Raymond Chami

Qu’en est-il de votre documentation ?

Votre SI est techniquement à jour, très bien. Mais avez-vous pensé à votre documentation ?

Ce n’est plus une surprise, le monde informatique évolue vite, très vite; trop vite. En fonction des ses moyens, toute entreprise tente de s’adapter au mieux pour maintenir son système d’informations (SI) opérationnel. La majorité ne se focalisera que sur l’aspect technique, en oubliant une partie tellement importante : la documentation associée !

Il est évident qu’un SI ne se maintient pas à jour de façon autonome, en tout cas pas aujourd’hui. Il est nécessaire d’avoir des personnes compétentes, ainsi qu’une organisation bien rodée, avec des processus à suivre. Si le terme processus évoquera pour les équipes opérationnelles les plans de migration, de roll-back, et pour les plus sérieuses/transparentes, les notifications de maintenance, l’idée générale ne doit pas se résumer à ces étapes. La source même de toute opération réussie convenablement est la documentation, à jour.

A travers ce modeste billet, je vais évoquer plusieurs cas que j’ai pu rencontrer, ou entendre de collègues, afin de mieux illustrer l’importance du

``A quoi sert la documentation ? Je suis le(la) seul(e) dans mon service informatique à gérer les opérations.``

Vous vous en doutez, ce cas se présente plutôt dans des PME, où un service informatique peut être réduit à un faible nombre si ce n’est une seule personne. Bien que cette dernière s’en sorte actuellement, grâce à une aptitude extraordinaire à tout gérer, maîtriser techniquement avec une organisation propre, ainsi qu’une gestion du stress, rien ne garantit sa présence professionnelle sur la durée, ni sur la qualité. Que se passe-t-il en cas de congés, d’arrêt maladie, ou simple départ de l’entreprise ? Comment faire si, un jour, la mémoire de cette personne commence à montrer des signes de faiblesse ? Vous pensez que le fait d’être « le(la) seul(e) à bord avec la connaissance » vous rend indispensable voire irremplaçable, mais à mon avis, cela peut également montrer une mauvaise facette de votre personnalité : un manque d’organisation, et de confiance en autrui.
Pourtant, si cette personne s’efforce de rédiger un dossier d’architecture complet, cela prouve une réelle maîtrise du sujet, sur tous les aspects. Consacrer du temps pour écrire des procédures d’actions, illustre également la clarté de la tâche à accomplir, une visibilité nette avec chaque étape. Ainsi, la direction y verrait moins de crainte à chaque absence de cette personne par exemple. Sans parler des décisions d’évolution de l’infrastructure ou de certaines solutions. Des directions craintives du moindre changement peuvent mieux se concentrer et analyser si l’idée est correctement démontrée à l’écrit. Au final, tout le monde y gagne !

``Notre SI n'évolue pas tant que ça. Pourquoi perdre autant de temps ?``

Ce n’est pas parce que votre SI n’évolue pas, que les menaces stagnent aussi. Ne serait-ce que d’un point de vue sécurité, cela pose (un gros) problème; mais cette absence de changement peut aussi refléter une stratégie informatique trop faible, voire inexistante. Une phase de rédaction complète pourrait soulever des points importants qui auraient été omis lors de la conception. Qui n’a jamais rien oublié de sa vie ? Pas moi en tout cas.
De plus, si l’infrastructure ne change pas trop à travers le temps, alors il est encore plus facile de maintenir la documentation à jour. Cela permet d’anticiper une potentielle évolution future.

``Un dossier d'architecture technique ? Si nous en avons un, mais je ne sais pas où il est exactement.``

Cette situation montre dans un premier temps le manque d’organisation de l’équipe, mais prouve également un désintérêt de la personne en charge à maintenir un SI digne de ce nom. S’il est difficile de mettre la main sur un tel document, il est très fort probable qu’il n’ait pas été mis à jour depuis longtemps. Plus on tarde à mettre à jour la documentation, plus la tâche sera lourde, chronophage, et démotivante. A remédier au plus vite via une implication sérieuse pour retrouver ce document et le mettre à jour, ou pire, d’en recréer un.

``J'ai suivi la procédure de l'éditeur, mais j'ai toujours un problème sur mon infra.``

Un oubli d’un composant dans la chaîne, qui lui ne serait pas compatible avec les préconisations voire les spécificités requises par l’éditeur ? Cela arrive très souvent ! L’équipe R&D a pris le temps de rédiger la procédure, et identifier tous les points importants à vérifier sur votre SI pour vous retrouver dans le scénario optimum. Là encore, une maîtrise de votre infrastructure, avec un appui d’une documentation à jour est un gros avantage, et un gain de temps, non seulement pour les actions de déploiement/upgrade, mais pour toute phase de troubleshooting.

``Je n'ai pas le temps pour traiter ça, notre responsable technique quitte l'entreprise, et nous sommes en plein transfert d'informations.``

Catastrophe, une des personnes les plus importantes n’est plus présente pour gérer le SI et le temps est péniblement compté. Selon moi, une des pires situations, que je ne souhaite à aucune entreprise. Cependant, c’est un cas qui peut se présenter, et la façon la plus sûre d’anticiper une telle crise est d’avoir une base documentaire complète et à jour. Cela sauvera l’équipe restante pour assurer le service le temps de retrouver une nouvelle personne. Il vaut mieux traiter les actions, peut-être plus lentement le temps de consulter les informations nécessaires mais proprement, que de ne plus les faire du tout, et espérer la venue d’un sauveur

``Bon, là on ne le voit pas car le schéma n'est pas à jour, mais en fait c'est comme ça..``

Cette réplique reste ma préférée. Lors d’une intervention, que cela soit pour un nouveau projet ou une assistance, notre premier réflexe est de demander un schéma ou un dossier pour mieux cerner la situation, et savoir comment l’aborder. Mais par malheur, rien n’est à jour. Comment peut-on avoir une vision claire du contexte si le document que nous consultons ne reflète pas la réalité ? Comment peut-on fonder des hypothèses sur des faits qui à la base ne sont pas fiables ? Encore une fois, une documentation nette et précise rendra bien plus de services, et fera gagner beaucoup de temps comparée aux modifications à apporter sur un reliquat de schémas.

En résumé :

Vous l’aurez compris, quelle que soit la taille de votre entreprise, de votre équipe, ou de votre situation au sein de cette équipe, une bonne documentation complète, et régulièrement à jour est forcement votre alliée. Certes, si vous partez d’une base vierge, le travail sera les premiers jours fastidieux, mais une fois la machine lancée, les modifications incrémentales seront logiquement plus légères, et donc plus faciles à gérer. La véritable clef d’une rédaction confortable et utile est le fait d’adapter le langage et le niveau technique en fonction du profil du lecteur potentiel (équipe technique, architecte, RSSI, DSI…).

Pour tous vos projets d’évolution, d’amélioration de gouvernance, de définition de stratégie, ou d’une préparation à une conformité, n’hésitez pas à contacter le cabinet iDNA pour plus d’informations.

Articles associés

La micro-segmentation, kesako ?

16 novembre 2018
L’approche historique de défense périmétrique (filtrage exclusif des entrées/sorties) des data-center n’est plus un modèle adapté aux environnements actuels...

DDoS : comment s’y préparer ?

6 mars 2018
La gestion de la menace DDoS passe par une analyse de risques préliminaire. Elle définira la meilleure stratégie de défense possible. En voici donc l’anti-sèche ultime pour vous aider à mieux anticiper et répondre…
Partager cet article
Derniers articles

Réseau et Sécurité, amalgame pour un échec

Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]

DLP : l’outil d’aide au RGPD

L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP. En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y […]

La Gestion des mots de passe : Complexité vs Mémorisation

  Pour se connecter à votre téléphone portable, à votre ordinateur, à votre compte bancaire, à votre compte professionnel ou personnel, aux différentes plateformes de votre entreprise ou faire des achats en ligne, le mot de passe est devenu incontournable pour protéger l’accès aux données, aux systèmes d’informations et plus généralement à sécuriser les différentes […]

La reconnaissance faciale est-elle le nouveau Big Brother?

Il n’y a pas si longtemps, pouvoir identifier de manière automatique les personnes qui transitaient par une rue, les suivre, tracer leurs mouvements et dépenses à travers leurs achats, connaître leurs états d’âme, leurs origines, leur genre, relevait de la science fiction. Cette technologie qui permet tout cela aux autorités, et pas uniquement, est parmi […]