Le contrôle A.8.32 (gestion des changements) reste l'une des sources principales d'incidents. Ce modèle Word distingue les 4 types de changements (Stand.
TL;DR — En résumé
Template Word gratuit pour ISO 27001:2022. Le contrôle A.8.32 (gestion des changements) reste l'une des sources principales d'incidents. Ce mod
Points de contrôle de l'auditeur ISO 27001 sur le contrôle A.8.32
Lors d'un audit de certification ou de surveillance ISO 27001, le contrôle A.8.32 (Gestion des changements) fait l'objet d'une vérification approfondie par l'auditeur externe. Ce dernier cherchera à démontrer que le processus est effectivement appliqué dans la pratique quotidienne et pas seulement documenté dans des procédures formelles jamais consultées. Les preuves typiquement demandées lors d'un audit A.8.32 incluent : les tickets de changement des 6 à 12 derniers mois avec tous les champs requis remplis (justification métier, analyse d'impact sur la sécurité, plan de rollback détaillé, résultat des tests pré-déploiement, approbation formelle du propriétaire de système ou du CAB), les comptes rendus du Change Advisory Board (CAB) si ce comité existe dans l'organisation, et les indicateurs de performance du processus de gestion des changements.
Une non-conformité fréquente constatée lors des audits A.8.32 est l'application incohérente de la procédure selon les équipes : le processus est bien défini sur papier mais certaines équipes — souvent le développement applicatif, les équipes cloud ou les équipes infrastructure qui travaillent en mode agile — court-circuitent régulièrement la procédure pour des raisons de délais ou d'agilité. L'auditeur identifie ce problème en croisant les modifications de configuration réelles documentées dans les logs Git, les changelogs d'infrastructure as code, ou les journaux système avec les tickets de changement formels créés dans l'outil de gestion. Un écart systématique entre les deux sources de données constitue une non-conformité majeure au contrôle A.8.32 qui peut conduire à la suspension ou au refus de la certification.
Pour se préparer efficacement à cet audit, il est recommandé de réaliser une revue interne des 3 derniers mois de changements, de vérifier la complétude des tickets et la traçabilité des approbations, et d'interviewer plusieurs propriétaires de systèmes de différentes équipes pour confirmer leur connaissance effective et leur application réelle de la procédure. Les résultats documentés de cet audit interne constituent eux-mêmes une preuve précieuse de surveillance du contrôle A.8.32, valorisable lors de l'audit externe de certification ISO 27001 par l'organisme accrédité.
📥 Template gratuit · Word
Le contrôle A.8.32 (gestion des changements) reste l'une des sources principales d'incidents. Ce modèle Word distingue les 4 types de changements (Standard, Normal, Urgent, Emergency) avec CAB/ECAB, fiche de change type et rollback plan obligatoire.
La procédure de gestion des changements est l'un des processus les plus critiques pour la sécurité et la stabilité des systèmes d'information. Le contrôle A.8.32 de la norme ISO/IEC 27001:2022 impose que les changements apportés à l'installation de traitement de l'information et aux systèmes d'information soient soumis à des procédures de gestion des changements. Et pour cause : les études montrent qu'environ 70% des incidents de sécurité et de disponibilité trouvent leur origine dans des changements mal maîtrisés — mises à jour non testées, patches appliqués en production sans procédure de retour arrière, configurations modifiées sans évaluation d'impact. Ce modèle Word, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, structure l'ensemble du processus de gestion des changements selon les meilleures pratiques ITIL v4 et les exigences ISO 27001. Il distingue les 4 types de changements : Standard (changements préapprouvés, risque faible, processus simplifié), Normal (changements planifiés passant par le CAB), Urgent (changements critiques nécessitant une approbation rapide par l'ECAB), et Emergency (changements d'urgence absolue avec procédure post-hoc). Pour chaque type, la procédure définit le flux d'approbation, les délais, les acteurs, les tests requis, et surtout le plan de retour arrière (rollback plan) qui est obligatoire pour tout changement Normal ou Urgent. La gestion des changements est également un facteur clé de sécurité pour la mise à jour de l'inventaire des actifs, pour la révision des droits d'accès lors des changements de configuration, et pour la notification des auditeurs lors de changements significatifs du périmètre du SMSI.
Contexte réglementaire et normatif
ISO/IEC 27001:2022 — Contrôle A.8.32
Le contrôle A.8.32 (Gestion des changements) stipule que les changements apportés aux installations de traitement de l'information et aux systèmes d'information doivent être soumis à des procédures de gestion des changements. La norme précise que les exigences de sécurité doivent être identifiées lors du processus de gestion des changements et que les systèmes d'information en cours de développement doivent faire l'objet d'essais dans des environnements de développement ou de test distincts de l'environnement de production. La gestion des changements est également liée au contrôle A.8.9 (Gestion de la configuration) qui impose une gestion rigoureuse des configurations des systèmes.
ISO 20000 et ITIL v4 — Complémentarité
La gestion des changements ISO 27001 s'aligne naturellement avec la pratique "Change Enablement" d'ITIL v4 et les exigences ISO/IEC 20000-1 (service management). Pour les organisations déjà dotées d'un processus ITSM (ITIL), la procédure ISO 27001 s'intègre en couche sécurité sur les processus existants : évaluation de l'impact sécurité, approbation RSSI pour les changements sur systèmes critiques, et exigences de test de sécurité pre-production.
Directive NIS 2 — Sécurité des changements
Pour les entités NIS 2, la gestion sécurisée des changements est une mesure de gestion des risques explicitement attendue. Les changements sur les systèmes essentiels doivent être documentés, approuvés, et testés avant déploiement en production. Un changement mal géré sur un système critique (par exemple, une mise à jour de firmware qui rend un équipement de contrôle industriel inaccessible) peut constituer un incident significatif à notifier à l'ANSSI.
Structure détaillée de la procédure de gestion des changements
Chapitre 1 — Définitions et classification des changements
Les 4 types de changements : Standard (changements récurrents, préapprouvés, à risque faible — mises à jour de sécurité routinières sur systèmes non critiques, ajout d'un poste utilisateur standard, création d'un compte utilisateur) ; Normal (changements planifiés nécessitant une évaluation complète par le CAB — migration d'infrastructure, déploiement d'une nouvelle application, modification d'architecture réseau) ; Urgent (changements nécessaires rapidement face à un risque avéré ou une urgence métier — patch de sécurité critique contre une CVE exploitée activement, correction d'un bug critique en production) ; Emergency (changements d'urgence absolue pour restaurer un service critique — soumis à post-approbation documentée dans un délai défini).
Chapitre 2 — Acteurs et gouvernance
Définition des acteurs : le demandeur (initie le changement, responsable du RFC), le gestionnaire du changement (évalue, priorise, coordonne), le CAB (Change Advisory Board) (organe de décision pour les changements Normaux — composition : DSI, RSSI, représentant métier impacté, architecte système), l'ECAB (Emergency Change Advisory Board) (version réduite du CAB pour les changements Urgents — DSI + RSSI minimum), et le RSSI (évaluation de l'impact sécurité pour tout changement sur systèmes critiques).
Chapitre 3 — Fiche de changement (RFC — Request For Change)
La fiche de changement standardisée contient : identifiant unique du changement, type (Standard/Normal/Urgent/Emergency), date de demande, demandeur et responsable technique, description du changement (quoi, pourquoi, comment), systèmes et actifs impactés (avec référence à l'inventaire), évaluation de l'impact (sécurité, disponibilité, performances, données), évaluation du risque (probabilité d'échec, impact si échec), plan de mise en œuvre (étapes, timing, ressources), plan de test pre et post-déploiement, plan de retour arrière (rollback plan obligatoire — comment revenir à l'état initial si le changement échoue), et fenêtre de maintenance planifiée.
Chapitre 4 — Workflow d'approbation par type
Pour les changements Standard : liste préapprouvée consultée, vérification des prérequis, exécution directe avec documentation post-exécution. Pour les changements Normaux : soumission du RFC, évaluation technique par le gestionnaire, présentation au CAB (réunion hebdomadaire standard), approbation, planification, exécution avec suivi, documentation et clôture. Pour les urgents : contact direct du gestionnaire du changement et RSSI, approbation ECAB en moins de 4 heures, exécution, documentation complète dans les 24 heures.
Chapitre 5 — Rollback plan et critères d'escalade
Le plan de retour arrière est obligatoire pour tout changement Normal ou Urgent. Il définit : les conditions de déclenchement du rollback (critères d'échec clairement définis, ex: "si le service n'est pas opérationnel dans les 30 minutes suivant le déploiement"), les étapes de retour arrière (procédure technique précise), le responsable de la décision de rollback, et le temps maximum de décision (Time To Rollback Decision).
Chapitre 6 — Tests de sécurité et validation
Exigences de test selon le type de changement et le niveau de criticité des systèmes : tests en environnement de pre-production obligatoires pour les systèmes critiques, validation par le RSSI des changements impactant la sécurité, scan de vulnérabilité post-déploiement pour les changements de configuration majeurs, et vérification de l'intégrité des sauvegardes avant tout changement sur un système critique.
Guide d'utilisation étape par étape
- Classifier systématiquement chaque changement dès sa soumission : la classification (Standard/Normal/Urgent/Emergency) détermine le flux d'approbation. Formez les demandeurs aux critères de classification pour éviter les abus (classification "Urgent" par facilité pour contourner le CAB).
- Construire et maintenir la liste des changements Standard préapprouvés : cette liste doit être validée par le CAB et revue semestriellement. Elle évite de soumettre des changements routiniers au processus complet, sans sacrifier la traçabilité.
- Organiser le CAB de façon régulière et efficace : un CAB hebdomadaire de 30 à 45 minutes est suffisant pour la plupart des organisations. Évitez les réunions trop longues (désinvestissement des participants) et les réunions trop espacées (accumulation des RFC en attente).
- Exiger un rollback plan concret : refusez toute RFC pour un changement Normal sans rollback plan détaillé et testé. Un rollback plan qui dit simplement "restaurer la sauvegarde" n'est pas suffisant — il faut préciser quelle sauvegarde, comment la restaurer, en combien de temps, et qui a l'autorité pour déclencher le rollback.
- Tester en pre-production avant tout déploiement sur les systèmes critiques : un environnement de test isolé de la production est une exigence explicite d'ISO 27001 (A.8.31). Si votre organisation n'a pas d'environnement de pre-production, c'est une NC à corriger en priorité.
- Documenter systématiquement les changements effectués : chaque changement, même Standard, doit être enregistré avec sa date, son auteur, et une description synthétique. Cette traçabilité est essentielle pour les investigations post-incident et pour les audits.
- Mettre à jour l'inventaire des actifs et les autres documents impactés : chaque changement significatif peut impacter l'inventaire des actifs (nouvelle machine, nouvelle application), les droits d'accès, les politiques de backup, ou la documentation réseau. Incluez une étape de mise à jour documentaire dans le processus de clôture du changement.
- Réaliser un bilan post-changement pour les changements majeurs : dans les 48 à 72 heures suivant un changement Normal majeur, vérifiez que tous les systèmes fonctionnent correctement, que les métriques de performance sont dans les normes, et que les utilisateurs n'ont pas signalé de dysfonctionnements. Documentez ce bilan dans la RFC.
Tableau des contrôles — Checklist gestion des changements ISO 27001
| Contrôle | Exigence ISO 27001 | Statut | Responsable | Preuve attendue | Commentaire |
|---|---|---|---|---|---|
| Procédure de gestion des changements documentée | A.8.32 | ☐ Conforme / ☐ NC | DSI / RSSI | Procédure approuvée et datée | Connue des équipes IT |
| 4 types de changements définis et documentés | A.8.32 | ☐ Conforme / ☐ NC | DSI | Tableau types dans procédure | Standard/Normal/Urgent/Emergency |
| CAB constitué et opérationnel | A.8.32 | ☐ Conforme / ☐ NC | DSI / DG | Composition CAB + CR réunions | Réunion hebdomadaire documentée |
| Fiche RFC standardisée utilisée pour tous les changements | A.8.32 | ☐ Conforme / ☐ NC | Équipes IT | RFC complètes dans ITSM/GED | Pas de changements "informels" |
| Rollback plan obligatoire pour changements Normal/Urgent | A.8.32 | ☐ Conforme / ☐ NC | Responsable technique | Section rollback dans chaque RFC | Testé avant déploiement |
| Environnement de test distinct de la production | A.8.31, A.8.32 | ☐ Conforme / ☐ NC | DSI | Architecture pre-prod documentée | Obligatoire pour systèmes critiques |
| Évaluation impact sécurité par RSSI pour changements critiques | A.8.32 | ☐ Conforme / ☐ NC | RSSI | Validation RSSI dans RFC | Pour systèmes classifiés crit. |
| Sauvegarde vérifiée avant tout changement majeur | A.8.32, A.8.13 | ☐ Conforme / ☐ NC | DSI | Confirmation backup dans RFC | Backup testé (restauration OK) |
| Inventaire des actifs mis à jour après changement | A.8.32, A.5.9 | ☐ Conforme / ☐ NC | DSI / RSSI | Processus de mise à jour inventaire | Voir inventaire actifs |
| Changements Emergency documentés post-hoc dans les 24h | A.8.32 | ☐ Conforme / ☐ NC | Responsable technique / DSI | RFC Emergency complétée | Délai post-hoc défini dans procédure |
| Changements liés à des incidents traités en priorité | A.8.32, A.5.26 | ☐ Conforme / ☐ NC | RSSI / DSI | Lien incident-changement | Patch urgence = changement urgent |
| Fenêtres de maintenance documentées et communiquées | A.8.32 | ☐ Conforme / ☐ NC | DSI / Communication | Calendrier maintenance | Utilisateurs informés à l'avance |
| Procédure révisée annuellement | A.8.32, Clause 7.5 | ☐ Conforme / ☐ NC | DSI / RSSI | Historique révisions | Et après incidents liés aux change. |
| Métriques de gestion des changements calculées | A.8.32, Clause 9.1 | ☐ Conforme / ☐ NC | DSI | KPI changements (taux succès/échec) | Présenté en revue direction |
| Changements urgents sans contournement sécurité | A.8.32 | ☐ Conforme / ☐ NC | RSSI | Validation RSSI même pour urgents | L'urgence ne justifie pas de bypass |
| Gestion de la configuration cohérente avec les changements | A.8.9, A.8.32 | ☐ Conforme / ☐ NC | DSI | CMDB ou inventaire config à jour | Chaque change → CMDB |
Points de vigilance pour l'audit de certification
- Changements effectués en production sans RFC : les auditeurs demandent parfois de vérifier des changements récents sur les systèmes (comparaison entre CMDB et configuration actuelle, logs de déploiement) et cherchent des modifications non tracées. Remédiation : imposez une culture "pas de changement sans RFC" et instruisez les équipes sur les conséquences des changements non tracés.
- Changements Emergency surreprésentés : si plus de 20% des changements sont classifiés Emergency, c'est un signal que la procédure est contournée. Les auditeurs analysent la distribution des types de changements. Remédiation : revoyez les critères de classification et sensibilisez les équipes sur la différence entre urgence réelle et impatience.
- Rollback plans inexistants ou fictifs : "Restaurer la sauvegarde" n'est pas un rollback plan acceptable. L'auditeur peut demander à voir un rollback plan et à vérifier qu'il a été testé. Remédiation : standardisez le format du rollback plan dans la fiche RFC et rendez son existence obligatoire pour l'approbation du CAB.
- Pas d'environnement de test distinct de la production : c'est une NC fréquente dans les PME. Tester les changements directement en production est risqué et non conforme à A.8.31. Remédiation : même un environnement de test minimal (VM de test, instance cloud temporaire) est préférable à l'absence de test pré-production.
- Incidents liés à des changements non analysés : chaque incident causé par un changement doit conduire à une revue du processus de changement. Si le lien incident-changement n'est pas tracé, l'organisation ne peut pas améliorer son processus. Remédiation : incluez dans chaque fiche de post-mortem d'incident la question "Un changement récent a-t-il pu causer ou contribuer à cet incident ?"
Intégration dans le SMSI : liens avec les autres documents
Arborescence documentaire SMSI — Procédure Gestion des Changements A.8.32
PROCÉDURE GESTION DES CHANGEMENTS (A.8.32)
│
├── MET À JOUR →
│ ├── Inventaire des actifs (A.5.9)
│ ├── Documentation réseau et architecture
│ └── Politique de gestion des accès (droits liés au changement)
│
├── EST DÉCLENCHÉE PAR →
│ ├── Plans de développement et projets IT
│ ├── Incidents de sécurité (patch urgence)
│ ├── Recommandations d'audit interne
│ └── Exigences réglementaires (mises à jour conformité)
│
├── EST COORDONNÉE AVEC →
│ ├── Procédure gestion incidents (changements post-incident)
│ ├── Plan de continuité (changements en mode dégradé)
│ └── Gestion des risques (évaluation impact changement)
│
└── EST VÉRIFIÉE PAR →
├── Audit interne — revue des RFC et des métriques
└── Audit certification — vérification traces de changements
Questions fréquentes sur la gestion des changements ISO 27001
Faut-il un outil ITSM pour gérer les changements ISO 27001 ?
Un outil ITSM (ServiceNow, Jira Service Management, GLPI, Freshservice) est fortement recommandé mais pas obligatoire. Ce qui est obligatoire, c'est la traçabilité de chaque changement. Pour une PME, un simple registre Excel ou Google Sheets peut suffire en début de démarche, à condition qu'il soit maintenu rigoureusement et que chaque changement y soit enregistré. Pour une organisation avec plus de 20 changements par mois ou avec des équipes IT de plus de 5 personnes, un outil ITSM dédié améliore significativement la traçabilité, les workflows d'approbation, et la génération de métriques. Les solutions open source comme GLPI ou iTop sont des alternatives économiques aux outils ITSM enterprise. L'essentiel est que les auditeurs puissent voir les traces des changements récents, les approbations obtenues, et les rollback plans associés — quel que soit l'outil utilisé.
Comment gérer les mises à jour de sécurité (patches) dans le processus de changement ?
Les patches de sécurité sont une catégorie particulière de changements qui méritent un traitement spécifique. Pour les patches de sécurité critiques (CVE avec score CVSS ≥ 9.0 exploitée activement), le processus de changement doit prévoir un flux d'urgence qui permet le déploiement en production en quelques heures, sans attendre le prochain CAB hebdomadaire. Pour les patches critiques non exploités activement, un déploiement dans les 48 à 72 heures est recommandé, avec passage en ECAB si nécessaire. Pour les patches de sécurité importants (score CVSS 7-8.9), le processus Normal avec tests en pre-production est adapté, avec un délai cible de 15 à 30 jours. Pour les patches de sécurité modérés, la fenêtre de patch management mensuelle standard est appropriée. Ces délais doivent être documentés dans votre politique de gestion des vulnérabilités (A.8.8) et dans votre procédure de gestion des changements pour être cohérents.
À retenir — Procédure Gestion des Changements ISO 27001
- Le contrôle A.8.32 impose une procédure formelle pour tous les changements sur les systèmes d'information
- Les 4 types de changements (Standard/Normal/Urgent/Emergency) avec des flux d'approbation différenciés sont la base d'un processus efficace
- Le rollback plan est obligatoire pour tout changement Normal ou Urgent — c'est la garantie de pouvoir revenir en arrière en cas d'échec
- L'environnement de test distinct de la production (A.8.31) est une exigence explicite — pas de tests en production pour les systèmes critiques
- Les changements Emergency ne doivent pas devenir la règle — une proportion > 20% est un signal de contournement du processus
- Auteur : Ayi NEDJIMI, consultant cybersécurité — accompagnement ISO 27001
Pour aller plus loin
Un projet cybersécurité ?
Expert dispo · Réponse 24h