La gestion de la configuration est l'ensemble des processus qui permettent d'identifier, de documenter, de contrôler et de tracer tous les éléments constitutifs du système d'information ainsi que leurs modifications. L'ISO 27002 mesure 8.9 recommande quatre contrôles principaux :

• Inventaire complet des actifs : référencer tous les équipements matériels (serveurs, postes, imprimantes, équipements réseau) et logiciels (systèmes d'exploitation, applications, licences)
• Configurations de référence (baselines) : définir des configurations standards sécurisées pour chaque type d'équipement
• Contrôle des changements : documenter et valider toute modification de configuration avant application
• Vérification de conformité : auditer régulièrement que les équipements respectent les configurations de référence

Ces exigences visent à garantir que le système d'information reste stable, sécurisé et conforme dans le temps malgré les évolutions constantes.

Pourquoi inventorier

Sans inventaire exhaustif, impossible de savoir quels équipements protéger, quels logiciels mettre à jour, quelles licences renouveler, ou quels systèmes obsolètes remplacer. Un serveur oublié qui tourne depuis 5 ans sans mise à jour devient une vulnérabilité critique. Un poste non inventorié qui quitte l'entreprise emporte potentiellement des données sensibles.

Éléments à inventorier

**Équipements matériels** : serveurs physiques et virtuels, postes de travail, ordinateurs portables, smartphones, tablettes, imprimantes, équipements réseau (switches, routeurs, bornes WiFi, pare-feu), équipements de stockage (NAS, SAN), onduleurs et équipements électriques critiques.

**Logiciels** : systèmes d'exploitation (versions exactes), applications métier, logiciels bureautiques, bases de données, middleware, licences et dates d'expiration.

**Services cloud** : abonnements SaaS, instances IaaS/PaaS, comptes administrateurs, volumes de stockage cloud.

Informations à collecter pour chaque actif

Identifiant unique : numéro d'inventaire, numéro de série. Propriétaire/responsable : qui est responsable de cet actif. Localisation : où se trouve physiquement l'équipement.
Configuration : caractéristiques techniques (CPU, RAM, disque, version OS). Statut : en production, en test, hors service. Criticité : impact si l'actif est indisponible.
Date de mise en service et fin de vie prévue.

Outils d'inventaire automatique

Utiliser des outils de découverte réseau et d'inventaire automatique plutôt que des feuilles Excel manuelles. Solutions : systèmes de gestion d'inventaire (OCS Inventory, GLPI, Lansweeper), agents installés sur les postes (collecte automatique des informations), découverte réseau passive (détection des équipements connectés).

Principe des baselines

Une configuration de référence (baseline) définit l'état standard et sécurisé d'un type d'équipement : quels logiciels installer, quels paramètres de sécurité activer, quels services désactiver, quelles mises à jour appliquer. Tous les nouveaux équipements de ce type doivent être déployés avec cette configuration, garantissant homogénéité et sécurité.

Configurations par type d'équipement

Serveurs Windows : version OS, rôles installés (serveur de fichiers, contrôleur de domaine), paramètres de sécurité (politique de mots de passe, audit, pare-feu), logiciels de protection (antivirus, agent EDR), niveau de patch.

Postes de travail : version Windows, suite bureautique, navigateur, logiciels standards métier, paramètres de sécurité (BitLocker activé, UAC activé, restrictions utilisateur), antivirus et pare-feu.

Équipements réseau : version firmware, protocoles activés/désactivés (telnet désactivé, SSH activé), listes de contrôle d'accès (ACL), mots de passe administrateur robustes, journalisation activée.

Durcissement de sécurité (hardening)

Les configurations de référence doivent intégrer le durcissement de sécurité : désactiver les services inutiles, supprimer les comptes par défaut, appliquer le principe du moindre privilège, activer tous les logs de sécurité, configurer les pare-feu locaux. Référentiels : CIS Benchmarks (Center for Internet Security) fournit des guides de durcissement détaillés pour chaque système.

Pourquoi contrôler les changements

Un changement non planifié ou mal testé peut provoquer une panne de production, créer une vulnérabilité de sécurité, ou rendre des systèmes incompatibles. 80% des pannes en production sont causées par des changements non maîtrisés. Le contrôle des changements impose une discipline qui réduit considérablement les incidents.

Processus de gestion des changements

1. Demande de changement : documenter le changement souhaité (quoi, pourquoi, quand, qui). 2. Évaluation : analyser les risques, les impacts sur les autres systèmes, les dépendances. 3. Validation : obtenir l'approbration du responsable technique et/ou du comité de changement pour les modifications critiques. 4. Planification : définir la date et l'heure d'intervention (fenêtre de maintenance), préparer le plan de retour arrière (rollback). 5. Test : tester le changement en environnement de pré-production avant application en production. 6. Mise en œuvre : appliquer le changement en production selon le planning. 7. Vérification : contrôler que le changement fonctionne comme prévu. 8. Documentation : mettre à jour la documentation de configuration.

Catégories de changements

Changement standard : modification récurrente, faible risque, pré-approuvée (exemple : ajout d'un utilisateur dans un groupe). Peut être appliquée sans validation individuelle.
Changement normal : modification planifiée nécessitant validation (exemple : mise à jour d'un serveur applicatif). Suit le processus complet.
Changement urgent : modification critique nécessaire pour résoudre un incident majeur. Processus accéléré mais traçabilité complète.

Audits de configuration

Comparer régulièrement la configuration réelle des équipements avec les configurations de référence pour détecter les écarts (configuration drift). Outils : systèmes de gestion de configuration (Ansible, Puppet, Chef) détectent automatiquement les déviations, scripts de vérification de conformité.

Détection des équipements non conformes

Identifier les équipements qui s'écartent des standards : systèmes d'exploitation obsolètes non supportés, logiciels non autorisés installés, paramètres de sécurité désactivés, versions vulnérables non patchées.

Actions : corriger les écarts détectés, mettre à jour l'inventaire, renforcer les processus pour éviter les récidives.

Gestion des exceptions

Documenter et justifier les exceptions aux configurations de référence lorsqu'elles sont nécessaires (contraintes métier, incompatibilité applicative). Chaque exception doit être approuvée formellement, documentée, et révisée périodiquement.

Sécurité renforcée

Connaître précisément les équipements permet de les protéger systématiquement : déployer les mises à jour de sécurité sur tous les serveurs, identifier rapidement les systèmes vulnérables, détecter les équipements non autorisés.

Stabilité accrue

Le contrôle des changements évite les modifications hasardeuses qui provoquent des pannes. Les configurations standardisées réduisent les comportements imprévisibles.

Conformité facilitée

Les audits de conformité (ISO 27001, RGPD, HDS) exigent un inventaire complet et des processus de gestion des changements. La gestion de la configuration fournit les preuves nécessaires.

Réduction des coûts

Optimiser les licences logicielles (supprimer les licences inutilisées), planifier les renouvellements matériels (connaître l'âge des équipements), éviter les pannes coûteuses (changements maîtrisés).

• Inventaire manuel et obsolète : un inventaire Excel mis à jour irrégulièrement est rapidement faux. Automatiser la découverte et la mise à jour de l'inventaire.
• Pas de configuration de référence : laisser chaque administrateur configurer "à sa façon" crée de l'hétérogénéité, des vulnérabilités et des pannes. Définir et imposer des baselines.
• Changements en production sans contrôle : permettre les modifications directes en production sans validation ni documentation multiplie les incidents. Imposer un processus formel.
• Pas de vérification de conformité : les configurations dérivent naturellement dans le temps. Auditer régulièrement pour détecter et corriger les écarts.

La gestion de la configuration garantit la maîtrise du système d'information par un inventaire complet des actifs (matériels, logiciels, services cloud), des configurations de référence sécurisées pour chaque type d'équipement, et un contrôle strict des changements avec validation, test et documentation.

La vérification régulière de conformité détecte les écarts entre configurations réelles et références, permettant de corriger rapidement. Les bénéfices incluent une sécurité renforcée (tous les actifs protégés), une stabilité accrue (changements maîtrisés), une conformité facilitée (preuves pour audits), et une réduction des coûts (optimisation licences et matériel).