LE CAB, CHANGE ADVISORY BOARD

Le CAB, garant de la fiabilité du système d’information

On ne touche pas à un système qui marche !

Cette devise de prudence des DSI est justifiée par le faite que plus de 80 % des incidents et dysfonctionnements des systèmes opérationnels sont consécutifs à un changement, un ajout de système ou une mise à jour logicielle. Si on ne touche rien, les systèmes fonctionnent et ne posent pas de problème. La maîtrise des changements, installations et mises à jour est donc cruciale pour la fiabilité des systèmes, mais beaucoup d’entreprises n’ont cependant pas mis en place procédures sécurisées de gestion des changements, et notamment de CAB. Le CAB est le garde-fou de l’exploitation, car si les équipes d’études ont pour objectif que le nouveau système « tombe en marche », l’objectif de l’équipe d’exploitation est qu’il ne tombe pas en panne une fois opérationnel.

Le CAB, un comité et des procédures.

La CAB, Change Advisory Board, ou « Comité de Gestion des Changements » en français, est un comité qui se réunit en général chaque semaine, et applique des procédures sécurisées pour gérer chaque type de changement. En s’appuyant sur les processus ITIL, Le CAB a pour objectif de coordonner les changements pour en minimiser les risques et les conséquences pour les utilisateurs. Le CAB doit avoir le pouvoir de refuser ou différer une mise en production, si le changement n’est pas opportun, ou bien si toutes les conditions du succès ne sont pas réunies. Il est présidé par le Directeur Technique, et regroupe les tous les responsables des études (un changement dans une application peut avoir un impact sur une autre), l’équipe d’exploitation, le responsable sécurité et le responsable du support. Chaque modification, mise en production, mise à jour logicielle ou installation d’équipement est validée et planifiée en fonction du calendrier Business. Dans le calendrier Business sont en effet consignés tous les évènements Business à prendre en considération pour planifier un changement au moment le plus opportun : opération d’inventaire, clôture de fin de période, ouvertures de nouveaux magasins, opération de solde, mise à jour tarifaire, lancement d’une ligne de production, etc. Pour les changements majeurs, le CAB vérifie que tous les préalables au changement sont validés : tests utilisateurs et tests de charge, formation des utilisateurs, formation des équipes de support, mise à jour des dossiers d’exploitation, procédures de retour arrière en cas de problème, etc. Lors du CAB sont analysés notamment tous les impacts et conséquences que peut avoir la mise en place du nouveau système sur les autres composants du système d’information. Chaque changement est donc formellement validé par tous les acteurs concernés. Une fois le changement acté et planifié, le CAB s’assure de la bonne information et de la bonne coordination de tous les acteurs concernés, et de l’information des utilisateurs. Après la mise en place opérationnelle, le CAB suit également la « clôture » du changement.

Des procédures différenciées par type de changement.

En fonction de la nature du changement et du niveau de risque, différents types de changement sont définis, donnant lieu à des procédures et des grilles de responsabilités différentes. Classiquement, on différencie :

• Les changements standards, récurrents, qui suivent un processus prédéfini, dont les impacts sont bien identifiés et les risques maîtrisés : remplacement d’un équipement défectueux, mise à jour logicielle mineure, historisation de données, etc. Dans ce cas la procédure est très simplifiée.

• Les changements normaux, qui nécessitent une analyse d’impact et une analyse des risques

• Les changements opérationnels, actes standards d’administration, pour lesquels la procédure est automatique.

• Les changements urgents, qui nécessitent une mise en production le plus rapidement possible.

Pour les changements normaux, qui suivent le processus complet de gestion du changement, plusieurs variantes du processus sont proposées selon qu’il s’agit par exemple de la mise en place d’un nouveau module logiciel, de la modification d’un flux de données (API, Web Service, interface, … ), d’une intervention physique sur les serveurs ou d’une importante opération planifiée.

Un changement urgent n’est pas obligatoirement un changement bâclé.

Les changements urgents sont généralement consécutifs à un changement mal maîtrisé ou un accident, ayant provoqué un traitement erroné et une corruption des données. Une nouvelle mise en place et un traitements correctifs des données sont souvent nécessaires le plus tôt possible. Surtout si les équipes techniques ont commis une erreur, elles ont tendance à chercher à la corriger le plus rapidement possible, sans publicité, mais en confondant parfois vitesse et précipitation. Le cas de la modification dans l’urgence est celui qui nécessite les procédures sécurisées les plus strictes et les plus contrôlés, afin d’éviter de nouvelles erreurs, et une corruption des données encore bien plus compliquée à récupérer. Dans l’urgence, il n’est pas facile de réunir le comité CAB. Il faut alors prévoir des procédures de consultation, de validation et de coordination par mail : l’e-CAB.

Bien gérer les changements ne s’improvise pas.

Même si des procédures formelles de gestion du changement peuvent paraître lourdes à mettre en place pour des sociétés de taille moyenne, elles sont pourtant indispensables pour garantir la fiabilité des systèmes opérationnels. Il faut cependant être conscient que ces procédures ne seront efficaces que si un certain nombre de préalables sont opérationnel.

En effet, une analyse d’impact d’un nouveau système nécessite par exemple :

• Une cartographie des systèmes, à jour,
• Une cartographie des flux de données, à jour
• Une documentation d’exploitation bien tenue,
• Un dictionnaire des Données complets, indiquant tous les systèmes utilisant chaque famille de données,
• Un outil et des jeux de tests
• Un calendrier Business formalisé

La maîtrise des changements, et le CAB en particulier, s’inscrivent donc dans le plan global de gouvernance du système d’information.

Pascal de La Faye
Conseil en stratégie et gouvernance des systèmes d’information
www.delafaye.eu