Quand le no-code devient un risque applicatif

Bubble AI, Glide AI, Softr AI, Webflow AI, Wix AI et Framer AI réduisent la distance entre l’idée et la publication, mais n’éliminent pas les risques applicatifs. Au contraire, ils les déplacent souvent vers des configurations, des permissions, des règles de visibilité, des formulaires publics, des flux de travail et des intégrations qui ne sont pas traités comme du code, bien qu’ils aient le même impact qu’une vulnérabilité.

La question n’est pas de savoir si l’IA est utile ou dangereuse pour le développement. Elle est beaucoup plus pragmatique : comprendre quels contrôles sont nécessaires lorsqu’un résultat généré ou accéléré par l’IA entre dans un produit, un flux de travail d’entreprise ou un environnement contenant des données réelles. Cet article s’adresse aux fondateurs, CTO, développeurs et équipes IT/sécurité et se concentre sur l’authentification mal gérée, les permissions au niveau des enregistrements (record-level permissions), les formulaires publics, le téléchargement de fichiers, les intégrations API, les automatisations avec des données personnelles et le shadow IT.

[Callforaction-WAPT]

Pourquoi une application qui fonctionne n’est pas nécessairement sécurisée

Les outils d’IA compressent le temps nécessaire pour créer du code, des interfaces, des flux de travail et des configurations. Cette vitesse peut cependant occulter les étapes qui rendent le logiciel fiable : modélisation des menaces (threat modeling), revue, gestion des secrets, contrôle des rôles, validation des entrées, vérification des dépendances et tests manuels des chemins critiques.

Une démo fonctionne avec un seul utilisateur, des données fictives et des permissions implicites. La même logique peut céder lorsque des clients réels, des locataires multiples (multi-tenancy), des rôles différents, des API publiques, des intégrations, des données personnelles, des paiements ou des automatisations avec des effets externes entrent en jeu. C’est pourquoi la sécurité doit être évaluée sur le comportement réel de l’application, et non sur la promesse de l’outil qui l’a générée.

Le risque réside dans la configuration, pas seulement dans le code

Dans Bubble, Glide, Softr, Webflow, Wix ou Framer, le problème est rarement une ligne de code vulnérable. Il s’agit plus souvent d’une règle d’accès manquante, d’un formulaire exposé, d’une base de données lisible sans authentification, d’un fichier public ou d’une automatisation qui envoie des données au mauvais service. Ces éléments n’apparaissent pas dans une revue de code source traditionnelle, mais produisent les mêmes effets qu’une vulnérabilité critique.

Shadow IT et données personnelles

Les applications no-code naissent souvent au sein du marketing, des opérations ou des unités commerciales, en dehors du périmètre IT. Si elles collectent des données personnelles, des pièces jointes, des contrats, des prospects ou des informations clients, elles doivent être placées sous la gouvernance IT/sécurité, même si elles ne passent pas par un dépôt de code. L’absence de code personnalisé n’équivaut pas à l’absence de risque : elle équivaut à l’absence de visibilité.

Comment tester une application no-code

La vérification doit utiliser des utilisateurs ayant des rôles différents, des enregistrements appartenant à des clients différents, des liens publics, des téléchargements, des exportations, des points de terminaison (endpoints), des automatisations, des intégrations et des panneaux d’administration. Regarder uniquement l’interface ne suffit pas : de nombreuses vulnérabilités n’apparaissent qu’en simulant des comportements réels avec des identifiants différents ou en accédant directement aux points de terminaison sous-jacents.

Principaux risques à contrôler

• Permissions au niveau des enregistrements manquantes : vérifier la configuration, le comportement à l’exécution et l’impact sur les données réelles de différents clients.
• Formulaires publics abusables ou sujets au spam : vérifier l’exposition, l’absence de limitation de débit (rate limit) et la possibilité d’insertion de données non autorisée.
• Téléchargement de fichiers sans contrôle : vérifier le type, la taille, la destination et l’accessibilité publique des fichiers téléchargés.
• Liens partagés exposant des données : vérifier si les liens générés sont devinables, dépourvus d’authentification ou sans date d’expiration.
• Flux de travail envoyant des données à des tiers : vérifier les destinataires, les conditions d’activation et les données transmises dans chaque automatisation.
• Clés API insérées dans des intégrations non gouvernées : vérifier où elles sont stockées, qui peut les lire et si elles sont renouvelées périodiquement.
• Rôles administrateur accordés à des utilisateurs métier : vérifier quelles actions sont bloquées côté serveur et non seulement dans l’interface.

Ces risques doivent être liés au périmètre concret. Une application exposée nécessite des tests applicatifs manuels ; une modification critique du code nécessite une revue ; un flux de travail interne nécessite un contrôle des permissions et des identifiants. La combinaison correcte dépend de l’impact, pas du nom de l’outil.

Contrôles minimaux avant la mise en ligne (go-live)

• Cartographier les utilisateurs, les rôles, les données réelles, les intégrations, les environnements et les propriétaires du service.
• Identifier quelles parties ont été générées ou modifiées avec l’IA et qui les a révisées.
• Vérifier les autorisations côté serveur, l’isolation des locataires (tenant isolation) et les fonctions administratives.
• Rechercher des secrets dans le code, les prompts, les logs, les variables d’environnement, les builds et l’historique du dépôt.
• Contrôler les dépendances, les licences, les paquets, les modèles, les plugins et les composants générés.
• Tester les entrées hostiles, la gestion des erreurs, la journalisation, la limitation de débit et les chemins non prévus.
• Séparer les correctifs bloquants, la remédiation planifiée et le risque résiduel accepté.
• Répéter le test ou le retest après des corrections touchant des flux critiques.

Quand une vérification indépendante est-elle nécessaire ?

Une vérification indépendante est nécessaire lorsque l’application ou le flux de travail gère des données réelles, des utilisateurs externes, des rôles, des API, des intégrations d’entreprise, des paiements, du stockage, des flux de travail automatiques ou du code critique généré avec l’IA. Elle est également nécessaire lorsque l’équipe ne peut pas démontrer quelles parties ont été révisées et quels contrôles bloquent les régressions ou les abus.

Pour ce type de contexte, le périmètre recommandé par ISGroup comprend le Vulnerability Assessment, le Web Application Penetration Testing et, lorsque le cycle de développement l’exige, la Code Review. La meilleure revue n’est pas générique : elle doit produire des résultats reproductibles, des priorités de remédiation, une indication du risque résiduel et, si nécessaire, un retest après les corrections.

Questions opérationnelles pour les fondateurs, CTO et équipes de sécurité

• Quelles données réelles entrent dans le système et où sont-elles enregistrées, journalisées ou envoyées ?
• Quels rôles existent et quelles actions sont bloquées côté serveur, et non seulement dans l’interface ?
• Quels secrets, jetons, webhooks ou identifiants permettraient un accès à des systèmes critiques ?
• Quelles parties ont été générées ou modifiées par l’IA et lesquelles ont été révisées par une personne compétente ?
• Quels tests couvrent l’abus, les erreurs, les rôles différents et les locataires différents, et pas seulement le chemin nominal (happy path) ?
• Quelle preuve peut être montrée aux clients, aux audits, aux achats ou à la direction ?

FAQ

• Le no-code peut-il avoir des vulnérabilités applicatives ?
• Oui. Les permissions, formulaires, téléchargements, intégrations, données et automatisations peuvent exposer des informations ou permettre des actions non autorisées, indépendamment de l’absence de code personnalisé.
• Le WAPT est-il nécessaire s’il n’y a pas de code personnalisé ?
• Oui, lorsque l’application est exposée et gère des données réelles. Le test vérifie le comportement, les permissions et les surfaces d’attaque, pas seulement le code source.
• Quel est le contrôle le plus important ?
• Vérifier les permissions au niveau des enregistrements et les rôles avec différents utilisateurs, surtout sur les données clients et les fonctions administratives.
• Comment gérer les applications créées par les unités commerciales ?
• Avec un inventaire, la classification des données, l’approbation IT/sécurité, des règles sur les intégrations et une évaluation proportionnelle au risque réel.
• Quand le VA suffit-il et quand le WAPT est-il nécessaire ?
• Le VA aide sur l’exposition et les configurations ; le WAPT est nécessaire pour analyser les flux applicatifs, les rôles, les données et l’abus des fonctions.

[Callforaction-WAPT-Footer]

Approfondissements utiles

• Shadow IT généré par l’IA : comment reconnaître et gouverner les outils d’IA adoptés en dehors du périmètre IT de l’entreprise.
• Contrôles de sécurité avant la mise en ligne : checklist opérationnelle pour vérifier une application ou un flux de travail IA avant la mise en production.
• Base de données exposée dans le vibe coding : analyse du risque spécifique d’exposition des données dans les applications générées avec des approches de vibe coding.

Sources et références

• OWASP Top 10 2021
• OWASP ASVS
• OWASP Code Review Guide
• NIST SP 800-218 SSDF
• Sécurité Bubble
• Sécurité Glide