4 types de risques liés à l'informatique pour l'utilisateur final (EUC) à surveiller de près
Comment définir et classer les risques EUC en fonction de l'impact sur l'organisation ?
Toute application soutenant un processus critique qui est développée ou gérée par les utilisateurs finaux plutôt que par un service informatique ou une équipe professionnelle d'ingénierie logicielle relève de l'informatique pour l'utilisateur final (EUC). Bien que ces applications puissent être extrêmement utiles pour aider les équipes à améliorer leur efficacité dans leur travail quotidien, les équipes informatiques les gèrent rarement avec les mêmes protocoles de gouvernance ou les mêmes contrôles de sécurité que ceux qu'elles appliquent à leurs applications personnalisées.
Cela signifie, surtout dans l'environnement actuel, qu'il est très probable que l'on vous pose des questions sur votre programme de gestion de l'EUC. Mais quelles réponses devez-vous avoir à portée de main pour pouvoir dire en toute confiance : "J'ai mis en place une politique efficace en matière d'EUC" ?
Avant de pouvoir atténuer efficacement les risques liés à l'UE par une combinaison de contrôles et de décisions d'entreprise, vous devez être en mesure de les définir et de les classer.
Applications EUC mal gérées : quel est le coût réel ?
Le monde financier a été secoué par l'incident du "double comptage" chez Marks and Spencer, qui a entraîné l'annonce erronée d'une hausse des ventes de 1,3 % alors qu'en réalité, les ventes avaient chuté de 0,4 %. De même, le géant des services de soutien Mouchel a connu un effondrement catastrophique après qu'une erreur comptable lui a coûté 8,6 millions de livres sterling, entraînant une chute de 30 % de ses actions. Si les répercussions financières de ces erreurs de l'EUC ont été considérables, la perception plus large du marché d'un contrôle financier inadéquat s'est avérée encore plus préjudiciable que les coûts eux-mêmes.
Même si les risques associés aux EUC peuvent avoir un impact considérable sur votre organisation, ils ne doivent pas empêcher votre équipe de dormir. Au contraire, un cadre programmatique de gestion des risques liés aux EUC vous permet de connaître ces risques, de mettre en place des contrôles appropriés pour les atténuer et de formuler des recommandations à votre équipe informatique. Par exemple, si un EUC à haut risque et à forte utilisation doit être transformé en une application appartenant à l'IT avec une meilleure surveillance, ou s'il est plus judicieux de le laisser tranquille. Une lacune dans votre programme de gestion des risques liés aux EUC peut avoir des répercussions sur la réputation de plusieurs générations, c'est pourquoi il est important de le construire sur des bases solides. Cela signifie qu'il faut prendre le temps d'identifier et de catégoriser chaque niveau de risque EUC ayant un impact sur votre organisation.
4 types de risques pour l'UE
Pour toute EUC relevant de la compétence de votre département (en particulier celles qui sont considérées comme présentant un risque élevé), vous devrez vous assurer que les contrôles appropriés sont en place, qu'ils sont documentés et qu'ils font l'objet d'un examen annuel et d'un plan d'action. Pour ce faire, vous devrez définir et classer ces EUC en fonction de leur impact sur l'organisation et du niveau de risque.
Lorsque vous passez en revue tous les EUC de votre organisation, classez les risques qu'ils présentent dans les domaines clés suivants :
Risque financier
- Exactitude des données et pertes : des données EUC inexactes ou incomplètes sont à l'origine d'erreurs de calcul, ce qui peut entraîner des pertes financières ou des problèmes de conformité à la réglementation.
- Utilisation des ressources : L'utilisation inefficace des ressources, y compris le matériel, les licences logicielles et le personnel, entraîne des dépenses inutiles.
- Risques liés aux fournisseurs : La dépendance à l'égard de certains vendeurs ou fournisseurs expose l'organisation à un risque financier si ces entités ne respectent pas leurs engagements ou connaissent une instabilité financière.
Risque opérationnel
- Temps d'arrêt : Les temps d'arrêt du système EUC peuvent perturber les activités de l'entreprise, entraînant des pertes de productivité et une réduction des revenus. Les temps d'arrêt peuvent résulter de problèmes techniques, de défaillances logicielles ou de cyberattaques, et entraînent des problèmes de continuité des activités.
- Accords de niveau de service (SLA) : Le non-respect des accords de niveau de service peut entraîner des pénalités, des ruptures de contrat et une détérioration des relations avec les clients.
Risque réglementaire
- Non-conformité : Le non-respect des exigences réglementaires, telles que BCBS 239, SR 11-7, Solvabilité II ou les normes spécifiques au secteur, peut entraîner des sanctions juridiques, des amendes et des atteintes à la réputation.
Risque de réputation
- Perception négative du public : Tout problème lié à l'EUC, comme les violations de données, les pannes de système ou les violations de la réglementation, peut ternir la réputation de l'organisation. Il peut en résulter un effondrement du cours des actions, un départ des cadres et des difficultés à gagner et à conserver des clients.
- Confiance des clients : Les problèmes liés à l'EUC peuvent éroder la confiance et la fidélité des clients. Rétablir la confiance nécessite toujours des efforts et des ressources considérables, si tant est que cela soit possible.
Si la catégorisation des risques constitue un bon point de départ pour votre stratégie de gestion des risques liés à l'EUC, vous n'êtes pas encore au bout de vos peines. Vous devrez ensuite mettre en œuvre les contrôles appropriés - en fonction du niveau de risque - pour chaque EUC.
Sans oublier que le maintien des contrôles, la conformité réglementaire et une communication efficace avec les parties prenantes sont des défis permanents. Et même si vous avez la meilleure politique d'EUC au monde, vous devez être en mesure de prouver qu'elle est en place et qu'elle est efficace.
C'est pourquoi nous avons créé une liste de contrôle complète pour la gestion des risques liés à l'informatique de l' utilisateur final afin de vous aider à identifier, quantifier et gérer les risques liés à l'informatique de l'utilisateur final.
Plus pour vous :
- Sécurisons notre monde : 4 bonnes pratiques de sécurité liées au travail pour le mois de la sensibilisation à la cybersécurité
- La cyberattaque contre MGM Resorts : ce qu'il faut savoir (et ce que cela implique pour votre stratégie de gestion des risques)
- Shadow IT, phishing, logiciels malveillants, oh mon Dieu ! Les risques qui hantent secrètement votre organisation
