by: remi.goyer@ik.mePosted on:

La Gestion du Changement : Un Enjeu Crucial pour la Sécurité Informatique

Pourquoi la Gestion du Changement est-elle essentielle ?

La gestion du changement est souvent perçue comme une formalité lourde, voire inutile dans certaines organisations. Cependant, une modification mal planifiée ou précipitée peut avoir des conséquences désastreuses. Prenons l’exemple de la panne majeure survenue au Canada le 8 juillet 2022 (voir article : https://www.lemondeinformatique.fr/actualites/lire-3-lecons-a-retenir-pour-les-dsi-de-la-panne-de-l-operateur-rogers-au-canada-87977.html). Une mise à jour de maintenance bâclée sur le réseau du fournisseur d’accès Internet Rogers a entraîné une coupure d’Internet dans tout le pays pendant plus de 12 heures, affectant des millions d’utilisateurs et perturbant des services essentiels comme les communications d’urgence et les transactions financières.

Cet incident illustre parfaitement l’importance de la gestion du changement. Ce type de désastre survient lorsque les risques et impacts d’une modification ne sont pas correctement évalués, mal planifiés ou fait au dernier moment (le fameux “ça ne prend que 2 minutes !”). Dans un environnement de plus en plus numérisé, où chaque minute d’inactivité peut coûter cher, il devient impératif de disposer de procédures rigoureuses pour gérer les changements

Les étapes clés d’une bonne gestion du changement

Avant toute modification, qu’il s’agisse d’une mise à jour de logiciel, de l’ajout d’une nouvelle fonctionnalité ou d’une simple correction, il est essentiel de suivre un cadre structuré de gestion du changement. Voici les principales questions à se poser avant d’opérer tout changement :

  1. Quel est l’objectif poursuivi par ce changement ?
    • Est-ce pour corriger un incident, améliorer une fonctionnalité ou répondre à un nouveau besoin ?
  2. Quels sont les risques associés ?
    • Une analyse des risques doit être faite pour identifier les impacts potentiels sur la sécurité, la disponibilité, et la performance du système.
  3. Quels seront les impacts sur les utilisateurs ?
    • Comment le changement affectera-t-il les utilisateurs pendant sa mise en œuvre ? Quelle communication est nécessaire ?
    • Que se passe-t-il en cas d’incident ? Quels utilisateurs seront les plus impactés ?
  4. Comment minimiser ces risques ?
    • Une stratégie d’atténuation des risques doit être définie. Elle pourrait inclure la mise en place d’un environnement de test avant le déploiement ou encore la formation des utilisateurs pour limiter les interruptions.
  5. Quel est le plan d’action pour implémenter le changement ?
    • Le processus de mise en œuvre doit être clairement défini, avec des étapes précises et un calendrier réaliste. Sans oublier de planifier les tests.
  6. Comment s’assurer d’un retour arrière en cas de problème ?
    • Un plan de retour arrière (rollback) est indispensable pour annuler les modifications en cas de dysfonctionnement imprévu.
  7. Comment valider le succès de la modification ?
    • Des tests post-changement sont essentiels pour vérifier que le changement a bien atteint son objectif sans provoquer de régression.

Cela implique de bien connaitre son infrastructure, et donc de l’avoir cartographiée !

Implémenter une Gestion du Changement pour les PME : Comment être pragmatique et réaliste ?

Pour les grandes entreprises disposant de ressources dédiées à la gestion des changements, ces processus sont généralement bien établis. Mais pour les PME, souvent dotées de moyens moins important, ces étapes peuvent sembler trop complexes et chronophages. Cependant, il est tout à fait possible d’implémenter une gestion du changement simplifiée et efficace, adaptée à la réalité des PME.

1. Segmentez les changements : Routine vs Exceptionnel

Selon ITIL, les changements sont catégorisés en quatre types (majeur, standard, mineur et urgent). Mais dans le cadre d’une petite équipe informatique ou d’une entreprise qui fait appel à un prestataire, il nous faut rester raisonnable et pragmatique et ne pas mettre en place un processus trop complexe qui serait abandonné rapidement. Ainsi, toutes les modifications n’ont pas besoin de passer par ce processus formel. Nous pouvons nous limiter à deux types de changements :

  • Les changements de routine : Ce sont des modifications fréquentes et bien maîtrisées par les équipes, comme la création d’un compte utilisateur ou une mise à jour de routine d’un logiciel. Ces changements peuvent être gérés de manière plus agile avec une validation rapide.
  • Les changements exceptionnels : Ceux-ci nécessitent une attention particulière. Il peut s’agir d’une refonte de système, d’une mise à jour majeure ou d’un changement affectant directement la sécurité ou la continuité des opérations. Ces modifications doivent suivre une procédure plus rigoureuse, incluant une validation approfondie et un plan de test.

2. Mettez en place un processus de validation léger

Pour garantir que la démarche de gestion des changement ne sera pas abandonnée, il faut adopter un processus de gestion du changement plus léger mais néanmoins efficace :

  • Responsabilisez les équipes : Chaque membre de l’équipe doit être conscient de l’importance des changements. Un responsable de la gestion du changement peut être désigné, même s’il s’agit simplement d’un référent informatique ou du Responsable Informatique.
  • Documentation minimale : Documentez les changements avec des outils simples comme des fichiers partagés ou même votre système de ticketing ou celui de votre fournisseur (si votre fournisseur n’a pas de système de ticket en place, il est temps de le challenger). L’essentiel est de garder une trace des changements pour pouvoir y revenir en cas de problème.
  • Testez avant de déployer : Même dans une petite entreprise, il est crucial de tester un changement dans un environnement restreint avant de le déployer à l’échelle de l’entreprise.

3. Communication efficace avec les utilisateurs

Les utilisateurs doivent être informés des changements qui les affecteront directement, que ce soit en termes de fonctionnalités ou d’interruptions potentielles. Pour les petites entreprises, un simple e-mail ou un message dans l’outil de gestion interne suffit souvent. Et pour être sûr de toucher tout le monde, une affiche près de la machine à café est une bonne idée. L’objectif est de s’assurer que tout le monde est au courant et de limiter l’impact négatif sur la productivité.

4. Préparez un plan de retour arrière (Rollback)

Il est crucial de toujours disposer d’un plan de rollback, surtout pour les changements critiques. Cela permet de revenir rapidement à une version antérieure en cas de dysfonctionnement. Un bon rollback doit inclure :

  • Une sauvegarde complète (et validée !) des données avant le changement.
  • Une documentation claire des étapes à suivre pour annuler le changement.
  • Un responsable de la gestion du rollback en cas d’urgence.

La gestion du changement, bien que souvent perçue comme un processus complexe et bureaucratique, est en réalité un levier essentiel pour assurer la sécurité et la continuité des activités dans les PME. En adoptant des pratiques pragmatiques et adaptées à leurs réalités, même les petites entreprises peuvent bénéficier des avantages d’une gestion des changements rigoureuse, sans pour autant sacrifier leur réactivité et leur agilité.

En résumé, la gestion des changements ne doit pas être une contrainte ni un ralentisseur des mises en production, mais bien une assurance de revenir à une production normale en cas de pépin.

Comment planifier un changement alors ?

Vous avez décider de mettre en œuvre une gestion du changement adaptée à votre entreprise pour reprendre la main sur votre Système d’Information, mais vous ne savez pas par où commencer.

Si vous avez un service informatique interne, annoncez dans un premier temps que vous souhaitez être au courant de toutes les opérations de mise à jour d’application qui doivent être faites. Ensuite, accompagnez l’étude de la mise à jour en posant les questions suivantes.

  1. Quel est l’objectif poursuivi par ce changement ?
    • Quel est le problème ou l’incident que je veux corriger ?
    • Quelle fonctionnalité je veux mettre en place ?
  2. Quels sont les risques liés à cette modification ?
  3. Quels sont les impacts sur les utilisateurs ?
    • Impact lors de la mise en œuvre ? (Comment je communique ?)
    • Impact en cas d’effet de bord ? (Qui ne peut plus travailler en cas de panne ?)
  4. Comment je peux les atténuer ? (les risques et les impacts, pas les utilisateurs !)
  5. Quel est mon plan d’action (ou celui de mon fournisseur) pour la mise en œuvre ?
  6. Comment je m’assure de revenir en arrière au cas où cela ne se passe pas sans accroc ?
  7. Comment je teste et valide que le changement opéré est effectif ?

Si vous faites confiance à un prestataire externe pour la gestion de votre infrastructure, nul doute qu’ils suivent ce principe élémentaire de la gestion du changement. Posez-leur la question, et conditionnez les accès à votre infrastructure à la fourniture d’un plan d’intervention. Il devrait être basé sur les questions ci-dessus.

Dans tout les cas, la mise en place de la gestion du changement doit se faire par étape. Lorsque toutes les mises à jour d’application passeront par cette étude, vous pourrez étendre ce principe à l’ensemble des modifications qui se font sur votre infrastructure.

Bonne implémentation !