Chapitre V : Application industrielle et rsultats obtenus

Chapitre V. APPLICATION INDUSTRIELLE ET RESULTATS OBTENUS

Rappelons que lobjectif premier de nos travaux est didentifier les pratiques du CMMI et dautres rfrentiels qualit informatique (Ref2) quil faut dployer au sein dune organisation qui souhaite ou doit respecter les exigences rglementaires pharmaceutiques (Ref1). Ainsi, nous avons ralis un mapping entre ces rfrentiels. La complexit des relations mises en jeu nous a amen concevoir des liens utilisant des oprateurs logiques. Nous avons alors spcifi et programm la seconde mthode prsente dans le chapitre prcdent, pour nous permettre dexploiter les rsultats obtenus par les mises en correspondance. Ce chapitre est organis en trois parties (Figure V-1) : la premire prsente la mthodologie didentification et de construction des relations entre bonnes pratiques informatiques et exigences rglementaires, ainsi que les modalits de mise en uvre de la mthode de rsolution (choix technologiques), la seconde est ddie la prsentation des rsultats obtenus : identification de ce quil faut dployer dans le CMMI et les autres rfrentiels de bonnes pratiques afin de couvrir un maximum dexigences rglementaires, enfin, dans la troisime partie, nous prsentons deux exploitations possibles des rsultats obtenus.

123

Chapitre V : Application industrielle et rsultats obtenus

Figure V-1 : plan de la partie

124

Chapitre V : Application industrielle et rsultats obtenus

1. La construction des relations et la ralisation du solveur

1.1. Construction des relations
Dans notre cas applicatif, les relations ont t tablies manuellement . Une analyse en profondeur de chaque exigence rglementaire relative notre primtre, ainsi que de chaque pratique des rfrentiels applicables, a t ralise. Grce la consultation de nombreux experts des diffrents domaines, nous avons pu tablir les correspondances recherches. Les activits ralises sont prcises sur la Figure V-2.

Figure V-2 : activits pour identifier les relations

Ainsi, dans notre cas, le travail consiste traduire les exigences rglementaires en termes mtier afin de pouvoir les comparer avec les bonnes pratiques informatiques. Cela a t ralis avec des experts du domaine pharmaceutique, afin de clairement dfinir les sens des termes utiliss dans un contexte pharmaceutique, par rapport leur sens dans le monde qualit.
Par exemple, les exigences rglementaires imposent aux producteurs de mdicaments de procder des audits de fournisseurs afin de sassurer que ces derniers travaillent correctement . Dans le monde pharmaceutique, audit fournisseur possde un sens bien plus vaste que dans le cadre qualit informatique . En plus dvaluer les capacits dun fournisseur sur certains processus, un audit fournisseur implique galement, dans le monde pharmaceutique par exemple, danalyser les mthodes damlioration des processus et implique la mise en place de plans damlioration et les activits de suivi des actions qui en dcoulent Ainsi, un audit nest pas seulement une

125

Chapitre V : Application industrielle et rsultats obtenus

photographie un instant t dune organisation, mais il consiste aussi valuer un cart entre la maturit requise et la maturit actuelle de cette organisation et proposer un chemin suivre. Un autre exemple significatif est celui de la validation . Dans le contexte pharmaceutique, le processus de validation est un processus formel, clairement dfini, dont le but est dautoriser ou non lutilisation dun systme dans un processus pharmaceutique. Dans cet objectif, de nombreux tests doivent tre raliss (au niveau physique, au niveau fonctionnel ainsi quau niveau du processus qui va tre support par le systme informatis). Pour le CMMI, la validation consiste simplement comparer un systme par rapport au besoin initial du client ( est-ce que jai construit ce qui tait attendu ? ). Il y a donc une relle diffrence entre les deux visions. Ainsi, lorsque les textes rglementaires pharmaceutiques imposent de valider les systmes utiliss dans la production informatique, le dploiement des bonnes pratiques relatives au secteur cl Validation du CMMI nest donc pas suffisant tel quel .

Ces carts lexicaux sont lorigine de bien des incomprhensions entre experts de domaines diffrents. Tout le travail consiste pouvoir faire communiquer les deux mondes, grce lidentification claire de ces diffrences. La recherche de correspondances entre ces exigences et les bonnes pratiques a t ralise grce la participation de diffrents experts qualit de la DSI des Laboratoires Pierre Fabre. Une fois que toutes les relations ont t identifies, il faut les traiter informatiquement, grce la seconde mthode prsente dans le chapitre prcdent. En termes de volumtrie, nous rappelons que le rfrentiel dexigences est compos de cent soixante quinze lments. Le CMMI est compos de cent quatre vint cinq pratiques spcifiques et douze pratiques gnriques. LISO 20000 propose environ deux cent trente pratiques. Pour des raisons de droits, nous ne pouvons reproduire ici les textes rglementaires et les rfrentiels de bonnes pratiques utiliss. Il nous est donc impossible de proposer lensemble des relations tablies, qui composent le mapping. La ralisation technique du solveur est prsente dans la partie suivante.

1.2. Ralisation du solveur

La solution technique se divise en six temps forts : laboration des relations du mapping sous Excel, stockage des relations dans une base MySQL, traitement des enregistrements grce un programme dvelopp en langage Perl, identification du noyau de pratiques choisir grce un programme dvelopp en langage Perl,

126

Chapitre V : Application industrielle et rsultats obtenus stockage des rsultats dans une base MySQL, exploitation des rsultats sous Excel.

La figure suivante (Figure V-3) prsente cette logique de rsolution.

Figure V-3 : mthodes de rsolution

Ainsi, le mapping a tout dabord t ralis sous Excel1. Des requtes SQL permettent de remplir une premire base de donnes. Les enregistrements sont alors traits par un programme conu en langage Perl2, qui permet daboutir dans un premier temps aux formes canoniques disjonctives des relations logiques. Dans un second temps, le programme Perl dduit des formes canoniques disjonctives le noyau de pratiques dployer dans le but de respecter toutes les exigences rglementaires. Ce rsultat est alors stock dans une nouvelle base de donnes afin dtre sauvegard dans un format facilement lisible. Des requtes SQL permettent finalement denvoyer ces rsultats sous Excel afin den faciliter lexploitation.

Le choix dutiliser Excel se justifie aisment : logiciel quasi-universel, il permet dobtenir des fichiers faciles communiquer et faire voluer. 2 Le choix du langage Perl sexplique galement simplement : cest un langage trs adapt, grce sa syntaxe simple, pour des petits dveloppements et des prototypes. Son utilisation est combine avec MySQL. De plus, les comptences du Centre de Gnie Industriel de lEcole des Mines dAlbi-Carmaux dans ce langage sont indniables.

127

Chapitre V : Application industrielle et rsultats obtenus

2. Rsultats du mapping
Une fois que les relations sont construites et traites par le solveur, le noyau minimal de bonnes pratiques est identifi. Nous accordons une importance particulire la prsentation des rsultats du mapping entre le rfrentiel dexigences et les pratiques du CMMI. En effet, comme il sagit des activits relatives au cur de mtier de la DSI, il est logique dy consacrer un effort plus consquent. Nous prsenterons ensuite plus synthtiquement les rsultats du mapping entre le rfrentiel dexigences rglementaires pharmaceutiques et lensemble des rfrentiels de bonnes pratiques informatiques relatifs notre primtre.

2.1. Mapping entre les pratiques du CMMI et les exigences rglementaires

Nous rappelons que le CMMI est compos de vingt cinq secteurs cls (PA) qui proposent au total cent quatre vint cinq pratiques spcifiques (SP) et douze pratiques gnriques (GP). La rpartition de ces pratiques par niveaux de maturit de larchitecture tage du CMMI est illustre par la Figure V-4.

Niveau 5

12 2 13 2 105 14 55 7 0 20 40 60 80 100 120 Nombre de SP Nombre de PA

Niveau 4

Niveau 3

Niveau 2

Figure V-4 : rpartiton des PA et SP par niveaux

Lexploitation des relations a permis dtablir que 63 % des exigences du rfrentiel pharmaceutique sont couvertes par les pratiques du CMMI (Figure V-5).

Couvertes (110) Non couvertes (65)

Figure V-5 : couverture des exigences par les pratiques du CMMI

128

Chapitre V : Application industrielle et rsultats obtenus Ainsi, sur les cent soixante quinze exigences du rfrentiel pharmaceutique, il est possible de trouver des quivalents dans le CMMI pour cent dix dentre elles. La mise en place dune dmarche base sur le CMMI ne permet donc pas de couvrir toutes les exigences rglementaires pharmaceutiques. Ces cent dix exigences sont couvertes soit : par une combinaison de pratiques qui appartiennent exclusivement au niveau de maturit 2 (soixante trois exigences), par une combinaison de pratiques qui appartiennent au niveau 2 et au niveau 3, ou exclusivement au niveau 3 (quarante sept exigences).

La Figure V-6 montre la rpartition des exigences couvertes entre ces deux catgories.

Niveau de Maturit 2 (63) Niveau de Maturit 2 et 3 (47)

Figure V-6 : rpartition des exigences couvertes par niveaux de maturit du CMMI

Plus particulirement, le mapping met en jeu 84 % des pratiques du niveau 2 (Figure V-7) et 55 % des pratiques du niveau 3 (Figure V-8).

16%

Pratiques mises en jeu par le mapping Pratiques non mises en jeu 84%

45% 55%

Pratiques mises en jeu par le mapping Pratiques non mises en jeu

Figure V-7 : les pratiques du niveau 2 mises en jeu par le mapping

Figure V-8 : les pratiques du niveau 3 mises en jeu par le mapping

Le nombre de pratiques mises en jeu par secteur cl est propos par la Figure V-9.

129

Chapitre V : Application industrielle et rsultats obtenus

16 14 12 10 8 6 4 2 0
EQ M PP PM SA C M M PP A Q A C M R D TS VEPI VAR O L P O F PD O IP T R M SK M IT IS DM AR O EI

Nombre de SP par PA Nombre de SP mises en jeu par le mapping

Figure V-9 : les pratiques mises en jeu par PA

Notons que les secteurs cls relatifs la gestion de projet et ceux relatifs lingnierie sont particulirement reprsents. Enfin, il nous a paru intressant dtudier le nombre de fois que les pratiques dun secteur cl sont cites dans les relations tablies. Ceci est lobjet de la Figure V-10. Cette figure propose, pour chaque secteur cl, la somme des citations des pratiques cls qui le composent. Les secteurs cls PP (planification de projet), CM (gestion de la configuration), RD (dveloppement des exigences), VER (vrification) et VAL (validation) sont les plus cits. Compte tenu de la rpartition des exigences par catgories, ceci nest pas tonnant. En effet, le secteur cl PP propose des pratiques qui permettent de sassurer de la matrise des projets (formation des ressources, gestion de la documentation). Le secteur cl CM propose les pratiques propres la gestion de configuration et donc la gestion des changements. Enfin, les secteurs cls RD, VER et VAL permettent de produire un systme et de sassurer quil fonctionne et quil correspond au besoin.

130

Chapitre V : Application industrielle et rsultats obtenus

70 60 50 40 30 20 10 0

Les exigences non-couvertes par le CMMI (qui sont au nombre de soixante cinq) se rpartissent de la manire suivante (Figure V-11) :

Dune manire gnrale, les exigences non-couvertes concernent la scurit des donnes (puisque cest une problmatique qui nest que superficiellement aborde par le CMMI) ; lexploitation des systmes informatiss (la gestion des profils dutilisateurs, des administrateurs, la maintenance des 131

EQ M PP PM SA C M M PP A Q A C M R D TS P VE I R VA O L P O F PD O T IP R M SK M

Figure V-10 : nombre de rfrences par PA

4 4

Gestion des changements (4) Pour MOA (4) Fonctionnelles (27)

19
Formation et gestion du personnel (2)

27 4 2

Ingnierie informatique(4) Scurit de l'information (19) Systme de Management de la Qualit (4) Validation (1)

Figure V-11 : rpartition des non-couvertures par catgories

IT IS M D AR O EI

Chapitre V : Application industrielle et rsultats obtenus serveurs, la supervision) et enfin les fonctionnalits des systmes. Ceci nest pas une surprise, car ce ne sont pas des domaines couverts par le CMMI. Il faut pour cela intgrer les rfrentiels : ISO 20000, ISO 9000 : 2000, ISO 27000.

2.2. Rsultats du mapping global

La gnralisation de notre dmarche lensemble du contexte qualit nous a permis de conclure sur la complmentarit des diffrents rfrentiels par rapport aux exigences rglementaires. Ainsi, lintgration de lISO 9000 : 2000 dans lensemble du cycle de vie des systmes informatiss est une bonne solution : dune part, pour les tapes de conception et de ralisation/suivi des systmes informatiss, car elle est complmentaire au CMMI [Ferchichi, 2008]. Elle prcise largement les rles et caractristiques dun systme qualit. Cest en ce sens quelle est dailleurs conseille par lISPE dans [ISPE, 2001]. dautre part, pour les phases dexploitation, car elle est intgre dans lISO 20000.

LISO 20000 est une piste tout fait raisonnable dans lobjectif de respect des exigences rglementaires. Notons que cette dernire est plus exigeante que la rglementation, notamment au niveau de la gestion du budget (ce qui est logique : pour la rglementation, quimporte que le budget soit mal gr, du moment quil permet dobtenir et de matriser le systme dsir). LISO 27000, qui a pour objet la scurit, est une rfrence majeure de ce domaine. Les exigences rglementaires tant trs haut niveau ce sujet, un mapping fin semble tre trs complexe. Au vu des attendus de la norme, la complmentarit semble tre totale. Enfin, sur la Figure V-12, la zone Spcifiques Pharma. , regroupe lensemble des exigences pour lesquelles il ny a pas de correspondances dans les rfrentiels tudis. Il sagit principalement des exigences propres la validation pharmaceutique, des exigences fonctionnelles et enfin des exigences MOA.

132