Pourquoi la gestion des changements est un incontournable d'audit
La plupart des pannes et de nombreux incidents sont auto-infligés, causés par un changement non revu. Une politique de gestion des changements définit comment les modifications des systèmes et du code sont demandées, évaluées, approuvées, testées et annulées — vous apportant sécurité et traçabilité.
Quoi inclure
- Périmètre — quels changements sont couverts (systèmes de production, infrastructure, code, configuration).
- Types de changement — standard (pré-approuvé, faible risque), normal (revu) et urgent (accéléré avec approbation a posteriori).
- Demande et évaluation — ce que capture une demande de changement : objectif, risque, impact, plan de retour arrière.
- Approbation — qui approuve quel niveau de risque ; séparation des tâches.
- Test — validation avant la production.
- Retour arrière — une procédure de revert définie.
- Traçabilité — chaque changement journalisé.
Erreurs fréquentes
- Aucun circuit pour les changements urgents, qui contournent alors tout le processus.
- Des approbations sans séparation des tâches (l'auteur approuve son propre changement).
- Aucun plan de retour arrière consigné dans la demande.
Alignement référentiels
Correspond à l'Annexe A 8.32 d'ISO 27001:2022 (gestion des changements), aux critères de gestion des changements SOC 2, et à la fonction Protéger du NIST CSF.
Générez-la en quelques minutes
Voir un exemple de politique de gestion des changements ou générez la vôtre gratuitement.