Introduction

Dans ce deuxième article de la série de la Boite à outils GRC, nous allons nous intéresser à un processus central pour une bonne gouvernance SSI, la gestion des changements. Ce processus est essentiel pour les entreprises afin de rester compétitives et résilientes face aux évolutions constantes du marché et des technologies. Pour le structurer, les organisations s’inspirent souvent de plusieurs référentiels et normes, chacun apportant ses propres définitions et approches des changements, qu’ils soient significatifs, majeurs, standards ou urgents. En combinant les meilleures pratiques de ces différents standards, les entreprises créent des procédures de changement sur mesure, adaptées à leurs besoins spécifiques, garantissant ainsi un cadre de gestion des changements robuste et flexible.

Grands principes

A titre d’exemple, l’ISO 27001:2022 met l’accent sur les changements significatifs liés à la sécurité de l’information. Elle exige une évaluation rigoureuse des risques et des mesures de sécurité appropriées pour toute modification apportée aux systèmes d’information. De son côté, le référentiel SecNumCloud parle plutôt de changements majeurs en infrastructure, en imposant la mise en place de processus stricts pour assurer la continuité des opérations et la sécurité des données dans un environnement cloud.

Bien que chaque norme ou référentiel utilise ses termes spécifiques, certaines règles universelles demeurent incontournables pour une gestion efficace des changements. Parmi ces règles, on peut citer notamment :

  • Une documentation complète de chaque étape, de l’identification du besoin à la révision post-implémentation ;
  • Une évaluation des risques précédant toute initiative de changement important, pour identifier et atténuer les impacts potentiels sur les opérations et la sécurité ;
  • L’approbation par des autorités compétentes, comme un Change Advisory Board (CAB), pour chaque changement important ;
  • Une communication claire sur les changements prévus à toutes les parties prenantes pour faciliter l’adoption ;
  • Une planification minutieuse, des tests avant déploiement, une surveillance continue et une révision post-mise en œuvre, indispensables pour minimiser les erreurs et améliorer les processus futurs ;
  • Préparer des mécanismes de retour arrière afin de garantir la capacité de rétablir un état antérieur si nécessaire, assurant ainsi la continuité des opérations.

Déclinaison possible

Une méthode efficace explorée ici consiste à s’inspirer des bonnes pratiques du guide ITIL 4. Cette approche est considérée comme efficace, bien que d’autres méthodes puissent également permettre d’atteindre les mêmes objectifs.

Ci-dessous se trouve un processus inspiré de ITIL 4:

Changement

Classification du changement

  • Changements Standard : Les changements standard sont des modifications préautorisées à faible risque, suivant des procédures bien établies et documentées. Ces changements incluent typiquement des mises à jour planifiées de logiciels ou le remplacement d’équipements comme une imprimante.
  • Changements Urgents : Les changements urgents sont des modifications qui doivent être exécutées immédiatement pour atténuer les conséquences d’une situation critique. Ces changements sont souvent déclenchés par la nécessité de résoudre un incident majeur ou d’appliquer un correctif de sécurité urgent pour prévenir ou limiter les dommages.
  • Changements Normaux : Les changements normaux englobent des ajustements opérationnels qui ne sont ni suffisamment routiniers pour être considérés comme standards, ni assez critiques pour être classés comme urgents. Ces changements sont divisés en trois sous-catégories, selon leur niveau d’impact et de risque :
    • Changements Mineurs : Ceux-ci ont un impact limité sur les opérations et la sécurité, comme des ajustements de configuration ou des mises à jour mineures de systèmes.
    • Changements Significatifs : Ils ont un impact modéré et nécessitent généralement une planification plus approfondie. Un exemple serait l’ajout de nouvelles fonctionnalités à un système existant qui demande des tests et une formation utilisateur.
    • Changements Majeurs : Ces modifications ont un impact critique sur les opérations ou la sécurité, comme le lancement d’un nouveau service d’importance stratégique ou la migration complète d’une plateforme. Ces changements exigent une gestion rigoureuse, des évaluations de risque détaillées et une planification méticuleuse pour en minimiser les risques et maximiser les bénéfices.

Pour classer ces changements efficacement, les organisations peuvent se baser sur plusieurs critères :

  • L’impact opérationnel, qui varie de faible à élevé selon l’effet sur les services ;
  • L’urgence, déterminant la nécessité de planification ou d’action immédiate ;
  • La complexité, évaluée par le nombre de départements impliqués et les ressources nécessaires ;
  • Les risques associés, jugés de bas à élevé en fonction des conséquences potentielles d’une gestion inadéquate.

Ces critères facilitent la priorisation et l’allocation optimale des ressources pour une gestion proactive des changements.

Rôles Clés dans la Gestion des Changements

  • Change Manager : Responsable du processus global de gestion des changements, le Change Manager est chargé d’approuver les changements mineurs et de soumettre les changements majeurs au Change Advisory Board (CAB).
  • Change Advisory Board (CAB) : Conseillant le Change Manager dans l’évaluation et la priorisation des changements, le CAB est composé de représentants des parties prenantes, d’experts techniques et métiers.
  • Emergency Change Advisory Board (ECAB) : Gérant les changements urgents nécessitant une réponse rapide, l’ECAB est un sous-ensemble du CAB mobilisable à tout moment.

Exemple pratique

Prenons l’exemple d’un changement normal avec une migration d’un fournisseur IaaS (Infrastructure as a Service). Ce type de changement, bien que planifié et documenté, présente des risques significatifs pour les opérations et, surtout, pour la sécurité de l’information.

  1. Enregistrer et Filtrer : Une RFC (Request For Change) détaillée est créée, décrivant le besoin de changer de fournisseur IaaS, les bénéfices attendus, et les implications sur la sécurité de l’information. La RFC est ensuite filtrée pour s’assurer que toutes les informations nécessaires sont présentes et qu’il n’y a pas de duplicata.
  2. Évaluer les Propositions : Le Change Manager et l’équipe de sécurité analysent les risques potentiels et les impacts sur les opérations et la sécurité. Une attention particulière est portée aux mesures de sécurité existantes du nouveau fournisseur, aux certifications de sécurité. La proposition est soumise au CAB pour évaluation.
  3. Catégoriser : Le changement est classé comme un changement majeur en raison de son impact significatif sur les opérations et la sécurité de l’information.
  4. Évaluer et Autoriser : Le CAB approuve le plan de migration après une évaluation détaillée des risques, incluant une revue approfondie des mesures de sécurité du nouveau fournisseur. Les stratégies de traitement des risques, notamment les plans de sauvegarde et de restauration des données, sont également examinées.
  5. Planifier et Coordonner : Un plan de migration détaillé est créé, incluant les étapes spécifiques, les ressources nécessaires, les coûts, les tests de sécurité, et un plan de retour en arrière en cas de problème.
  6. Mettre en Œuvre : Les équipes techniques et de sécurité coordonnent le travail selon le plan approuvé. Pendant la migration, des contrôles de sécurité en temps réel sont effectués pour surveiller toute activité suspecte ou non autorisée. La migration est exécutée pendant une période de faible activité pour minimiser les perturbations et maximiser la vigilance en matière de sécurité.
  7. Revue Post-Mise en Œuvre : Après la migration, une revue post-mise en œuvre est effectuée pour vérifier que tous les objectifs ont été atteints et que les mesures de sécurité ont été efficaces. Les incidents de sécurité, s’il y en a eu, sont documentés, et les leçons apprises sont partagées avec les parties prenantes pour renforcer les futures migrations.
  8. Clôture : Le changement est officiellement clôturé, documenté dans le registre des changements, et les éléments de configuration sont mis à jour pour refléter le nouveau fournisseur IaaS.
  9. Mesurer et Améliorer : Les KPI sont utilisés pour évaluer le succès de la migration, notamment le nombre d’incidents de sécurité avant, pendant, et après la migration. Les processus sont révisés et améliorés en fonction des retours d’expérience, en mettant un accent particulier sur les améliorations nécessaires pour renforcer la sécurité de l’information.

Conclusion

La gestion des changements est un pilier central de toute stratégie GRC. Une approche structurée permet aux organisations de réduire les risques, d’améliorer leur efficacité opérationnelle et de rester conformes aux exigences réglementaires. En classant soigneusement les changements, et en définissant des processus clairs pour chaque type, les organisations peuvent minimiser les perturbations et assurer une transition en douceur. L’inclusion des parties prenantes clés via un CAB inclusif, la centralisation des demandes et l’automatisation là où c’est possible sont des pratiques essentielles pour une gestion efficace des changements. La documentation complète, la communication proactive avec les commanditaires et l’amélioration continue grâce aux indicateurs clés de performance (KPI) sont des éléments indispensables pour une gestion des changements réussie et pour renforcer la sécurité de l’information.