Contexte

Obstacles à la digitalisation rapportés par les laboratoires :

• Manque de ressources
  • Temps / Personnel / Compétence
• Hétérogénéité des audits
  • Concurrence déloyale
  • Flou stratégique

Contexte

Manque de rigueur pour les systèmes “in-house”

Contexte – Normes

ISO/IEC 17025:2017

• Approche basée sur le risque
• Emphase sur la confidentialité
• Exigences surla finalité plus que sur la manière
• Technologies digitales peu mentionnées
• Section 7.11 “Maîtrise des données et gestion de l’information”

Contexte – Normes

ISO 15189:2022

• 7.6 “Maîtrise des données et gestion de l’information”
• Référence (non normative) à l’Annexe 1 de l’ISO 27001:2022

Contexte – Normes

ISO/IEC 27001:2022

• Système de management de la sécurité de l’information
• Pas spécifique aux laboratoire
  • → Exigences parfois abstraites
• Accréditation disproportionnée dans le cadre de l’ISO/IEC 17025:2017

Objectifs de la guideline

Objectifs de la guideline

• Informer / sensibiliser → développer la compétence

• Assister (focus pratique) → Gain de temps

• Harmoniser les pratiques des labos et des auditeurs

Objectifs de la guideline

Répondre aux questions :

• Comment répondre aux exigences de l’ISO/IEC 17025:2017 quand elles s’appliquent aux processus digitalisés ?

• Comment les technologies digitales peuvent contribuer à répondre aux exigences de l’ISO/IEC 17025 ?

Définitions – Processus digitalisé

• Personnel
• Environnement
• Procédures
• Enregistrements
• …

Définitions – Système informatique

• Instrument de mesure
• Ordinateur de bureau, clavier, souris…
• Petit équipement (centrifugeuse…)
• Serveur, disque dur, switch…
• …

Définitions – Hardware & Software

Définitions – Données

• Données brutes (volume de titrant, signal de détecteur…)
• Données dérivées (moyenne, concentration calculée sur base d’une droite de calibration…)
• Données non numériques (coordonnées clients, patients…)
• Métadonnées

Définitions – Métadonnées

• Unité attachée à une valeur numérique
• Identifiant d’échantillon, de patient, de document…
• Dates de l’action enregistrée
• Personne responsable de la mesure, de la révision, autheur, expéditeur, destinataire…
• …

Définitions – Digital vs Electronique

• Souvent utilisé de manière interchangeable

Structure de la guideline Eurolab

1. Introduction & Scope
2. Normative references
3. Definitions
4. Risk assessment
5. Identified risks
6. Controls
7. Appendices

Risques

Quels risques anticiper ?

Ceux qui peuvent compromettre :

• l’exactitude des résultats
• l’intégrité des données
• la confidentialité (et impartialité)
• l’intégrité des équipements et des personnes

Analyse de risques

Roue de Demming

Analyse de risques

1. PLAN : Analyser les risques (PLAN)
   • Identifier (5 why…)
   • Évaluer (matrice de risque…)
   • Planifier des actions préventives et correctives
2. DO : Implémenter les actions
3. CHECK : Auditer les actions réalisées et leur efficacité
4. ACT : Ajuster les actions ou renouveler l’analyse de risque

Analyse de risques

Deux approches

• Individuelle
• Systématique

Analyse de risques

Approche “individuelle”

Pour chaque système informatique :

• Identifier :
  • les dangers (ex “perte de données”)
  • les causes (ex “erreur de manipulation”)
  • les facteurs (ex “manque de formation, inatention…”)
  • les conséquences (ex “recommencer des analyses”)

Analyse de risques

Approche “individuelle”

Pour chaque système informatique :

• Évaluer :
  • la probabilité d’occurence des causes
  • la détectabilité (probabilités de détection avant que des conséquences se produisent)
  • la correctibilité (coût/effort/temps des actions correctives)
  • la gravité des conséquences (temps, argent, réputation)

Analyse de risques

Approche “individuelle”

Pour chaque système informatique :

• Définir des actions préventives/correctives concernant :
  • Main d’oeuvre (personnel)
  • Méthode (procédures)
  • Machines (équipements)
  • Milieu (environnement)
  • Matériaux (input/output)

Analyse de risques

Approche “systématique” (Classification basée sur le risque)

1. Définition de classes de risques
2. Définitions de contrôles pour chaque classe
3. Attribution d’une classe à chaque système informatique
4. Implémentation et monitoring
5. Évaluation périodique (audits, revues de direction)
6. Adaptation (nombre de classes, contrôles…)

Analyse de risque

Conseils généraux

• Considérer tous les risques
• Considérer tous les processus
• Considérer tous les systèmes informatiques
• Considérer toutes les étapes du cycle de vie
• Considérer toutes les sources de danger (5M)
• Avoir une procédure écrite

Action préventives

Objectifs

• Réduire la probabilité d’occurence des causes
• Augmenter la détectabilité
• Augmenter la correctibilité
• Réduire la gravité

Contrôles

Guideline Eurolab

• Total de 20 contrôles
• Structure en “check-list”
• Pour chaque contrôle :
  • Clauses ISO/IEC 17025:2017
  • Contrôles ISO/IEC 27001:2022 Annexe 1
  • Recommandations pratiques

Besoins utilisateurs (UR)

Recommandations

• Avoir une procédure pour la définition des UR & acquisition
• Période d’essai ou démo
• Anticiper et capitaliser sur l’expérience
• Besoins essentiels vs désirables (CESAME)

Besoins utilisateurs (UR)

Types de besoins

• Fonctionnels
  • Ce que le système doit être capable de faire
• Non fonctionnels
  • Comment le système doit être conçu
  • Comment le système doit se comporter

Besoins utilisateurs (UR)

Besoins fonctionnels (exemples)

• Sensibilité
• Performance
• Fonctionalités
  • Audit-trail
  • Contrôle d’accès
  • Export dans certains formats

Besoins utilisateurs (UR)

Besoins non-fonctionnels (exemples)

Hardware - Consommation gaz - Technologie de mesure - Besoin en maintenance - DIsponibilité des pièces/consommables

Besoins utilisateurs (UR)

Besoins non-fonctionnels (exemples)

Software

• Cloud/local
• Langage
• (Rétro-)compatibilité
• Sécurité

Documentation technique

Recommandations

• Conserver toute la documentation du fournisseur
  • Liste des consommables et pièces de rechange
  • Ressources nécessaire (software)
  • Release notes lors de mises à jour
• In-house (ex: excel) établir une documentation appropriée !!!
  • Description du fonctionnement
  • Release notes

Procédures et enregistrements

Recommandations

• Couvrir l’ensemble du cycle de vie des systèmes informatiques, Ex :
  • 1 procédure générale “acquisition et installation”
  • 1 procédure générale “déclassement”
  • 1 procédure utilisation/maintenance/calibration par système
• Couvrir l’ensemble du cycle de vie des données, Ex :

Procédures et enregistrements

Recommandations

• Spécifier les reponsabilités, compétences/autorisations requises
• Si vérification, spécifier les critères et quoi faire si insatisfaite
• Formulaires “formalisé” et vérifié
• Règles de validation des données encodées
• Métadonnées complètes (qui, quand, quoi, comment)

Validation des syst. informatiques

• ISO/IEC 17025:2017, 7.11.2, Note 2 :
  • “Un logiciel commercial de série en utilisation généralisée dans son cadre d’application prévu peut être considéré comme étant suffisamment validé.”

Validation des syst. informatiques

Quand valider ?

• Tout au long du développement
• Avant l’implémentation en conditions réelles
• De manière régulière (si nécessaire)
• Après des modifications & mises à jour majeures
• Après défaillance majeure

Validation des syst. informatiques

Approches de validation

• “Black box” (sans connaissance a priori du fonctionnement)
• “White box” (avec connaissance a priori du fonctionnement)

Validation des syst. informatiques

Recommandations

• Avoir une procédure écrite
• Environnement “sandbox”
• Interoperabilité avec les systèmes existants
• Aspects liés à l’utilisation du labo spécifiquement
• Couvrir le range de fonctionnalités utilisées

Inventaire général

Pour chaque système informatique :

• Numéro de série, fabriquant, modèle…
• Dates clés (installation, mise en service)
• Version de firmware
• Emplacement physique
• Emplacement virtuel (chemin d’accès)
• Activités pour lesquelles chaque système est utilisé

Logbooks

• Utilisations
• Calibrations
• Maintenances
• Défaillances

Logbooks

Métadonnées complètes

• Qui
• Quoi (quels objets sont soumis à l’essai)
• Quand
• Comment (quelle méthode instrumentale/ paramètre)
• (Où)

Logbooks

Recommandations

• Automatisation via fonctions “audit-trail”
• Stockage sur un support indépendant du système dont il est l’objet

Formats de fichiers

• Privilégier les formats non-propriétaires (open)

Indexation

• Avoir une procédure écrite
• Classification systématique

Contrôle des accès

Autres dénominations

• Droits
• Autorisations
• Privilèges

Contrôle des accès

Exemples de droits d’accès liés aux fichiers informatiques :

• Lecture
• Création
• Modification
• Suppression

Contrôle des accès

Recommandations

• Authentification multifacteur
• VPN (Big-IP)
• Protection physique
• Réseau “privé”
• Mots de passe “forts”
• Restriction de l’accès/échange de données sensibles via internet

Contrôle des accès

Recommandations

• Techniques cryptographiques
• User endoint devices
  • Stockage centralisé
  • Données sensibles
• Limiter aux droits suffisants et nécessaires

Controle des modifications

Recommendations

• Procédures écrites
  • Approuver
  • Informer
• Vérification (si nécessaire)
• Gestion de conflits de versions
• Backward recovery

Controle des modifications

Recommendations

• Suivi des modifications :
  • Enregistrement des métadonnées liées aux modifications (qui, quand, quoi)
  • Les données originales restent disponibles pour consultation
• Versionnage :
  • Toute version (d’un document, d’un programme…) doit être identifiée et datée

Dénomination et indexation

• Noms descriptifs
• Inclure les métadonnées (quoi, qui, quand, comment)

Archivage

• Archivé ≠ Obsolète
• Archivé ≠ Inaccessible
• Via contrôle d’accès restreint

Backups

• Procédure écrite (définir la fréquence)
• Règle “3-2-1”
• Tester !

Personnel

• Former et informer (Hygiène IT)
• Quand ?
  • Avant première utilisation
  • Après modification majeure
  • Après non-conformité
  • Passé un certain délai

Gestion d’incidents

• Procédure de signalement et d’enregistrement

Audits internes

• Couverture des aspects digitaux