ISMS Copilot
Documentation du SMSI

Politique de gestion des changements

ISMS Copilot maintient une politique formelle de gestion des changements afin de s'assurer que toutes les modifications apportées à nos systèmes de production sont examinées, testées et déployées en toute sécurité. Notre processus équilibre les exigences de sécurité et de conformité avec la nécessité d'une itération rapide.

Notre politique de gestion des changements s'intègre directement à notre flux de travail GitHub et à notre pipeline CI/CD pour une application automatisée.

Types de changements

Nous classons les changements en trois types en fonction du risque et de l'impact :

  • Changements standards — Changements à faible risque et pré-approuvés tels que les mises à jour de la documentation, les correctifs de dépendances et les mises à jour de configuration de routine. Ceux-ci peuvent être fusionnés automatiquement une fois les vérifications automatisées réussies.

  • Changements normaux — Ajouts de fonctionnalités, modifications du schéma de base de données, modifications d'API et mises à jour de sécurité. Nécessite un processus d'examen complet avec au moins une approbation avant le déploiement.

  • Changements d'urgence — Vulnérabilités de sécurité critiques, pannes de service ou problèmes d'intégrité des données. Suit un processus d'approbation accéléré tout en maintenant une piste d'audit et un examen post-déploiement.

Flux de travail d'approbation

Notre processus de changement standard suit les étapes suivantes :

  1. Création d'un ticket GitHub — Demande de changement documentée avec justification et évaluation de l'impact

  2. Branche et Pull Request — Modifications de code développées dans une branche de fonctionnalité avec une PR descriptive

  3. Tests automatisés — Le pipeline CI exécute des tests automatisés, y compris des tests unitaires, des tests d'intégration et des scans de sécurité

  4. Revue par les pairs — Au moins un membre de l'équipe examine le code, l'architecture et les implications en matière de sécurité

  5. Approbation et fusion — Changements approuvés fusionnés dans la branche principale

  6. Déploiement automatisé — Changements automatiquement déployés en production via notre pipeline CI/CD (Supabase, Fly.io, Vercel)

Les changements d'urgence suivent une voie accélérée mais conservent une piste d'audit et nécessitent un examen post-déploiement dans les 24 heures.

Tests et barrières de qualité

Avant qu'un changement n'atteigne la production, notre pipeline CI automatisé impose :

  • Exécution de la suite de tests automatisés

  • Validation de la migration de la base de données sur l'environnement CI Supabase

  • Analyse statique du code et scan de sécurité

  • Vérification de la compilation pour toutes les cibles de déploiement

Restaurations et récupération

Notre politique de gestion des changements inclut des procédures de rollback pour les déploiements échoués. Nous maintenons la capacité de revenir rapidement sur les changements tout en préservant l'intégrité des données et la disponibilité du système.

Tous les changements sont suivis dans GitHub avec un historique d'audit complet incluant les approbateurs, les horodatages et la justification du changement.

Gestion des secrets et des configurations

Les changements impliquant des secrets, des clés API ou des configurations sensibles suivent des contrôles de sécurité supplémentaires au-delà des procédures de changement standard afin d'empêcher toute exposition d'identifiants.

Cela vous a-t-il été utile ?