4

Click here to load reader

gérer les changements avec Cobit

Embed Size (px)

DESCRIPTION

processus AI6

Citation preview

Page 1: gérer les changements avec Cobit

Acquérir et Implémenter Gérer les changements AI6

© 2008 AFAI. Tous droits réservés. www.afai.fr 93

DESCRIPTION DU PROCESSUS

AI6 Gérer les changements

Tous les changements, y compris la maintenance et les correctifs d’urgence, concernant l’infrastructure et les applications de l’environnement de production sont gérés et contrôlés de façon formelle. Les changements (y compris ceux relatifs aux procédures, processus, paramètres systèmes et services) sont enregistrés dans un fichier, évalués et autorisés avant mise en place, et confrontés aux résultats attendus dès leur mise en œuvre. Cela réduit les risques de conséquences négatives pour la stabilité ou l’intégrité de l’environnement de production.

Le contrôle du processus informatique

Gérer les changements

qui répond à l’exigence des métiers vis-à-vis de l’informatique

réagir aux exigences des métiers en ligne avec la stratégie de l’entreprise, tout en réduisant les défauts des solutions et des services livrés ainsi que les reprises

en se concentrant sur

le contrôle de l’évaluation des conséquences, de l’autorisation et de la mise en place de toutes les modifications de l’infrastructure informatique, des applications et des solutions techniques ; la réduction des erreurs dues à des spécifications insuffisantes ; et l’interruption de modifications non autorisées

atteint son objectif en

• définissant et en communiquant les procédures de changement, y compris pour les modifications d’urgence

• évaluant les changements, définissant leurs priorités, et en les autorisant • faisant un suivi des changements et en en rendant compte

et est mesuré par

• le nombre de perturbations ou de données erronées provoquées par des spécifications inexactes ou une évaluation insuffisante de l’impact

• un travail supplémentaire sur les applications ou sur l’infrastructure du fait de spécifications inadéquates des modifications

• le pourcentage de changements qui suivent le processus formel de contrôle des changements

Applications

Personnes

Informations

Infrastr

uctures

Applications

Personnes

Informations

Infrastr

uctures

GOUVERNANCE

DES SI

GESTION DES RESSOURCES

ME

SUR

E DE

LA

PERFO

RM

AN

CE G

EST

ION

DES

R

ISQ

UES

APPORT DE

VALEURALIGNEMENT

STRATEGIQUE

SecondairePrimaire

GOUVERNANCE

DES SI

GESTION DES RESSOURCES

ME

SUR

E DE

LA

PERFO

RM

AN

CE G

EST

ION

DES

R

ISQ

UES

APPORT DE

VALEURALIGNEMENT

STRATEGIQUE

SecondairePrimaire SecondairePrimaire

Acquérir et Implémenter

Délivrer et Supporter

Planifier et Organiser

Surveiller et Evaluer

Acquérir et ImplémenterAcquérir et Implémenter

Délivrer et SupporterDélivrer et Supporter

Planifier et OrganiserPlanifier et Organiser

Surveiller et EvaluerSurveiller et Evaluer

Efficac

ité

Intég

rité

Confid

entia

lité

Efficien

ce

Dispon

ibilité

Confor

mitéFiab

ilité

PP SPP

Efficac

ité

Intég

rité

Confid

entia

lité

Efficien

ce

Dispon

ibilité

Confor

mitéFiab

ilité

PP SPP

Page 2: gérer les changements avec Cobit

Acquérir et Implémenter AI6 Gérer les changements

94 © 2008 AFAI. Tous droits réservés. www.afai.fr

OBJECTIFS DE CONTRÔLE AI6 Gérer les changements

AI6.1 Standards et procédures de changement Mettre en place des procédures formelles de gestion des changements pour traiter de façon standardisée toutes les demandes de modifications (y compris maintenance et correctifs) des applications, procédures, processus, paramètres systèmes et services, ainsi qu’aux plates-formes sur lesquelles ils s’appuient.

AI6.2 Évaluation de l’impact, choix des priorités et autorisation Évaluer toutes les demandes de changements de façon structurée en terme d’impacts sur le système en exploitation et sur ses fonctionnalités. S’assurer que les changements sont classés par catégorie, par priorité et sont autorisés.

AI6.3 Modifications d'urgence Mettre en place un processus pour définir, réaliser, tester, documenter, évaluer et autoriser les modifications d’urgence qui ne suivent pas le processus de changement établi.

AI6.4 Suivi et compte-rendu des changements Mettre en place un système de suivi et de reporting pour documenter les changements refusés et communiquer sur la situation des changements approuvés, en cours et achevés. S’assurer que les changements approuvés sont mis en œuvre comme planifiés.

AI6.5 Clôture et documentation des changements A chaque mise en œuvre de changement, mettre à jour les systèmes associés, la documentation utilisateur et les procédures.

Page 3: gérer les changements avec Cobit

Acquérir et Implémenter Gérer les changements AI6

© 2008 AFAI. Tous droits réservés. www.afai.fr 95

GUIDE DE MANAGEMENT AI6 Gérer les changements

De EntréesPO1 Portefeuille de projets informatiquesPO8 Actions pour l’amélioration de la qualité

PO9 Plans d’actions pour remédier aux risques informatiques

PO10 Principes généraux de gestion de projets et plans de projets détaillés

DS3 Changements demandésDS5 Changements de sécurité demandésDS8 Demande de service/demande de changement

DS9-10 Demande de changement (où et comment faire la modification)

DS10 Historique des problèmes

SortiesModifier la description du processusModifier le rapport sur le statut SE1Modifier l’autorisation AI7 DS8 DS10

AI1…AI3Vers

ActivitésDévelopper et mettre en place un processus pour enregistrer et évaluer les demandes de changements et les classer par priorités.

A I R C R C C C

Évaluer l’impact des changements et définir leur priorité en fonction des besoins des métiers. I R A/R C R C R C

S’assurer que toute modification d’urgence ou critique suit le processus approuvé. I I A/R I R C

Autoriser les changements. I C A/R R

Gérer et diffuser les informations utiles concernant les modifications. A I R C R I R C

Un tableau RACI identifie qui est Responsable, Approuve, est Consulté et/ou Informé.

Tableau RACI Fonctions

Objectifs et MétriquesInformatique Processus Activités

Objec

tifs

• Réagir aux exigences des métiers en ligne avec la stratégie de l’entreprise. • Réduire les défauts et les reprises touchant à la fourniture de solutions et de services. • S’assurer qu’un incident ou un changement dans la fourniture d’un service informatique n’ait qu’un impact minimum sur l’activité. • Déterminer comment traduire les exigences des métiers de fonctionnement et de contrôle en solutions automatisées efficaces et efficientes.• Maintenir l’intégrité de l’information et de l’infrastructure de traitement.

définit

• Appliquer les changements autorisés à l’infrastructure et aux applications informatiques.• Évaluer l’impact des changements de l’infrastructure et des applications informatiques ainsi que des solutions techniques. • Suivre le statut des changements et en rendre compte aux parties prenantes clés. • Réduire le nombre d’erreurs dues à des spécifications incomplètes dans les demandes.

définit

• Définir et communiquer les procédures de changement, y compris les modifications et les correctifs d’urgence.• Évaluer les changements, définir leurs priorités, et les autoriser.• Programmer les changements.• Faire un suivi des changements et en rendre compte.

mesureinduit mesure

induit mesure

Métri

ques

• Nb de perturbations ou de données erronées provoqués par des spécifications inexactes ou une évaluation insuffisante de l’impact.

• Nombre de reprises dues à des spécifications inadéquates de changements.• Diminution du temps et des efforts nécessaires pour effectuer les changements.• Pourcentage du total des changements qui sont des correctifs d’urgence.• Pourcentage d’échec des changements d’infrastructure du fait de spécifications de changement inadéquates.• Nb de changements non formellement suivis, non autorisés, ou sans compte-rendu.• Nb de demandes de changements encore non traitées.

• Pourcentage de changements enregistrés et suivis par des outils automatisés.• Pourcentage de changements respectant le processus formel de contrôle des changements. • Ratio demandes de changements acceptées/refusées.• Nb de versions différentes de chaque application ou infrastructure métiers maintenues.• Nb et type de modifications d’urgence apportées aux composants de l’infrastructure. • Nb et type de correctifs apportés aux composants de l’infrastructure.

DG DF Direc

tion m

étier

DSI

Prop

riétai

re pro

cess

us m

étier

Resp

onsa

ble ex

ploita

tion

Resp

onsa

ble ar

chite

cture

Resp

onsa

ble dé

velop

pemen

ts

Resp

onsa

ble ad

ministr

atif d

es SI

Burea

u proj

etCo

nform

ité, A

udit,

Risq

ues e

t Séc

urité

DG DF Direc

tion m

étier

DSI

Prop

riétai

re pro

cess

us m

étier

Resp

onsa

ble ex

ploita

tion

Resp

onsa

ble ar

chite

cture

Resp

onsa

ble dé

velop

pemen

ts

Resp

onsa

ble ad

ministr

atif d

es SI

Burea

u proj

etCo

nform

ité, A

udit,

Risq

ues e

t Séc

urité

Page 4: gérer les changements avec Cobit

Acquérir et Implémenter AI6 Gérer les changements

96 © 2008 AFAI. Tous droits réservés. www.afai.fr

MODÈLE DE MATURITÉ AI6 Gérer les changements

La gestion du processus Gérer les changements qui répond à l'exigence des métiers vis-à-vis de l’informatique réagir aux exigences des métiers en ligne avec la stratégie de l’entreprise, tout en réduisant les défauts des solutions et des services livrés ainsi que les reprises est :

0 Inexistante quand

Il n'existe pas de processus défini de gestion des changements, et les changements peuvent être faits pratiquement en dehors de tout contrôle. On n'a pas conscience que les changements peuvent perturber le fonctionnement de l'informatique et celui de l'entreprise, et on n'est pas conscient non plus des bénéfices qu'apporterait une bonne gestion des changements.

1 Initialisée, au cas par cas quand

On reconnaît qu’il faudrait gérer et contrôler les changements. Les pratiques varient, et il est probable que des changements non autorisés ont lieu. La documentation des changements est pauvre ou absente, et celle de la configuration est incomplète et peu fiable. Des erreurs se produisent vraisemblablement ainsi que des interruptions dans l'environnement de production du fait d'une mauvaise gestion des changements.

2 Reproductible mais intuitive quand

Il existe un processus informel de gestion des changements, et la plupart des changements le suivent. Il est cependant mal structuré, rudimentaire, et sujet à erreurs. La documentation de la configuration n'est pas précise, et avant un changement on se contente d'une planification et d'une évaluation de l'impact limitées.

3 Définie quand

Il existe un processus défini et formel de gestion des changements qui comporte leur répartition par catégories et par priorités, les procédures d’urgence, les autorisations de changements et la gestion de leur diffusion, et on s’y conforme peu à peu. On improvise des solutions et les processus sont souvent court-circuités. Des erreurs peuvent toujours se produire, et de temps en temps des changements sont pratiqués sans autorisation. On commence à formaliser l'analyse de l'impact des changements informatiques sur les activités métiers pour soutenir le déploiement programmé de nouvelles applications et technologies.

4 Gérée et mesurable quand

Le processus de gestion des changements est bien développé et suivi avec constance dans tous les cas. Le management est convaincu qu'il n'y a qu’un minimum d'exceptions. Le processus est efficace et efficient, mais s'appuie sur de nombreuses procédures et contrôles manuels pour garantir le niveau de qualité. Tous les changements sont assujettis à une planification complète et à une évaluation d'impact de façon à minimiser la probabilité de problèmes après la mise en production. On a mis en place un processus d'approbation des changements. La documentation de la gestion des changements est bien faite et à jour, les changements étant formellement suivis de près. La documentation de la configuration est en général précise. La planification et la mise en place de la gestion des changements informatiques sont de plus en plus intégrées aux évolutions des processus métiers, de manière à s'assurer que les questions concernant la formation, les changements organisationnels, et la continuité de l'activité sont bien prises en compte. Il y a une coordination accrue entre la gestion des changements informatiques et la redéfinition des processus métiers. Il existe un processus continu de surveillance de la qualité et de la performance du processus de gestion des changements.

5 Optimisée quand

Le processus de gestion des changements est régulièrement révisé et mis à jour pour rester au niveau des bonnes pratiques. Le processus de revue est le reflet des résultats de la surveillance. L'information sur la configuration est informatisée et permet de contrôler les différentes versions. Le suivi des changements est élaboré et comporte des outils de détection des logiciels non autorisés et/ou sans licence. La gestion des changements informatiques est intégrée à la gestion des changements métiers pour s’assurer que l’informatique apporte un plus en productivité et en nouvelles opportunités métiers pour l’entreprise.