Documente Academic
Documente Profesional
Documente Cultură
Rappelons que lobjectif premier de nos travaux est didentifier les pratiques du CMMI et dautres rfrentiels qualit informatique (Ref2) quil faut dployer au sein dune organisation qui souhaite ou doit respecter les exigences rglementaires pharmaceutiques (Ref1). Ainsi, nous avons ralis un mapping entre ces rfrentiels. La complexit des relations mises en jeu nous a amen concevoir des liens utilisant des oprateurs logiques. Nous avons alors spcifi et programm la seconde mthode prsente dans le chapitre prcdent, pour nous permettre dexploiter les rsultats obtenus par les mises en correspondance. Ce chapitre est organis en trois parties (Figure V-1) : la premire prsente la mthodologie didentification et de construction des relations entre bonnes pratiques informatiques et exigences rglementaires, ainsi que les modalits de mise en uvre de la mthode de rsolution (choix technologiques), la seconde est ddie la prsentation des rsultats obtenus : identification de ce quil faut dployer dans le CMMI et les autres rfrentiels de bonnes pratiques afin de couvrir un maximum dexigences rglementaires, enfin, dans la troisime partie, nous prsentons deux exploitations possibles des rsultats obtenus.
123
124
Ainsi, dans notre cas, le travail consiste traduire les exigences rglementaires en termes mtier afin de pouvoir les comparer avec les bonnes pratiques informatiques. Cela a t ralis avec des experts du domaine pharmaceutique, afin de clairement dfinir les sens des termes utiliss dans un contexte pharmaceutique, par rapport leur sens dans le monde qualit.
Par exemple, les exigences rglementaires imposent aux producteurs de mdicaments de procder des audits de fournisseurs afin de sassurer que ces derniers travaillent correctement . Dans le monde pharmaceutique, audit fournisseur possde un sens bien plus vaste que dans le cadre qualit informatique . En plus dvaluer les capacits dun fournisseur sur certains processus, un audit fournisseur implique galement, dans le monde pharmaceutique par exemple, danalyser les mthodes damlioration des processus et implique la mise en place de plans damlioration et les activits de suivi des actions qui en dcoulent Ainsi, un audit nest pas seulement une
125
Ces carts lexicaux sont lorigine de bien des incomprhensions entre experts de domaines diffrents. Tout le travail consiste pouvoir faire communiquer les deux mondes, grce lidentification claire de ces diffrences. La recherche de correspondances entre ces exigences et les bonnes pratiques a t ralise grce la participation de diffrents experts qualit de la DSI des Laboratoires Pierre Fabre. Une fois que toutes les relations ont t identifies, il faut les traiter informatiquement, grce la seconde mthode prsente dans le chapitre prcdent. En termes de volumtrie, nous rappelons que le rfrentiel dexigences est compos de cent soixante quinze lments. Le CMMI est compos de cent quatre vint cinq pratiques spcifiques et douze pratiques gnriques. LISO 20000 propose environ deux cent trente pratiques. Pour des raisons de droits, nous ne pouvons reproduire ici les textes rglementaires et les rfrentiels de bonnes pratiques utiliss. Il nous est donc impossible de proposer lensemble des relations tablies, qui composent le mapping. La ralisation technique du solveur est prsente dans la partie suivante.
126
Chapitre V : Application industrielle et rsultats obtenus stockage des rsultats dans une base MySQL, exploitation des rsultats sous Excel.
Ainsi, le mapping a tout dabord t ralis sous Excel1. Des requtes SQL permettent de remplir une premire base de donnes. Les enregistrements sont alors traits par un programme conu en langage Perl2, qui permet daboutir dans un premier temps aux formes canoniques disjonctives des relations logiques. Dans un second temps, le programme Perl dduit des formes canoniques disjonctives le noyau de pratiques dployer dans le but de respecter toutes les exigences rglementaires. Ce rsultat est alors stock dans une nouvelle base de donnes afin dtre sauvegard dans un format facilement lisible. Des requtes SQL permettent finalement denvoyer ces rsultats sous Excel afin den faciliter lexploitation.
Le choix dutiliser Excel se justifie aisment : logiciel quasi-universel, il permet dobtenir des fichiers faciles communiquer et faire voluer. 2 Le choix du langage Perl sexplique galement simplement : cest un langage trs adapt, grce sa syntaxe simple, pour des petits dveloppements et des prototypes. Son utilisation est combine avec MySQL. De plus, les comptences du Centre de Gnie Industriel de lEcole des Mines dAlbi-Carmaux dans ce langage sont indniables.
127
2. Rsultats du mapping
Une fois que les relations sont construites et traites par le solveur, le noyau minimal de bonnes pratiques est identifi. Nous accordons une importance particulire la prsentation des rsultats du mapping entre le rfrentiel dexigences et les pratiques du CMMI. En effet, comme il sagit des activits relatives au cur de mtier de la DSI, il est logique dy consacrer un effort plus consquent. Nous prsenterons ensuite plus synthtiquement les rsultats du mapping entre le rfrentiel dexigences rglementaires pharmaceutiques et lensemble des rfrentiels de bonnes pratiques informatiques relatifs notre primtre.
Niveau 5
Niveau 4
Niveau 3
Niveau 2
Lexploitation des relations a permis dtablir que 63 % des exigences du rfrentiel pharmaceutique sont couvertes par les pratiques du CMMI (Figure V-5).
128
Chapitre V : Application industrielle et rsultats obtenus Ainsi, sur les cent soixante quinze exigences du rfrentiel pharmaceutique, il est possible de trouver des quivalents dans le CMMI pour cent dix dentre elles. La mise en place dune dmarche base sur le CMMI ne permet donc pas de couvrir toutes les exigences rglementaires pharmaceutiques. Ces cent dix exigences sont couvertes soit : par une combinaison de pratiques qui appartiennent exclusivement au niveau de maturit 2 (soixante trois exigences), par une combinaison de pratiques qui appartiennent au niveau 2 et au niveau 3, ou exclusivement au niveau 3 (quarante sept exigences).
La Figure V-6 montre la rpartition des exigences couvertes entre ces deux catgories.
Figure V-6 : rpartition des exigences couvertes par niveaux de maturit du CMMI
Plus particulirement, le mapping met en jeu 84 % des pratiques du niveau 2 (Figure V-7) et 55 % des pratiques du niveau 3 (Figure V-8).
16%
Pratiques mises en jeu par le mapping Pratiques non mises en jeu 84%
45% 55%
Le nombre de pratiques mises en jeu par secteur cl est propos par la Figure V-9.
129
16 14 12 10 8 6 4 2 0
EQ M PP PM SA C M M PP A Q A C M R D TS VEPI VAR O L P O F PD O IP T R M SK M IT IS DM AR O EI
Notons que les secteurs cls relatifs la gestion de projet et ceux relatifs lingnierie sont particulirement reprsents. Enfin, il nous a paru intressant dtudier le nombre de fois que les pratiques dun secteur cl sont cites dans les relations tablies. Ceci est lobjet de la Figure V-10. Cette figure propose, pour chaque secteur cl, la somme des citations des pratiques cls qui le composent. Les secteurs cls PP (planification de projet), CM (gestion de la configuration), RD (dveloppement des exigences), VER (vrification) et VAL (validation) sont les plus cits. Compte tenu de la rpartition des exigences par catgories, ceci nest pas tonnant. En effet, le secteur cl PP propose des pratiques qui permettent de sassurer de la matrise des projets (formation des ressources, gestion de la documentation). Le secteur cl CM propose les pratiques propres la gestion de configuration et donc la gestion des changements. Enfin, les secteurs cls RD, VER et VAL permettent de produire un systme et de sassurer quil fonctionne et quil correspond au besoin.
130
70 60 50 40 30 20 10 0
Les exigences non-couvertes par le CMMI (qui sont au nombre de soixante cinq) se rpartissent de la manire suivante (Figure V-11) :
Dune manire gnrale, les exigences non-couvertes concernent la scurit des donnes (puisque cest une problmatique qui nest que superficiellement aborde par le CMMI) ; lexploitation des systmes informatiss (la gestion des profils dutilisateurs, des administrateurs, la maintenance des 131
EQ M PP PM SA C M M PP A Q A C M R D TS P VE I R VA O L P O F PD O T IP R M SK M
4 4
19
Formation et gestion du personnel (2)
27 4 2
Ingnierie informatique(4) Scurit de l'information (19) Systme de Management de la Qualit (4) Validation (1)
IT IS M D AR O EI
Chapitre V : Application industrielle et rsultats obtenus serveurs, la supervision) et enfin les fonctionnalits des systmes. Ceci nest pas une surprise, car ce ne sont pas des domaines couverts par le CMMI. Il faut pour cela intgrer les rfrentiels : ISO 20000, ISO 9000 : 2000, ISO 27000.
LISO 20000 est une piste tout fait raisonnable dans lobjectif de respect des exigences rglementaires. Notons que cette dernire est plus exigeante que la rglementation, notamment au niveau de la gestion du budget (ce qui est logique : pour la rglementation, quimporte que le budget soit mal gr, du moment quil permet dobtenir et de matriser le systme dsir). LISO 27000, qui a pour objet la scurit, est une rfrence majeure de ce domaine. Les exigences rglementaires tant trs haut niveau ce sujet, un mapping fin semble tre trs complexe. Au vu des attendus de la norme, la complmentarit semble tre totale. Enfin, sur la Figure V-12, la zone Spcifiques Pharma. , regroupe lensemble des exigences pour lesquelles il ny a pas de correspondances dans les rfrentiels tudis. Il sagit principalement des exigences propres la validation pharmaceutique, des exigences fonctionnelles et enfin des exigences MOA.
132