Contrôles de la gestion du changement et des patchs : un facteur clé de la réussite pour toute organisation

Ce guide débute par une présentation pédagogique de l'usage de la gestion des changements et de l'intérêt de l'identifier comme objet d'audit. Cette partie fournit des explications claires et utiles tant pour des auditeurs généralistes que pour les auditeurs en SI. En effet, la gestion des changements informatiques est rarement décrite en dehors de la littérature technique. C’est pourtant un processus fondamental pour garantir l'intégrité et la pertinence des mises en production et donc la continuité de service.
Viennent ensuite deux chapitres particulièrement utiles qui proposent aux auditeurs :

  • neuf questions sur l’efficacité de la gestion des changements et des clés pour interpréter les réponses habituellement fournies par trois types de responsables des SI (celui qui dispose d'une gestion des changements efficaces, celui qui adopte plutôt une approche de résolution de problèmes ou, enfin, celui qui est dans le déni de la problématique).
  • les étapes indispensables d'un audit sur la gestion des changements et un focus lorsque l'organisation envisage une externalisation de fonctions informatiques.

Le GTAG se termine sur deux annexes pratiques :
- des études de cas de gestion inefficace de changements ou d’effets positifs de solutions adoptées ;
- un exemple de programme d'audit. Ce dernier est bien structuré et clair, mais on pourra regretter sa brièveté.

Ajoutons enfin que ce très utile GTAG pourra être complété, pour les missions réalisées par des auditeurs SI, par une prise en compte du référentiel ITIL afin d'appréhender la cohérence des processus de gestion des changements, gestion des incidents, gestion des problèmes, gestion des mises en production et gestion des configurations.

Plan du GTAG 2

Résumé

1- Introduction

2- Pourquoi se préoccuper de la manière dont son organisation gère les changements ?

3- Définir la gestion des changements informatiques

4- Quelles questions dois-je poser à propos de la gestion des changements et des patchs ?

5- Par quoi les auditeurs internes doivent-ils commencer ?

Annexe A : Exemple d’étude de cas pour la gestion des changements

Annexe B : Exemple de programme d’audit