Journal des modifications de stratégie

1) Destination et valeur

• Histoire transparente du changement : qui, quoi, quand et pourquoi.
• Conformité avec les exigences des auditeurs/régulateurs (ISO 27001, SOC 2, PCI DSS, GDPR et réglementations locales).
• Gestion des risques : combinaison des changements avec les évaluations des risques, les incidents et les plans CAPA.
• Une source unique de vérité pour les employés, les fournisseurs et les partenaires.

Résultat : le risque opérationnel et de conformité est réduit, les audits et les enquêtes s'accélèrent, et le temps d'exécution est réduit.

2) Portée (scope)

• Sécurité et accès : Politique de l'IB, gestion des incidents, vulnérabilités, clés/cryptage, gestion des secrets, politique de mot de passe, IAM.
• Données et vie privée : GDPR/DSAR/RTBF, stockage et suppression, classification des données, DLP, logs et audit.
• Finances/AML/KYC : AML/KYB/KYC, contrôle des sanctions, confirmation de la source des fonds.
• Opérations : BCP/DRP, gestion du changement, politique de sortie, RACI, SRE/SLO.
• Juridique/réglementaire : exigences locales des marchés, restrictions publicitaires, jeu responsable.

3) Rôles et responsabilités (RACI)

R (Responsible) : Propriétaire de la stratégie (Policy Owner) et éditeur (Policy Editor).
A (Comptable) : Document propriétaire du domaine/CISCO/Tête de conformité.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informed) : Tous les employés, entrepreneurs externes (selon les besoins).

Principes : dual-control à publier ; ségrégation des responsabilités ; Consultation légale/DPO obligatoire pour les IPI/thèmes réglementaires.

4) Le cycle de vie du changement

1. Initiative : déclencheur (exigence réglementaire, vérification des fichiers, incident, pentest, changement d'architecture).
2. Brouillon : modification du système de gestion des documents (Confluence/Git/Policy CMS).
3. Évaluation de l'impact : processus, registre des risques, formation, contrats, intégration.
4. Harmonisation : Legal/DPO/Compliance/Tech/Operations, approbation finale par le propriétaire.
5. Publication : attribution de la version, date d'entrée en vigueur, envoi.
6. Onbording : formation/mise à jour, mise à jour SOP/Runbook.
7. Surveillance : contrôle de conformité, métriques, rétrospective.

5) Modèle de données du journal (champs obligatoires)

'Policy _ id'est un identificateur de stratégie constant.
'Policy _ title 'est le titre du document.
'Change _ id 'est un identificateur de modification unique.
'Version 'est une version sémantique (MAJOR. MINOR. PATCH) ou daté.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Exigences relatives à la version et aux types de modifications

MAJOR : modifie les exigences/contrôles obligatoires, affecte l'audit/les risques ; exige une formation et une période de transition.
MINEUR : les précisions, les exemples, ne changent pas fondamentalement les contrôles.
PATCH : modifications de l'orthographe/des références ; fast-track.
URGENT : modification urgente en raison d'un incident/vulnérabilité ; publication accélérée.
REGULATORY : mise à jour par rapport à la nouvelle loi réglementaire/lettre du régulateur.

Versioning : enregistrez les tags/releases ; artefacts immuables PDF/HTML avec hash.

7) Workflow de négociation

1. Draft → Review : Auto-validation du modèle, des liens et des métadonnées.
2. Multiple-review : Legal/DPO/Compliance/Tech/Operations (parallèle/séquentiel).
3. Approval : Propriétaire du domaine + Comptable.
4. Publish : génération de la note de sortie, entrée dans le Journal, newsletter, mise à jour "effective_from".
5. Acknowledgement : collecte de l'engagement des employés (LMS/HRIS).
6. Contrôles post-publish : tâches de mise à jour SOP/traités/scripts.

Règle à deux clés : la publication n'est possible qu'avec 2 + approbations dans la liste des rôles approuvés.

8) Fixation légale et gel (Legal Hold)

Quand : enquête, demande judiciaire, vérification réglementaire.
Ce que nous faisons : le drapeau 'hold _ flags = [« legal »]', le gel de la suppression/édition de la version, l'archive WORM, le journal des actions de Hold.
Retrait de Hold : Legal/DPO uniquement ; toutes les actions sont consignées.

9) La vie privée et les réglementations locales

Minimisez le PII dans le journal (gardez l'ID employee au lieu de l'e-mail si possible).
Durée de conservation = « horaires de conservation » (policy records généralement 5-7 ans).
DSAR/RTBF : le journal est exclu du retrait s'il existe une obligation légale de stockage ; nous fixons la base juridique.

10) Intégration

Confluence/Docs/Git : source des modifications et des artefacts (diff, PDF).
IAM/SSO : rôles et attributs des employés ; audit de l'accès au journal.
LMS/HRIS : formation, tests, mise au point.
GRC/IRM : communication avec les risques, contrôles, LEP/plans.
SIEM/Logs : audit des opérations sur le journal (qui a regardé/exporté).
Ticketing (Jira/YouTrack) : les tâches d'initiation et les chèques de sortie.

11) Métriques et SLO

Coverage :% des politiques actuelles avec la dernière entrée dans le journal (cible ≥ 99 %).
Time-to-Publish : médiane du temps de 'submitted _ at' à 'published _ at' (objectif ≤ 14 jours ; urgent ≤ 48 heures).
Taux d'intérêt : proportion d'employés qui ont confirmé la familiarisation (objectif ≥ 98 % en 14 jours).
Audit-read....: proportion de politiques avec un ensemble complet d'artefacts (bou, PDF, signatures) (objectif 100 %).
Exceptions fermées :% des exceptions/des écarts de durée fermés.
Audit d'accès : 0 incidents d'accès non autorisé au journal.

12) Dashboard (ensemble minimum de widgets)

Ruban des publications récentes et des entrées en vigueur.
Carte d'état par domaine (Security, Data, AML, Ops).
Carte thermique des retards de négociation.
Histogramme Time-to-Publish/Time-in-Review.
Ack-rate par département et par rôle.
Liste des modifications de REGULATORY/URGENT ouvertes.

13) Procédures et modèles

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Tous les champs obligatoires et les liens vers les artefacts ont été remplis
• Évaluation de l'impact et mise à jour des risques
• Approbations obtenues (double contrôle)
• Paquet immuable formé (PDF + hash)
• Mailings et campagne ack configurés
• Mis à jour SOP/Runbooks/contrats (si nécessaire)

14) Contrôle d'accès et sécurité

RBAC : rôles de lecture/création/approbation/archivage.
Just-in-Time : autorisations temporaires de publication/exportation.
Cryptage : TLS in-transit, KMS at-rest ; interdiction des exportations anonymes.
Audit : logs de toutes les opérations, alertes sur les actions inhabituelles (exportations massives, modifications fréquentes).

15) Mise en œuvre par étapes

1. Catalogue des politiques et de leurs propriétaires.

2. Modèle d'enregistrement unique + champs obligatoires.

3. Registre dans Confluence/Notification ou simple Policy-CMS ; Exporter un PDF immuable.

4. Flux de travail de base des approbations et de la campagne ack par courrier/LMS.

5. Rôles d'accès et journal des actions.

• Intégration avec Git pour le diff et le versioning sémantique.
• Liens de la GRC avec les risques/contrôles, rapports de vérification.
• Dashboard KPI/SLO, rappels automatiques sur les délais.

• API/webhooks pour les systèmes externes, rule-as-code de vérification de la conformité au modèle.
• Legal Hold + WORM archive, crypto-écriture des paquets de sortie.
• Multijuridictionalité (tags par marchés/langues/versions).

16) Erreurs fréquentes et comment les éviter

Modifications en dehors du journal : interdiction des publications sans enregistrement, contrôles automatiques.
Aucune rationalité/liens : rendre le champ obligatoire + modèles sources (régulateur, audit, incident).
Pas de contrôle ack : intégrez LMS/HRIS et surveillez les KPI.
Mélange de brouillons et de publications : utilisez des espaces/branches distincts.
Accès « à tous » : RBAC strict, audit de lecture à l'exportation.

17) Glossaire (résumé)

La politique est un document de gestion avec des exigences obligatoires.
Standard/Procedure/SOP - détails et ordre d'exécution.
CAPA - Mesures correctives et préventives.
Acknowledgement (ack) - confirmation de la connaissance par l'employé.
Legal Hold - gel légal des modifications/suppressions.

18) Résultat

Le journal des modifications de stratégie n'est pas seulement un « historique des modifications », mais un processus géré avec des rôles clairs, un modèle de données, des contrôles d'accès, une fixation juridique et des mesures. Sa mise en œuvre mature accélère les audits, réduit les risques de non-conformité et renforce la discipline opérationnelle dans toute l'organisation.