La Configuration Management Database (CMDB) est une composante essentielle de la gestion des infrastructures IT qui aide les entreprises à affronter les défis posés par des systèmes d’information de plus en plus complexes. En tant que référentiel centralisé, la CMDB stocke des informations détaillées sur tous les actifs informatiques et leurs interdépendances, soutenant ainsi les décisions stratégiques et la gestion efficace des ressources technologiques. Dans cet article, nous détaillerons ce qu’est une CMDB, son importance pour les entreprises, comment l’implémenter correctement et son rôle crucial en matière de cybersécurité.
Qu’est-ce qu’une CMDB ?
La CMDB est un outil clé dans la gestion des systèmes d’information, servant à l’unification de tous les composants IT, tels que les applications SaaS, les machines virtuelles, les containers, les API et le matériel physique, dans un emplacement commun.
Cette base centralisée représente donc votre référentiel contenant des actifs critiques, des sources de données et de leurs interdépendances. En tant que composant essentiel de l’architecture ITIL, la CMDB permet une vision complète et structurée de l’organisation des systèmes IT. Grâce à cette organisation, il est possible de comprendre l’infrastructure existante, ce qui facilite les modifications et les mises à jour nécessaires. Les éléments stockés dans la CMDB, appelés « éléments de configuration » ou « configuration items » (CI), englobent une variété d’actifs, offrant ainsi une vue exhaustive et accessible pour une gestion optimale des ressources IT.
C’est un référentiel très utile en phase d’onboarding d’un collaborateur qui vient de rejoindre votre entreprise, si vous souhaitez améliorer sa compréhension et sa rapidité à être opérationnel.
Configuration Management Database au sein d’ITIL
La CMDB s’inscrit parfaitement dans certaines des lignes directrices et des meilleures pratiques ITIL (Information Technology Infrastructure Library).
En ITIL, la CMDB est intégrée au processus de gestion de la configuration et des actifs (Service Asset and Configuration Management, SACM), qui est essentiel pour la gestion efficace des services IT. Voici les points clés dans lesquels la CMDB s’inscrit dans ITIL :
Support des processus de gestion des services
La CMDB fournit une vue détaillée et structurée des actifs informatiques et de leurs interdépendances. Cette information est cruciale pour plusieurs processus ITIL, notamment la gestion des incidents, des problèmes, des changements et des mises en production. En connaissant les relations entre les différents éléments de configuration (CI), les gestionnaires peuvent mieux planifier, exécuter et surveiller les modifications apportées à l’environnement IT.
Facilitation de la gestion des incidents et des problèmes
En cas d’incidents ou de problèmes IT, la CMDB permet de rapidement identifier les CIs (Configuration Items) affectés et de comprendre leurs interdépendances avec d’autres CIs. Cela aide à diagnostiquer les causes premières et à résoudre les problèmes plus efficacement, tout en minimisant l’impact sur les services IT.
Optimisation de la gestion des changements
Lorsque des changements sont proposés, la CMDB aide à évaluer les risques associés en fournissant une compréhension claire des dépendances entre les CIs. Ceci est essentiel pour assurer que les modifications ne perturbent pas inopinément d’autres parties du système.
Support de la conformité et de l’audit
La CMDB sert de source de vérité pour les audits de conformité, en permettant de prouver que la gestion des actifs IT est en accord avec les politiques internes et les réglementations externes. Elle aide également à préparer les rapports d’audit en fournissant des données exactes et à jour sur la configuration actuelle des actifs IT.
Amélioration continue des services
Dans le cadre de l’amélioration continue des services (Continual Service Improvement, CSI), la CMDB permet d’analyser l’efficacité des services actuels et de proposer des améliorations basées sur des données précises. Les informations de la CMDB peuvent être utilisées pour mesurer l’impact des améliorations et pour justifier les investissements dans les technologies ou les processus.
Pourquoi avoir une CMDB ?
On pourrait résumer l’intérêt d’avoir une CMDB par la phrase « on améliore que ce que l’on mesure » mais on mesure quoi ? La question n’est pas toujours facile à répondre lorsqu’on est dans un système d’information complexe avec des centaines d’actifs et des dépendances dans tous les sens.
Une fois la CMDB en place, vous pouvez effectuer plus facilement énormément de tâches comme comparer les différentes applications avec votre registre de données pour le RGPD. Vous pouvez faire une revue pour appliquer un peu de minimalisme dans l’organisation et rationaliser les outils, ce qui pourra être un allié pour la sécurité informatique en réduisant forcément la surface d’attaque et simplifiant les plans de reprise d’activité (PRA) et plans de continuité d’activité (PCA). Le pôle finance peut en profiter pour faire une analyse des coûts des différents outils.
Bref, cet outil est un atout pour toutes les équipes. L’équipe juridique peut associer des contrats sur un actif en téléversant le fichier ou en faisant un lien vers l’outil de gestion des contrats associés ou vers le Drive.
L’intérêt d’une CMDB apparaît souvent lorsque le système devient complexe et pourtant, il est préférable de la commencer le plus tôt possible et la remplir naturellement avec le temps à chaque ajout ou suppression d’actifs. L’ennemi de tous et de la CMDB c’est le shadow IT et cet exercice est donc un moyen de s’attaquer aux usages informatiques qui échappent à tout contrôle et qui n’ont pas été validés pour ensuite prendre une décision quant à son futur au sein de l’organisation. Avant de se lancer dans un projet CMDB, il est recommandé de mettre en place l’ITAM qui est plus haut niveau et facilitera les actions par la suite.
Comment établir une CMDB ?
- Mettre en place l’ITAM (IT Asset Management).
- Choisir l’outil de CMDB. Identifier le périmètre de la CMDB, quels éléments à inclure, jusqu’à quel degré, quelle granularité ?
- Entités techniques : base de données, systèmes d’exploitations, etc.
- Entités non techniques : utilisateurs, documents papiers, clients.
- Recueillir les informations et les responsables de chaque actif dans un premier temps pour, par la suite, mettre en qualité les différents éléments.
- Faire la chasse au Shadow IT pour le traiter.
Fonctionnalités dans les services CMDB
Voici quelques éléments utiles qui vous aideront à choisir le bon outil :
- Tableau de bord : le recueil de toutes les données permet de créer des tableaux de bords, générer des exports et rendre le système d’information plus visuel afin d’avoir une vision d’ensemble. C’est un outil qui permet de communiquer avec les différentes équipes et faire un suivi global.
- Sécurité : les solutions proposent souvent un contrôle d’accès avec différents rôles pour que n’importe qui ne puisse pas altérer les informations.
- Intégrations : chaque outil propose différentes intégrations en fonction de votre SI déjà existant.
- Automatisation : certains vous diront qu’une bonne CMDB est automatique, sinon elle n’est jamais à jour. Je serais plus nuancé, en effet l’automatisation améliore l’exactitude, mais comme dit précédemment, c’est l’affaire de tous. Avec de la rigueur, on peut très bien s’approcher de la réalité. De toute manière, vous pourrez difficilement automatiser le recueil de tous les actifs et ce système s’éloigne du concept de responsabilité partagé.
- Conformité : certains outils ont des fonctionnalités d’accompagnement et de maintien de la conformité.