Category

IT

Risque et conformité IT dans l’industrie pharmaceutique

By | Conformité, IT, Pharmaceutique, Qualité/Validation

Contexte.

Comme dans beaucoup d’autres industries, les sociétés pharmaceutiques sont rapidement obligées de se doter d’un département IT afin de soutenir leur croissance et leur pérennité.

Comme toute activité dans cette industrie, l’informatique n’échappe cependant pas aux nombreuses réglementations en vigueur pour assurer la conformité des produits mis sur le marché. Il est donc courant que le département IT se dote à son tour d’un service « risque et conformité » dont la mission est d’assurer l’alignement entre les pratiques IT et les exigences réglementaires.

 

Solutions

C’est dans ce contexte que Mielabelo a réalisé de nombreuses missions « risque et conformité IT » pour le compte de clients du secteur pharmaceutique.

Les systèmes d’ERP étant en charge de la plupart des processus, ces missions consistaient, notamment, en la validation, par la méthode du cycle en V, de modules d’ERP, dont principalement SAP.

Quelques exemples.

  • Validation d’un module SAP permettant l’ouverture et le suivi de déviations dans le cas d’occurrence d’évènements non planifiés suite à une demande des autorités américaines de la FDA.
  • Validation d’un système de gestion des échantillons, ceci afin de garantir leur traçabilité tout au long de la chaîne de production, de test et de libération de lots.
  • Mise en place d’un outil permettant la gestion des paramètres de qualité et de performance.

Concrètement, durant ces missions, les consultants Mielabelo ont été amenés à revoir des documents définissant les besoins et les demandes des utilisateurs d’ERP, les réponses techniques apportées à ces demandes et les tests évaluant l’efficacité de ces réponses. Ils étaient également responsables de la rédaction de tous les plans et rapports liés au projet d’implémentation, ainsi que de la rencontre avec les clients pour le bon avancement des projets.

Cinq raisons de lancer un projet de certification ISO27001

By | Alignement, Banque/Assurance, Chimie, Conformité, Direction Générale, Hospitalier, Industrie, Info Sec, IT, Pharmaceutique, Public/Institutions, Sécurité de l'information, Transports Publics | No Comments

Contexte.

La norme ISO27001 s’est imposée depuis plusieurs années comme LA référence en matière de sécurité de l’information. Cette norme, ainsi que les différents documents qui l’accompagnent (ISO27002, ISO27005, etc.), permet de structurer les efforts en matière de sécurité de l’information, en instaurant la primauté de la gestion de risques dans la réflexion liée à la sélection de mesures de sécurité.

Quels sont les avantages concrets de la mise en œuvre d’un système de management de la sécurité de l’information (SMSI) ‘estampillé’ 27001 ?

  1. Se différencier et créer un avantage compétitif
    Dans le contexte d’un marché où peu de concurrents ont fait l’effort d’investir dans ce type de certification, le précieux sésame peut rapidement se transformer en une arme commerciale redoutable. Bien utilisé, l’argument aidera à marquer la différence avec les concurrents.
  2. Gérer ses risques de manière systématique et inspirer la confiance chez ses partenaires
    L’obtention d’une certification peut constituer un signal d’engagement vers les différentes parties prenantes. La certification ISO 27001 d’une organisation délivre un message fort en direction de ses partenaires, qu’ils soient clients, employés, citoyens ou fournisseurs et contribue ainsi à créer une relation de confiance. Elle démontre :

    • que l’organisation a mis en place des processus efficaces de gestion de la sécurité de l’information
    • que la direction considère la sécurité de l’information comme une thématique importante à laquelle des moyens humains et financiers sont alloués.
  1. Répondre à un besoin ou une exigence de vos clients
    De nos jours, la sécurité de l’information et la protection des données à caractère personnel est devenue un sujet d’actualité. Clients et partenaires peuvent dès lors raisonnablement s’inquiéter du traitement réservé aux informations confiées à leurs prestataires et même, les obliger à adapter leurs procédures. La certification ISO27001 pourrait ainsi se généraliser dans le panel des exigences des acheteurs publics ou privés.
  1. Réduire les coûts de gestion de la sécurité
    La norme ISO27001 instaure le rôle central de la gestion des risques dans l’exercice de sélection des mesures de sécurité. Gérer ses risques de sécurité, c’est tout d’abord les identifier, les évaluer de manière répétable et répétée, décider du traitement à y apporter et sélectionner des mesures de sécurité en adéquation avec l’ampleur des risques identifiés. De par sa structure et les réflexes qu’elle promeut, la norme ISO27001 aide à sécuriser de manière raisonnable et raisonnée les informations et à ne pas surinvestir inutilement dans la protection des données.
  1. Assurer la conformité
    Règlement Général de Protection des Données, normes d’industrie telles que PCI-DSS ou SOX, lois et règlementations (inter)nationales en vigueur… autant d’éléments à prendre en compte pour lesquels une mise en œuvre ciblée d’un SMSI 27001 pourrait permettre d’obtenir une conformité et d’éviter toute amende ou sanction éventuelle.

 

Solutions

Sur le terrain, les consultants de Mielabelo ont notamment la charge de :

  • Implémentation et maintien d’un système de management de la sécurité de l’information ISO 27001
  • Analyse de risque (ISO 27005), analyse d’impact sur la vie privée
  • Plan de traitement des risques et mise en œuvre de mesures de sécurité (ISO 27002)
  • Protection des données à caractère personnel et gestion de la conformité
  • Sensibilisation, formation et sensibilisation vers les différents acteurs impliqués

Que faire face à l’augmentation des cyberattaques ?

By | Banque/Assurance, Chimie, Conformité, Hospitalier, Industrie, Info Sec, IT, Performance, Pharmaceutique, Public/Institutions, Sécurité de l'information, Transports Publics

Contexte.

“De nos jours, les médias renseignent régulièrement des attaques, piratages ou fuites de données dont sont victimes de nombreux organismes, tant publics que privés et ce tous secteurs confondus.  Pourtant, ces nombreux événements ne reflètent que la partie visible de l’iceberg du hacking.  Aujourd’hui les grandes organisations comme les petites et moyennes entreprises sont sous la menace de l’exploitation des vulnérabilités techniques inhérentes à tout système d’information.

Le traitement de ces problématiques impose une gestion des vulnérabilités efficace, adaptée au contexte de l’organisation et mise en oeuvre de façon transverse autour des trois piliers que sont le processus, la technologie et les individus :

  • Processus
    Le processus générique de gestion des vulnérabilités s’appuie notamment sur le modèle ITIL et s’intègre avec les autres processus IT existants.
  • L’aspect technologique implique :
    • la mise en place d’un outil de scan permettant d’automatiser les activités de recherche et d’évaluation des vulnérabilités.
    • une veille technologique afin d’être informé rapidement de l’existence de nouvelles vulnérabilités et des correctifs de sécurité associés.
  • Individus
    Souvent négligée, l’implication de tous les acteurs n’en est pas moins indispensable à une approche efficace des vulnérabilités.

    1. Le management doit être informé de la valeur et de l’intérêt du programme afin d’allouer les ressources nécessaires à sa mise en oeuvre.
    2. Les directions métier et le département informatique doivent clairement identifier les impacts opérationnels, budgétaires et logistiques du programme (gestion des priorités, détection des coûts cachés, …).

 

Solutions

Les consultants de Mielabelo mettent en oeuvre ces solutions transverses impliquant processus, technologie et personnes.

Au quotidien, ils assurent :

  • La formalisation de processus de gestion des vulnérabilités, adapté au contexte et aux besoins de l’organisation
  • La sélection d’outils informatiques adaptés au contexte et aux réalités de l’organisation
  • La mise en place de la gestion des vulnérabilités au sein des équipes et la gestion du changement inhérente à ce type de projet
  • La mise en oeuvre d’initiatives transversales et complémentaires telles que la sensibilisation des personnes impliquées et l’intégration de la sécurité dans les projets informatiques

L’accréditation dans le secteur hospitalier

By | Alignement, Conformité, Direction commerciale, Direction Exploitation, Direction Générale, Gestion de projets, Gouvernance, Hospitalier, IT, Logistique, Production, Qualité, Qualité/Validation, Quartiers Opératoires | No Comments

Contexte.

De nombreux hôpitaux à Bruxelles et en Wallonie se lancent dans un processus d’accréditation.

Besoin de certifier leur démarche d’amélioration ? De renforcer leur trajet Qualité, épée de Damoclès dans un contexte changeant ?  Effet de mode ? Mimétisme avec nos voisins français ? …  Les raisons de ce changement sont multiples ! C’est en tout cas une démarche qui fait actuellement son chemin dans le secteur hospitalier.

Mielabelo et l’UCL Mons se sont associés pour tirer quelques enseignements des premières mises en oeuvre de ces trajets d’accréditation.

Le questionnaire a été testé avec des coordinateurs qualité (généralement en charge de l’accréditation).  Une quarantaine d’hôpitaux ont été sollicités pour participer au sondage, en Wallonie et à Bruxelles.

Quels sont les principaux écueils des démarches d’accréditation actuelles ?

Gestion des priorités.
Pour 40% des répondants, l’accréditation en soi n’est pas réellement une priorité, même si la qualité des soins reste un objectif fondamental des hôpitaux. En effet, les ressources des hôpitaux sont parois absorbées par des projets d’infrastructure qui prennent beaucoup d’énergie, des Rapprochements, fusions, synergies qui induisent des perturbations organisationnelles importantes, etc.

Un pilotage top-down
Près de ¾ des initiatives proviennent d’un organe de Direction ou de décision à haut niveau; la Direction Générale, en plus d’y voir une contribution à sa démarche qualité, y perçoit un avantage intrinsèque par rapport à des attentes, à venir du SPF.  Un élément très favorable dans ce contexte est d’obtenir un soutien important au sein de l’Institution et, de ce fait, associer des projets connexes (ex: gestion électronique des documents) à la démarche.

L’accréditation des hôpitaux relève de la volonté d’un Comité de Direction (au sens large) qui anticipe un changement réglementaire.  Elle est semblable aux démarches qualité (type ISO 9001) qui ont débuté il y a 30 ans dans l’industrie.  Il s’agit de mettre en place une « Culture Qualité », supportée par un Système de Gestion de la Qualité (QMS).  Les bonnes pratiques industrielles – et elles sont nombreuses – pourraient donc être largement mises à profit dans ce contexte.

L’accréditation apparaît donc principalement comme une démarche Top-Down.

Un déficit d’appropriation sur le terrain
L’accréditation est certes bénéfique à l’Institution et aux patients mais le personnel de terrain ne semble pas en retirer un bénéfice direct.  Le risque existe donc que la démarche s’essouffle après l’obtention du précieux sésame.

La mise en œuvre demande beaucoup d’énergie et de créativité aux coordinateurs qualité qui n’ont pas toujours l’expérience et l’accès à un référentiel de bonnes pratiques de mise en œuvre alors que ces approches existent dans d’autres secteurs.

 

Solution

La démarche d’accréditation devra donc, au-delà de la formalisation de standards, produire des améliorations opérationnelles pragmatiques et palpables pour le personnel et mener à la mise en œuvre d’un écosystème de gestion de la qualité impliquant le terrain, au-delà même de la coordination qualité.  Pour la pérennisation de l’accréditation, la mise en œuvre d’un Change Management opérationnel est une étable incontournable.

Dans ce type de démarche d’accréditation, il est dès lors essentiel:

  • d’impliquer le Comité de Direction afin de rendre visible le projet et de le soutenir pendant toute sa durée,
  • d’investir dans un programme de sensibilisation et d’information des différents types de personnel (médical, paramédical, administratif, etc.), idéalement au travers d’une plateforme centrale de type portail,
  • de mettre en oeuvre une structure de relais qualité afin d’intégrer la démarche au coeur même des services de l’hôpital mais aussi de pérenniser la démarche d’amélioration,
  • de se doter des outils requis afin de gérer facilement la documentation produite et de la rendre facilement traçable et auditable,
  • de s’inspirer des bonnes pratiques de gestion de systèmes Qualité en recourant à du soutien externe spécialisé, le cas échéant.”

La gestion temps réel des projets d’amélioration par l’Obeya (Lean Management)

By | Banque/Assurance, Chimie, Direction commerciale, Direction Exploitation, Direction Générale, Gestion de projets, Gouvernance, Hospitalier, Industrie, IT, Logistique, Opex, Performance, Pharmaceutique, Production, Public/Institutions, Qualité, Transports Publics

Contexte.

Le pilotage des projets, quels qu’ils soient, donne souvent lieu à une structure assez statique se limitant à des réunions de revue d’avancement où les participants ne sont pas toujours tous pleinement concernés et impliqués.  Généralement tenues a posteriori, ces réunions ne disposent que de peu de possibilités de réaction rapide.

 

Solution

Pour suivre efficacement un projet en temps réel, il convient de rassembler les informations du projet et les intervenants dans un même lieu afin de pouvoir prendre rapidement et régulièrement des actions de remédiation. Baptisée « salle Obeya », cet endroit s’inscrit comme un outil classique des approches Lean.   Cette salle de pilotage est une déclinaison intégrée du “visual management” qui a pour objectif d’assurer l’alignement des activités de projet avec les attentes et les besoins des Clients.

Quels sont les rôles d’une salle Obeya ?

  • Créer un espace partagé (avec les acteurs du terrain) où différents indicateurs pertinents sont rassemblés. Elle doit disposer les éléments matériels comme des tableaux fixes ou amovibles, des tableaux papier, …
  • Intégrer le plus clairement possible ce que le Client veut, pas ce qu’on peut lui fournir mais aussi ce dont le Client se plaint et ce qu’il craint.
  • Donner un état de l’attente des objectifs (on y arrivera ou pas?) en quelques indicateurs et tableaux.
  • Permettre, en plus d’un affichage des résultats, une analyse en temps réel des problèmes.

Truffée d’indicateurs du déploiement de la solution en cours et des problèmes rencontrés, la salle Obeya sera donc également un espace de recherche de solutions et de résolutions immédiates.

Ces éléments sont agencés selon trois grandes zones :

  • La zone donnant la cible : on y retrouve les objectifs du projet (stratégiques, financiers, commerciaux, organisationnels, …) qui sont souvent décrits dans un PID ou un «project charter ». On y retrouve aussi la Voix du Client (VoC) càd les attentes spécifiques, quantifiées et précises (ex : Nous devons pouvoir créer un contrat d’assurance en moins de 40 minutes).  De la même manière, on y rassemble des dessins ou des écrans de la solution à implémenter, de manière à garder en tête ce que le Client a demandé de recevoir ;
  • La zone « santé du projet » : on va y présenter des plannings macro (un gantt chart) mais aussi le planning des équipes (qui fait quoi dans les prochains jours). On y place aussi les indicateurs du projet.  Ces derniers doivent être très spécifiques et donner une vision univoque sur la progression du projet ;
  • La zone des problèmes : les projets connaissent généralement des soucis. La puissance de la salle Obeya est justement d’adresser les problèmes en temps réel par les outils du Lean management (analyse des causes, 5 Pourquois, …) et de proposer des remèdes rapides et pragmatiques (kaizen) avant que les écueils ne s’accumulent.

La réalisation pratique ne nécessite pas toujours un local dédié ; des agencements de panneaux peuvent également être prévus.

L’Obeya peut également être supportée de manière numérique par des applications mobiles gratuites, permettant une modification simple et dynamique du statut des activités de projet ou autres.

L’intérêt de l’approche repose sur :

  • Une mobilisation et une participation des intervenants impliqués directement dans la problématique discutée,
  • Un moment court (15 minutes) de réunion, à fréquence rapide (quotidienne), pour adresser les problèmes du moment,
  • Une discipline d’équipe qui crée un rituel de concertation et d’échange, facilitant la transformation.

Implémentation des normes SOX chez Industeel

By | Alignement, Conformité, Gouvernance, Industrie, Info Sec, IT | No Comments

Contexte

La loi Sarbanes-Oxley Act (SOX) réglemente les activités de reporting et d’audit financier des sociétés cotées en bourse.  Elle impose des exigences strictes de reporting et tient les cadres dirigeants pour responsables de l’exactitude des données financières, divulgation et contrôles internes, et prévoit des amendes en cas de non-conformité.

Du point de vue de la sécurité informatique, la loi SOX exige par ailleurs des preuves montrant que les applications financières et les systèmes et services sur lesquels elles reposent sont sécurisés de manière adéquate. Il faut notamment fournir un rapport annuel contenant les contrôles et procédures internes mis en œuvre pour le reporting financier, ainsi qu’une évaluation de l’efficacité de ces contrôles et procédures confirmée par un auditeur externe.  Cela engendre généralement une importante charge d’amélioration de la documentation et des processus sur la sécurité IT et les activités IT en général.

Solution

L’intervention de Mielabelo par rapport à ces problématiques s’est déclinée en trois moments :

  • Un état des lieux de type pré-audit
  • Une rédaction des principaux processus et procédures de sécurité
  • La mise en place d’une solution de gestion ITSM pour prendre en charge les incidents informatiques

1. Etat des lieux

Tout d’abord, le client Industeel était sur le point d’accueillir des auditeurs SOX et souhaitait préparer au mieux cet audit en obtenant un état des lieux externes de sa conformité, principalement au niveau des IT General Controls. La première partie de la mission visait donc la réalisation d’un audit vis-à-vis de la conformité IT face aux réglementations SOX. L’intérêt principal de ce type d’audit est, d’une part, de fournir un état des lieux en termes de conformité et de mettre en évidence les points d’amélioration possibles (tant en termes d’organisation, de processus ou de gestion opérationnelle).  D’autre part, ce type d’audit permet également de proposer un ensemble de recommandations de mise en œuvre, assortis d’un plan d’actions permettant d’atteindre, à minima, les objectifs de conformité.

Mielabelo a :

  • réalisé l’audit sur base d’interviews et d’analyse des documents disponibles
  • rédigé le rapport d’audit reprenant les différents constats d’audit, un état des lieux en termes de conformité SOX, un ensemble de recommandations d’amélioration et un plan d’action permettant la mise en œuvre de celles-ci
  • réalisé une présentation couvrant les différents points repris dans le rapport d’audit aux différentes parties prenantes.

 

2. Accompagnement du client

A la suite de ce premier état des lieux, la mission s’est poursuivie par un accompagnement du client dans la mise en œuvre des recommandations et du plan d’action formulés lors de l’audit. Ces recommandations ont été déclinées au sein d’une approche méthodologique plus globale en termes de gestion de la gouvernance, des risques et de la conformité, concernant la mise en œuvre, le suivi et l’amélioration continue des éléments factuels définis au sein de la base documentaire.  Il a été réalisé dans ce contexte un découpage des activités d’accompagnement en différents domaines (Gestion ces accès, gestion des incidents, gestion des changements, gestion des sauvegardes et de la continuité, etc.) tel que proposé dans le plan d’actions initial.

Ce découpage a été implémenté au sens d’une approche commune pour chacun de ces domaines : la formalisation de la base documentaire, incluant notamment la documentation des politiques et des processus de référence, la conduite d’ateliers permettant, de façon collaborative, de clarifier certains points et d’apporter des améliorations aux documents initiaux et la mise à jour de ceux-ci, la formalisation et la mise à jour de l’ensemble de la base documentaire.

 

3. Mise en oeuvre ITSM

Enfin, de manière plus spécifique et suite aux recommandations, Industeel a demandé à Mielabelo de l’accompagner sur la mise en œuvre d’un outil ITSM.  Face à des contraintes de temps et la nécessité d’une mise à conformité rapide et facile, Mielabelo a recommandé de mettre en œuvre la solution Easy Vista.

Les principales réalisations ont été les suivantes :

  • Configuration du socle commun et du module d’administration
  • Mise en place des processus gestion des incidents, des demandes, des problèmes et des changements.
  • Mise en œuvre du module reporting, définition et réalisation des tableaux de bord
  • Données de base
  • Mise en œuvre des processus
  • Transfert des compétences
  • Reprise de la base des données existantes

Application Continuity Assessment @ BNP Paribas Fortis

By | Banque/Assurance, Continuité/Gestion des risques, Direction Générale, Info Sec, IT | No Comments

Contexte

Les banques domestiques d’importance systémique sont les institutions dont la cessation des activités (suite à une faillite ou désastre technique par exemple) pourrait mettre en danger l’économie du pays tout entier.

Identifiés par la Banque Nationale de Belgique, ces huit* EIS belges (établissements d’importance systémique) font l’objet d’une surveillance étroite et se doivent d’observer des règles strictes imposées par les organes régulateurs. Parmi ces obligations, il leur est notamment demandé d’augmenter la maturité de leur système de management de la continuité des activités.  Ceci implique non seulement les processus métiers critiques, mais également les actifs informatiques soutenant ceux-ci.

BNP Paribas Fortis a fait appel à Mielabelo pour l’accompagner dans le respect de ses obligations de résilience imposées par la BNB.

* BNP Paribas Fortis, KBC Group, ING Belgique, Belfius Banque, Euroclear, The Bank of New York Mellon, Axa Bank Europe, et Argenta.

 

Solution

Dans le cadre d’une mission continuité informatique, Mielabelo met notamment en œuvre un « application continuity assessment » (évaluation de la continuité des applications). En pratique, il s’agit d’un questionnaire, servant de support à une réunion avec les différents responsables de chaque application (représentants métier, analystes, développeurs, support deuxième et troisième ligne, architectes, continuité métier et continuité IT).

Les buts sont les suivants :

  • Remise en question du BRTO : le BRTO est le temps de recouvrement minimal demandé par le métier, suite à un désastre ou une interruption de fonctionnement de l’application. Cependant, le métier ne se rend pas toujours compte du coût d’implémentation et de maintien d’une solution de continuité IT.
  • Etablissement du RTO : Le RTO est le temps de recouvrement que l’IT s’engage à respecter. Celui-ci peut être très différent du BRTO. En effet, l’IT sait qu’avant de restaurer la dite application, il y a toute une série d’actifs IT à restaurer, tels que le réseau, le mainframe, les bases de données …
  • Accord IT-métier sur la continuité : après échange d’information de part et d’autre (exigences métiers, prérequis IT…), les deux parties se mettent d’accord sur un RTO réaliste.
  • Analyse de la solution de continuité : Au vu du RTO décidé de commun accord entre le métier et l’IT, la solution de continuité implémentée est analysée. Celle-ci peut être soit surdimensionnée par rapport au besoin, et pourra donc être remplacée par une solution moins coûteuse. Si la solution est sous-dimensionnée, un plan de mise à niveau sera mis au point.
  • Revue à 360° de la documentation : Une revue complète de toute la documentation sera également faite, des différents schémas architecturaux à l’inventaire des actifs, les plans de continuité, les recommandations du groupe en la matière, les contacts critiques…

 

Résultats

Cette évaluation, réalisée chaque année a pour objectif :

  • D’avoir une vision complète et précise sur les actifs informationnels critiques ainsi que leur solution de continuité ;
  • De rétrograder la criticité d’un certain nombre d’applications, et ainsi faire baisser les coûts de maintenance de leur solution de continuité ;
  • De s’assurer que chaque application dispose bien d’une solution de continuité adaptée

 

Sur le terrain, les consultants de Mielabelo ont notamment la charge de :

  • Implémentation et maintien d’un système de management de la continuité conforme à la norme ISO 22301
  • Analyse d’impact métier
  • Planification et mise en œuvre de plans de gestion de crise, plans de continuité des activités et plans de recouvrement suite à un désastre
  • Coordination de migration de datacentres
  • Formation des différents acteurs impliqués

Amélioration du fonctionnement du département IT de l’AFSCA

By | IT, Opex, Performance, Public/Institutions | No Comments

L’AFSCA est une agence fédérale en charge de la sécurité de la chaîne alimentaire forte de 1300 agents.  La grande majorité (900) d’entre eux sont des contrôleurs nomades sur l’ensemble du territoire belge.  Directement actifs sur les interventions de terrain, les inspecteurs et gestionnaires ont de plus en plus recours aux outils informatiques afin de faciliter et d’accélérer le traitement d’information essentielles, comme le signalement d’une contamination, par exemple.

Read More