Politique de gestion des changements

La Politique de gestion des changements établit un cadre formel et structuré pour contrôler et surveiller tous les changements apportés aux systèmes d'information, à l’infrastructure, aux applications et aux processus associés d’une organisation. Son objectif principal est de garantir que toute modification est planifiée, documentée et approuvée via une gouvernance appropriée, le Comité consultatif sur les changements et des rôles désignés, afin de minimiser en permanence le risque et de préserver la stabilité des systèmes. La politique est exhaustive dans sa portée et s’applique à tous les changements qui affectent les systèmes, les données et les environnements relevant du domaine d'application du SMSI. Cela inclut les ajustements techniques de l’infrastructure informatique (sur site, informatique en nuage ou hybride), les environnements de production ou l’environnement de reprise après sinistre, et s’étend aux versions logicielles, aux changements de paramètres de configuration, aux correctifs d'urgence et aux migrations de systèmes. Elle garantit l’inclusivité en imposant non seulement au personnel informatique interne, mais aussi aux développeurs, aux équipes de projet et aux fournisseurs tiers, prestataires de services gérés (MSP) et contractants, de suivre les mêmes protocoles robustes de gestion des changements. Un bénéfice clé de la politique réside dans la classification rigoureuse et la documentation exigées pour chaque changement. Chaque demande de changement doit détailler son périmètre, ses objectifs, son impact, ses dépendances, ses tests et ses plans de retour arrière, et est soumise à des circuits d’approbation standard, normaux ou d’urgence. Le Comité consultatif sur les changements, composé de parties prenantes issues de la sécurité, de l’Exploitation informatique, des responsables métier et de la conformité, examine les changements majeurs et standard, en veillant à ce que les décisions soient toujours fondées sur les risques et traçables. Cela maintient la disponibilité des systèmes et l’intégrité des données tout en soutenant la préparation à l’audit via des enregistrements documentés et des revues après mise en œuvre. Il impose également la séparation des tâches, en exigeant l’évaluation par les pairs et l’évitement des conflits d'intérêts afin de réduire le risque de changements non autorisés ou non planifiés. Les tests et la validation sont centraux, exigeant que les changements fassent l’objet de tests et d’appréciations des risques dans des environnements de pré-production avant le déploiement en production, sauf s’ils sont classés comme changements d’urgence. La planification du retour arrière est obligatoire pour chaque changement, afin de garantir que des étapes de rétablissement sont en place en cas de problème. Le système s’intègre également aux pipelines CI/CD et aux systèmes de gestion de versions pour l’automatisation, tout en conservant une supervision manuelle pour l’approbation et la documentation. La politique met l’accent sur la gestion des risques, en stipulant que chaque changement est évalué non seulement pour son impact technique, mais aussi au regard de la confidentialité, de l’intégrité, de la disponibilité, ainsi que des obligations réglementaires telles que GDPR, NIS2, DORA et les normes ISO/IEC. Le risque résiduel ne peut être accepté qu’après documentation appropriée et approbation de la Direction générale. Les exceptions au processus standard sont strictement contrôlées et exigent une double approbation, des justifications claires et des mesures compensatoires. Toute violation, qu’elle soit commise par des équipes internes ou des prestataires tiers de services, entraîne des sanctions disciplinaires et doit être consignée dans le registre des dérogations aux politiques. En résumé, cette politique fournit une structure transparente, auditable et défendable pour gérer les changements, essentielle pour toute organisation priorisant la conformité et la résilience opérationnelle.