métier avec un goût pour la technologie », indique Jamie Locks. Comme la solution est récente dans le groupe, il n'y a pour l'instant que deux applications basées dessus. « C'est de l'IT DIY (Do It Yourself), non dissimulée comme le shadow IT, mais gouvernée », ajoute le vice-président intégration et middlewares. « Le DIY suscite l'intérêt de beaucoup de monde, car ils voient l'IT comme une barrière, un obstacle ou une bureaucratie qui les ralentit. » La RPA (Robotic Process Automation) devrait bientôt s'ajouter à la carte. « Notre intention est de permettre aux développeurs citoyens d'utiliser la robotisation des processus, mais nous n'en sommes pas encore là. Vous pouvez faire tellement de choses avec cette technologie », estime Jamie Locks.
Une fois qu'un développeur citoyen est formé, l'équipe de développement travaille avec lui sur la création de son premier projet. Le citoyen prend ensuite en charge le projet et sa réalisation. Pour les projets ultérieurs, les développeurs citoyens approuvés font tout le travail, mais l'équipe de développement professionnel intervient toujours sur plusieurs étapes durant le projet. « Certains collaborateurs expérimentés nous demandent de leur confier tout le projet, mais je ne suis pas prêt à les laisser entièrement gérer les choses sans aucune supervision ni contrôle », confie Jamie Locks. Tout d'abord, un point d'étape initial permet de contrôler les solutions : quelle est l'architecture prévue, la base de données, les APIs utilisées ? Ensuite, l'équipe professionnelle vérifie la performance, s'assure que les développeurs citoyens utilisent les éléments de code du groupe (snippets) et le SSO, qu'ils ne collectent pas des données privées soumises au RGPD et qu'ils ne violent aucune règle. Avant toute mise en production, des revues de code et de sécurité détaillées sont réalisées. Enfin, une fois que l'outil est déployé et opérationnel, les développeurs citoyens deviennent la première ligne de support, non l'IT. « Il peut y avoir des soucis de réseau ou ailleurs sur l'infrastructure, et là ce sera bien entendu géré par mon équipe, mais nous n'assurons pas le support sur l'application elle-même », souligne Jamie Locks.
Malgré la surcharge de travail qui résulte de l'encadrement du développement citoyen, Jamie Locks voit des avantages dans le fait de permettre à des non-développeurs de créer leurs propres outils. « L'un d'entre eux est la réactivité par rapport au marché. Quand c'est le développement qui s'en charge, ou que vous faites appel à des développeurs en Inde, cela demande tellement de temps », observe-t-il. En outre, les nouveaux outils sont plus facilement adoptés, car les métiers bâtissent vraiment ce dont ils ont besoin. « Les collaborateurs se sentent plus satisfaits et autonomes. Et cela évite au département IT de se retrouver mobilisé sur des petits projets simples. Il peut ainsi se concentrer sur d'autres sujets créateurs de valeur », conclut Jamie Locks.
Des garde-fous pour sécuriser l'automatisation chez Guidant Global
Le groupe de services en recrutement Guidant Global emploie 2600 salariés qui gèrent plus de 200 000 contrats dans plus de 80 pays. Une partie de ce travail se prête bien à l'automatisation, mais pas à une échelle qui justifierait un projet de développement classique. Par exemple, un processus consiste à vérifier chaque mois des attestations d'assurance. Celui-ci pouvait prendre entre 6 et 8 heures, l'employé vérifiant manuellement les données de chaque fournisseur dans une application, regardant si les attestations doivent être renouvelées, s'assurant que la demande de renouvellement a été transmise, puis contrôlant les nouvelles attestations. L'un des employés de Guidant qui travaillait sur ce processus a utilisé un outil d'automatisation des workflows pour automatiser le processus, qui prend désormais seulement 10 à 15 minutes chaque mois. Qui plus est, il y a désormais moins de risques d'oublier l'un des fournisseurs, souligne Pamela Beard, vice-présidente senior de la technologie et de la gestion de projet au sein du groupe.
Guidant utilise actuellement l'outil no code d'automatisation des workflows de Catalytic, ainsi que Microsoft Power Automate pour réaliser ce type de travail. Comme Schneider Electric, l'entreprise a mis en place des contrôles. « Avant même que chacun de nos développeurs citoyens n'accède à la plateforme Catalytic, nous avons mis en place un programme de formation très structuré, que toute personne souhaitant utiliser la plateforme doit suivre au préalable », explique Pamela Beard. Elle ajoute ensuite que l'entreprise a mis en place une gouvernance pour utiliser Catalytic. Par exemple, cette gouvernance demande d'utiliser des environnements de test avec Catalytic, afin que les applications puissent être testées et validées avant d'aller en production - et que les exigences de protection de la vie privée et autres obligations soient vérifiées. « Nous effectuons également une maintenance régulière sur les processus qui ont été automatisés, pour être certains qu'ils fonctionnent comme prévu. S'il s'avère qu'ils ne sont plus nécessaires, nous les supprimons de la plateforme », complète Pamela Beard.
Guidant dispose également d'un comité de gouvernance composé à la fois de représentants IT et métier, pour superviser le travail des développeurs citoyens. Le groupe vient tout juste de terminer la formation de sa quatrième cohorte, avec 46 collaborateurs désormais certifiés sur Catalytic et 35 processus automatisés pour le moment. Dans le cadre de la formation, les développeurs citoyens doivent travailler avec leur management direct pour identifier quelques processus métiers sur lesquels ils souhaitent travailler. Ensuite, en partenariat avec le centre d'automatisation, ils développent et déploient les traitements automatisés. « Nous les guidons ainsi à travers chaque étape. La formation n'est pas uniquement théorique, elle se base fortement sur la pratique », pointe Pamela Beard.
Parfois, l'automatisation peut créer de nouvelles opportunités pour l'entreprise. Par exemple, un client de Guidant lance chaque année une grande vague de recrutements, passant en revue un grand nombre de candidats dans un laps de temps très court. Avant, cette mission s'avérait trop consommatrice de ressources pour que Guidant puisse la prendre en charge. « Avec Catalytic et une technologie de chatbots, nous avons pu mener certains pré-entretiens avec les candidats potentiels, afin de faire une première sélection », raconte la vice-présidente senior technologie et gestion de projet. Pour ce client, les candidats doivent remplir certaines exigences spécifiques et soumettre un essai d'une longueur précise. Le chatbot pose des questions pour s'assurer que les candidats ont les qualifications requises et les essais sont automatiquement analysés pour vérifier la longueur, la grammaire et l'absence d'injures. Grâce à cela, Guidant Global a pu réduire le vivier initial de 7500 CV à moins de 1800 candidatures à examiner par ses équipes. « Nous n'aurions pas pu faire ce projet s'il avait fallu vérifier manuellement les 7500 candidats dans le délai qui nous était alloué », souligne Pamela Beard.
Les risques de l'autonomisation
Les outils low code et no code deviennent sans cesse plus puissants et de plus en plus faciles à utiliser. En apparence, c'est une bonne chose, mais cela fait également augmenter les risques. « Les outils en eux-mêmes ne sont pas le problème », estime Tamim Saleh, partenaire senior chez McKinsey & Co. « Le problème, ce sont les gens et les règles au sein de l'organisation. Si les entreprises autorisent le développement incontrôlé d'algorithmes et d'IA, sans directives claires sur la manière de les utiliser, cela va déboucher sur des écarts de conformité vis-à-vis des réglementations. Pratiquement toutes les entreprises responsables comprennent ce risque et ont des protocoles clairs - mais personne n'excelle vraiment en la matière. » Le domaine en est actuellement au tout début de son développement, selon Tamim Saleh. « Mais le risque est réel, et mon conseil pour tout DSI ou directeur du numérique est de prendre très au sérieux le modèle managérial et la gouvernance, et de mettre en place ces capacités tôt. »
Les outils low code et no code sont également de plus en plus intégrés dans la plupart des grandes plateformes d'entreprise et applications SaaS, comme le pointe Jason Wong, ce qui rend leur usage particulièrement difficile à identifier et à contrôler. « Les anciennes générations d'outils de développement rapide d'applications ont mené au shadow IT, ce qui s'est traduit par de nombreux enjeux de dette technique, de maintenance et des cauchemars de gestion sur le long terme. Et certaines de ces applications ont évolué pour devenir des outils majeurs et critiques pour l'entreprise », observe Jason Wong. « Aujourd'hui, la technologie est un peu différente, l'architecture un peu mieux faite et la majorité de ces outils sont cloud et SaaS. »
Pour Jason Wong, la pandémie a accéléré l'adoption de ces solutions. « Nous échangeons avec de nombreux clients qui nous disent qu'ils doivent faire cela maintenant, qu'ils ont besoin de ce formulaire maintenant, qu'ils doivent automatiser maintenant. Puis ils croisent un fournisseur et se disent qu'ils vont utiliser cette solution. Ils envisagent le sujet comme un point douloureux à adresser immédiatement. Nous avons beaucoup vu cela durant la pandémie », décrit-il. Mais certains de ces outils ne disposent même pas d'environnement de test ou de préproduction, poursuit-il.
À l'avenir, l'intelligence artificielle va prendre une place significative dans les produits low code et no code, ce qui pourrait encore aggraver les risques. « Les organisations utiliseront l'IA pour automatiser ce qui se passe hors de la vue. Et si vous êtes un utilisateur métier développeur citoyen, vous allez sans doute faire confiance à l'outil pour vous donner les bons modèles », prédit Jason Wong. Sans une solide gouvernance en place, cela sera un défi pour les entreprises. « Le pire pouvant se produire est que l'IT et le métier ne soient pas alignés sur la façon d'utiliser leurs outils low code et no code », met-il en garde.
Article de Maria Korolov / CIO États-Unis (Adaptation et traduction par Aurélie Chandèze)
Article rédigé par

La rédaction de CIO Etats-Unis,
Suivez l'auteur sur Google+, Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire