Qu'est-ce que le risque lié à l'informatique de l'utilisateur final (EUC) ?
Un article de Sam Lee, responsable du risque opérationnel, EMEA, SMBC, Torchlight Services.
L'informatique pour l'utilisateur final est un système dans lequel les utilisateurs peuvent créer des applications fonctionnelles en dehors du processus de développement divisé en conception, construction, test et publication qui est généralement suivi par les ingénieurs en logiciel. Microsoft Excel est peut-être l'un des exemples les plus connus de plateforme EUC.
Dans cette optique, le risque lié aux EUC est donc le potentiel d'erreurs dans les documents commerciaux clés des EUC, tels que les feuilles de calcul. La flexibilité des EUC peut conduire à des erreurs dans ces documents critiques de l'entreprise. Étant donné que les données produites par les EUC sont généralement acceptées et utilisées par la direction et les autres utilisateurs finaux, cela peut rapidement conduire à des données incorrectes, ce qui augmente le risque de pertes financières et de réputation.
Pourquoi les risques liés à l'UE sont-ils importants ?
Bien que le risque EUC soit universel, il n'est pas aussi bien connu, voire reconnu, que d'autres risques d'entreprise, tels que les risques opérationnels, financiers et réglementaires (ou leurs sous-catégories). "La question suivante est souvent posée : "Pourquoi dois-je me préoccuper du risque EUC ?Il y a deux raisons à cela.
Avant tout, le risque EUC est présent dans toute organisation qui s'appuie sur des feuilles de calcul, des bases de données et d'autres outils informatiques "créés par l'homme" qui se situent en dehors du cycle des applications informatiques. Le niveau de risque est déterminé par le cadre de gestion des risques de l'organisation, mais il est peu probable qu'une entreprise n'utilise pas les applications susmentionnées.
Deuxièmement, le risque lié à l'EUC contribue à toute une série d'autres risques opérationnels, réglementaires et de conduite. Il y a beaucoup d'interconnexions entre les risques de l'EUC et les autres risques, qui contribuent tous au risque de l'entreprise. Le diagramme ci-dessous le montre très clairement.
Par conséquent, il convient de s'opposer à toute organisation qui affirme que le risque EUC n'est pas pertinent pour elle, sous une forme ou une autre. Il est impératif que les organisations se saisissent de la signification du risque EUC.
La bonne nouvelle, c'est qu'il est possible de gérer et de contrôler les risques liés à l'informatique de l'utilisateur final, même si elle est fondamentalement présente dans toute l'organisation. Alors, par où commencer logiquement ?
Le risque lié à l'informatique de l'utilisateur final est une menace souvent sous-estimée, alors que les données provenant de l'informatique de l'utilisateur final constituent la base des décisions et des rapports critiques de l'entreprise. Voici quelques conseils pour gérer les risques liés à l'informatique de l'utilisateur final :
Comprendre la population EUC de votre organisation - les types d'applications EUC utilisées, le nombre de chaque type et le niveau de complexité ou de risque inhérent des différents fichiers - c'est-à-dire ceux qui sont fortement codés, qui utilisent des macros, qui reposent sur des connexions avec d'autres feuilles de calcul, des bases de données, etc.
Déterminer la "criticité" des EUC pour l'entreprise. La criticité doit être évaluée sur la base de l'impact quantitatif (perte monétaire) et qualitatif (risque de réputation, exposition des clients, sanction réglementaire, perte de fonctionnalité de l'entreprise) sur l'entreprise si ces fichiers étaient perdus ou endommagés ou modifiés à l'insu de l'entreprise. Par exemple, évaluez ce que coûterait à l'entreprise le départ du créateur d'une feuille de calcul essentielle. Un autre membre de l'équipe aurait-il une connaissance approfondie du fonctionnement de l'application et de la manière dont elle doit être maintenue ? Serait-il en mesure de tester l'intégrité de l'application en cas de modifications involontaires ou malveillantes des codes ou des macros de l'application ?
Élaborer une politique pour la création d'un inventaire des EUC, y compris les définitions des différents niveaux de risque et les contrôles associés qui doivent être mis en place en fonction de la criticité des fichiers. En outre, la politique doit également inclure des règles pour documenter, tester et maintenir l'inventaire des EUC en fonction de leur catégorie de criticité. Il est évident que plus la criticité est élevée, plus les règles sont strictes et les politiques rigoureuses.
Créez une carte thermique des EUC critiques et, à l'aide d'indicateurs de risque clés, montrez où se trouvent les EUC en souffrance. Cette représentation aidera l'organisation à prendre des mesures correctives.
Se concentrer sur les EUC les plus critiques, comprendre leur utilisation et les mettre en relation avec les risques potentiels plus larges identifiés dans la bibliothèque des risques de l'organisation. Par exemple, évaluez si l'une des applications de feuille de calcul a une incidence sur d'autres risques tels que la fraude interne ou l'information financière, la gouvernance des données, etc.
Entreprendre manuellement ce type d'approche de bout en bout et granulaire est presque impossible, en raison de l'étendue de l'utilisation des feuilles de calcul et des EUC dans la plupart des organisations. Non seulement il est difficile d'identifier et d'inventorier les EUC de manière globale, mais il est également difficile de déterminer les interconnexions et l'impact correspondant des feuilles de calcul critiques sur les autres risques de l'entreprise.
Il est également presque impossible de suivre efficacement les modifications apportées au code, aux macros, etc. manuellement, que ces modifications soient délibérées et de bonne foi ou non. L'adoption d'une technologie qui automatise la découverte, l'inventaire, l'application des politiques, le contrôle et la gestion globale de l'environnement EUC est la solution la plus rentable et la plus sûre.
Découvrir PolicyHub
Il s'agit d'une solution de gestion des politiques facile à utiliser, qui vous permet de renforcer la conformité.
