Passer au contenu principal
Responsable de la PON : IT / Opérations — Dernière révision : [Date] — ID : SOP-IT-002

Vue d’ensemble

Le processus de gestion du changement garantit que les changements aux systèmes, processus et infrastructures sont introduits de manière contrôlée et coordonnée afin de minimiser les perturbations et les risques. Tous les changements significatifs nécessitent un examen formel et une approbation avant leur mise en œuvre. Pourquoi c’est important : Les changements non contrôlés sont l’une des causes les plus courantes de pannes système et d’incidents de sécurité. Un processus structuré de gestion du changement réduit les risques, améliore la prévisibilité et crée une piste d’audit. Parties prenantes clés :
RôleResponsabilité
Demandeur du changementSoumet la demande de changement ; est propriétaire du changement
Sécurité ITExamine les implications de sécurité ; requis pour tous les changements à haut risque
Comité consultatif du changement (CAB)Examine et approuve les changements à haut risque
Responsable de départementApprouve les changements à risque faible et moyen pour son domaine
OpérationsMaintient le registre des changements ; coordonne la planification

Ce qui nécessite une demande de changement

Une demande de changement (DC) formelle est requise pour tout changement pouvant affecter la disponibilité, la sécurité ou l’intégrité des systèmes de production ou des processus métier essentiels. Exemples :
  • Déploiement de nouveaux logiciels ou infrastructures en production
  • Modification des contrôles d’accès ou des systèmes d’authentification
  • Changements de configuration réseau, règles de pare-feu ou paramètres VPN
  • Migration de données entre systèmes
  • Mise à jour d’intégrations ou d’API affectant les flux de travail critiques
  • Retrait ou remplacement d’un système utilisé par les employés ou les clients
Ce qui ne nécessite pas de DC :
  • Maintenance de routine dans une fenêtre de maintenance pré-approuvée
  • Changements d’urgence pour restaurer le service (ceux-ci sont documentés rétroactivement — voir Changements d’urgence)
  • Changements mineurs de contenu ou de configuration sans impact au niveau système (par ex., mise à jour d’un document)
En cas de doute, soumettez une DC. Le processus d’examen est léger pour les changements à faible risque.

Catégories de changement

Les changements sont catégorisés par niveau de risque :
CatégorieDescriptionApprobation requise
StandardChangements pré-approuvés, de routine, avec des étapes bien comprises et un risque faibleResponsable de département (modèles pré-approuvés)
FaibleChangements mineurs de portée limitée, réversibles, impact minimal en cas d’échecResponsable de département
MoyenPortée et impact modérés ; le risque est gérable mais justifie un examen ITResponsable IT + Responsable de département
ÉlevéImpact large, difficile à inverser, ou risque élevé en cas de problèmeComité consultatif du changement (CAB)
UrgenceChangement non planifié requis immédiatement pour restaurer le serviceRevue post-implémentation requise

Étapes du processus

1

Soumettre une demande de changement

Qui : Demandeur du changementTous les changements commencent par une demande de changement (DC) formelle soumise via [système de gestion du changement — lien à ajouter]. La DC doit inclure :
  • Description du changement — Ce qui change et pourquoi
  • Justification métier — L’objectif et le résultat attendu
  • Portée — Systèmes, services ou données affectés
  • Date et heure de mise en œuvre proposées — Incluant le fuseau horaire
  • Plan de retour en arrière — Étapes spécifiques pour annuler le changement en cas d’échec
  • Approche de test — Comment le changement sera validé avant et après
  • Approbateurs désignés — Selon la catégorie de risque
Les changements ne doivent pas être mis en œuvre avant d’avoir reçu les approbations requises. Les changements non autorisés constituent une violation de la politique et peuvent entraîner des mesures disciplinaires.
2

Catégorisation du risque

Qui : IT / OpérationsL’IT ou les Opérations examinent la DC et attribuent une catégorie de risque (Standard, Faible, Moyen, Élevé). Le demandeur est notifié de la catégorie attribuée et de toute information supplémentaire nécessaire avant que l’examen puisse se poursuivre.Si le demandeur n’est pas d’accord avec la catégorisation du risque, il peut escalader au responsable IT ou au directeur des opérations pour une détermination finale.
3

Examen et approbation

Qui : Approbateurs selon la catégorie de risqueLes approbateurs examinent la DC et peuvent :
  • Approuver — Le changement se poursuit selon le calendrier proposé
  • Approuver avec conditions — Le changement peut se poursuivre sous réserve d’exigences spécifiques (par ex., tests supplémentaires, fenêtre restreinte)
  • Reporter — Le changement doit être reprogrammé (par ex., conflit avec une période critique pour l’activité)
  • Rejeter — Le changement ne peut pas se poursuivre tel que soumis ; le demandeur doit réviser et resoumettre
Les changements à haut risque examinés par le CAB sont évalués lors d’une réunion CAB programmée. Le CAB se réunit [hebdomadairement / à la demande — à définir]. La composition du CAB comprend la sécurité IT, les opérations et les responsables de département concernés.
4

Planifier et communiquer

Qui : Demandeur du changement + OpérationsUne fois approuvé, les Opérations planifient le changement et communiquent aux parties prenantes concernées :
  • Fenêtre de maintenance — Quand le changement aura lieu
  • Impact prévu — Toute indisponibilité ou dégradation de service
  • Point de contact — Qui contacter en cas de problème
  • Déclencheur de retour en arrière — Dans quelles conditions le changement sera annulé
Les changements à fort impact nécessitent une notification au moins 48 heures à l’avance. Les changements de routine à faible risque peuvent être communiqués le jour même.
5

Mettre en œuvre

Qui : Demandeur du changement (avec le support IT si nécessaire)Le changement est mis en œuvre conformément à la DC approuvée. Pendant la mise en œuvre :
  • Suivre exactement les étapes documentées
  • Surveiller tout comportement inattendu en temps réel
  • Garder le plan de retour en arrière prêt à être exécuté
  • Consigner tout écart par rapport au plan dans la DC
Si quelque chose d’inattendu se produit, escalader immédiatement à l’IT et envisager l’exécution du plan de retour en arrière.
6

Revue post-implémentation

Qui : Demandeur du changement + ITDans les 5 jours ouvrés suivant la mise en œuvre, le demandeur documente le résultat dans la DC :
  • Le changement a-t-il atteint le résultat escompté ?
  • Y a-t-il eu des effets secondaires inattendus ?
  • Le plan de retour en arrière a-t-il dû être exécuté ? Si oui, pourquoi ?
  • Que ferait-on différemment la prochaine fois ?
Les Opérations marquent la DC comme Clôturée (réussie), Clôturée (annulée) ou Escaladée si des problèmes restent non résolus.

Changements d’urgence

Un changement d’urgence est un changement non planifié requis immédiatement pour restaurer un service dégradé ou en panne. Les changements d’urgence contournent les processus d’approbation normaux mais doivent être documentés rétroactivement. Procédure pour les changements d’urgence :
  1. Notifier le responsable IT et le contact d’astreinte avant d’effectuer tout changement
  2. Documenter ce qui est changé et pourquoi (verbalement ou par écrit)
  3. Mettre en œuvre le changement minimum requis pour restaurer le service
  4. Soumettre une DC rétroactive dans les 24 heures suivant le changement
  5. Planifier une revue post-incident dans les 5 jours ouvrés
Les changements d’urgence sont examinés lors de la prochaine réunion du CAB pour déterminer si une action de suivi est nécessaire.

Comité consultatif du changement (CAB)

Le CAB examine les changements à haut risque et fournit un forum structuré pour évaluer les risques, coordonner la planification et partager les enseignements. Les membres du CAB comprennent :
  • Directeur IT / CTO (président)
  • Responsable sécurité IT
  • Directeur des opérations
  • Représentants des unités métier concernées (selon les besoins)
Les décisions du CAB sont documentées dans le registre des changements. Le calendrier du CAB et les comptes rendus de réunion sont maintenus par les Opérations à [lien — à ajouter].
Responsable de la PON : IT / Opérations