Dans les secteurs réglementés, un déploiement n’est jamais une simple opération technique : il s’agit d’un événement soumis à audit. Les banques, les assureurs, les organismes du secteur public et toute entreprise soumise à la loi Sarbanes-Oxley, à la loi européenne sur la résilience opérationnelle numérique (DORA), à la norme ISO/IEC 27001 ou aux exigences de surveillance de la BaFin en matière d’informatique dans les établissements financiers (BAIT) partagent la même attente fondamentale : personne ne devrait pouvoir transférer du code ou une configuration vers un système de production sans préavis et sans contrôle. C'est l'idée centrale qui sous-tend la double validation, et c'est l'un des contrôles les plus fréquemment cités dans les audits informatiques des plateformes d'automatisation. La partie 6 du 3C Release Manager pour les Automic et Enablement Serie se concentre sur la manière dont ce contrôle est mis en œuvre — et techniquement appliqué — directement au sein du workflow de déploiement.
Précédemment dans cette série
Cet article poursuit le3C Release Managerpour les Automic Enablement Serie. Si vous avez manqué les parties précédentes, voici où vous rattraper :
- Partie 1 — Fonction de cliché : capture de l'état complet d'un client Automic comme référence horodatée.
- Partie 2 — Fonction Diff : comparaison des instantanés pour détecter les changements d'objets et vérifier la transparence des versions.
- Partie 3 — Création d’environnements : définition des connexions techniques aux clients Automic qui rendent possibles les snapshots, les diffs et les déploiements.
- Partie 4 — Déploiements contrôlés : transport d'objets entre clients avec sauvegardes automatiques et chemin de retour arrière défini.
- Partie 5 — Ajouter des éléments associés : recenser les dépendances imbriquées des flux de travail jusqu'au niveau des scripts en une seule opération.
Une fois que les transports contrôlés et complets en termes de dépendances sont en place, la question ne porte plus sur la sécurité du déploiement, mais sur la possibilité de prouver que la modification a bien été autorisée. C'est précisément là qu'intervient ce contrôle.
Pourquoi la double validation est-elle importante dans les environnements réglementés Automic ?
Le système Automic Automation est généralement au cœur des charges de travail critiques : traitement des paiements, rapports réglementaires, gestion de la chaîne d'approvisionnement, fenêtres de traitement par lots dont dépend le reste de l'entreprise. Une modification apportée à un flux de travail dans cet environnement ne se résume pas à un simple ajustement technique isolé. Il s'agit d'une modification d'un système dont la défaillance a des répercussions directes sur l'activité et, dans les secteurs réglementés, des conséquences réglementaires.
Les auditeurs le savent bien, et leurs questions ont tendance à être d'une précision déconcertante. Qui a approuvé ce changement ? Quand ? La personne qui l'a approuvé est-elle différente de celle qui l'a préparé ? Où sont les preuves ? Si ces questions ne peuvent trouver de réponse qu'à l'aide de captures d'écran, de liens vers des tickets collés dans des e-mails ou d'un “ nous faisons confiance à notre équipe ”, le contrôle n'est pas réellement un contrôle — c'est un système fondé sur la confiance. La séparation des tâches existe précisément pour lever cette ambiguïté en faisant de l'autorisation indépendante une condition préalable à l'exécution, et non une simple recommandation procédurale.
Dans une configuration Automic classique, la mise en œuvre de cette procédure nécessite généralement un ensemble disparate de workflows de tickets externes, des validations manuelles dans un outil de comité consultatif sur les changements, ainsi qu’une rigueur opérationnelle qui repose entièrement sur la capacité des personnes à se souvenir de suivre le processus. La configuration 3C Release Manager pour Automic intègre cette mise en œuvre directement dans le déploiement lui-même.
Comment le système de double validation est mis en œuvre dans le 3C Release Manager
Ce mécanisme est intégré à la configuration de l'environnement. Pour chaque environnement cible — généralement ceux correspondant aux clients en préproduction et en production —, le nombre d'approbations requises peut être défini dans les paramètres supplémentaires. En fixant cette valeur à deux, on active le contrôle pour cet environnement : tout transport destiné à ce client devra être validé par deux utilisateurs distincts avant de pouvoir être exécuté.
Cette contrainte est d'ordre technique, et non procédural. Lorsqu'un déploiement est préparé et atteint l'état “ Prêt pour la préparation ”, le bouton « Exécuter » ne devient accessible qu'une fois le seuil d'approbation atteint. L'utilisateur qui a créé et préparé le package peut donner son propre accord, mais cette seule approbation ne suffit pas pour lancer l'exécution. Une deuxième confirmation, provenant d'un autre utilisateur, est obligatoire. Tant que cette deuxième approbation n'est pas enregistrée, l'exécution ne peut pas avoir lieu — il n'y a pas de contournement, pas de solution de rechange, pas de « juste cette fois ».
La courte démonstration ci-dessous illustre le flux complet de bout en bout : un transport préparé par l'utilisateur A, le bouton Exécuter intentionnellement bloqué, et la seconde approbation de l'utilisateur B débloquant l'exécution.
Ce que cela change réellement en matière de conformité et d'audit
Intégrer la validation indépendante directement dans les outils de déploiement modifie quatre éléments qui préoccupent les auditeurs, les responsables des risques et les responsables des versions :
- La séparation des tâches devient vérifiable. L'approbation est liée à l'identité de l'utilisateur qui l'a enregistrée, et non à un champ de texte libre ou à un e-mail transféré. Les journaux d'audit permettent de déterminer, pour tout transfert donné, quels sont exactement les deux utilisateurs qui l'ont approuvé et à quel moment — et de vérifier que ces deux utilisateurs étaient bien distincts l'un de l'autre.
- Le contrôle ne peut pas être contourné en situation de pression. La pression de fin de trimestre, les correctifs urgents et les cas où “ l'autre responsable est en vacances ” sont précisément les moments où les processus manuels se dégradent insidieusement. Un seuil imposé par des moyens techniques ne se dégrade pas. Soit la modification est validée par deux personnes, soit elle n'est pas exécutée.
- Les éléments probants de l'audit deviennent un produit dérivé, et non plus un projet à part entière. Lorsqu'un auditeur demande des preuves attestant que la séparation des tâches a été appliquée aux modifications apportées à la production au cours du dernier trimestre, la réponse consiste à interroger l'historique des déploiements — et non plus à se démener pour reconstituer, à partir des archives de courriels, qui a approuvé quoi.
- La gouvernance des mises en production est harmonisée entre les équipes. Les équipes présentent souvent des niveaux de maturité des processus différents. L'application d'une double validation au niveau de l'environnement garantit que la norme est appliquée de manière uniforme à chaque modification visant cet environnement, quelle que soit l'équipe qui l'a préparée.
Où la double approbation s'inscrit dans le cadre général de la publication
Ce contrôle n'est pas une fonctionnalité autonome : il s'agit d'un élément constitutif d'un modèle de gouvernance des versions que la solution 3C Release Manager met en place de bout en bout. Les instantanés fournissent la base de référence. Les comparaisons de versions rendent les modifications transparentes. Les transferts contrôlés intègrent des sauvegardes et des restaurations. La collecte récursive des objets associés garantit l'exhaustivité. L'application des autorisations assure la sécurité.
Ensemble, ces étapes répondent aux questions que se posent concrètement les auditeurs : quelle était la situation auparavant ? Qu'est-ce qui a changé ? Qui a autorisé ce changement ? Serait-il possible de revenir en arrière si nécessaire ? Chaque étape est utile en soi ; leur valeur s'accroît lorsqu'elles sont utilisées conjointement dans le cadre d'un processus de mise en production unique et cohérent.
Pour les organisations soumises aux exigences de gestion du changement informatique de la DORA (voir également les recommandations de la Deutsche Bundesbank concernant la transition du BAIT vers la DORA), aux principes de séparation des tâches du BAIT ou à tout autre cadre similaire régissant les systèmes critiques, il s'agit de la différence entre se contenter d'affirmer qu'un processus de mise en production est maîtrisé et en apporter la preuve.
Points clés à retenir
- La double approbation indépendante est l'un des contrôles les plus fréquemment audités dans les environnements informatiques réglementés, et elle constitue une attente de base selon des cadres tels que SOX, DORA, ISO 27001 et BAIT.
- La version 3C Release Manager pour Automic impose cette contrainte sur le plan technique en exigeant un nombre configurable d'approbations distinctes par utilisateur et par environnement avant qu'un transport puisse être exécuté.
- L'application des approbations est intégrée au flux de travail de déploiement, et non ajoutée ultérieurement par des tickets externes — le bouton Exécuter est indisponible tant que le seuil n'est pas atteint.
- Le résultat est une ségrégation des tâches vérifiable, des preuves d'audit comme sous-produit du processus et une gouvernance cohérente entre les équipes et les changements.
- Combiné aux instantanés, aux différences, aux transports contrôlés et à la collecte récursive d'objets, ce contrôle complète un cadre de publication qui correspond parfaitement aux exigences d'audit réelles.
Une gestion des versions conforme aux exigences réglementaires ne consiste pas à ajouter des étapes supplémentaires. Il s'agit de s'assurer que les étapes essentielles sont appliquées par la plateforme, enregistrées automatiquement et faciles à justifier a posteriori. La mise à jour 3C Release Manager pour Automic repose précisément sur ce principe.
Vous souhaitez savoir comment la certification 3C Release Manager répond aux exigences de votre organisation en matière d'audit et de conformité ? Prenez rendez-vous pour une consultation gratuite afin de discuter de votre environnement de gouvernance des versions — ou découvrez l'ensemble du parcours de formation Automic sur Tricise University pour développer les compétences de votre équipe en matière de gouvernance des versions.
